Multe sunt ocaziile în care am văzut, într-un fel sau altul, cât de literal internetul nu este sigur. În acest moment, adevărul este că, dacă companiile și multinaționalele din întreaga lume, aceleași în care mulți utilizatori au avut încredere, au văzut cum infractorii cibernetici au reușit să își acceseze serverele și să fure parolele și datele personale ale milioanelor de utilizatori ai acestora, imaginați-vă acest lucru se poate face cu aplicații mult mai mici în care, în multe cazuri, securitatea are loc pe spate.
Departe de toate acestea, adevărul este că, și acest lucru este mult mai îngrijorător, există multe protocoale de securitate, care până acum păreau foarte sigure, care încep să eșueze. Cu această ocazie nu vom vorbi despre un e-mail sau despre o companie cu nume și prenume care vă oferă un cont de e-mail securizat, ci tocmai despre protocoalele pe care le fac aceste platforme sigure, care, potrivit unui grup de cercetători, ar putea ajunge să expuneți toate e-mailurile dvs. oricui are cunoștințe suficiente.
PGP, protocolul standard de criptare pentru e-mail, are o vulnerabilitate critică
Intrând în detaliu ceva mai mult, vă anunțăm că vorbim despre protocoalele de securitate care astăzi sunt utilizate de multe companii pentru a cripta și, astfel, oferă clienților lor un serviciu de e-mail mult mai sigur. Mai exact vorbim despre Algoritmi de criptare PGP sau S / MIME, care, după cum sa descoperit, suferă de o vulnerabilitate gravă prin care pot fi expuse toate e-mailurile criptate în text simplu, chiar și toate acele mesaje pe care le-ați putea trimite în trecut.
Într-un mod mult mai ușor de a înțelege și de a face referire la cuvintele lui Sebastian schinzel, unul dintre specialiștii în securitate care au lucrat la acest proiect și, la rândul său, profesor de securitate informatică la Universitatea de Științe Aplicate din Münster:
E-mailul și anusul sunt un mijloc sigur de comunicare
Fundația Electronica Frotier a fost responsabilă pentru scoaterea la iveală a acestui defect critic în protocolul PGP
Pentru a ne face o idee despre risc, spuneți-vă asta Această vulnerabilitate a fost detectată pentru prima dată de Electronic Frontier Foundation tocmai luni dimineață, imediat după ce un ziar german de tiraj mare a rupt un embargo de știri. Odată ce toate aceste informații au fost făcute publice, grupul de cercetători europeni implicați în această descoperire a început literalmente să anunțe că oamenii ar trebui să înceteze să utilizeze complet algoritmii de criptare PGP, deoarece, până în prezent, nu există soluții fiabile împotriva vulnerabilității detectate.
După cum au afirmat cercetătorii:
Atacurile EFAIL exploatează vulnerabilitățile din standardele OpenPGP și S / MIME pentru a dezvălui e-mailuri criptate în text simplu. Pur și simplu, EFAIL abuzează de conținutul activ din e-mailurile HTML, cum ar fi imaginile sau stilurile încărcate extern, pentru a filtra textul simplu prin adresele URL solicitate. Pentru a crea aceste canale de exfiltrare, atacatorul trebuie mai întâi să aibă acces la e-mailurile criptate, de exemplu prin interceptarea traficului de rețea, compromiterea conturilor de e-mail, a serverelor de e-mail, a sistemelor de rezervă sau a computerelor client. E-mailurile ar fi putut fi colectate chiar cu ani în urmă.
Atacatorul schimbă un e-mail criptat într-un anumit mod și trimite acest e-mail manipulat criptat victimei. Clientul de e-mail al victimei decriptează e-mailul și încarcă orice conținut extern, exfiltrând textul clar către atacator.
Mulți sunt experții în securitate care cred că această vulnerabilitate a fost supraestimată
Să știi ceva mai mult despre PGP, vă spun că nu este altceva decât un software de criptare care, cel puțin până acum, a fost considerat drept standard pentru securitatea e-mailurilor. Acest tip de e-mail criptat, pentru mulți astăzi ceva esențial pentru comunicațiile lor, a început să îngrijoreze multe companii din toate acele rapoarte în care a fost anunțată enorma supraveghere electronică care era efectuată de guvernul Statelor Unite.
În pericolul pe care îl poate prezenta această constatare, Adevărul este că există mulți experți care pariază că vulnerabilitatea a fost supraestimată Și toată lumea reacționează excesiv la acest anunț. Un exemplu în acest sens îl avem în cuvintele lui Werner koch, autor principal al GNU Privacy Guard, care comentează literalmente că modalitatea de a atenua această problemă este literalmente nu mai folosiți e-mail HTML și utilizați criptarea autentificată.