Tahlildan keyingi: SKS Keyserver kripto kalit serverlari tarmog'iga qilingan so'nggi hujum haqida nima ma'lum

Xakerlar OpenPGP protokolining o'n yildan ortiq vaqtdan beri ma'lum bo'lgan xususiyatidan foydalanganlar.

Biz sizga ma'no nima ekanligini va nima uchun uni yopa olmasligini aytib beramiz.

/Usplash/ Chunlea Ju

Tarmoq muammolari

Iyun oyining o'rtalarida, noma'lum hujum uyushtirdi kriptografik kalit serverlari tarmog'iga SKS kalit serveri, OpenPGP protokoli asosida qurilgan. Bu IETF standarti (QRM 4880), bu elektron pochta va boshqa xabarlarni shifrlash uchun ishlatiladi. SKS tarmog'i ommaviy sertifikatlarni tarqatish uchun o'ttiz yil oldin yaratilgan. kabi vositalarni o'z ichiga oladi GnuPG ma'lumotlarni shifrlash va elektron raqamli imzolarni yaratish uchun.

Xakerlar GnuPG loyihasining ikki provayderi Robert Xansen va Daniel Gillmorning sertifikatlarini buzishdi. Serverdan buzilgan sertifikatni yuklash GnuPG ishlamay qolishiga olib keladi - tizim shunchaki qotib qoladi. Hujumchilar bu bilan to'xtab qolmasligiga ishonish uchun asos bor va buzilgan sertifikatlar soni faqat oshadi. Ayni paytda muammoning ko'lami noma'lumligicha qolmoqda.

Hujumning mohiyati

Xakerlar OpenPGP protokolidagi zaiflikdan foydalanishdi. U o'nlab yillar davomida jamiyatga ma'lum. Hatto GitHub-da ham Siz topishingiz mumkin tegishli ekspluatatsiyalar. Ammo hozirgacha hech kim "teshik" ni yopish uchun javobgarlikni o'z zimmasiga olmadi (sabablari haqida keyinroq batafsilroq gaplashamiz).

Habré-dagi blogimizdan bir nechta tanlovlar:

• SDN dayjest - oltita ochiq manba emulyatori
• SDN qanday yaratiladi - sakkizta ochiq manbali vositalar
• Tarmoq dayjesti: Wi-Fi va 17G haqida 5 ta ekspert materiallari

OpenPGP spetsifikatsiyasiga ko'ra, har kim o'z egasini tasdiqlash uchun sertifikatlarga raqamli imzo qo'shishi mumkin. Bundan tashqari, imzolarning maksimal soni hech qanday tarzda tartibga solinmaydi. Va bu erda muammo tug'iladi - SKS tarmog'i bitta sertifikatga 150 mingtagacha imzo qo'yish imkonini beradi, ammo GnuPG bunday raqamni qo'llab-quvvatlamaydi. Shunday qilib, sertifikatni yuklashda GnuPG (shuningdek, boshqa OpenPGP ilovalari) muzlaydi.

Foydalanuvchilardan biri tajriba o‘tkazdi — sertifikatni olib kirish unga 10 daqiqacha vaqt oldi. Sertifikatda 54 mingdan ortiq imzo bor edi va uning og'irligi 17 MB edi:

$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1
$ ls -lh pubring.gpg
-rw-r--r--  1 filippo  staff    17M  2 Jul 16:30 pubring.gpg

Eng yomoni, OpenPGP kalit serverlari sertifikat ma'lumotlarini olib tashlamaydi. Bu sertifikatlar bilan barcha harakatlar zanjirini kuzatishingiz va ularni almashtirishning oldini olish uchun amalga oshiriladi. Shuning uchun buzilgan elementlarni yo'q qilish mumkin emas.

Aslida, SKS tarmog'i har kim ma'lumot yozishi mumkin bo'lgan katta "fayl serveri" dir. Muammoni ko'rsatish uchun, o'tgan yili GitHub rezidenti fayl tizimini yaratdi, kriptografik kalit serverlari tarmog'ida hujjatlarni saqlaydi.

Nega zaiflik yopilmadi?

Zaiflikni yopish uchun hech qanday sabab yo'q edi. Ilgari u xakerlik hujumlari uchun ishlatilmagan. IT hamjamiyatiga qaramasdan uzoq vaqt so'radi SKS va OpenPGP ishlab chiquvchilari muammoga e'tibor berishlari kerak.

Adolat uchun, shuni ta'kidlash joizki, iyun oyida ular hali ham ishga tushirildi eksperimental kalit serveri keys.openpgp.org. Ushbu turdagi hujumlardan himoya qiladi. Biroq, uning ma'lumotlar bazasi noldan to'ldirilgan va serverning o'zi SKS tarkibiga kirmaydi. Shuning uchun uni ishlatish uchun vaqt kerak bo'ladi.

/Usplash/ Ruben Bagues

Asl tizimdagi xatoga kelsak, murakkab sinxronizatsiya mexanizmi uni tuzatishga to'sqinlik qiladi. Asosiy server tarmog'i dastlab Yaron Minskining nomzodlik dissertatsiyasi uchun kontseptsiyaning isboti sifatida yozilgan. Bundan tashqari, ish uchun juda aniq til, OCaml tanlangan. tomonidan ko'ra boshqaruvchi Robert Xansen, kodni tushunish qiyin, shuning uchun unga faqat kichik tuzatishlar kiritiladi. SKS arxitekturasini o'zgartirish uchun uni noldan qayta yozish kerak bo'ladi.

Har holda, GnuPG tarmoq hech qachon tuzatilishiga ishonmaydi. GitHub’dagi postda ishlab chiquvchilar hattoki SKS Keyserver bilan ishlashni tavsiya etmasliklarini ham yozishgan. Aslida, bu ularning yangi keys.openpgp.org xizmatiga o'tishni boshlaganining asosiy sabablaridan biridir. Biz faqat voqealarning keyingi rivojlanishini kuzatishimiz mumkin.

Korporativ blogimizdan bir nechta materiallar:

• Routerlar orqali botnet "spamlari": nimani bilishingiz kerak
• DDoS va 5G: qalinroq "quvur" ko'proq muammolarni anglatadi
• Xavfsizlik devori yoki DPI - turli maqsadlar uchun himoya vositalari
• Qishloqqa Internet - radio releyli Wi-Fi tarmog'ini qurish

Manba: www.habr.com