Post-analysis: naon anu dipikanyaho ngeunaan serangan panganyarna dina jaringan SKS Keyserver tina server konci crypto

Peretas ngagunakeun fitur protokol OpenPGP anu parantos dikenal langkung ti sapuluh taun.

Urang ngabejaan ka maneh naon titik sarta naha maranéhna teu bisa nutup eta.

/Unsplash/ Chunlea Ju

Masalah jaringan

Dina pertengahan Juni, kanyahoan ngalaksanakeun serangan ka jaringan server konci cryptographic SKS Keyserver, diwangun dina protokol OpenPGP. Ieu standar IETF (RFC 4880), anu dianggo pikeun énkripsi email sareng pesen anu sanés. Jaringan SKS dijieun tilu puluh taun ka tukang pikeun ngadistribusikaeun sertipikat publik. Ieu ngawengku parabot kayaning GnuPG pikeun énkripsi data sareng nyiptakeun tanda tangan digital éléktronik.

Peretas kompromi sertipikat dua pangurus proyék GnuPG, Robert Hansen sareng Daniel Gillmor. Ngamuat sertipikat anu rusak tina server nyababkeun GnuPG gagal - sistemna ngan saukur beku. Aya alesan pikeun yakin yén panyerang moal eureun di dinya, sareng jumlah sertipikat anu dikompromi ngan bakal ningkat. Di momen, extent masalah tetep kanyahoan.

Hakekat narajang

Peretas ngamangpaatkeun kerentanan dina protokol OpenPGP. Manehna geus dipikawanoh ku masarakat salila sababaraha dekade. Malah dina GitHub tiasa mendakan garapan pakait. Tapi sajauh teu saurang ogé geus nyokot tanggung jawab pikeun nutup "liang" (urang ngobrol ngeunaan alesan dina leuwih jéntré engké).

Sababaraha pilihan tina blog kami dina Habré:

• SDN digest - genep émulator open source
• Kumaha Ngawangun SDN - Dalapan Alat Open Source
• Intisari jaringan: 17 bahan ahli ngeunaan Wi-Fi sareng 5G

Numutkeun spésifikasi OpenPGP, saha waé tiasa nambihan tanda tangan digital kana sertipikat pikeun pariksa anu gaduhna. Sumawona, jumlah maksimal tanda tangan henteu diatur ku cara naon waé. Sareng di dieu aya masalah - jaringan SKS ngamungkinkeun anjeun pikeun nempatkeun dugi ka 150 rébu tanda tangan dina hiji sertipikat, tapi GnuPG henteu ngadukung nomer sapertos kitu. Janten, nalika ngamuat sertipikat, GnuPG (sareng palaksanaan OpenPGP sanésna) beku.

Salah sahiji pangguna dilakukeun percobaan - importing sertipikat nyandak anjeunna ngeunaan 10 menit. Sertipikat ngagaduhan langkung ti 54 rébu tanda tangan, sareng beuratna 17 MB:

$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1
$ ls -lh pubring.gpg
-rw-r--r--  1 filippo  staff    17M  2 Jul 16:30 pubring.gpg

Anu langkung parah, server konci OpenPGP henteu ngaleungitkeun inpormasi sertipikat. Hal ieu dilakukeun supados anjeun tiasa ngalacak ranté sadaya tindakan kalayan sertipikat sareng nyegah substitusina. Ku alatan éta, teu mungkin pikeun ngaleungitkeun unsur compromised.

Intina, jaringan SKS mangrupikeun "server file" ageung dimana saha waé tiasa nyerat data. Pikeun ngagambarkeun masalah, taun ka tukang GitHub nyicingan dijieun sistem file, nu nyimpen dokumén dina jaringan server konci cryptographic.

Naha kerentananna henteu ditutup?

Teu aya alesan pikeun nutup kerentanan. Saméméhna, éta teu dipaké pikeun serangan hacker. Sanajan masarakat IT ditanya lila SKS sareng pamekar OpenPGP kedah nengetan masalahna.

Janten adil, eta sia noting yén dina Juni maranéhna kénéh dibuka server konci eksperimen keys.openpgp.org. Eta nyadiakeun panyalindungan ngalawan jenis ieu serangan. Sanajan kitu, database na Asezare populata ti scratch, sarta server sorangan teu bagian tina SKS. Ku alatan éta, bakal butuh waktu saméméh bisa dipaké.

/Unsplash/ Rubén Bagées

Sedengkeun pikeun bug dina sistem aslina, mékanisme sinkronisasi kompléks nyegah eta teu dibereskeun. Jaringan server konci asalna ditulis salaku bukti konsép pikeun tesis PhD Yaron Minsky. Leuwih ti éta, basa rada husus, OCaml, dipilih pikeun digawé. Ku nurutkeun maintainer Robert Hansen, kode nu hese ngarti, jadi ngan koreksi minor dijieun pikeun eta. Pikeun ngarobih arsitéktur SKS, éta kedah ditulis deui ti mimiti.

Dina naon waé, GnuPG henteu percanten yén jaringan éta bakal dibenerkeun. Dina postingan di GitHub, pamekar malah nyerat yén aranjeunna henteu nyarankeun damel sareng SKS Keyserver. Sabenerna, ieu salah sahiji alesan utama naha maranéhna ngagagas transisi ka keys.openpgp.org layanan anyar. Urang ngan ukur tiasa ningali perkembangan acara salajengna.

Sababaraha bahan tina blog perusahaan kami:

• Botnet "spam" ngaliwatan routers: naon nu peryogi kauninga
• DDoS sareng 5G: "pipa" anu langkung kandel hartosna langkung seueur masalah
• Firewall atanapi DPI - alat panyalindungan pikeun sagala rupa kaperluan
• Internét ka désa - ngawangun jaringan Wi-Fi relay radio

sumber: www.habr.com