PGP ist in aller Munde, da die Ende zu Ende Verschlüsselung in Emails aktuell noch als sicher gilt.

Heute habe ich einen Tweet abegfangen, virii hat seinen public Key auf seinen Keyserver hochgeladen.

Das mit den Keyservern ist meiner Meinung nach bisschen stressig. Wenn man seine “Keys” verliert, weil einem die Platte abraucht … und vergessen wurde die “Private Keys” zu sichern, schwirren noch die alten Leichen auf dem Server, weil man ja notgedrungen neue Keys anlegen muss.

Der Link aus dem Tweet zum adamas Keyserver wurde dann von mir untersucht und bereits nach einigen “Versuchen” dachte ich eine Lücke gefunden zu haben.

Der Keyserver präsentierte mir ein Verzeichnis mit eingetragenen Mailadressen.

Die scheinbare Lücke war aber lediglich ein Feature, wie mir später gesagt wurde.

Dieses Feature wollte ich mir genauer anschauen und so experimentierte ich ein wenig mit den voreingestellten Serverlimits. Ein entsprechendes PHP Script zog mir dann in wenigen Abfragen 1080 Mailadressen.

Genug für ein erstes Statement.

Öffentliche Keyserver können zum Eldorado für Spammer werden.

R3s1stanc3 hatte dazu auch noch einen lustigen Vorschlag:
tweet resistance

Mein PHP Script möchte ich nicht veröffentlichen, da hier noch einige zusätzliche Features mit eingebaut sind, aber eine curl poc veröffentliche ich gerne:
poc

curl-PGP-Keyserver-Grabber-poc

Update:

Machte mir mal eben den Spaß, einen Keyserver zu Bruteforcen.

Ergebnis:

545.574 Mailadressen wurden vom Script gezogen, davon 390.918 eindeutige Mailadressen.

Eingesetzte Zeit:

Coding: 10 Minuten

Bruteforce: 3 Stunden

August 4, 2013 at 11:13 pm by hoohead
Category: Blog
Tags: ,