Post-Analyse: wat ass bekannt iwwer déi lescht Attack am Netz vu Krypto-Schlësselserver SKS Keyserver

D'Hacker hunn eng Feature vum OpenPGP Protokoll benotzt, dee fir méi wéi zéng Joer bekannt ass.

Mir soen Iech wat de Punkt ass a firwat se et net zoumaachen.

/Unsplash/ Chunlea Ju

Netzwierkproblemer

Mëtt Juni onbekannt eng Attack duerchgefouert zu engem Netz vu kryptographesche Schlësselserveren SKS Keyserver, op dem OpenPGP Protokoll gebaut. Dëst ass en IETF Standard (RFC 4880), déi benotzt gëtt fir E-Mail an aner Messagen ze verschlësselen. Den SKS Netz gouf virun drësseg Joer geschaf fir ëffentlech Certificaten ze verdeelen. Et enthält Tools wéi GnuPG fir Dateverschlësselung an elektronesch digital Ënnerschrëften ze kreéieren.

Hacker hunn d'Zertifikater vun zwee GnuPG-Projet-Inhalter kompromittéiert, Robert Hansen an Daniel Gillmor. Lueden e korrupt Zertifika vum Server verursaacht GnuPG ze versoen - de System freet einfach. Et gëtt Grond ze gleewen datt d'Ugräifer net do ophalen, an d'Zuel vun de kompromittéierten Zertifikater wäert nëmmen eropgoen. Am Moment bleift d'Ausmooss vum Problem onbekannt.

D'Essenz vun der Attack

Hacker profitéiere vun enger Schwachstelle am OpenPGP Protokoll. Si ass fir Joerzéngte der Communautéit bekannt. Och op GitHub fanne kann entspriechend Ausnotzen. Awer bis elo huet keen d'Verantwortung fir d'Schließung vum "Lach" geholl (mir schwätzen iwwer d'Grënn méi spéit méi spéit).

E puer Auswiel aus eisem Blog op Habré:

• SDN Digest - sechs Open Source Emulatoren
• Wéi bauen ech SDN - Aacht Open Source Tools
• Network Digest: 17 Expert Material iwwer Wi-Fi a 5G

No der OpenPGP Spezifizéierung kann jidderee digital Ënnerschrëften op Zertifikater derbäisetzen fir hire Besëtzer z'iwwerpréiwen. Ausserdeem ass d'maximal Unzuel vun Ënnerschrëften op keng Manéier geregelt. An hei entsteet e Problem - de SKS Netz erlaabt Iech bis zu 150 Tausend Ënnerschrëften op engem Zertifika ze setzen, awer GnuPG ënnerstëtzt net sou eng Zuel. Also, beim Luede vum Zertifika, freet GnuPG (wéi och aner OpenPGP Implementatiounen).

Ee vun de Benotzer en Experiment gemaach - den Zertifikat importéieren huet him ongeféier 10 Minutten gedauert. De Certificat hat méi wéi 54 dausend Ënnerschrëften, a säi Gewiicht war 17 MB:

$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1
$ ls -lh pubring.gpg
-rw-r--r--  1 filippo  staff    17M  2 Jul 16:30 pubring.gpg

Fir d'Saache méi schlëmm ze maachen, läschen OpenPGP Schlësselserver keng Zertifikainformatioun. Dëst gëtt gemaach fir datt Dir d'Kette vun all Aktiounen mat Zertifikater verfolgt an hir Substitutioun verhënneren. Dofir ass et onméiglech kompromittéiert Elementer ze eliminéieren.

Wesentlech ass de SKS Netz e grousse "Dateiserver" op dee jidderee kann Daten schreiwen. Fir de Problem ze illustréieren, lescht Joer GitHub Awunner en Dateiesystem erstallt, déi Dokumenter op engem Netzwierk vu kryptographesche Schlësselserver späichert.

Firwat war d'Schwachstelle net zou?

Et war kee Grond fir d'Schwachheet zouzemaachen. Virdru gouf et net fir Hackerattacke benotzt. Obwuel d'IT Communautéit laang gefrot SKS an OpenPGP Entwéckler sollen op de Problem oppassen.

Fir fair ze sinn, ass et derwäert ze notéieren datt se am Juni nach ëmmer sinn lancéiert experimentell Schlëssel Server keys.openpgp.org. Et bitt Schutz géint dës Aarte vun Attacken. Wéi och ëmmer, seng Datebank ass vun Null populéiert, an de Server selwer ass net Deel vun SKS. Dofir wäert et Zäit daueren ier et benotzt ka ginn.

/Unsplash/ Rubén Bagües

Wat de Käfer am urspréngleche System ugeet, verhënnert e komplexe Synchroniséierungsmechanismus datt et fixéiert gëtt. De Schlësselservernetz gouf ursprénglech als Beweis vum Konzept fir dem Yaron Minsky seng PhD Dissertatioun geschriwwen. Ausserdeem gouf eng zimlech spezifesch Sprooch, OCaml, fir d'Aarbecht gewielt. Vun geméiss Ënnerhalter Robert Hansen, de Code ass schwéier ze verstoen, sou datt nëmme kleng Korrekturen drop gemaach ginn. Fir d'SKS Architektur z'änneren, muss se vun Null nei geschriwwe ginn.

Op alle Fall gleeft GnuPG net datt d'Netzwierk jeemools fixéiert gëtt. An engem Post op GitHub hunn d'Entwéckler souguer geschriwwen datt se net recommandéieren mat SKS Keyserver ze schaffen. Eigentlech ass dëst ee vun den Haaptgrënn firwat se den Iwwergang op den neie Service keys.openpgp.org initiéiert hunn. Mir kënnen nëmmen d'Weiderentwécklung vun Eventer kucken.

E puer Materialien aus eisem Firmeblog:

• Botnet "Spams" duerch Router: wat Dir musst wëssen
• DDoS an 5G: méi décker "Päif" bedeit méi Probleemer
• Firewall oder DPI - Schutzinstrumenter fir verschidden Zwecker
• Internet an d'Duerf - bauen e Radio Relais Wi-Fi Reseau

Source: will.com