Er zijn veel gelegenheden waarbij we op de een of andere manier hebben gezien hoe letterlijk internet niet veilig is. Op dit moment is de waarheid dat als bedrijven en multinationals over de hele wereld, dezelfde bedrijven die veel gebruikers hebben vertrouwd, hebben gezien hoe cybercriminelen erin zijn geslaagd toegang te krijgen tot hun servers en de wachtwoorden en persoonlijke gegevens van miljoenen van hun gebruikers te stelen, stel je dan eens voor dat kan worden gedaan met veel kleinere applicaties waar in veel gevallen beveiliging een achterstand inneemt.
Verre van dit alles, de waarheid is dat, en dit is veel verontrustender, er zijn veel beveiligingsprotocollen, die tot nu toe erg veilig leken, die beginnen te mislukken Bij deze gelegenheid gaan we het niet hebben over een e-mail of een bedrijf met voor- en achternaam dat je een beveiligd e-mailaccount biedt, maar juist over de protocollen die deze beveiligde platforms maken, die volgens een groep onderzoekers zouden kunnen aankomen om al uw e-mails bloot te stellen aan iedereen met voldoende kennis.
PGP, het standaard coderingsprotocol voor e-mail, heeft een kritieke kwetsbaarheid
Vertel u wat meer in detail en vertel u dat we het hebben over de beveiligingsprotocollen die tegenwoordig door veel bedrijven worden gebruikt om te coderen en zo hun klanten een veel veiligere e-maildienst te bieden. Concreet praten we over PGP- of S / MIME-coderingsalgoritmen, die, zoals is ontdekt, lijdt aan een ernstige kwetsbaarheid waardoor alle gecodeerde e-mails in platte tekst kunnen worden blootgesteld, zelfs al die berichten die u in het verleden zou kunnen verzenden.
Op een veel gemakkelijkere manier om de woorden van te begrijpen en ernaar te verwijzen Sebastiaan Schinzel, een van de beveiligingsspecialisten die aan dit project hebben gewerkt en op zijn beurt hoogleraar computerbeveiliging aan de universiteit voor toegepaste wetenschappen in Münster:
E-mail en anus is een veilig communicatiemiddel
Electronica Frotier Foundation is verantwoordelijk geweest voor het aan het licht brengen van deze kritieke tekortkoming in het PGP-protocol
Vertel u dat, om ons een idee te geven van het risico Deze kwetsbaarheid werd voor het eerst ontdekt door de Electronic Frontier Foundation precies op maandagochtend net nadat een grote oplage van de Duitse krant een nieuwsembargo had verbroken. Nadat al deze informatie openbaar was gemaakt, is de groep Europese onderzoekers die bij deze ontdekking betrokken was, letterlijk begonnen aan te kondigen dat mensen volledig moeten stoppen met het gebruik van PGP-coderingsalgoritmen, aangezien er tot op heden geen betrouwbare oplossingen zijn voor de gedetecteerde kwetsbaarheid.
Zoals de onderzoekers hebben verklaard:
EFAIL-aanvallen maken misbruik van kwetsbaarheden in de OpenPGP- en S / MIME-standaarden om versleutelde e-mails in platte tekst te onthullen. Simpel gezegd, EFAIL misbruikt actieve inhoud in HTML-e-mail, zoals extern geladen afbeeldingen of stijlen, om platte tekst door de opgevraagde URL's te filteren. Om deze exfiltratiekanalen te creëren, moet de aanvaller eerst toegang krijgen tot de gecodeerde e-mails, bijvoorbeeld door netwerkverkeer te onderscheppen, e-mailaccounts, e-mailservers, back-upsystemen of clientcomputers in gevaar te brengen. De e-mails kunnen zelfs jaren geleden zijn verzameld.
De aanvaller verandert een versleutelde e-mail op een bepaalde manier en stuurt deze gemanipuleerde versleutelde e-mail naar het slachtoffer. De e-mailclient van het slachtoffer ontsleutelt de e-mail en laadt alle externe inhoud, waarbij de platte tekst naar de aanvaller wordt geëxfiltreerd.
Velen zijn de beveiligingsexperts die denken dat dit beveiligingslek is overschat
Om er iets meer over te weten PGP, vertel u dat het niets anders is dan versleutelingssoftware die, althans tot nu toe, werd beschouwd als de standaard voor e-mailbeveiliging Dit soort gecodeerde e-mail, voor velen tegenwoordig iets essentieel voor hun communicatie, begon veel bedrijven zorgen te maken door al die rapporten waarin het enorme elektronische toezicht dat werd uitgevoerd door de Amerikaanse regering werd aangekondigd.
Binnen het gevaar dat deze bevinding kan opleveren, de waarheid is dat er veel experts zijn die wedden dat de kwetsbaarheid is overschat En iedereen reageert overdreven op deze advertentie. Een voorbeeld hiervan hebben we in de woorden van Werner Kocho, hoofdauteur van GNU Privacy Guard die letterlijk opmerkt dat de manier om dit probleem te verminderen letterlijk is stop met het gebruik van HTML-mail en gebruik geverifieerde codering.