Daudzos gadījumos mēs vienā vai otrā veidā esam redzējuši, cik burtiski internets nav drošs. Šajā brīdī patiesība ir tāda, ka, ja uzņēmumi un starptautiski uzņēmumi visā pasaulē, tie paši, kuriem daudzi lietotāji ir uzticējušies, ir redzējuši, kā kibernoziedzniekiem ir izdevies piekļūt viņu serveriem un nozagt miljonu lietotāju paroles un personas datus, iedomājieties, ka var izdarīt ar daudz mazākām lietojumprogrammām, kurās drošība daudzos gadījumos nonāk otrajā plānā.
Tālu no tā visa patiesība ir tā, un tas ir daudz satraucošāk, ir daudz drošības protokolu, kas līdz šim šķita ļoti droši, kas sāk neizdoties. Šajā gadījumā mēs nerunāsim par e-pastu vai uzņēmumu ar vārdu un uzvārdu, kas jums piedāvā drošu e-pasta kontu, bet gan tieši par protokoliem, kurus šīs drošās platformas veido, kas, pēc pētnieku grupas domām, varētu nonākt atklāt visus savus e-pastus ikvienam, kam ir pietiekamas zināšanas.
PGP, e-pasta standarta šifrēšanas protokolam, ir kritiska ievainojamība
Pārejot mazliet sīkāk, pastāstiet, ka mēs runājam par drošības protokoliem, kurus šodien daudzi uzņēmumi izmanto, lai šifrētu un tādējādi piedāvātu saviem klientiem daudz drošāku e-pasta pakalpojumu. Konkrēti mēs runājam PGP vai S / MIME šifrēšanas algoritmi, kas, kā tika atklāts, cieš no nopietnas ievainojamības, kas ļauj atklāt visus šifrētos vienkāršā teksta e-pastus, pat visus tos ziņojumus, kurus jūs varētu nosūtīt agrāk.
Daudz vieglāk saprast un atsaukties uz vārdiem Sebastians šinzelis, viens no drošības speciālistiem, kurš ir strādājis pie šī projekta, un, savukārt, datoru drošības profesors Minsteres Lietišķo zinātņu universitātē:
E-pasts un tūpļa ir drošs saziņas līdzeklis
Electronica Frotier Foundation ir atbildīgs par šī kritiskā trūkuma atklāšanu PGP protokolā
Lai sniegtu mums priekšstatu par risku, pastāstiet to Šo ievainojamību vispirms atklāja Fonds Electronic Frontier tieši pirmdienas rītā tieši pēc tam, kad liels vācu laikraksts pārtrauca ziņu embargo. Kad visa šī informācija ir publiskota, šajā pētījumā iesaistītā Eiropas pētnieku grupa burtiski ir sākusi paziņot, ka cilvēkiem vispār jāpārtrauc PGP šifrēšanas algoritmu lietošana, jo no šodienas nav ticamu risinājumu pret atklāto ievainojamību.
Kā pētnieki ir paziņojuši:
EFAIL uzbrukumi izmanto OpenPGP un S / MIME standartu ievainojamības, lai atklātu šifrētus e-pastus vienkāršā tekstā. Vienkārši sakot, EFAIL ļaunprātīgi izmanto HTML e-pasta aktīvo saturu, piemēram, ārēji ielādētus attēlus vai stilus, lai filtrētu vienkāršu tekstu caur pieprasītajiem URL. Lai izveidotu šos filtrēšanas kanālus, uzbrucējam vispirms ir jāiegūst piekļuve šifrētajiem e-pastiem, piemēram, pārtverot tīkla trafiku, apdraudot e-pasta kontus, e-pasta serverus, dublēšanas sistēmas vai klienta datorus. E-pastus pat varēja savākt pirms gadiem.
Uzbrucējs noteiktā veidā maina šifrētu e-pastu un nosūta šo manipulēto šifrēto e-pastu cietušajam. Upura e-pasta klients atšifrē e-pastu un ielādē jebkādu ārēju saturu, uzbrucējam filtrējot vienkāršo tekstu.
Daudzi ir drošības eksperti, kuri domā, ka šī ievainojamība ir pārvērtēta
Lai uzzinātu mazliet vairāk par PGP, pastāstiet jums, ka tas ir nekas cits kā šifrēšanas programmatūra, kas vismaz līdz šim tika uzskatīta par e-pasta drošības standarts. Šāda veida šifrēts e-pasts, daudziem šodien kaut kas būtisks saziņai, daudziem uzņēmumiem sāka uztraukties no visiem tiem ziņojumiem, kur tika paziņots par milzīgo elektronisko novērošanu, ko veica Amerikas Savienoto Valstu valdība.
Bīstamības robežās, ko var radīt šis atklājums, Patiesība ir tāda, ka ir daudz ekspertu, kas der, ka ievainojamība ir pārvērtēta Un visi pārmērīgi reaģē uz šo reklāmu. Piemērs tam ir mūsu vārdos Vernera kohs, GNU Privacy Guard vadošais autors, kurš burtiski komentē, ka veids, kā mazināt šo problēmu, ir burtiski pārtrauciet izmantot HTML pastu un izmantojiet autentificētu šifrēšanu.