Os hackers usaram um recurso do protocolo OpenPGP conhecido há mais de dez anos.
Nós dizemos qual é o objetivo e por que eles não conseguem fechá-lo.
/Remover/
Problemas de rede
Em meados de junho, desconhecido
Os hackers comprometeram os certificados de dois mantenedores do projeto GnuPG, Robert Hansen e Daniel Gillmor. Carregar um certificado corrompido do servidor causa falha no GnuPG – o sistema simplesmente congela. Há razões para acreditar que os invasores não irão parar por aí e que o número de certificados comprometidos só aumentará. No momento, a extensão do problema permanece desconhecida.
A essência do ataque
Os hackers aproveitaram uma vulnerabilidade no protocolo OpenPGP. Ela é conhecida da comunidade há décadas. Mesmo no GitHub
Algumas seleções do nosso blog no Habré:
De acordo com a especificação OpenPGP, qualquer pessoa pode adicionar assinaturas digitais aos certificados para verificar o seu proprietário. Além disso, o número máximo de assinaturas não é regulamentado de forma alguma. E aqui surge um problema - a rede SKS permite colocar até 150 mil assinaturas em um certificado, mas o GnuPG não suporta esse número. Assim, ao carregar o certificado, o GnuPG (assim como outras implementações do OpenPGP) congela.
Um dos usuários
$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
$ ls -lh pubring.gpg
-rw-r--r-- 1 filippo staff 17M 2 Jul 16:30 pubring.gpg
Para piorar a situação, os servidores de chaves OpenPGP não removem informações de certificados. Isso é feito para que você possa rastrear a cadeia de todas as ações com certificados e evitar sua substituição. Portanto, é impossível eliminar os elementos comprometidos.
Essencialmente, a rede SKS é um grande “servidor de arquivos” no qual qualquer pessoa pode gravar dados. Para ilustrar o problema, residente do GitHub no ano passado
Por que a vulnerabilidade não foi fechada?
Não havia razão para fechar a vulnerabilidade. Anteriormente, não era usado para ataques de hackers. Embora a comunidade de TI
Para ser justo, vale a pena notar que em Junho ainda
/Remover/
Quanto ao bug do sistema original, um mecanismo complexo de sincronização impede que ele seja corrigido. A rede de servidores chave foi originalmente escrita como uma prova de conceito para a tese de doutorado de Yaron Minsky. Além disso, uma linguagem bastante específica, OCaml, foi escolhida para o trabalho. Por
De qualquer forma, o GnuPG não acredita que a rede algum dia será consertada. Em uma postagem no GitHub, os desenvolvedores até escreveram que não recomendam trabalhar com o SKS Keyserver. Na verdade, esta é uma das principais razões pelas quais iniciaram a transição para o novo serviço keys.openpgp.org. Só podemos observar o desenvolvimento dos eventos.
Alguns materiais do nosso blog corporativo:
Fonte: habr.com