Hakeri izmantoja OpenPGP protokola iezÄ«mi, kas pazÄ«stama jau vairÄk nekÄ desmit gadus.
MÄs jums pastÄstÄ«sim, kÄda ir jÄga un kÄpÄc viÅi to nevar aizvÄrt.
/Unsplash/
TÄ«kla problÄmas
JÅ«nija vidÅ«, nezinÄms kriptogrÄfisko atslÄgu serveru tÄ«klam , kas veidota uz OpenPGP protokola. Å is ir IETF standarts (), ko izmanto e-pasta un citu ziÅojumu Å”ifrÄÅ”anai. SKS tÄ«kls tika izveidots pirms trÄ«sdesmit gadiem, lai izplatÄ«tu publiskos sertifikÄtus. Tas ietver tÄdus rÄ«kus kÄ datu Å”ifrÄÅ”anai un elektronisko ciparparakstu veidoÅ”anai.
Hakeri kompromitÄja divu GnuPG projektu uzturÄtÄju Roberta Hansena un Daniela Gillmora sertifikÄtus. BojÄta sertifikÄta ielÄde no servera izraisa GnuPG kļūmi ā sistÄma vienkÄrÅ”i sastingst. Ir pamats domÄt, ka uzbrucÄji ar to neapstÄsies, un kompromitÄto sertifikÄtu skaits tikai pieaugs. Å obrÄ«d problÄmas apmÄrs joprojÄm nav zinÄms.
Uzbrukuma būtība
Hakeri izmantoja OpenPGP protokola ievainojamÄ«bu. ViÅa ir pazÄ«stama sabiedrÄ«bai gadu desmitiem. Pat vietnÄ GitHub atbilstoÅ”os varoÅdarbus. Bet lÄ«dz Å”im neviens nav uzÅÄmies atbildÄ«bu par "cauruma" aizvÄrÅ”anu (par iemesliem mÄs runÄsim sÄ«kÄk vÄlÄk).
PÄris izlases no mÅ«su HabrĆ© emuÄra:
SaskaÅÄ ar OpenPGP specifikÄciju ikviens var pievienot sertifikÄtiem ciparparakstus, lai pÄrbaudÄ«tu to Ä«paÅ”nieku. TurklÄt maksimÄlais parakstu skaits nav nekÄdi regulÄts. Un te rodas problÄma ā SKS tÄ«kls ļauj uz viena sertifikÄta ievietot lÄ«dz pat 150 tÅ«kstoÅ”iem parakstu, bet GnuPG Å”Ädu skaitu neatbalsta. TÄdÄjÄdi, ielÄdÄjot sertifikÄtu, GnuPG (kÄ arÄ« citas OpenPGP implementÄcijas) sasalst.
Viens no lietotÄjiem ā sertifikÄta importÄÅ”ana viÅam prasÄ«ja apmÄram 10 minÅ«tes. SertifikÄtÄ bija vairÄk nekÄ 54 tÅ«kstoÅ”i parakstu, un tÄ svars bija 17 MB:
$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
$ ls -lh pubring.gpg
-rw-r--r-- 1 filippo staff 17M 2 Jul 16:30 pubring.gpg
Lai padarÄ«tu situÄciju vÄl ļaunÄku, OpenPGP atslÄgu serveri nenoÅem sertifikÄta informÄciju. Tas tiek darÄ«ts, lai jÅ«s varÄtu izsekot visu darbÄ«bu Ä·Ädei ar sertifikÄtiem un novÄrst to aizstÄÅ”anu. TÄpÄc nav iespÄjams novÄrst bojÄtos elementus.
BÅ«tÄ«bÄ SKS tÄ«kls ir liels "failu serveris", kurÄ ikviens var rakstÄ«t datus. Lai ilustrÄtu problÄmu, pagÄjuÅ”ajÄ gadÄ GitHub rezidents , kas glabÄ dokumentus kriptogrÄfisko atslÄgu serveru tÄ«klÄ.
KÄpÄc ievainojamÄ«ba netika aizvÄrta?
Nebija iemesla slÄgt ievainojamÄ«bu. IepriekÅ” tas netika izmantots hakeru uzbrukumiem. Lai gan IT kopiena SKS un OpenPGP izstrÄdÄtÄjiem vajadzÄtu pievÄrst uzmanÄ«bu problÄmai.
TaisnÄ«bas labad gan jÄatzÄ«mÄ, ka jÅ«nijÄ tÄs joprojÄm eksperimentÄlais atslÄgu serveris . Tas nodroÅ”ina aizsardzÄ«bu pret Å”Äda veida uzbrukumiem. TomÄr tÄ datu bÄze ir aizpildÄ«ta no nulles, un pats serveris neietilpst SKS. TÄpÄc bÅ«s nepiecieÅ”ams laiks, pirms to varÄs izmantot.
/Unsplash/
Kas attiecas uz kļūdu sÄkotnÄjÄ sistÄmÄ, sarežģīts sinhronizÄcijas mehÄnisms neļauj to novÄrst. AtslÄgu serveru tÄ«kls sÄkotnÄji tika uzrakstÄ«ts kÄ Jarona Minska doktora darba koncepcijas pierÄdÄ«jums. TurklÄt darbam tika izvÄlÄta diezgan specifiska valoda OCaml. Autors uzturÄtÄjs Roberts Hansens, kods ir grÅ«ti saprotams, tÄpÄc tajÄ tiek veikti tikai nelieli labojumi. Lai modificÄtu SKS arhitektÅ«ru, tÄ bÅ«s jÄpÄrraksta no nulles.
JebkurÄ gadÄ«jumÄ GnuPG netic, ka tÄ«kls jebkad tiks salabots. ZiÅÄ par GitHub izstrÄdÄtÄji pat rakstÄ«ja, ka viÅi neiesaka strÄdÄt ar SKS Keyserver. Faktiski tas ir viens no galvenajiem iemesliem, kÄpÄc viÅi uzsÄka pÄreju uz jauno pakalpojumu keys.openpgp.org. Varam tikai vÄrot notikumu tÄlÄko attÄ«stÄ«bu.
PÄris materiÄli no mÅ«su korporatÄ«vÄ emuÄra:
Avots: www.habr.com