Хакерлер OpenPGP протоколының он жылдан астам уақыт бойы белгілі мүмкіндігін пайдаланды.
Мұның мәні неде және неге олар оны жаба алмайтынын айтамыз.
/Usplash/
Желі проблемалары
Маусым айының ортасында, белгісіз
Хакерлер GnuPG жобасының екі қолдаушысы Роберт Хансен мен Дэниел Гиллмордың сертификаттарын бұзды. Серверден бүлінген сертификатты жүктеу GnuPG сәтсіздігін тудырады — жүйе жай ғана қатып қалады. Шабуыл жасаушылар мұнымен тоқтап қалмайды, ал бұзылған сертификаттардың саны артады деп айтуға негіз бар. Қазіргі уақытта мәселенің ауқымы белгісіз.
Шабуылдың мәні
Хакерлер OpenPGP протоколындағы осалдықты пайдаланды. Ол ондаған жылдар бойы қоғамға белгілі. Тіпті GitHub-да
Хабредегі блогымыздан бірнеше таңдау:
OpenPGP спецификациясына сәйкес, кез келген адам иесін растау үшін сертификаттарға цифрлық қолтаңбаны қоса алады. Оның үстіне қолдардың максималды саны ешқандай жолмен реттелмеген. Міне, мәселе туындайды - SKS желісі бір сертификатқа 150 мыңға дейін қол қоюға мүмкіндік береді, бірақ GnuPG мұндай нөмірді қолдамайды. Осылайша, сертификатты жүктеген кезде GnuPG (сонымен қатар басқа OpenPGP іске асырулары) қатып қалады.
Пайдаланушылардың бірі
$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
$ ls -lh pubring.gpg
-rw-r--r-- 1 filippo staff 17M 2 Jul 16:30 pubring.gpg
Мәселені нашарлату үшін, OpenPGP кілт серверлері сертификат ақпаратын жоймайды. Бұл сертификаттармен барлық әрекеттер тізбегін бақылап, олардың ауыстырылуын болдырмау үшін жасалады. Сондықтан бұзылған элементтерді жою мүмкін емес.
Негізінде, SKS желісі кез келген адам деректер жаза алатын үлкен «файлдық сервер» болып табылады. Мәселені көрсету үшін, өткен жылы GitHub резиденті
Неліктен осалдық жабылмады?
Осалдықты жабуға ешқандай себеп болған жоқ. Бұрын ол хакерлік шабуылдар үшін пайдаланылмаған. IT қауымдастығы болса да
Әділ болу үшін, маусым айында олар әлі де екенін атап өткен жөн
/Usplash/
Түпнұсқа жүйедегі қатеге келетін болсақ, күрделі синхрондау механизмі оны түзетуге жол бермейді. Негізгі серверлік желі бастапқыда Ярон Минскидің кандидаттық диссертациясының тұжырымдамасының дәлелі ретінде жазылған. Сонымен қатар, жұмыс үшін өте нақты тіл, OCaml таңдалды. Авторы
Қалай болғанда да, GnuPG желінің ешқашан түзетілетініне сенбейді. GitHub-тағы жазбада әзірлеушілер тіпті SKS Keyserver-пен жұмыс істеуді ұсынбайтындарын жазды. Шын мәнінде, бұл олардың жаңа keys.openpgp.org қызметіне көшуінің басты себептерінің бірі. Біз оқиғалардың одан әрі дамуын ғана бақылай аламыз.
Біздің корпоративтік блогымыздан бірнеше материалдар:
Ақпарат көзі: www.habr.com