Хакерлер OpenPGP протоколунун он жылдан ашык убакыттан бери белгилүү болгон өзгөчөлүгүн колдонушкан.
Биз сага айтып коёюн, эмне үчүн жана алар аны жаба албайт.
/Usplash/
Тармак көйгөйлөрү
Июнь айынын ортосунда, белгисиз
Хакерлер GnuPG долбоорунун эки тейлөөчүсү Роберт Хансен менен Дэниел Гиллмордун сертификаттарын бузушкан. Серверден бузулган сертификатты жүктөө GnuPG иштебей калышына алып келет — система жөн эле катып калат. Чабуулчулар муну менен эле токтоп калбайт, бузулган сертификаттардын саны көбөйөт деп айтууга негиз бар. Учурда маселенин масштабы белгисиз бойдон калууда.
Чабуулдун маңызы
Хакерлер OpenPGP протоколунун кемчилигин колдонушкан. Ал ондогон жылдар бою коомчулукка белгилүү. GitHubда да
Habré боюнча биздин блогдон бир нече тандоо:
OpenPGP спецификациясына ылайык, ар ким өзүнүн ээсин тастыктоо үчүн сертификаттарга санарип кол тамгасын кошо алат. Анын үстүнө колдун максималдуу саны эч кандай жол менен жөнгө салынган эмес. Жана бул жерде бир көйгөй пайда болот - SKS тармагы бир сертификатка 150 миң кол коюуга мүмкүндүк берет, бирок GnuPG мындай санды колдобойт. Ошентип, сертификатты жүктөөдө GnuPG (ошондой эле башка OpenPGP ишке ашыруулары) катып калат.
Колдонуучулардын бири
$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
$ ls -lh pubring.gpg
-rw-r--r-- 1 filippo staff 17M 2 Jul 16:30 pubring.gpg
Андан да жаманы, OpenPGP ачкыч серверлери сертификат маалыматын алып салбайт. Бул сертификаттар менен бардык аракеттердин чынжырын байкоо жана аларды алмаштырууга жол бербөө үчүн жасалат. Демек, бузулган элементтерди жок кылуу мүмкүн эмес.
Негизи, SKS тармагы чоң "файл сервери" болуп саналат, ага каалаган адам маалымат жаза алат. Көйгөйдү көрсөтүү үчүн, өткөн жылы GitHub резиденти
Эмне үчүн алсыздык жабылган жок?
Алсыздыкты жабууга эч кандай себеп болгон жок. Буга чейин ал хакердик чабуулдар үчүн колдонулган эмес. IT коомчулук болсо да
Адилеттүүлүк үчүн, алар дагы эле июнь айында экенин белгилей кетүү керек
/Usplash/
Түпнуска системадагы мүчүлүштүккө келсек, татаал синхрондоштуруу механизми аны оңдоого тоскоол болот. Негизги сервер тармагы башында Ярон Минскинин кандидаттык диссертациясынын концепциясынын далили катары жазылган. Мындан тышкары, иш үчүн өзгөчө бир тил, OCaml тандалган. By
Кандай болгон күндө да, GnuPG тармак эч качан оңдолот деп ишенбейт. GitHubдагы билдирүүсүндө иштеп чыгуучулар SKS Keyserver менен иштөөнү сунуштабай турганын да жазышкан. Чынында, бул алардын keys.openpgp.org жаңы кызматына өтүүнү демилгелеген негизги себептеринин бири. Биз окуялардын мындан аркы өнүгүшүн гана көрө алабыз.
Биздин корпоративдик блогубуздан бир нече материалдар:
Source: www.habr.com