Sok olyan alkalom van, amikor ilyen vagy olyan módon láttuk, hogy az internet szó szerint mennyire nem biztonságos. Ezen a ponton az az igazság, hogy ha a vállalatok és multinacionális vállalatok szerte a világon, ugyanazok, amelyekben sok felhasználó megbízott, látták, hogy az internetes bűnözőknek hogyan sikerült hozzáférni szervereikhez, és több millió felhasználó jelszavát és személyes adatait ellopni, képzeljék el ezt sokkal kisebb alkalmazásokkal végezhető el, ahol a biztonság sok esetben a háttérbe szorul.
Ettől távol az igazság az, és ez sokkal aggasztóbb, sok, eddig nagyon biztonságosnak tűnő biztonsági protokoll létezik, amelyek kezdenek elhibázni. Ebből az alkalomból nem egy e-mailről vagy egy olyan névről és vezetéknévről beszélünk, amely biztonságos e-mail fiókot kínál Önnek, hanem pontosan azokról a protokollokról, amelyeket ezek a biztonságos platformok készítenek, és amelyek egy kutatócsoport szerint megérkezhetnek hogy az összes e-mailt bárki megismerhesse, aki rendelkezik elegendő tudással.
A PGP, az e-mailek szabványos titkosítási protokollja kritikus sebezhetőséggel rendelkezik
Kicsit részletesebben kitérve tudassa velünk, hogy azokról a biztonsági protokollokról beszélünk, amelyeket manapság sok vállalat használ a titkosításhoz, és ezáltal sokkal biztonságosabb e-mail szolgáltatást kínál ügyfeleinek. Konkrétan beszélünk PGP vagy S / MIME titkosítási algoritmusok, amelyet, amint kiderült, súlyos sebezhetőség fenyeget, amelynek következtében minden szöveges titkosított e-mail ki van téve, még azoknak az üzeneteknek is, amelyeket a múltban elküldhetett.
Sokkal könnyebb módon megérteni és hivatkozni a Sebastian schinzel, az egyik biztonsági szakember, aki a projekten dolgozik, és a számítógépes biztonság professzora a Münster-i Alkalmazott Tudományok Egyetemén:
Az e-mail és a végbélnyílás biztonságos kommunikációs eszköz
Az Electronica Frotier Foundation felelős a PGP protokoll ezen kritikus hibájának felderítéséért
Hogy képet adjon nekünk a kockázatról, mondja el ezt Ezt a sebezhetőséget először az Electronic Frontier Foundation fedezte fel pontosan hétfő reggel, közvetlenül egy nagy példányszámú német újság embargójának megszegése után. Miután mindezeket az információkat nyilvánosságra hozták, a felfedezésben részt vevő európai kutatók csoportja szó szerint elkezdte bejelenteni, hogy az embereknek teljesen fel kell hagyniuk a PGP titkosítási algoritmusok használatával, mivel a mai napig nincsenek megbízható megoldások a feltárt sebezhetőség ellen.
Mint a kutatók kijelentették:
Az EFAIL támadások kihasználják az OpenPGP és az S / MIME szabvány biztonsági réseit, hogy a titkosított e-maileket egyszerű szövegként tárják fel. Egyszerűen fogalmazva: az EFAIL visszaél a HTML e-mailben található aktív tartalommal, például külsőleg betöltött képekkel vagy stílusokkal a sima szöveg szűrése érdekében a kért URL-eken. Ezeknek a szűrési csatornáknak a létrehozásához a támadónak először hozzáférést kell kapnia a titkosított e-mailekhez, például a hálózati forgalom lehallgatásával, az e-mail fiókok, az e-mail szerverek, a biztonsági mentési rendszerek vagy az ügyfélszámítógépek megsértésével. Az e-maileket akár évekkel ezelőtt is összegyűjthették volna.
A támadó egy titkosított e-mailt egy bizonyos módon megváltoztat, és ezt a manipulált titkosított e-mailt elküldi az áldozatnak. Az áldozat e-mail kliensének visszafejtik az e-mailt, és betöltenek bármilyen külső tartalmat, kiszűrve a sima szöveget a támadónak.
Sokan azok a biztonsági szakértők, akik úgy gondolják, hogy ezt a sérülékenységet túlértékelték
Kicsit többet tudni PGP, mondd el, hogy ez nem más, mint egy titkosító szoftver, amelyet legalábbis eddig a az e-mailek biztonsága. Ez a fajta titkosított e-mail, amely manapság sokak számára elengedhetetlen a kommunikációhoz, sok vállalatot aggasztani kezdett mindazon jelentések miatt, amelyekben bejelentették az Egyesült Államok kormánya által végzett hatalmas elektronikus megfigyelést.
Azon veszélyben, amelyet ez a megállapítás jelenthet, Az igazság az, hogy sok szakértő fogadja, hogy a sérülékenységet túlértékelték És mindenki túlreagálja ezt a hirdetést. Erre van példa a szavakkal Werner koch, a GNU Privacy Guard vezető szerzője, aki szó szerint megjegyzi, hogy a probléma enyhítésére szó szerint van mód hagyja abba a HTML levelezés használatát, és használjon hitelesített titkosítást.