Banyak kejadian di mana kita telah melihat, dengan satu atau lain cara, betapa secara harfiah internet tidak aman. Pada titik ini, kenyataannya adalah jika perusahaan dan perusahaan multinasional di seluruh dunia, yang sama dengan yang dipercaya banyak pengguna, telah melihat bagaimana penjahat dunia maya telah berhasil mengakses server mereka dan mencuri kata sandi dan data pribadi jutaan pengguna mereka, bayangkan Itu dapat dilakukan dengan aplikasi yang jauh lebih kecil di mana, dalam banyak kasus, keamanan mengambil tempat di belakang.
Jauh dari semua ini, kenyataannya adalah itu, dan ini jauh lebih mengkhawatirkan, masih banyak protokol keamanan, yang hingga saat ini terkesan sangat aman, yang mulai gagal. Pada kesempatan kali ini kami tidak akan berbicara tentang email atau perusahaan dengan nama dan nama belakang yang menawarkan Anda akun email yang aman, tetapi tepatnya tentang protokol yang dibuat oleh platform aman ini, yang menurut sekelompok peneliti, dapat tiba. untuk mengekspos semua email Anda kepada siapa pun yang memiliki pengetahuan yang memadai.
PGP, protokol enkripsi standar untuk email, memiliki kerentanan kritis
Sedikit lebih detail, beri tahu Anda bahwa kita berbicara tentang protokol keamanan yang saat ini digunakan oleh banyak perusahaan untuk mengenkripsi dan dengan demikian menawarkan pelanggan mereka layanan email yang jauh lebih aman. Secara khusus kita bicarakan Algoritme enkripsi PGP atau S / MIME, yang, seperti yang telah ditemukan, menderita kerentanan serius di mana semua email teks biasa terenkripsi dapat terungkap, bahkan semua pesan yang dapat Anda kirim di masa lalu.
Dengan cara yang jauh lebih mudah untuk memahami dan mengacu pada kata-kata dari Sebastian schinzel, salah satu spesialis keamanan yang telah mengerjakan proyek ini dan, selanjutnya, profesor keamanan komputer di Universitas Sains Terapan di Münster:
Email dan anus adalah alat komunikasi yang aman
Electronica Frotier Foundation telah bertanggung jawab untuk mengungkap kelemahan kritis ini dalam protokol PGP
Untuk memberi kami gambaran tentang risikonya, beri tahu Anda Kerentanan ini pertama kali terdeteksi oleh Electronic Frontier Foundation tepatnya pada Senin pagi tepat setelah sebuah surat kabar Jerman beredaran besar memberlakukan embargo berita. Setelah semua informasi ini dipublikasikan, sekelompok peneliti Eropa yang terlibat dalam penemuan ini benar-benar mulai mengumumkan bahwa orang harus berhenti menggunakan algoritma enkripsi PGP sama sekali karena, hingga hari ini, tidak ada solusi yang dapat diandalkan terhadap kerentanan yang terdeteksi.
Seperti yang peneliti nyatakan:
Serangan EFAIL mengeksploitasi kerentanan dalam standar OpenPGP dan S / MIME untuk mengungkapkan email terenkripsi dalam teks biasa. Sederhananya, EFAIL menyalahgunakan konten aktif dalam email HTML, seperti gambar atau gaya yang dimuat secara eksternal, untuk memfilter teks biasa melalui URL yang diminta. Untuk membuat saluran eksfiltrasi ini, penyerang harus terlebih dahulu mendapatkan akses ke email terenkripsi, misalnya dengan mencegat lalu lintas jaringan, membahayakan akun email, server email, sistem cadangan, atau komputer klien. Email tersebut bahkan bisa dikumpulkan bertahun-tahun yang lalu.
Penyerang mengubah email terenkripsi dengan cara tertentu dan mengirimkan email terenkripsi yang dimanipulasi ini ke korban. Klien email korban mendekripsi email dan memuat konten eksternal apa pun, mengeksfiltrasi teks biasa ke penyerang.
Banyak pakar keamanan yang berpikir bahwa kerentanan ini terlalu dibesar-besarkan
Untuk mengetahui lebih banyak tentang PGP, memberi tahu Anda bahwa ini tidak lebih dari perangkat lunak enkripsi yang, setidaknya hingga saat ini, telah dianggap sebagai standar untuk keamanan email. Jenis email terenkripsi ini, bagi banyak orang saat ini, sesuatu yang penting untuk komunikasi mereka, mulai mengkhawatirkan banyak perusahaan dari semua laporan di mana pengawasan elektronik besar-besaran yang dilakukan oleh pemerintah Amerika Serikat diumumkan.
Dalam bahaya yang mungkin ditimbulkan oleh temuan ini, Yang benar adalah bahwa ada banyak ahli yang bertaruh bahwa kerentanan telah dibesar-besarkan Dan semua orang bereaksi berlebihan terhadap iklan ini. Contoh dari hal ini yang kita miliki dalam kata-kata Werner koch, penulis utama GNU Privacy Guard yang secara harfiah berkomentar bahwa cara untuk mengatasi masalah ini secara harfiah berhenti menggunakan email HTML dan gunakan enkripsi terautentikasi.