Хакери су користили функцију ОпенПГП протокола која је позната више од десет година.
Рећи ћемо вам у чему је поента и зашто не могу да је затворе.
/Унспласһ/
Проблеми са мрежом
Средином јуна, непознато
Хакери су угрозили сертификате двојице одржавалаца ГнуПГ пројекта, Роберта Хансена и Даниела Гиллмора. Учитавање оштећеног сертификата са сервера узрокује неуспех ГнуПГ-а — систем се једноставно замрзава. Има разлога да се верује да се нападачи неће ту зауставити, а број компромитованих сертификата ће се само повећавати. У овом тренутку, обим проблема остаје непознат.
Суштина напада
Хакери су искористили рањивост ОпенПГП протокола. Она је позната јавности деценијама. Чак и на ГитХуб-у
Неколико избора са нашег блога на Хабре:
Према ОпенПГП спецификацији, свако може да дода дигиталне потписе сертификатима како би потврдио свог власника. Штавише, ни на који начин није регулисан максималан број потписа. И овде настаје проблем - СКС мрежа вам омогућава да поставите до 150 хиљада потписа на један сертификат, али ГнуПГ не подржава такав број. Дакле, приликом учитавања сертификата, ГнуПГ (као и друге ОпенПГП имплементације) се замрзава.
Један од корисника
$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
$ ls -lh pubring.gpg
-rw-r--r-- 1 filippo staff 17M 2 Jul 16:30 pubring.gpg
Да ствар буде још гора, ОпенПГП сервери кључева не уклањају информације о сертификатима. Ово је учињено тако да можете пратити ланац свих акција са сертификатима и спречити њихову замену. Због тога је немогуће елиминисати компромитоване елементе.
У суштини, СКС мрежа је велики „филе сервер“ на који свако може да упише податке. Да илуструје проблем, прошлогодишњи ГитХуб становник
Зашто рањивост није затворена?
Није било разлога да се затвори рањивост. Раније се није користио за хакерске нападе. Иако је ИТ заједница
Да будемо поштени, вреди напоменути да су у јуну још увек
/Унспласһ/
Што се тиче грешке у оригиналном систему, сложен механизам синхронизације спречава њено отклањање. Мрежа кључних сервера је првобитно написана као доказ концепта за докторску тезу Јарона Минскија. Штавише, за рад је изабран прилично специфичан језик, ОЦамл. Од стране
У сваком случају, ГнуПГ не верује да ће мрежа икада бити поправљена. У посту на ГитХуб-у, програмери су чак написали да не препоручују рад са СКС Кеисервер-ом. Заправо, ово је један од главних разлога зашто су покренули прелазак на нови сервис кеис.опенпгп.орг. Можемо само да посматрамо даљи развој догађаја.
Неколико материјала са нашег корпоративног блога:
Извор: ввв.хабр.цом