Пост-анализ: крипто ачкыч серверлеринин SKS Keyserver тармагына акыркы чабуул жөнүндө эмне белгилүү

Хакерлер OpenPGP протоколунун он жылдан ашык убакыттан бери белгилүү болгон өзгөчөлүгүн колдонушкан.

Биз сага айтып коёюн, эмне үчүн жана алар аны жаба албайт.

/Usplash/ Чунлеа Джу

Тармак көйгөйлөрү

Июнь айынын ортосунда, белгисиз чабуул жасаган криптографиялык ачкыч серверлеринин тармагына SKS Keyserver, OpenPGP протоколуна негизделген. Бул IETF стандарты (RFC 4880), электрондук почтаны жана башка билдирүүлөрдү шифрлөө үчүн колдонулат. SKS тармагы коомдук күбөлүктөрдү таратуу үчүн отуз жыл мурун түзүлгөн. сыяктуу куралдарды камтыйт GnuPG маалыматтарды шифрлөө жана электрондук цифралык кол тамгаларды түзүү үчүн.

Хакерлер GnuPG долбоорунун эки тейлөөчүсү Роберт Хансен менен Дэниел Гиллмордун сертификаттарын бузушкан. Серверден бузулган сертификатты жүктөө GnuPG иштебей калышына алып келет — система жөн эле катып калат. Чабуулчулар муну менен эле токтоп калбайт, бузулган сертификаттардын саны көбөйөт деп айтууга негиз бар. Учурда маселенин масштабы белгисиз бойдон калууда.

Чабуулдун маңызы

Хакерлер OpenPGP протоколунун кемчилигин колдонушкан. Ал ондогон жылдар бою коомчулукка белгилүү. GitHubда да табууга болот тиешелүү эксплуатациялар. Бирок азырынча эч ким "тешик" жабуу үчүн жоопкерчилик ала элек (себептери тууралуу кийинчерээк кененирээк сөз кылабыз).

Habré боюнча биздин блогдон бир нече тандоо:

• SDN дайджест - алты ачык булак эмулятору
• SDNди кантип куруу керек - сегиз ачык булак куралы
• Тармак дайджест: Wi-Fi жана 17G жөнүндө 5 эксперттик материалдар

OpenPGP спецификациясына ылайык, ар ким өзүнүн ээсин тастыктоо үчүн сертификаттарга санарип кол тамгасын кошо алат. Анын үстүнө колдун максималдуу саны эч кандай жол менен жөнгө салынган эмес. Жана бул жерде бир көйгөй пайда болот - SKS тармагы бир сертификатка 150 миң кол коюуга мүмкүндүк берет, бирок GnuPG мындай санды колдобойт. Ошентип, сертификатты жүктөөдө GnuPG (ошондой эле башка OpenPGP ишке ашыруулары) катып калат.

Колдонуучулардын бири эксперимент жүргүзгөн — сертификатты алып келүү ага 10 мүнөттөй убакытты алды. Күбөлүктө 54 миңден ашык кол бар жана анын салмагы 17 МБ болгон:

$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1
$ ls -lh pubring.gpg
-rw-r--r--  1 filippo  staff    17M  2 Jul 16:30 pubring.gpg

Андан да жаманы, OpenPGP ачкыч серверлери сертификат маалыматын алып салбайт. Бул сертификаттар менен бардык аракеттердин чынжырын байкоо жана аларды алмаштырууга жол бербөө үчүн жасалат. Демек, бузулган элементтерди жок кылуу мүмкүн эмес.

Негизи, SKS тармагы чоң "файл сервери" болуп саналат, ага каалаган адам маалымат жаза алат. Көйгөйдү көрсөтүү үчүн, өткөн жылы GitHub резиденти файл системасын түздү, криптографиялык ачкыч серверлеринин тармагында документтерди сактайт.

Эмне үчүн алсыздык жабылган жок?

Алсыздыкты жабууга эч кандай себеп болгон жок. Буга чейин ал хакердик чабуулдар үчүн колдонулган эмес. IT коомчулук болсо да көпкө сурады SKS жана OpenPGP иштеп чыгуучулар көйгөйгө көңүл бурушу керек.

Адилеттүүлүк үчүн, алар дагы эле июнь айында экенин белгилей кетүү керек ишке киргизилди эксперименталдык ачкыч сервери keys.openpgp.org. Ал мындай чабуулдардан коргоону камсыз кылат. Бирок, анын маалымат базасы нөлдөн баштап толтурулган жана сервердин өзү SKSтин бир бөлүгү эмес. Ошондуктан, аны колдонууга чейин убакыт талап кылынат.

/Usplash/ Рубен Багуес

Түпнуска системадагы мүчүлүштүккө келсек, татаал синхрондоштуруу механизми аны оңдоого тоскоол болот. Негизги сервер тармагы башында Ярон Минскинин кандидаттык диссертациясынын концепциясынын далили катары жазылган. Мындан тышкары, иш үчүн өзгөчө бир тил, OCaml тандалган. By сөздөр тейлөөчү Роберт Хансен, кодду түшүнүү кыйын, андыктан ага кичине гана оңдоолор киргизилет. SKS архитектурасын өзгөртүү үчүн, аны нөлдөн баштап кайра жазуу керек болот.

Кандай болгон күндө да, GnuPG тармак эч качан оңдолот деп ишенбейт. GitHubдагы билдирүүсүндө иштеп чыгуучулар SKS Keyserver менен иштөөнү сунуштабай турганын да жазышкан. Чынында, бул алардын keys.openpgp.org жаңы кызматына өтүүнү демилгелеген негизги себептеринин бири. Биз окуялардын мындан аркы өнүгүшүн гана көрө алабыз.

Биздин корпоративдик блогубуздан бир нече материалдар:

• Роутерлер аркылуу ботнет "спамдары": эмнени билишиңиз керек
• DDoS жана 5G: калыңыраак "түтүк" көбүрөөк көйгөйлөрдү билдирет
• Firewall же DPI - ар кандай максаттар үчүн коргоо куралдары
• Айылга интернет - радиорелейлик Wi-Fi тармагын куруу

Source: www.habr.com