العديد من المناسبات التي رأينا فيها ، بطريقة أو بأخرى ، كيف أن الإنترنت حرفيًا ليس آمنًا. في هذه المرحلة ، الحقيقة هي أنه إذا كانت الشركات والشركات متعددة الجنسيات في جميع أنحاء العالم ، وهي الشركات نفسها التي وثق بها العديد من المستخدمين ، قد رأت كيف تمكن مجرمو الإنترنت من الوصول إلى خوادمهم وسرقة كلمات المرور والبيانات الشخصية لملايين المستخدمين ، تخيل هذا يمكن إجراؤه باستخدام تطبيقات أصغر كثيرًا حيث يحتل الأمان في كثير من الأحيان المرتبة الخلفية.
بعيدًا عن كل هذا ، الحقيقة هي ، وهذا مقلق أكثر ، هناك العديد من بروتوكولات الأمان ، والتي بدت حتى الآن آمنة للغاية ، والتي بدأت في الفشل. في هذه المناسبة ، لن نتحدث عن بريد إلكتروني أو شركة تحمل اسمًا ولقبًا توفر لك حساب بريد إلكتروني آمنًا ، ولكن على وجه التحديد عن البروتوكولات التي تقوم بها هذه المنصات الآمنة ، والتي يمكن ، وفقًا لمجموعة من الباحثين ، الوصول لفضح جميع رسائل البريد الإلكتروني الخاصة بك لأي شخص لديه معرفة كافية.
PGP ، بروتوكول التشفير القياسي للبريد الإلكتروني ، به ثغرة أمنية خطيرة
عند الخوض في المزيد من التفاصيل ، أخبرك أننا نتحدث عن بروتوكولات الأمان التي تستخدمها العديد من الشركات اليوم للتشفير وبالتالي تقديم خدمة بريد إلكتروني أكثر أمانًا لعملائها. على وجه التحديد نتحدث عنه خوارزميات تشفير PGP أو S / MIME، والذي ، كما تم اكتشافه ، يعاني من ثغرة أمنية خطيرة حيث يمكن الكشف عن جميع رسائل البريد الإلكتروني المشفرة ، حتى كل تلك الرسائل التي كان بإمكانك إرسالها في الماضي.
في طريقة أسهل بكثير لفهم والإشارة إلى كلمات سيباستيان شينزل، أحد الأخصائيين الأمنيين الذين عملوا في هذا المشروع ، وبدوره أستاذ أمن الكمبيوتر في جامعة العلوم التطبيقية في مونستر:
البريد الإلكتروني وفتحة الشرج هي وسيلة اتصال آمنة
كانت مؤسسة Electronica Frotier Foundation مسؤولة عن تسليط الضوء على هذا العيب الخطير في بروتوكول PGP
لإعطائنا فكرة عن المخاطر ، أخبرك بذلك تم اكتشاف هذه الثغرة الأمنية لأول مرة بواسطة Electronic Frontier Foundation على وجه التحديد صباح يوم الاثنين بعد أن انتهكت صحيفة ألمانية واسعة الانتشار حظراً على الأخبار. بمجرد الإعلان عن كل هذه المعلومات ، بدأت مجموعة الباحثين الأوروبيين المشاركين في هذا الاكتشاف في الإعلان حرفياً أنه يجب على الأشخاص التوقف عن استخدام خوارزميات تشفير PGP تمامًا ، حيث لا توجد حلول موثوقة ضد الثغرة المكتشفة حتى اليوم.
كما ذكر الباحثون:
تستغل هجمات EFAIL نقاط الضعف في معايير OpenPGP و S / MIME للكشف عن رسائل البريد الإلكتروني المشفرة بنص عادي. ببساطة ، يسيء EFAIL استخدام المحتوى النشط في بريد HTML الإلكتروني ، مثل الصور أو الأنماط المحملة خارجيًا ، لتصفية النص العادي عبر عناوين URL المطلوبة. لإنشاء قنوات الاختراق هذه ، يحتاج المهاجم أولاً إلى الوصول إلى رسائل البريد الإلكتروني المشفرة ، على سبيل المثال عن طريق اعتراض حركة مرور الشبكة أو اختراق حسابات البريد الإلكتروني أو خوادم البريد الإلكتروني أو أنظمة النسخ الاحتياطي أو أجهزة الكمبيوتر العميلة. كان من الممكن حتى جمع رسائل البريد الإلكتروني منذ سنوات.
يغير المهاجم بريدًا إلكترونيًا مشفرًا بطريقة معينة ويرسل هذا البريد الإلكتروني المشفر الذي تم التلاعب به إلى الضحية. يقوم عميل البريد الإلكتروني للضحية بفك تشفير البريد الإلكتروني وتحميل أي محتوى خارجي ، ويسحب النص العادي إلى المهاجم.
كثيرون هم خبراء الأمن الذين يعتقدون أنه تم المبالغة في تقدير هذه الثغرة الأمنية
لمعرفة المزيد عن PGP، أقول لك إنه ليس سوى برنامج تشفير تم اعتباره ، على الأقل حتى الآن ، على أنه معيار لأمن البريد الإلكتروني. هذا النوع من البريد الإلكتروني المشفر ، بالنسبة للكثيرين اليوم أمر أساسي لاتصالاتهم ، بدأ يقلق العديد من الشركات من كل تلك التقارير حيث تم الإعلان عن المراقبة الإلكترونية الهائلة التي كانت تنفذها حكومة الولايات المتحدة.
في ظل الخطر الذي قد يشكله هذا الاكتشاف ، الحقيقة هي أن هناك العديد من الخبراء الذين يراهنون على أن الضعف قد تم المبالغة فيه والجميع يبالغ في رد فعله تجاه هذا الإعلان. مثال على ذلك لدينا في كلام ويرنر كوخ، المؤلف الرئيسي لـ GNU Privacy Guard الذي يعلق حرفيًا على أن طريقة التخفيف من هذه المشكلة هي حرفياً توقف عن استخدام بريد HTML واستخدم التشفير المصدق.