Hackerne brukte en funksjon i OpenPGP-protokollen som har vært kjent i mer enn ti år.
Vi forteller deg hva poenget er og hvorfor de ikke kan lukke det.
/Unsplash/
Nettverksproblemer
I midten av juni, ukjent
Hackere kompromitterte sertifikatene til to GnuPG-prosjektansvarlige, Robert Hansen og Daniel Gillmor. Lasting av et ødelagt sertifikat fra serveren fører til at GnuPG mislykkes – systemet fryser ganske enkelt. Det er grunn til å tro at angriperne ikke vil stoppe der, og antallet kompromitterte sertifikater vil bare øke. For øyeblikket er omfanget av problemet ukjent.
Essensen av angrepet
Hackere utnyttet en sårbarhet i OpenPGP-protokollen. Hun har vært kjent for samfunnet i flere tiår. Selv på GitHub
Et par utvalg fra bloggen vår på Habré:
I henhold til OpenPGP-spesifikasjonen kan hvem som helst legge til digitale signaturer til sertifikater for å bekrefte eieren. Dessuten er det maksimale antallet signaturer ikke regulert på noen måte. Og her oppstår et problem - SKS-nettverket lar deg plassere opptil 150 tusen signaturer på ett sertifikat, men GnuPG støtter ikke et slikt tall. Når sertifikatet lastes, fryser GnuPG (så vel som andre OpenPGP-implementeringer).
En av brukerne
$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
$ ls -lh pubring.gpg
-rw-r--r-- 1 filippo staff 17M 2 Jul 16:30 pubring.gpg
For å gjøre vondt verre, fjerner ikke OpenPGP-nøkkelservere sertifikatinformasjon. Dette gjøres slik at du kan spore kjeden av alle handlinger med sertifikater og forhindre at de erstattes. Derfor er det umulig å eliminere kompromitterte elementer.
I hovedsak er SKS-nettverket en stor "filserver" som alle kan skrive data til. For å illustrere problemet, i fjor GitHub bosatt
Hvorfor ble ikke sårbarheten lukket?
Det var ingen grunn til å lukke sårbarheten. Tidligere ble den ikke brukt til hackerangrep. Selv om IT-miljøet
For å være rettferdig, er det verdt å merke seg at i juni de fortsatt
/Unsplash/
Når det gjelder feilen i det originale systemet, forhindrer en kompleks synkroniseringsmekanisme at den blir fikset. Nøkkelservernettverket ble opprinnelig skrevet som et proof of concept for Yaron Minskys doktorgradsavhandling. Dessuten ble et ganske spesifikt språk, OCaml, valgt for arbeidet. Av
GnuPG tror uansett ikke at nettverket noen gang vil bli fikset. I et innlegg på GitHub skrev utviklerne til og med at de ikke anbefaler å jobbe med SKS Keyserver. Faktisk er dette en av hovedgrunnene til at de startet overgangen til den nye tjenesten keys.openpgp.org. Vi kan bare se den videre utviklingen av arrangementer.
Et par materialer fra bedriftsbloggen vår:
Kilde: www.habr.com