Таҳлили пас аз он: чӣ дар бораи ҳамлаи охирин ба шабакаи SKS Keyserver серверҳои калиди крипто маълум аст

Ҳакерҳо аз як хусусияти протоколи OpenPGP истифода карданд, ки дар тӯли зиёда аз даҳ сол маълум аст.

Мо мефаҳмонем, ки мушкилот чист ва чаро онро пӯшидан мумкин нест.

Таҳлили пас аз он: чӣ дар бораи ҳамлаи охирин ба шабакаи SKS Keyserver серверҳои калиди крипто маълум аст
/Unsplash/ Чунлеа Ҷу

Мушкилоти шабака

Дар миёнаи мохи июнь шахсони номаълум ҳамла анҷом дод ба шабакаи серверҳои калидҳои криптографӣ Сервери калидӣ SKS, дар протоколи OpenPGP сохта шудааст. Ин стандарти IETF (RFC 4880), ки барои рамзгузории почтаи электронӣ ва иртиботҳои дигар истифода мешавад. Шабакаи SKS сӣ сол пеш барои паҳн кардани шаҳодатномаҳои ҷамъиятӣ таъсис дода шудааст. Воситахо ба монанди gnuPG барои рамзгузории маълумот ва эҷоди имзоҳои рақамии электронӣ.

Ҳакерҳо шаҳодатномаҳои ду масъули лоиҳаи GnuPG - Роберт Ҳансен ва Даниэл Гиллморро вайрон карданд. Бор кардани сертификати вайроншуда аз сервер боиси суқути GnuPG мегардад ва боиси ях шудани система мегардад. Сабабе вуҷуд дорад, ки ҳамлагарон ҳамлаҳои худро идома медиҳанд ва шумораи шаҳодатномаҳои вайроншуда танҳо афзоиш хоҳад ёфт. Ҳаҷми мушкилот дар ҳоли ҳозир маълум нест.

Моҳияти ҳамла

Ҳакерҳо аз осебпазирии протоколи OpenPGP истифода карданд. Он ба ҷомеа дар тӯли даҳсолаҳо маълум аст, ҳатто дар GitHub. метавон ёфт истисморҳои мувофиқ. Аммо то ҳол касе масъулияти бастани сӯрохиро бар ӯҳда нагирифтааст (сабабҳоро баъдтар муфассалтар баррасӣ хоҳем кард).

Якчанд интихобҳо аз блоги мо дар Ҳабр:

Тибқи мушаххасоти OpenPGP, ҳар кас метавонад ба сертификатҳо имзои рақамиро илова кунад, то моликияти онҳоро тасдиқ кунад. Гузашта аз ин, шумораи ниҳоии имзоҳо танзим карда нашудааст. Ин мушкилот ба миён меорад: шабакаи SKS барои ҳар як сертификат то 150 000 имзо иҷозат медиҳад, аммо GnuPG ин рақамро дастгирӣ намекунад. Аз ин рӯ, GnuPG (инчунин дигар татбиқи OpenPGP) ҳангоми боркунии сертификат ях мекунад.

Яке аз корбарон тачриба гузаронданд — Ворид кардани сертификат ба ӯ тақрибан 10 дақиқа вақт лозим буд. Шаҳодатнома беш аз 54 имзо дошт ва вазни 17 МБ буд:

$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <dkg@fifthhorseman.net>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1
$ ls -lh pubring.gpg
-rw-r--r--  1 filippo  staff    17M  2 Jul 16:30 pubring.gpg

Вазъият аз он сабаб бадтар мешавад, ки серверҳои калидҳои OpenPGP маълумоти сертификатро нест намекунанд. Ин барои пайгирии занҷири ҳама транзаксияҳои сертификатсия ва пешгирии иваз кардани сертификат анҷом дода мешавад. Аз ин рӯ, нест кардани унсурҳои вайроншуда ғайриимкон аст.

Аслан, шабакаи SKS як "сервери файл"-и калонест, ки ҳар кас метавонад ба он маълумот нависад. Барои нишон додани мушкилот, соли гузашта як сокини GitHub системаи файлиро ба вуҷуд овард, ки ҳуҷҷатҳоро дар шабакаи серверҳои калидҳои криптографӣ нигоҳ медорад.

Чаро осебпазирӣ ислоҳ карда нашудааст?

Барои бартараф кардани осебпазирӣ ягон сабаб вуҷуд надошт. Он қаблан барои ҳамлаҳои ҳакерӣ истифода нашуда буд. Гарчанде ки ҷомеаи IT Ман кайҳо боз инро мепурсам Таҳиягарони SKS ва OpenPGP бояд ба мушкилот диққат диҳанд.

Барои одилона гуфтан лозим аст, ки дар мохи июнь онхо хануз ба кор андохта шуд сервери калидии таҷрибавӣ keys.openpgp.orgОн аз ин гуна ҳамлаҳо муҳофизат мекунад. Аммо, пойгоҳи додаи он аз сифр пур карда мешавад ва худи сервер ҷузъи SKS нест. Аз ин рӯ, пеш аз истифодаи он вақт лозим аст.

Таҳлили пас аз он: чӣ дар бораи ҳамлаи охирин ба шабакаи SKS Keyserver серверҳои калиди крипто маълум аст
/Unsplash/ Рубен Багуес

Дар мавриди иштибоҳ дар системаи аслӣ, механизми мураккаби ҳамоҳангсозии он ба ислоҳи он халал мерасонад. Шабакаи сервери калидӣ дар ибтидо ҳамчун далели консепсияи рисолаи доктории Ярон Мински навишта шуда буд. Гузашта аз ин, забони хеле мушаххас барои кор интихобшуда OCaml буд. мувофиқи Ба гуфтаи нигоҳдорӣ Роберт Ҳансен, фаҳмидани код душвор аст, аз ин рӯ танҳо ислоҳи ночиз анҷом дода мешавад. Тағйир додани меъмории SKS аз нав навиштани онро аз сифр талаб мекунад.

Дар ҳар сурат, GnuPG боварӣ надорад, ки шабака ҳеҷ гоҳ ислоҳ карда шавад. Дар як паёми GitHub, таҳиягарон ҳатто навиштанд, ки онҳо истифодаи SKS Keyserver-ро тавсия намедиҳанд. Дар асл, ин яке аз сабабҳои асосии гузариш ба хадамоти нави keys.openpgp.org мебошад. Мо метавонем танҳо интизор шавем ва бубинем, ки воқеаҳо чӣ гуна рӯй медиҳанд.

Якчанд мавод аз блоги корпоративии мо:

Манбаъ: will.com

Хостинги боэътимодро барои сайтҳо бо муҳофизати DDoS, серверҳои VPS VDS харед 🔥 Харидани хостинги боэътимоди вебсайт бо муҳофизати DDoS, серверҳои VPS VDS | ProHoster