Xakerlar OpenPGP protokolining o'n yildan ortiq vaqtdan beri ma'lum bo'lgan xususiyatidan foydalanganlar.
Biz sizga ma'no nima ekanligini va nima uchun uni yopa olmasligini aytib beramiz.
/Usplash/
Tarmoq muammolari
Iyun oyining o'rtalarida, noma'lum
Xakerlar GnuPG loyihasining ikki provayderi Robert Xansen va Daniel Gillmorning sertifikatlarini buzishdi. Serverdan buzilgan sertifikatni yuklash GnuPG ishlamay qolishiga olib keladi - tizim shunchaki qotib qoladi. Hujumchilar bu bilan to'xtab qolmasligiga ishonish uchun asos bor va buzilgan sertifikatlar soni faqat oshadi. Ayni paytda muammoning ko'lami noma'lumligicha qolmoqda.
Hujumning mohiyati
Xakerlar OpenPGP protokolidagi zaiflikdan foydalanishdi. U o'nlab yillar davomida jamiyatga ma'lum. Hatto GitHub-da ham
Habré-dagi blogimizdan bir nechta tanlovlar:
OpenPGP spetsifikatsiyasiga ko'ra, har kim o'z egasini tasdiqlash uchun sertifikatlarga raqamli imzo qo'shishi mumkin. Bundan tashqari, imzolarning maksimal soni hech qanday tarzda tartibga solinmaydi. Va bu erda muammo tug'iladi - SKS tarmog'i bitta sertifikatga 150 mingtagacha imzo qo'yish imkonini beradi, ammo GnuPG bunday raqamni qo'llab-quvvatlamaydi. Shunday qilib, sertifikatni yuklashda GnuPG (shuningdek, boshqa OpenPGP ilovalari) muzlaydi.
Foydalanuvchilardan biri
$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
$ ls -lh pubring.gpg
-rw-r--r-- 1 filippo staff 17M 2 Jul 16:30 pubring.gpg
Eng yomoni, OpenPGP kalit serverlari sertifikat ma'lumotlarini olib tashlamaydi. Bu sertifikatlar bilan barcha harakatlar zanjirini kuzatishingiz va ularni almashtirishning oldini olish uchun amalga oshiriladi. Shuning uchun buzilgan elementlarni yo'q qilish mumkin emas.
Aslida, SKS tarmog'i har kim ma'lumot yozishi mumkin bo'lgan katta "fayl serveri" dir. Muammoni ko'rsatish uchun, o'tgan yili GitHub rezidenti
Nega zaiflik yopilmadi?
Zaiflikni yopish uchun hech qanday sabab yo'q edi. Ilgari u xakerlik hujumlari uchun ishlatilmagan. IT hamjamiyatiga qaramasdan
Adolat uchun, shuni ta'kidlash joizki, iyun oyida ular hali ham
/Usplash/
Asl tizimdagi xatoga kelsak, murakkab sinxronizatsiya mexanizmi uni tuzatishga to'sqinlik qiladi. Asosiy server tarmog'i dastlab Yaron Minskining nomzodlik dissertatsiyasi uchun kontseptsiyaning isboti sifatida yozilgan. Bundan tashqari, ish uchun juda aniq til, OCaml tanlangan. tomonidan
Har holda, GnuPG tarmoq hech qachon tuzatilishiga ishonmaydi. GitHub’dagi postda ishlab chiquvchilar hattoki SKS Keyserver bilan ishlashni tavsiya etmasliklarini ham yozishgan. Aslida, bu ularning yangi keys.openpgp.org xizmatiga o'tishni boshlaganining asosiy sabablaridan biridir. Biz faqat voqealarning keyingi rivojlanishini kuzatishimiz mumkin.
Korporativ blogimizdan bir nechta materiallar:
Manba: www.habr.com