Много са случаите, в които по един или друг начин сме виждали как буквално интернет не е безопасен. На този етап истината е, че ако компании и мултинационални компании по света, същите, на които много потребители са имали доверие, са видели как киберпрестъпниците са успели да получат достъп до своите сървъри и да откраднат паролите и личните данни на милиони свои потребители, представете си, че може да се направи с много по-малки приложения, при които в много случаи сигурността отстъпва.
Далеч от всичко това, истината е, че това е много по-тревожно, има много протоколи за сигурност, които до този момент изглеждаха много сигурни, които започват да се провалят. По този повод няма да говорим за имейл или компания с име и фамилия, която ви предлага защитен имейл акаунт, а точно за протоколите, които тези защитени платформи създават, които според група изследователи биха могли да пристигнат да изложите всичките си имейли на всеки, който има достатъчно познания.
PGP, стандартният протокол за криптиране на имейли, има критична уязвимост
Влизайки в малко повече подробности, ще ви кажем, че говорим за протоколите за сигурност, които днес се използват от много компании за криптиране и по този начин предлагат на своите клиенти много по-сигурна услуга за електронна поща. Конкретно говорим за Алгоритми за шифроване PGP или S / MIME, която, както беше открито, страда от сериозна уязвимост, при която всички шифровани имейли с открит текст могат да бъдат изложени, дори всички онези съобщения, които бихте могли да изпратите в миналото.
По много по-лесен начин за разбиране и позоваване на думите на Себастиан Шинцел, един от специалистите по сигурност, които са работили по този проект и от своя страна професор по компютърна сигурност в Университета за приложни науки в Мюнстер:
Имейлът и анусът са сигурно средство за комуникация
Фондация Electronica Frotier е отговорна за разкриването на този критичен недостатък в протокола PGP
За да ни дадете представа за риска, кажете ви това Тази уязвимост беше открита за първи път от Фондация Electronic Frontier точно в понеделник сутринта точно след като голям тираж немски вестник наруши ембарго за новини. След като цялата тази информация беше оповестена публично, групата европейски изследователи, участващи в това откритие, буквално започна да обявява, че хората трябва да спрат да използват алгоритмите за PGP криптиране като цяло, тъй като и до днес няма надеждни решения срещу откритата уязвимост.
Както изследователите са заявили:
EFAIL атаките използват уязвимости в стандартите OpenPGP и S / MIME, за да разкрият криптирани имейли в обикновен текст. Казано по-просто, EFAIL злоупотребява с активно съдържание в HTML имейл, като външно заредени изображения или стилове, за да филтрира обикновен текст чрез заявени URL адреси. За да създаде тези канали за дефилтрация, нападателят първо трябва да получи достъп до шифрованите имейли, например чрез прихващане на мрежов трафик, компрометиране на имейл акаунти, имейл сървъри, резервни системи или клиентски компютри. Имейлите дори можеха да бъдат събрани преди години.
Нападателят променя криптиран имейл по определен начин и изпраща този манипулиран криптиран имейл на жертвата. Имейл клиентът на жертвата дешифрира имейла и зарежда всяко външно съдържание, като екстрадира открития текст към нападателя.
Много от експертите по сигурността смятат, че тази уязвимост е надценена
За да знаете малко повече за PGP, да ви кажа, че това не е нищо повече от софтуер за криптиране, който поне досега е бил считан за стандарт за защита на имейл. Този тип криптиран имейл, за мнозина днес нещо от съществено значение за тяхната комуникация, започна да тревожи много компании от всички онези доклади, в които беше обявено огромното електронно наблюдение, извършвано от правителството на Съединените щати.
В рамките на опасността, която тази находка може да представлява, истината е, че има много експерти, които се обзалагат, че уязвимостта е надценена И всички прекалено реагират на тази реклама. Пример за това имаме по думите на Вернер кох, водещ автор на GNU Privacy Guard, който буквално коментира, че начинът за смекчаване на този проблем е буквално спрете да използвате HTML поща и използвайте удостоверено криптиране.