Moltes són les ocasions en què hem vist, d'una manera o altra, com literalment internet no és segur. En aquest punt, la veritat és que si empreses i multinacionals de tot el món, aquestes en les que han confiat molts usuaris han vist com els ciberdelinqüents han aconseguit accedir als seus servidors i robar les contrasenyes i dades personals de milions dels seus usuaris, imagina que es pot fer amb aplicacions molt més petites on, en moltes ocasions, la seguretat passa a un segon pla.
Lluny de tot això, la veritat és que, i això si que és molt més preocupant, hi ha molts protocols de seguretat, que fins ara semblaven molt segurs, que estan començant a fallar. En aquesta ocasió no parlarem d'un correu electrònic o una empresa amb nom i cognoms que t'ofereix un compte de correu electrònic segur, sinó precisament dels protocols que fan aquestes plataformes segures, mateixos que, segons un grup d'investigadors, podria arribar a exposar tots els teus correus a qualsevol persona amb coneixements suficients.
PGP, el protocol de xifrat estàndard per e-mail, té una vulnerabilitat crítica
Entrant una mica més en detall, comentar-te que parlem dels protocols de seguretat que a dia d'avui s'utilitzaven per moltes empreses per a xifrar i així oferir als seus clients un servei de correu electrònic molt més segur. Concretament parlem dels algoritmes de xifrat PGP o S / MIME, Mateix que, segons ha estat descobert, pateix d'una greu vulnerabilitat per la qual es pot arribar a exposar tots els correus xifrats en text pla, fins i tot tots aquests missatges que vas poder enviar en el passat.
D'una forma molt més senzilla d'entendre i remetent-nos a les paraules de Sebastian Schinzel, Un dels especialistes en seguretat que han estat treballant en aquest projecte i, al seu torn, professor de seguretat informàtica a la Universitat de Ciències Aplicades de Münster:
L'email i anus és un mitjà de comunicació segur
Electrònica Frotier Fundation ha estat la responsable de treure a la llum aquest fallada crítica en el protocol PGP
Perquè ens fem una idea de el risc, comentar-te que aquesta vulnerabilitat va ser detectada per primera vegada per l'Electronic Frontier Foundation justament el dilluns a primera hora del matí just després que un diari alemany de gran tirada trenqués un embargament informatiu. Un cop tota aquesta informació es va fer pública, el grup d'investigadors europeus involucrats en aquest descobriment literalment ha començat a anunciar que la gent ha de deixar d'utilitzar els algoritmes de xifrat PGP per complet ja que, a dia d'avui, no hi ha solucions fiables contra la vulnerabilitat detectada.
Segons han declarat els investigadors:
Els atacs EFAIL exploten vulnerabilitats en els estàndards OpenPGP i S / MIME per revelar en text pla els correus electrònics xifrats. En poques paraules, EFAIL abusa el contingut actiu en l'email HTML, com ara imatges o estils carregats externament, per filtrar el text sense format a través de les URL sol·licitades. Per crear aquests canals de exfiltración, l'atacant primer necessita tenir accés als correus electrònics xifrats, per exemple interceptant el trànsit de la xarxa, comprometent comptes de correu electrònic, servidors de correu electrònic, sistemes de suport o ordinadors client. Els correus electrònics fins i tot podrien haver estat recopilats fa anys.
L'atacant canvia un correu xifrat d'una manera determinada i envia aquest correu xifrat manipulat a la víctima. El client de correu electrònic de la víctima desxifra el correu i càrrega qualsevol contingut extern, el que exfiltra el text sense format a l'atacant.
Molts són els experts en seguretat que pensen que aquesta vulnerabilitat ha estat sobreestimada
Per conèixer una mica més sobre PGP, Comentar-te que no és altra cosa que un programari d'encriptació que, al menys fins ara, ha estat considerat com el estàndard per a la seguretat de l'correu electrònic. Aquest tipus de correu electrònic xifrat, per a molts a hores d'ara una cosa indispensable per a les seves comunicacions, va començar a preocupar moltes empreses a partir de tots aquests informes on s'anunciava l'enorme vigilància electrònica que estava sent portada a terme pel govern d'Estats Units .
Dins de la perillositat que pot suposar aquesta troballa, la veritat és que són molts els experts que aposten perquè la vulnerabilitat ha estat sobreestimada i tothom està reaccionant a aquest anunci de forma exagerada. Un exemple d'això el tenim en les paraules de Werner Koch, Autor principal de GNU Privacy Guard que literalment comenta que la forma de mitigar aquest problema passa literalment per deixar d'utilitzar el correu HTML i fer servir un xifrat autenticat.