హ్యాకర్లు పది సంవత్సరాలకు పైగా తెలిసిన OpenPGP ప్రోటోకాల్ యొక్క లక్షణాన్ని ఉపయోగించారు.
పాయింట్ ఏమిటి మరియు వారు దానిని ఎందుకు మూసివేయలేరని మేము మీకు చెప్తాము.
/అన్స్ప్లాష్/
నెట్వర్క్ సమస్యలు
జూన్ మధ్యలో, తెలియదు క్రిప్టోగ్రాఫిక్ కీ సర్వర్ల నెట్వర్క్కు , OpenPGP ప్రోటోకాల్పై నిర్మించబడింది. ఇది IETF ప్రమాణం (), ఇది ఇమెయిల్ మరియు ఇతర సందేశాలను గుప్తీకరించడానికి ఉపయోగించబడుతుంది. పబ్లిక్ సర్టిఫికేట్లను పంపిణీ చేయడానికి ముప్పై సంవత్సరాల క్రితం SKS నెట్వర్క్ సృష్టించబడింది. వంటి సాధనాలు ఇందులో ఉన్నాయి డేటాను గుప్తీకరించడం మరియు ఎలక్ట్రానిక్ డిజిటల్ సంతకాలను సృష్టించడం కోసం.
రాబర్ట్ హాన్సెన్ మరియు డేనియల్ గిల్మోర్ అనే ఇద్దరు GnuPG ప్రాజెక్ట్ మెయింటెయినర్ల సర్టిఫికేట్లను హ్యాకర్లు రాజీ చేశారు. సర్వర్ నుండి పాడైన ప్రమాణపత్రాన్ని లోడ్ చేయడం వలన GnuPG విఫలమవుతుంది-సిస్టమ్ స్తంభింపజేస్తుంది. దాడి చేసేవారు అక్కడితో ఆగరు, రాజీపడిన సర్టిఫికెట్ల సంఖ్య పెరుగుతుందని నమ్మడానికి కారణం ఉంది. ప్రస్తుతానికి, సమస్య ఏ స్థాయిలో ఉందో తెలియదు.
దాడి యొక్క సారాంశం
OpenPGP ప్రోటోకాల్లోని హానిని హ్యాకర్లు ఉపయోగించుకున్నారు. దశాబ్దాలుగా ఆమె సమాజానికి సుపరిచితురాలు. GitHubలో కూడా సంబంధిత దోపిడీలు. కానీ ఇప్పటివరకు ఎవరూ "రంధ్రం" మూసివేయడానికి బాధ్యత తీసుకోలేదు (మేము కారణాల గురించి తరువాత మరింత వివరంగా మాట్లాడుతాము).
హబ్రేలో మా బ్లాగ్ నుండి కొన్ని ఎంపికలు:
OpenPGP స్పెసిఫికేషన్ ప్రకారం, ఎవరైనా తమ యజమానిని ధృవీకరించడానికి సర్టిఫికేట్లకు డిజిటల్ సంతకాలను జోడించవచ్చు. అంతేకాకుండా, గరిష్ట సంఖ్యలో సంతకాలు ఏ విధంగానూ నియంత్రించబడవు. మరియు ఇక్కడ ఒక సమస్య తలెత్తుతుంది - SKS నెట్వర్క్ ఒక సర్టిఫికేట్లో 150 వేల సంతకాలను ఉంచడానికి మిమ్మల్ని అనుమతిస్తుంది, అయితే GnuPG అటువంటి సంఖ్యకు మద్దతు ఇవ్వదు. ఈ విధంగా, సర్టిఫికేట్ను లోడ్ చేస్తున్నప్పుడు, GnuPG (అలాగే ఇతర OpenPGP అమలులు) స్తంభింపజేస్తాయి.
వినియోగదారులలో ఒకరు - సర్టిఫికేట్ను దిగుమతి చేసుకోవడానికి అతనికి 10 నిమిషాలు పట్టింది. సర్టిఫికేట్ 54 వేల కంటే ఎక్కువ సంతకాలను కలిగి ఉంది మరియు దాని బరువు 17 MB:
$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
$ ls -lh pubring.gpg
-rw-r--r-- 1 filippo staff 17M 2 Jul 16:30 pubring.gpg
విషయాలను మరింత దిగజార్చడానికి, OpenPGP కీ సర్వర్లు సర్టిఫికేట్ సమాచారాన్ని తీసివేయవు. మీరు సర్టిఫికేట్లతో అన్ని చర్యల గొలుసును కనుగొనడం మరియు వాటి ప్రత్యామ్నాయాన్ని నిరోధించడం కోసం ఇది జరుగుతుంది. అందువల్ల, రాజీపడే అంశాలను తొలగించడం అసాధ్యం.
ముఖ్యంగా, SKS నెట్వర్క్ అనేది పెద్ద “ఫైల్ సర్వర్”, దీనికి ఎవరైనా డేటాను వ్రాయగలరు. సమస్యను వివరించడానికి, గత సంవత్సరం GitHub నివాసి , ఇది క్రిప్టోగ్రాఫిక్ కీ సర్వర్ల నెట్వర్క్లో పత్రాలను నిల్వ చేస్తుంది.
దుర్బలత్వం ఎందుకు మూసివేయబడలేదు?
దుర్బలత్వాన్ని మూసివేయడానికి ఎటువంటి కారణం లేదు. గతంలో, ఇది హ్యాకర్ దాడులకు ఉపయోగించబడలేదు. ఐటి సంఘం అయినప్పటికీ SKS మరియు OpenPGP డెవలపర్లు సమస్యపై శ్రద్ధ వహించాలి.
నిజం చెప్పాలంటే, జూన్లో అవి ఇప్పటికీ ఉన్నాయని గమనించాలి ప్రయోగాత్మక కీ సర్వర్ . ఇది ఈ రకమైన దాడుల నుండి రక్షణను అందిస్తుంది. అయినప్పటికీ, దాని డేటాబేస్ మొదటి నుండి జనాభాతో ఉంది మరియు సర్వర్ కూడా SKSలో భాగం కాదు. అందువల్ల, దానిని ఉపయోగించడానికి ముందు సమయం పడుతుంది.
/అన్స్ప్లాష్/
అసలు సిస్టమ్లోని బగ్ విషయానికొస్తే, సంక్లిష్టమైన సమకాలీకరణ విధానం దాన్ని పరిష్కరించకుండా నిరోధిస్తుంది. కీ సర్వర్ నెట్వర్క్ వాస్తవానికి యారోన్ మిన్స్కీ యొక్క PhD థీసిస్ కోసం భావన యొక్క రుజువుగా వ్రాయబడింది. అంతేకాకుండా, పని కోసం ఒక నిర్దిష్ట భాష, OCaml ఎంపిక చేయబడింది. ద్వారా మెయింటెయినర్ రాబర్ట్ హాన్సెన్, కోడ్ అర్థం చేసుకోవడం కష్టం, కాబట్టి దానికి చిన్న చిన్న దిద్దుబాట్లు మాత్రమే చేయబడ్డాయి. SKS నిర్మాణాన్ని సవరించడానికి, అది మొదటి నుండి తిరిగి వ్రాయవలసి ఉంటుంది.
ఏదైనా సందర్భంలో, GnuPG నెట్వర్క్ ఎప్పటికీ పరిష్కరించబడుతుందని నమ్మదు. GitHubలోని ఒక పోస్ట్లో, డెవలపర్లు SKS కీసర్వర్తో పని చేయాలని సిఫార్సు చేయలేదని కూడా రాశారు. వాస్తవానికి, వారు కొత్త సర్వీస్ keys.openpgp.orgకి మారడానికి ఇది ఒక ప్రధాన కారణం. మేము సంఘటనల తదుపరి అభివృద్ధిని మాత్రమే చూడవచ్చు.
మా కార్పొరేట్ బ్లాగ్ నుండి కొన్ని మెటీరియల్స్:
మూలం: www.habr.com