Wiele razy widzieliśmy w taki czy inny sposób, jak dosłownie internet nie jest bezpieczny. W tym momencie prawda jest taka, że jeśli firmy i międzynarodowe koncerny na całym świecie, te same, którym zaufało wielu użytkowników, widziały, jak cyberprzestępcom udało się uzyskać dostęp do ich serwerów i ukraść hasła i dane osobowe milionów ich użytkowników, wyobraź sobie, że można to zrobić za pomocą znacznie mniejszych aplikacji, w których w wielu przypadkach bezpieczeństwo zajmuje tylną pozycję.
Daleko od tego wszystkiego, prawda jest taka, a to jest o wiele bardziej niepokojące, istnieje wiele protokołów bezpieczeństwa, które do tej pory wydawały się bardzo bezpieczne i które zaczynają zawodzić. Przy tej okazji nie będziemy rozmawiać o e-mailu ani o firmie z imieniem i nazwiskiem, która oferuje bezpieczne konto e-mail, ale właśnie o protokołach tworzonych przez te bezpieczne platformy, które według grupy badaczy mogą dotrzeć ujawniać wszystkie swoje e-maile każdemu, kto ma wystarczającą wiedzę.
PGP, standardowy protokół szyfrowania poczty e-mail, ma krytyczną lukę
Przechodząc do szczegółów, powiedz, że mówimy o protokołach bezpieczeństwa, które są dziś używane przez wiele firm do szyfrowania, a tym samym oferowania swoim klientom znacznie bezpieczniejszej usługi poczty elektronicznej. Konkretnie o tym mówimy Algorytmy szyfrowania PGP lub S / MIME, który, jak odkryto, ma poważną lukę w zabezpieczeniach, dzięki której wszystkie zaszyfrowane wiadomości e-mail w postaci zwykłego tekstu mogą zostać ujawnione, nawet te wszystkie wiadomości, które można było wysłać w przeszłości.
W dużo łatwiejszy sposób zrozumieć i odwołać się do słów Sebastian szynzel, jeden ze specjalistów ds. bezpieczeństwa, który pracował nad tym projektem, a z kolei profesor bezpieczeństwa komputerowego na Uniwersytecie Nauk Stosowanych w Münster:
Poczta e-mail i odbyt to bezpieczne środki komunikacji
Fundacja Electronica Frotier była odpowiedzialna za ujawnienie tej krytycznej luki w protokole PGP
Aby dać nam wyobrażenie o ryzyku, powiedz to Ta luka została po raz pierwszy wykryta przez Electronic Frontier Foundation Dokładnie w poniedziałek rano, tuż po tym, jak wielkoformatowa niemiecka gazeta złamała embargo informacyjne. Gdy wszystkie te informacje zostały upublicznione, grupa europejskich badaczy zaangażowanych w to odkrycie zaczęła dosłownie ogłaszać, że ludzie powinni całkowicie zaprzestać używania algorytmów szyfrowania PGP, ponieważ na dzień dzisiejszy nie ma wiarygodnych rozwiązań przeciwko wykrytej luce.
Jak stwierdzili naukowcy:
Ataki EFAIL wykorzystują luki w standardach OpenPGP i S / MIME w celu ujawnienia zaszyfrowanych wiadomości e-mail w postaci zwykłego tekstu. Mówiąc najprościej, EFAIL nadużywa aktywnej treści w e-mailach HTML, takich jak zewnętrznie ładowane obrazy lub style, do filtrowania zwykłego tekstu przez żądane adresy URL. Aby stworzyć te kanały eksfiltracji, osoba atakująca musi najpierw uzyskać dostęp do zaszyfrowanych wiadomości e-mail, na przykład przechwytując ruch sieciowy, włamując się do kont e-mail, serwerów poczty elektronicznej, systemów kopii zapasowych lub komputerów klienckich. E-maile mogły zostać zebrane nawet lata temu.
Atakujący zmienia zaszyfrowaną wiadomość e-mail w określony sposób i wysyła tę zmanipulowaną zaszyfrowaną wiadomość e-mail do ofiary. Klient poczty e-mail ofiary odszyfrowuje wiadomość e-mail i ładuje wszelką zawartość zewnętrzną, wyrzucając zwykły tekst do atakującego.
Wielu ekspertów ds. Bezpieczeństwa uważa, że ta luka została przeszacowana
Aby dowiedzieć się więcej o PGP, powiem ci, że jest to nic innego jak oprogramowanie szyfrujące, które przynajmniej do tej pory było uważane za standard bezpieczeństwa poczty elektronicznej. Ten rodzaj zaszyfrowanych wiadomości e-mail, dla wielu dziś coś istotnego dla ich komunikacji, zaczął niepokoić wiele firm z powodu tych wszystkich raportów, w których ogłoszono ogromny nadzór elektroniczny prowadzony przez rząd Stanów Zjednoczonych.
W ramach niebezpieczeństwa, jakie może spowodować to odkrycie, Prawda jest taka, że jest wielu ekspertów, którzy zakładają, że luka została przeceniona I wszyscy przesadzają z tą reklamą. Przykład tego mamy w słowach Werner koch, główny autor GNU Privacy Guard, który dosłownie komentuje, że sposobem na złagodzenie tego problemu jest dosłownie przestań używać poczty HTML i użyj uwierzytelnionego szyfrowania.