Taorian'ny famakafakana: inona no fantatra momba ny fanafihana farany amin'ny tambajotra SKS Keyserver an'ny mpizara crypto key

Nampiasa endri-javatra iray amin'ny protocol OpenPGP izay fantatra nandritra ny folo taona mahery ireo hackers.

Lazainay aminao ny zava-misy ary nahoana izy ireo no tsy afaka manidy izany.

/Unsplash/ Chunlea Ju

Olan'ny tambajotra

Tamin'ny tapaky ny volana Jona, tsy fantatra nanao fanafihana mankany amin'ny tambajotran'ny lohamilina kriptografika SKS Keyserver, namboarina tamin'ny protocol OpenPGP. Ity dia fenitra IETF (RFC 4880), izay ampiasaina hanodinana mailaka sy hafatra hafa. Ny tambajotra SKS dia noforonina telopolo taona lasa izay mba hizarana ny mari-pankasitrahana ho an'ny daholobe. Anisan'izany ny fitaovana toy ny GnuPG ho an'ny fanafenana angon-drakitra sy famoronana sonia nomerika elektronika.

Ny mpijirika dia nandefitra ny mari-pankasitrahana an'ny mpikarakara tetikasa GnuPG roa, Robert Hansen sy Daniel Gillmor. Ny fandefasana taratasy fanamarinana simba avy amin'ny mpizara dia mahatonga ny GnuPG tsy hahomby — mivaingana tsotra izao ny rafitra. Misy antony inoana fa tsy hijanona hatreo ireo mpanafika, ary hitombo ny isan'ny mari-pankasitrahana. Amin'izao fotoana izao, mbola tsy fantatra ny halehiben'ny olana.

Ny fototry ny fanafihana

Nanararaotra ny vulnerable tao amin'ny protocol OpenPGP ny hackers. Efa am-polony taona maro izy no fantatry ny fiarahamonina. Na dia ao amin'ny GitHub aza afaka mahita fanararaotana mifanaraka amin'izany. Saingy hatramin'izao dia tsy mbola nisy nandray andraikitra tamin'ny fanakatonana ny "lavaka" (hiresaka momba ny antony amin'ny antsipiriany bebe kokoa isika any aoriana).

Safidy roa avy amin'ny bilaogy momba ny Habré:

• SDN digest - emulators open source enina
• Ahoana ny fomba hananganana SDN - Fitaovana loharano misokatra valo
• Digest Network: fitaovana manampahaizana 17 momba ny Wi-Fi sy 5G

Araka ny fanoritsoritana OpenPGP, na iza na iza dia afaka manampy sonia nomerika amin'ny fanamarinana hanamarinana ny tompony. Ankoatr'izay, ny isan'ny sonia ambony indrindra dia tsy voafehin'ny fomba rehetra. Ary eto dia misy olana - ny tambajotra SKS dia ahafahanao mametraka sonia hatramin'ny 150 arivo amin'ny taratasy fanamarinana iray, fa ny GnuPG dia tsy manohana ny isa toy izany. Noho izany, rehefa mameno ny taratasy fanamarinana dia mivaingana ny GnuPG (ary koa ny fampiharana OpenPGP hafa).

Iray amin'ireo mpampiasa nanao andrana - ny fanafarana ny taratasy fanamarinana dia naharitra 10 minitra teo ho eo. Ny taratasy fanamarinana dia nanana sonia mihoatra ny 54 arivo, ary ny lanjany dia 17 MB:

$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1
$ ls -lh pubring.gpg
-rw-r--r--  1 filippo  staff    17M  2 Jul 16:30 pubring.gpg

Ny tena ratsy kokoa, ny lohamilina OpenPGP dia tsy manala ny mombamomba ny taratasy fanamarinana. Izany dia atao mba hahafahanao manara-maso ny rojo ny hetsika rehetra miaraka amin'ny fanamarinana ary hisorohana ny fanoloana azy ireo. Noho izany, tsy azo atao ny manafoana ireo singa mampandefitra.

Amin'ny ankapobeny, ny tambajotra SKS dia "server" lehibe iray ahafahan'ny olona manoratra angona. Mba hanehoana ny olana, tamin'ny taon-dasa dia mponina GitHub namorona rafitra fichier, izay mitahiry antontan-taratasy ao amin'ny tambajotran'ny lohamilina kriptografika.

Nahoana no tsy nakatona ny vulnerability?

Tsy nisy antony hanakatona ny vulnerability. Teo aloha dia tsy nampiasaina tamin'ny fanafihana hacker izy io. Na dia eo aza ny fiaraha-monina IT nanontany nandritra ny fotoana ela Ny mpamorona SKS sy OpenPGP dia tokony handinika ny olana.

Raha ny marina, tsara ny manamarika fa tamin'ny volana Jona izy ireo nanomboka mpizara fanalahidy andrana keys.openpgp.org. Manome fiarovana amin'ireo karazana fanafihana ireo. Na izany aza, ny angon-drakitra dia be mponina hatrany am-boalohany, ary ny mpizara mihitsy dia tsy anisan'ny SKS. Noho izany dia mila fotoana vao azo ampiasaina.

/Unsplash/ Rubén Bagües

Raha ny momba ny bug ao amin'ny rafitra tany am-boalohany, ny mekanika synchronization sarotra dia manakana azy tsy ho raikitra. Ny tambajotra mpizara fototra dia nosoratana tany am-boalohany ho porofon'ny hevitra ho an'ny tesis PhD an'i Yaron Minsky. Fanampin'izany, fiteny iray voafaritra tsara, OCaml, no nofidina ho an'ny asa. ny araka Robert Hansen, ny kaody dia sarotra takarina, ka fanitsiana kely ihany no atao amin'izany. Mba hanovana ny maritrano SKS dia tsy maintsy averina soratana hatrany am-boalohany.

Na izany na tsy izany, tsy mino ny GnuPG fa ho raikitra ny tambajotra. Tao amin'ny lahatsoratra iray tao amin'ny GitHub, nanoratra mihitsy aza ireo mpamorona fa tsy manoro hevitra ny hiasa amin'ny SKS Keyserver izy ireo. Raha ny marina, io no iray amin'ireo antony lehibe nanombohan'izy ireo ny fifindrana mankany amin'ny serivisy vaovao keys.openpgp.org. Tsy afaka mijery afa-tsy ny fivoaran'ny hetsika isika.

Fitaovana roa avy amin'ny bilaogin'ny orinasanay:

• Botnet "spam" amin'ny alàlan'ny router: inona no tokony ho fantatrao
• DDoS sy 5G: "sodina" matevina dia midika olana bebe kokoa
• Firewall na DPI - fitaovana fiarovana ho an'ny tanjona isan-karazany
• Aterineto mankany an-tanàna - fananganana tambajotra Wi-Fi fampitana radio

Source: www.habr.com