Шинжилгээний дараах: крипто түлхүүр серверүүдийн SKS Keyserver сүлжээнд хийсэн хамгийн сүүлийн халдлагын талаар юу мэддэг вэ

Хакерууд арав гаруй жилийн турш мэдэгдэж байсан OpenPGP протоколын онцлогийг ашигласан.

Энэ нь юу болохыг, яагаад үүнийг хааж чадахгүй байгааг бид танд хэлэх болно.

/Usplash/ Чунлеа Жу

Сүлжээний асуудлууд

Зургадугаар сарын дундуур, тодорхойгүй халдлага үйлдсэн криптограф түлхүүр серверүүдийн сүлжээнд SKS түлхүүр сервер, OpenPGP протокол дээр бүтээгдсэн. Энэ бол IETF стандарт (RFC 4880), имэйл болон бусад мессежийг шифрлэхэд ашигладаг. SKS сүлжээ нь гучин жилийн өмнө нийтийн гэрчилгээг түгээх зорилгоор байгуулагдсан. зэрэг хэрэгслүүд багтана GnuPG өгөгдлийг шифрлэх, цахим тоон гарын үсэг үүсгэх зориулалттай.

Хакерууд GnuPG төслийн хоёр ажилтан Роберт Хансен, Даниел Гиллмор нарын гэрчилгээг эвдсэн. Серверээс эвдэрсэн гэрчилгээг ачаалснаар GnuPG амжилтгүй болох ба систем зүгээр л хөлддөг. Халдагчид үүгээр зогсохгүй, эвдэрсэн гэрчилгээний тоо улам л нэмэгдэнэ гэж үзэх үндэслэл бий. Одоогоор асуудлын цар хүрээ тодорхойгүй байна.

Довтолгооны мөн чанар

Хакерууд OpenPGP протоколын сул талыг ашигласан. Тэрээр олон арван жилийн турш олон нийтэд танигдсан. GitHub дээр ч гэсэн олж чадна холбогдох мөлжлөгүүд. Гэхдээ өнөөг хүртэл хэн ч "нүх"-ийг хаах хариуцлага хүлээгээгүй байна (шалтгаануудын талаар бид дараа нь илүү дэлгэрэнгүй ярих болно).

Хабре дээрх манай блогоос хэд хэдэн сонголт:

• SDN digest - зургаан нээлттэй эхийн эмулятор
• SDN-ийг хэрхэн бүтээх вэ - Нээлттэй эхийн найман хэрэгсэл
• Сүлжээний тойм: Wi-Fi болон 17G-ийн талаархи 5 шинжээчийн материал

OpenPGP-ийн тодорхойлолтын дагуу хэн ч эзэмшигчээ баталгаажуулахын тулд гэрчилгээнд тоон гарын үсэг нэмж болно. Тэгээд ч гарын үсгийн дээд хэмжээг ямар ч байдлаар зохицуулаагүй. Энд асуудал гарч ирдэг - SKS сүлжээ нь нэг гэрчилгээнд 150 мянга хүртэлх гарын үсэг байрлуулах боломжийг олгодог боловч GnuPG ийм тоог дэмждэггүй. Тиймээс гэрчилгээг ачаалах үед GnuPG (мөн бусад OpenPGP програмууд) хөлддөг.

Хэрэглэгчдийн нэг туршилт хийсэн - гэрчилгээг импортлоход 10 минут зарцуулсан. Сертификат нь 54 мянга гаруй гарын үсэгтэй, жин нь 17 МБ байв.

$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1
$ ls -lh pubring.gpg
-rw-r--r--  1 filippo  staff    17M  2 Jul 16:30 pubring.gpg

Бүр дордуулахын тулд OpenPGP түлхүүр серверүүд гэрчилгээний мэдээллийг устгадаггүй. Энэ нь бүх үйлдлийн гинжин хэлхээг гэрчилгээгээр хянаж, тэдгээрийг орлуулахаас урьдчилан сэргийлэхийн тулд хийгддэг. Тиймээс эвдэрсэн элементүүдийг арилгах боломжгүй юм.

Үндсэндээ SKS сүлжээ нь хэн ч мэдээлэл бичих боломжтой том "файлын сервер" юм. Асуудлыг харуулахын тулд өнгөрсөн жил GitHub-ийн оршин суугч файлын системийг бий болгосон, энэ нь криптограф түлхүүр серверүүдийн сүлжээнд бичиг баримтыг хадгалдаг.

Яагаад эмзэг байдлыг хаагаагүй юм бэ?

Эмзэг байдлыг хаах ямар ч шалтгаан байгаагүй. Өмнө нь үүнийг хакерын халдлагад ашигладаггүй байсан. Хэдийгээр мэдээллийн технологийн нийгэмлэг гэж удаан асуув SKS болон OpenPGP хөгжүүлэгчид асуудалд анхаарлаа хандуулах хэрэгтэй.

Шударга байхын тулд зургадугаар сард тэд хэвээр байгааг тэмдэглэх нь зүйтэй эхлүүлсэн туршилтын түлхүүр сервер keys.openpgp.org. Энэ нь эдгээр төрлийн халдлагаас хамгаалах боломжийг олгодог. Гэсэн хэдий ч түүний мэдээллийн баазыг эхнээс нь дүүргэсэн бөгөөд сервер нь өөрөө SKS-ийн нэг хэсэг биш юм. Тиймээс үүнийг ашиглах хүртэл цаг хугацаа шаардагдана.

/Usplash/ Рубен Багуес

Анхны систем дэх алдааны хувьд синхрончлолын нарийн төвөгтэй механизм нь үүнийг засахаас сэргийлдэг. Түлхүүр серверийн сүлжээг анх Ярон Минскийн докторын диссертацид зориулж үзэл баримтлалын нотолгоо болгон бичсэн. Түүгээр ч зогсохгүй уг ажилд OCaml хэмээх нэлээд тодорхой хэлийг сонгосон. By дагуу засварлагч Роберт Хансен, кодыг ойлгоход хэцүү тул зөвхөн бага зэргийн засвар хийсэн. SKS архитектурыг өөрчлөхийн тулд үүнийг эхнээс нь дахин бичих шаардлагатай болно.

Ямар ч байсан GnuPG сүлжээ хэзээ ч засагдана гэдэгт итгэхгүй байна. GitHub дээрх нийтлэлд хөгжүүлэгчид SKS Keyserver-тэй ажиллахыг зөвлөдөггүй гэж бичжээ. Үнэн хэрэгтээ энэ нь шинэ үйлчилгээний keys.openpgp.org руу шилжих болсон гол шалтгаануудын нэг юм. Бид зөвхөн үйл явдлын цаашдын хөгжлийг харж чадна.

Манай байгууллагын блогоос хэд хэдэн материал:

• Чиглүүлэгчээр дамжуулан ботнет "спам": таны мэдэх ёстой зүйл
• DDoS болон 5G: зузаан "хоолой" нь илүү олон асуудалтай байдаг
• Галт хана эсвэл DPI - янз бүрийн зорилгоор хамгаалах хэрэгсэл
• Тосгон руу интернет - радио релений Wi-Fi сүлжээг бий болгох

Эх сурвалж: www.habr.com