Robert J. Hansen ผู้ดูแลเอกสารของ GnuPG รายงานถึงการโจมตีเซิร์ฟเวอร์กุญแจ (Synchronizing Key Server - SKS) ที่ใช้ค้นหากุญแจสาธารณะสำหรับผู้รับอีเมลปลายทาง ถูกโจมตีโดยมุ่งเป้าไปยังนักพัฒนาบางคนด้วยการโพสใบรับรองกุญแจจำนวนมาก จน OpenPGP ทำงานไม่ได้ หรือทำงานได้ช้า
กระบวนการตรวจสอบกุญแขของ OpenPGP อาศัยการรับรองกันเองของผู้ใช้ โดยเมื่อผู้ใช้คนหนึ่งอ้างตัวว่าเป็นเจ้าของอีเมลและประกาศกุญแจสาธารณะออกมา เขาต้องให้ผู้อื่นมาเซ็นกุญแจรับรองโดยเรียกว่า (certificate signature) โดยตอนนี้มีคนอัพโหลดการเซ็นกุญแจรับรองเหล่านี้จำนวนมาก นับแสนรายการเข้าไปยังเซิร์ฟเวอร์ SKS ทำให้หากไคลเอนต์ซิงก์ข้อมูลลงมาและตรวจสอบอีเมลเหล่านี้ โปรแกรมก็จะค้างไป
ซอฟต์แวร์ SKS ถูกออกแบบมาตั้งแต่ช่วงปี 1990 โดยเป็นงานวิจัยปริญญาเอกของ Yaron Minsky โดยเน้นการป้องกันการลบและแก้ไขข้อมูลในกรณีที่รัฐบาลกดดันให้ผู้ดูแลเซิร์ฟเวอร์แก้ไขข้อมูล แต่ไม่ได้คำนึงถึงการโจมตีในกรณีที่เป็นการยิงสแปมเอาไว้
ตอนนี้ผู้ที่เกี่ยวข้องกับโครงการ GunPG สองคนถูกสแปมสำให้มีรายการเซ็นรับรองกุญแจเกือบ 150,000 รายการต่อคน ตอนนี้ยังไม่มีข้อมูลว่ามีคนอื่นถูกสแปมแบบนี้อีกหรือไม่ โดย Hansen แนะนำให้หยุดใช้ SKS ดั้งเดิมและไปใช้เซิร์ฟเวอร์ keys.openpgp.org ที่มีระบบป้องกันสแปมแทนที่ไปก่อน แม้จะมีฟีเจอร์ไม่เท่ากันก็ตาม
ที่มา - Github: rjhansen, iTNews
ภาพโดย AndyPandy
Comments
OpenPGP server มันเกี่ยวกับ Linux Repository ด้วย
เพราะจำเป็นต้องใช้ในการยืนยันว่า package นั้น Sign มาถูกต้องรึเปล่า ไม่ใช่แค่เข้ารหัสถอดรหัส email อย่างเดียว ผมทำ Package Repository จำเป็นต้อง Upload key ขึ้น server
Opensource - Hackintosh - Graphic Design - Scriptkiddie - Xenlism Project
มีสิทธิ์ที่การสแปมจะเบี่ยงให้ไปใช้หลุมพรางของคนโจมตีหรือเปล่าเนี่ย เห็นว่า PGP Server อันนึงไม่มีปัญหาเลยใช้งานชั่วคราวไปก่อน แต่อาจกลายเป็นเหยื่อโดนสำเนาหรือแกะข้อมูลก็ได้ ประมาณนี้
ความล้มเหลว คือจุดเริ่มต้นสู่ความหายนะ มีผลกระทบมากกว่าแค่เสียเงิน เวลา อนาคต และทรัพยากรที่เสียไป - จงอย่าล้มเหลว
จริงๆมันก็เป็นไปได้นะ
GunPG -> GnuPG รึเปล่าครับ?
กุญแข => กุญแจ
สำให้ => ทำให้