Paljud on juhtumid, kus oleme ühel või teisel viisil näinud, kui sõna otseses mõttes ei ole Internet turvaline. Siinkohal on tõsi see, et kui ettevõtted ja rahvusvahelised ettevõtted üle kogu maailma, samad, mida paljud kasutajad on usaldanud, on näinud, kuidas küberkurjategijad on suutnud pääseda juurde oma serveritele ja varastada miljonite kasutajate paroole ja isikuandmeid, siis kujutage seda ette saab teha palju väiksemate rakendustega, kus turvalisus on paljudel juhtudel tagaplaanil.
Sellest kõigest kaugel on tõde ja see on palju murettekitavam, on palju turvaprotokolle, mis seni tundusid väga turvalised, mis hakkavad ebaõnnestuma. Sel korral ei räägi me e-postist ega ettevõttest, mille nimi ja perekonnanimi pakuvad teile turvalist e-posti kontot, vaid just nende turvaliste platvormide koostatud protokollidest, mis teadlaste rühma sõnul võiksid kohale jõuda paljastada kõik teie meilid kõigile, kellel on piisavalt teadmisi.
PGP-l, e-posti standardkrüptimisprotokollil, on kriitiline haavatavus
Veidi üksikasjalikumalt öeldes andke teada, et me räägime turvaprotokollidest, mida tänapäeval kasutavad paljud ettevõtted krüptimiseks ja pakuvad seega oma klientidele palju turvalisemat e-teenust. Täpsemalt me räägime PGP või S / MIME krüpteerimisalgoritmid, mis, nagu on avastatud, kannatab tõsise haavatavuse all, mille tõttu saab paljastada kõik tavalises tekstis olevad krüpteeritud kirjad, isegi kõik need kirjad, mida võite minevikus saata.
Palju lihtsamal viisil mõista ja viidata sõnadele Sebastiani šinšel, üks selle projektiga tegelenud turvaspetsialistidest ja omakorda Münsteri rakenduskõrgkooli arvutiturbe professor:
E-post ja pärak on turvaline suhtlusvahend
Electronica Frotier Foundation on vastutanud selle kriitilise vea ilmnemise eest PGP-protokollis
Andke meile riskist ettekujutus, öelge see teile Selle haavatavuse avastas esmakordselt SA Electronic Frontier täpselt esmaspäeva hommikul vahetult pärast seda, kui suur tiraažiga Saksamaa ajaleht purustas uudiste embargo. Kui kogu see teave on avalikustatud, on selle avastusega seotud Euroopa teadlaste rühm sõna otseses mõttes hakanud teatama, et inimesed peaksid PGP krüpteerimisalgoritmide kasutamise täielikult lõpetama, kuna tänaseni pole leitud haavatavuse vastu usaldusväärseid lahendusi.
Nagu teadlased on öelnud:
EFAIL-rünnakud kasutavad OpenPGP ja S / MIME standardite haavatavusi, et paljastada krüptitud e-kirjad lihttekstina. Lihtsamalt öeldes kuritarvitab EFAIL HTML-e-posti aktiivset sisu, näiteks väliselt laaditud pilte või stiile, et filtreerida taotletud URL-ide kaudu lihtsat teksti. Nende väljafiltratsioonikanalite loomiseks peab ründaja kõigepealt saama juurdepääsu krüpteeritud e-kirjadele, näiteks võrguliikluse pealtkuulamise, e-posti kontode, e-posti serverite, varundussüsteemide või klientarvutite rikkumise kaudu. E-kirju oleks võinud koguda isegi aastaid tagasi.
Ründaja muudab krüptitud e-kirja teatud viisil ja saadab selle manipuleeritud krüpteeritud meilisõnumi ohvrile. Ohvri e-posti klient dekrüpteerib meilisõnumi ja laadib välise sisu, filtreerides ründajale teksti.
Paljud on turvaeksperdid, kes arvavad, et seda haavatavust on üle hinnatud
Et natuke rohkem teada saada PGP, ütlen teile, et see pole midagi muud kui krüptimistarkvara, mida vähemalt siiani on peetud e-posti turvalisuse standard. Seda tüüpi krüpteeritud e-post, mis on tänapäeval paljude jaoks suhtlemiseks hädavajalik, hakkas paljudele ettevõtetele muret tekitama kõigist aruannetest, kus teatati Ameerika Ühendriikide valitsuse teostatud tohutust elektroonilisest jälgimisest.
Kui see leid võib endaga kaasa tuua, Tõsi on see, et on palju eksperte, kes panustavad kihlvedudele, et haavatavust on üle hinnatud Ja kõik reageerivad sellele reklaamile üle. Selle näite on meil sõnades Werneri koch, GNU Privacy Guardi juhtiv autor, kes sõna otseses mõttes kommenteerib, et selle probleemi leevendamiseks on sõna otseses mõttes viis lõpetage HTML-posti kasutamine ja kasutage autentitud krüptimist.