ನಂತರದ ವಿಶ್ಲೇಷಣೆ: ಕ್ರಿಪ್ಟೋ-ಕೀ ಸರ್ವರ್‌ಗಳ SKS ಕೀಸರ್ವರ್‌ನ ನೆಟ್‌ವರ್ಕ್‌ನಲ್ಲಿ ಇತ್ತೀಚಿನ ದಾಳಿಯ ಬಗ್ಗೆ ಏನು ತಿಳಿದಿದೆ

ಹತ್ತು ವರ್ಷಗಳಿಗೂ ಹೆಚ್ಚು ಕಾಲ ತಿಳಿದಿರುವ ಓಪನ್‌ಪಿಜಿಪಿ ಪ್ರೋಟೋಕಾಲ್‌ನ ವೈಶಿಷ್ಟ್ಯವನ್ನು ಹ್ಯಾಕರ್‌ಗಳು ಬಳಸಿದ್ದಾರೆ.

ಪಾಯಿಂಟ್ ಏನು ಮತ್ತು ಅವರು ಅದನ್ನು ಏಕೆ ಮುಚ್ಚಲು ಸಾಧ್ಯವಿಲ್ಲ ಎಂದು ನಾವು ನಿಮಗೆ ಹೇಳುತ್ತೇವೆ.

/ಅನ್‌ಸ್ಪ್ಲಾಶ್/ ಚುನ್ಲಿಯಾ ಜು

ನೆಟ್‌ವರ್ಕ್ ಸಮಸ್ಯೆಗಳು

ಜೂನ್ ಮಧ್ಯದಲ್ಲಿ, ತಿಳಿದಿಲ್ಲ ದಾಳಿ ನಡೆಸಿದರು ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಕೀ ಸರ್ವರ್‌ಗಳ ನೆಟ್‌ವರ್ಕ್‌ಗೆ SKS ಕೀಸರ್ವರ್, OpenPGP ಪ್ರೋಟೋಕಾಲ್‌ನಲ್ಲಿ ನಿರ್ಮಿಸಲಾಗಿದೆ. ಇದು IETF ಮಾನದಂಡವಾಗಿದೆ (RFC 4880), ಇದು ಇಮೇಲ್ ಮತ್ತು ಇತರ ಸಂದೇಶಗಳನ್ನು ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಲು ಬಳಸಲಾಗುತ್ತದೆ. ಸಾರ್ವಜನಿಕ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ವಿತರಿಸಲು ಮೂವತ್ತು ವರ್ಷಗಳ ಹಿಂದೆ SKS ನೆಟ್ವರ್ಕ್ ಅನ್ನು ರಚಿಸಲಾಗಿದೆ. ಇದು ಅಂತಹ ಸಾಧನಗಳನ್ನು ಒಳಗೊಂಡಿದೆ ಗ್ನುಪಿಜಿ ಡೇಟಾವನ್ನು ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಲು ಮತ್ತು ಎಲೆಕ್ಟ್ರಾನಿಕ್ ಡಿಜಿಟಲ್ ಸಹಿಗಳನ್ನು ರಚಿಸಲು.

ಇಬ್ಬರು GnuPG ಪ್ರಾಜೆಕ್ಟ್ ನಿರ್ವಾಹಕರಾದ ರಾಬರ್ಟ್ ಹ್ಯಾನ್ಸೆನ್ ಮತ್ತು ಡೇನಿಯಲ್ ಗಿಲ್ಮೋರ್ ಅವರ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಹ್ಯಾಕರ್‌ಗಳು ರಾಜಿ ಮಾಡಿಕೊಂಡಿದ್ದಾರೆ. ಸರ್ವರ್‌ನಿಂದ ದೋಷಪೂರಿತ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಲೋಡ್ ಮಾಡುವುದರಿಂದ GnuPG ವಿಫಲಗೊಳ್ಳುತ್ತದೆ - ಸಿಸ್ಟಮ್ ಸರಳವಾಗಿ ಫ್ರೀಜ್ ಆಗುತ್ತದೆ. ದಾಳಿಕೋರರು ಅಲ್ಲಿ ನಿಲ್ಲುವುದಿಲ್ಲ ಎಂದು ನಂಬಲು ಕಾರಣವಿದೆ, ಮತ್ತು ರಾಜಿ ಪ್ರಮಾಣಪತ್ರಗಳ ಸಂಖ್ಯೆಯು ಹೆಚ್ಚಾಗುತ್ತದೆ. ಈ ಸಮಯದಲ್ಲಿ, ಸಮಸ್ಯೆಯ ವ್ಯಾಪ್ತಿಯು ತಿಳಿದಿಲ್ಲ.

ದಾಳಿಯ ಮೂಲತತ್ವ

OpenPGP ಪ್ರೋಟೋಕಾಲ್‌ನಲ್ಲಿನ ದುರ್ಬಲತೆಯ ಲಾಭವನ್ನು ಹ್ಯಾಕರ್‌ಗಳು ಪಡೆದರು. ಅವಳು ದಶಕಗಳಿಂದ ಸಮುದಾಯಕ್ಕೆ ಪರಿಚಿತಳು. GitHub ನಲ್ಲಿ ಸಹ ಹುಡುಕಬಹುದು ಅನುಗುಣವಾದ ಶೋಷಣೆಗಳು. ಆದರೆ ಇಲ್ಲಿಯವರೆಗೆ ಯಾರೂ "ರಂಧ್ರ" ವನ್ನು ಮುಚ್ಚುವ ಜವಾಬ್ದಾರಿಯನ್ನು ತೆಗೆದುಕೊಂಡಿಲ್ಲ (ನಾವು ಕಾರಣಗಳ ಬಗ್ಗೆ ನಂತರ ಹೆಚ್ಚು ವಿವರವಾಗಿ ಮಾತನಾಡುತ್ತೇವೆ).

Habré ನಲ್ಲಿ ನಮ್ಮ ಬ್ಲಾಗ್‌ನಿಂದ ಒಂದೆರಡು ಆಯ್ಕೆಗಳು:

• SDN ಡೈಜೆಸ್ಟ್ - ಆರು ತೆರೆದ ಮೂಲ ಎಮ್ಯುಲೇಟರ್‌ಗಳು
• SDN ಅನ್ನು ಹೇಗೆ ನಿರ್ಮಿಸುವುದು - ಎಂಟು ತೆರೆದ ಮೂಲ ಪರಿಕರಗಳು
• ನೆಟ್‌ವರ್ಕ್ ಡೈಜೆಸ್ಟ್: Wi-Fi ಮತ್ತು 17G ಕುರಿತು 5 ಪರಿಣಿತ ವಸ್ತುಗಳು

OpenPGP ವಿವರಣೆಯ ಪ್ರಕಾರ, ಯಾರಾದರೂ ತಮ್ಮ ಮಾಲೀಕರನ್ನು ಪರಿಶೀಲಿಸಲು ಪ್ರಮಾಣಪತ್ರಗಳಿಗೆ ಡಿಜಿಟಲ್ ಸಹಿಯನ್ನು ಸೇರಿಸಬಹುದು. ಇದಲ್ಲದೆ, ಗರಿಷ್ಠ ಸಂಖ್ಯೆಯ ಸಹಿಗಳನ್ನು ಯಾವುದೇ ರೀತಿಯಲ್ಲಿ ನಿಯಂತ್ರಿಸಲಾಗುವುದಿಲ್ಲ. ಮತ್ತು ಇಲ್ಲಿ ಸಮಸ್ಯೆ ಉದ್ಭವಿಸುತ್ತದೆ - SKS ನೆಟ್ವರ್ಕ್ ನಿಮಗೆ ಒಂದು ಪ್ರಮಾಣಪತ್ರದಲ್ಲಿ 150 ಸಾವಿರ ಸಹಿಗಳನ್ನು ಇರಿಸಲು ಅನುಮತಿಸುತ್ತದೆ, ಆದರೆ GnuPG ಅಂತಹ ಸಂಖ್ಯೆಯನ್ನು ಬೆಂಬಲಿಸುವುದಿಲ್ಲ. ಹೀಗಾಗಿ, ಪ್ರಮಾಣಪತ್ರವನ್ನು ಲೋಡ್ ಮಾಡುವಾಗ, GnuPG (ಹಾಗೆಯೇ ಇತರ OpenPGP ಅಳವಡಿಕೆಗಳು) ಫ್ರೀಜ್ ಆಗುತ್ತದೆ.

ಬಳಕೆದಾರರಲ್ಲಿ ಒಬ್ಬರು ಪ್ರಯೋಗ ನಡೆಸಿದರು - ಪ್ರಮಾಣಪತ್ರವನ್ನು ಆಮದು ಮಾಡಿಕೊಳ್ಳಲು ಅವರು ಸುಮಾರು 10 ನಿಮಿಷಗಳನ್ನು ತೆಗೆದುಕೊಂಡರು. ಪ್ರಮಾಣಪತ್ರವು 54 ಸಾವಿರಕ್ಕೂ ಹೆಚ್ಚು ಸಹಿಗಳನ್ನು ಹೊಂದಿತ್ತು ಮತ್ತು ಅದರ ತೂಕ 17 MB ಆಗಿತ್ತು:

$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1
$ ls -lh pubring.gpg
-rw-r--r--  1 filippo  staff    17M  2 Jul 16:30 pubring.gpg

ವಿಷಯಗಳನ್ನು ಇನ್ನಷ್ಟು ಹದಗೆಡಿಸಲು, OpenPGP ಕೀ ಸರ್ವರ್‌ಗಳು ಪ್ರಮಾಣಪತ್ರ ಮಾಹಿತಿಯನ್ನು ತೆಗೆದುಹಾಕುವುದಿಲ್ಲ. ಪ್ರಮಾಣಪತ್ರಗಳೊಂದಿಗೆ ಎಲ್ಲಾ ಕ್ರಿಯೆಗಳ ಸರಪಳಿಯನ್ನು ನೀವು ಪತ್ತೆಹಚ್ಚಲು ಮತ್ತು ಅವುಗಳ ಪರ್ಯಾಯವನ್ನು ತಡೆಯಲು ಇದನ್ನು ಮಾಡಲಾಗುತ್ತದೆ. ಆದ್ದರಿಂದ, ಹಾನಿಗೊಳಗಾದ ಅಂಶಗಳನ್ನು ತೊಡೆದುಹಾಕಲು ಅಸಾಧ್ಯ.

ಮೂಲಭೂತವಾಗಿ, SKS ನೆಟ್ವರ್ಕ್ ದೊಡ್ಡ "ಫೈಲ್ ಸರ್ವರ್" ಆಗಿದ್ದು, ಇದಕ್ಕೆ ಯಾರಾದರೂ ಡೇಟಾವನ್ನು ಬರೆಯಬಹುದು. ಸಮಸ್ಯೆಯನ್ನು ವಿವರಿಸಲು, ಕಳೆದ ವರ್ಷ GitHub ನಿವಾಸಿ ಫೈಲ್ ಸಿಸ್ಟಮ್ ಅನ್ನು ರಚಿಸಲಾಗಿದೆ, ಇದು ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಕೀ ಸರ್ವರ್‌ಗಳ ನೆಟ್‌ವರ್ಕ್‌ನಲ್ಲಿ ದಾಖಲೆಗಳನ್ನು ಸಂಗ್ರಹಿಸುತ್ತದೆ.

ದುರ್ಬಲತೆಯನ್ನು ಏಕೆ ಮುಚ್ಚಿಲ್ಲ?

ದುರ್ಬಲತೆಯನ್ನು ಮುಚ್ಚಲು ಯಾವುದೇ ಕಾರಣವಿಲ್ಲ. ಹಿಂದೆ, ಇದನ್ನು ಹ್ಯಾಕರ್ ದಾಳಿಗೆ ಬಳಸುತ್ತಿರಲಿಲ್ಲ. ಆದರೂ ಐಟಿ ಸಮುದಾಯ ಬಹಳ ಸಮಯ ಕೇಳಿದರು SKS ಮತ್ತು OpenPGP ಡೆವಲಪರ್‌ಗಳು ಸಮಸ್ಯೆಗೆ ಗಮನ ಕೊಡಬೇಕು.

ನ್ಯಾಯೋಚಿತವಾಗಿ, ಜೂನ್ ನಲ್ಲಿ ಅವರು ಇನ್ನೂ ಗಮನಿಸಬೇಕಾದ ಅಂಶವಾಗಿದೆ ಪ್ರಾರಂಭಿಸಲಾಯಿತು ಪ್ರಾಯೋಗಿಕ ಕೀ ಸರ್ವರ್ keys.openpgp.org. ಇದು ಈ ರೀತಿಯ ದಾಳಿಯ ವಿರುದ್ಧ ರಕ್ಷಣೆ ನೀಡುತ್ತದೆ. ಆದಾಗ್ಯೂ, ಅದರ ಡೇಟಾಬೇಸ್ ಮೊದಲಿನಿಂದಲೂ ಜನಸಂಖ್ಯೆಯನ್ನು ಹೊಂದಿದೆ, ಮತ್ತು ಸರ್ವರ್ ಸ್ವತಃ SKS ನ ಭಾಗವಾಗಿಲ್ಲ. ಆದ್ದರಿಂದ, ಅದನ್ನು ಬಳಸುವ ಮೊದಲು ಸಮಯ ತೆಗೆದುಕೊಳ್ಳುತ್ತದೆ.

/ಅನ್‌ಸ್ಪ್ಲಾಶ್/ ರೂಬೆನ್ ಬ್ಯಾಗ್ಯೂಸ್

ಮೂಲ ವ್ಯವಸ್ಥೆಯಲ್ಲಿನ ದೋಷಕ್ಕೆ ಸಂಬಂಧಿಸಿದಂತೆ, ಸಂಕೀರ್ಣ ಸಿಂಕ್ರೊನೈಸೇಶನ್ ಕಾರ್ಯವಿಧಾನವು ಅದನ್ನು ಸರಿಪಡಿಸದಂತೆ ತಡೆಯುತ್ತದೆ. ಕೀ ಸರ್ವರ್ ನೆಟ್‌ವರ್ಕ್ ಅನ್ನು ಮೂಲತಃ ಯಾರನ್ ಮಿನ್ಸ್ಕಿಯ ಪಿಎಚ್‌ಡಿ ಪ್ರಬಂಧಕ್ಕೆ ಪರಿಕಲ್ಪನೆಯ ಪುರಾವೆಯಾಗಿ ಬರೆಯಲಾಗಿದೆ. ಇದಲ್ಲದೆ, ಕೆಲಸಕ್ಕಾಗಿ ಒಂದು ನಿರ್ದಿಷ್ಟ ಭಾಷೆ, OCaml ಅನ್ನು ಆಯ್ಕೆ ಮಾಡಲಾಗಿದೆ. ಮೂಲಕ ಪ್ರಕಾರ ನಿರ್ವಾಹಕ ರಾಬರ್ಟ್ ಹ್ಯಾನ್ಸೆನ್, ಕೋಡ್ ಅರ್ಥಮಾಡಿಕೊಳ್ಳಲು ಕಷ್ಟ, ಆದ್ದರಿಂದ ಸಣ್ಣ ತಿದ್ದುಪಡಿಗಳನ್ನು ಮಾತ್ರ ಮಾಡಲಾಗಿದೆ. SKS ಆರ್ಕಿಟೆಕ್ಚರ್ ಅನ್ನು ಮಾರ್ಪಡಿಸಲು, ಅದನ್ನು ಮೊದಲಿನಿಂದ ಪುನಃ ಬರೆಯಬೇಕಾಗುತ್ತದೆ.

ಯಾವುದೇ ಸಂದರ್ಭದಲ್ಲಿ, ನೆಟ್‌ವರ್ಕ್ ಅನ್ನು ಎಂದಿಗೂ ಸರಿಪಡಿಸಲಾಗುವುದು ಎಂದು GnuPG ನಂಬುವುದಿಲ್ಲ. GitHub ನಲ್ಲಿನ ಪೋಸ್ಟ್‌ನಲ್ಲಿ, ಡೆವಲಪರ್‌ಗಳು SKS ಕೀಸರ್ವರ್‌ನೊಂದಿಗೆ ಕೆಲಸ ಮಾಡಲು ಶಿಫಾರಸು ಮಾಡುವುದಿಲ್ಲ ಎಂದು ಬರೆದಿದ್ದಾರೆ. ವಾಸ್ತವವಾಗಿ, ಅವರು ಹೊಸ ಸೇವೆ keys.openpgp.org ಗೆ ಪರಿವರ್ತನೆಯನ್ನು ಪ್ರಾರಂಭಿಸಲು ಇದು ಮುಖ್ಯ ಕಾರಣಗಳಲ್ಲಿ ಒಂದಾಗಿದೆ. ನಾವು ಘಟನೆಗಳ ಮತ್ತಷ್ಟು ಬೆಳವಣಿಗೆಯನ್ನು ಮಾತ್ರ ವೀಕ್ಷಿಸಬಹುದು.

ನಮ್ಮ ಕಾರ್ಪೊರೇಟ್ ಬ್ಲಾಗ್‌ನಿಂದ ಕೆಲವು ವಸ್ತುಗಳು:

• ರೂಟರ್‌ಗಳ ಮೂಲಕ ಬೋಟ್‌ನೆಟ್ "ಸ್ಪ್ಯಾಮ್‌ಗಳು": ನೀವು ತಿಳಿದುಕೊಳ್ಳಬೇಕಾದದ್ದು
• DDoS ಮತ್ತು 5G: ದಪ್ಪವಾದ "ಪೈಪ್" ಎಂದರೆ ಹೆಚ್ಚಿನ ಸಮಸ್ಯೆಗಳು
• ಫೈರ್ವಾಲ್ ಅಥವಾ ಡಿಪಿಐ - ವಿವಿಧ ಉದ್ದೇಶಗಳಿಗಾಗಿ ರಕ್ಷಣೆ ಉಪಕರಣಗಳು
• ಹಳ್ಳಿಗೆ ಇಂಟರ್ನೆಟ್ - ರೇಡಿಯೋ ರಿಲೇ Wi-Fi ನೆಟ್ವರ್ಕ್ ಅನ್ನು ನಿರ್ಮಿಸುವುದು

ಮೂಲ: www.habr.com