Hakeri izmantoja OpenPGP protokola iezÄ«mi, kas pazÄ«stama jau vairÄk nekÄ desmit gadus.
MÄs jums pastÄstÄ«sim, kÄda ir jÄga un kÄpÄc viÅi to nevar aizvÄrt.
/Unsplash/
TÄ«kla problÄmas
JÅ«nija vidÅ«, nezinÄms
Hakeri kompromitÄja divu GnuPG projektu uzturÄtÄju Roberta Hansena un Daniela Gillmora sertifikÄtus. BojÄta sertifikÄta ielÄde no servera izraisa GnuPG kļūmi ā sistÄma vienkÄrÅ”i sastingst. Ir pamats domÄt, ka uzbrucÄji ar to neapstÄsies, un kompromitÄto sertifikÄtu skaits tikai pieaugs. Å obrÄ«d problÄmas apmÄrs joprojÄm nav zinÄms.
Uzbrukuma būtība
Hakeri izmantoja OpenPGP protokola ievainojamÄ«bu. ViÅa ir pazÄ«stama sabiedrÄ«bai gadu desmitiem. Pat vietnÄ GitHub
PÄris izlases no mÅ«su HabrĆ© emuÄra:
SaskaÅÄ ar OpenPGP specifikÄciju ikviens var pievienot sertifikÄtiem ciparparakstus, lai pÄrbaudÄ«tu to Ä«paÅ”nieku. TurklÄt maksimÄlais parakstu skaits nav nekÄdi regulÄts. Un te rodas problÄma ā SKS tÄ«kls ļauj uz viena sertifikÄta ievietot lÄ«dz pat 150 tÅ«kstoÅ”iem parakstu, bet GnuPG Å”Ädu skaitu neatbalsta. TÄdÄjÄdi, ielÄdÄjot sertifikÄtu, GnuPG (kÄ arÄ« citas OpenPGP implementÄcijas) sasalst.
Viens no lietotÄjiem
$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
$ ls -lh pubring.gpg
-rw-r--r-- 1 filippo staff 17M 2 Jul 16:30 pubring.gpg
Lai padarÄ«tu situÄciju vÄl ļaunÄku, OpenPGP atslÄgu serveri nenoÅem sertifikÄta informÄciju. Tas tiek darÄ«ts, lai jÅ«s varÄtu izsekot visu darbÄ«bu Ä·Ädei ar sertifikÄtiem un novÄrst to aizstÄÅ”anu. TÄpÄc nav iespÄjams novÄrst bojÄtos elementus.
BÅ«tÄ«bÄ SKS tÄ«kls ir liels "failu serveris", kurÄ ikviens var rakstÄ«t datus. Lai ilustrÄtu problÄmu, pagÄjuÅ”ajÄ gadÄ GitHub rezidents
KÄpÄc ievainojamÄ«ba netika aizvÄrta?
Nebija iemesla slÄgt ievainojamÄ«bu. IepriekÅ” tas netika izmantots hakeru uzbrukumiem. Lai gan IT kopiena
TaisnÄ«bas labad gan jÄatzÄ«mÄ, ka jÅ«nijÄ tÄs joprojÄm
/Unsplash/
Kas attiecas uz kļūdu sÄkotnÄjÄ sistÄmÄ, sarežģīts sinhronizÄcijas mehÄnisms neļauj to novÄrst. AtslÄgu serveru tÄ«kls sÄkotnÄji tika uzrakstÄ«ts kÄ Jarona Minska doktora darba koncepcijas pierÄdÄ«jums. TurklÄt darbam tika izvÄlÄta diezgan specifiska valoda OCaml. Autors
JebkurÄ gadÄ«jumÄ GnuPG netic, ka tÄ«kls jebkad tiks salabots. ZiÅÄ par GitHub izstrÄdÄtÄji pat rakstÄ«ja, ka viÅi neiesaka strÄdÄt ar SKS Keyserver. Faktiski tas ir viens no galvenajiem iemesliem, kÄpÄc viÅi uzsÄka pÄreju uz jauno pakalpojumu keys.openpgp.org. Varam tikai vÄrot notikumu tÄlÄko attÄ«stÄ«bu.
PÄris materiÄli no mÅ«su korporatÄ«vÄ emuÄra:
Avots: www.habr.com