Muitas são as ocasiões em que vimos, de uma forma ou de outra, como a internet literalmente não é segura. Neste ponto, a verdade é que se empresas e multinacionais ao redor do mundo, as mesmas em que muitos usuários confiaram, viram como os cibercriminosos conseguiram acessar seus servidores e roubar senhas e dados pessoais de milhões de seus usuários, imagine que pode ser feito com aplicativos muito menores onde, em muitos casos, a segurança fica em segundo plano.
Longe de tudo isso, a verdade é que, e isso é muito mais preocupante, existem muitos protocolos de segurança, que até agora pareciam muito seguros, que estão começando a falhar. Nesta ocasião não vamos falar de um e-mail ou de uma empresa com nome e apelido que lhe oferece uma conta de e-mail segura, mas precisamente sobre os protocolos que estas plataformas seguras fazem, que, segundo um grupo de investigadores, podem chegar para expor todos os seus e-mails a qualquer pessoa com conhecimento suficiente.
PGP, o protocolo de criptografia padrão para e-mail, tem uma vulnerabilidade crítica
Indo um pouco mais detalhadamente, avisamos que estamos falando dos protocolos de segurança que hoje são usados por muitas empresas para criptografar e, assim, oferecer aos seus clientes um serviço de e-mail muito mais seguro. Especificamente, falamos sobre Algoritmos de criptografia PGP ou S / MIME, que, como foi descoberto, sofre de uma grave vulnerabilidade em que todos os e-mails criptografados em texto simples podem ser expostos, até mesmo todas as mensagens que você poderia enviar no passado.
De uma maneira muito mais fácil de entender e referir-se às palavras de Sebastian schinzel, um dos especialistas em segurança que têm trabalhado neste projeto e, por sua vez, professor de segurança informática da Universidade de Ciências Aplicadas de Münster:
Email e ânus são meios de comunicação seguros
A Electronica Frotier Foundation foi responsável por trazer à tona esta falha crítica no protocolo PGP
Para nos dar uma ideia do risco, diga que Esta vulnerabilidade foi detectada pela primeira vez pela Electronic Frontier Foundation precisamente na manhã de segunda-feira, logo após um jornal alemão de grande circulação quebrar um embargo de notícias. Uma vez que toda essa informação foi tornada pública, o grupo de pesquisadores europeus envolvidos nesta descoberta começou literalmente a anunciar que as pessoas deveriam parar de usar algoritmos de criptografia PGP por completo, visto que, até hoje, não existem soluções confiáveis contra a vulnerabilidade detectada.
Como os pesquisadores declararam:
Os ataques EFAIL exploram vulnerabilidades nos padrões OpenPGP e S / MIME para revelar e-mails criptografados em texto simples. Simplificando, EFAIL abusa de conteúdo ativo em e-mail HTML, como imagens ou estilos carregados externamente, para filtrar texto simples através de URLs solicitados. Para criar esses canais de exfiltração, o invasor precisa primeiro obter acesso aos emails criptografados, por exemplo, interceptando o tráfego de rede, comprometendo contas de email, servidores de email, sistemas de backup ou computadores clientes. Os e-mails podem até ter sido coletados anos atrás.
O invasor altera um email criptografado de uma certa maneira e envia esse email criptografado manipulado para a vítima. O cliente de e-mail da vítima descriptografa o e-mail e carrega qualquer conteúdo externo, exfiltrando o texto simples para o invasor.
Muitos são os especialistas em segurança que pensam que esta vulnerabilidade foi superestimada
Para saber um pouco mais sobre PGP, dizer que nada mais é do que um software de criptografia que, pelo menos até agora, foi considerado o padrão para segurança de e-mail. Esse tipo de e-mail criptografado, para muitos hoje algo essencial para suas comunicações, começou a preocupar muitas empresas a partir de todos aqueles relatórios onde se anunciava a enorme vigilância eletrônica que estava sendo realizada pelo governo dos Estados Unidos.
Dentro do perigo que esta descoberta pode representar, A verdade é que há muitos especialistas que apostam que a vulnerabilidade foi superestimada E todo mundo está reagindo de forma exagerada a este anúncio. Um exemplo disso temos nas palavras de Werner Koch, autor principal do GNU Privacy Guard que literalmente comenta que a maneira de mitigar esse problema é literalmente pare de usar email em HTML e use criptografia autenticada.