Många är de tillfällen då vi på ett eller annat sätt har sett hur bokstavligen internet inte är säkert. Vid den här tiden är sanningen att om företag och multinationella företag runt om i världen, samma som många användare har litat på, har sett hur cyberbrottslingar har lyckats komma åt sina servrar och stjäla lösenord och personuppgifter för miljoner av sina användare, föreställ dig att kan göras med mycket mindre applikationer där säkerhet i många fall går bakåt.
Långt ifrån allt detta är sanningen det, och detta är mycket mer oroande, det finns många säkerhetsprotokoll, som hittills verkade mycket säkra, som börjar misslyckas. Vid detta tillfälle ska vi inte prata om ett e-postmeddelande eller ett företag med ett namn och efternamn som erbjuder dig ett säkert e-postkonto, utan precis om de protokoll som dessa säkra plattformar gör, som enligt en grupp forskare kan komma fram att exponera alla dina e-postmeddelanden för alla med tillräcklig kunskap.
PGP, standardkrypteringsprotokollet för e-post, har en kritisk sårbarhet
Gå in på lite mer detaljer, säg att vi pratar om säkerhetsprotokoll som idag används av många företag för att kryptera och därmed erbjuda sina kunder en mycket säkrare e-posttjänst. Specifikt pratar vi om PGP- eller S / MIME-krypteringsalgoritmer, som, som har upptäckts, lider av en allvarlig sårbarhet där alla krypterade enkla e-postmeddelanden kan exponeras, till och med alla de meddelanden som du kan skicka tidigare.
På ett mycket lättare sätt att förstå och hänvisa till orden i Sebastian schinzel, en av säkerhetsspecialisterna som har arbetat med detta projekt och i sin tur professor i datasäkerhet vid University of Applied Sciences i Münster:
E-post och anus är ett säkert kommunikationsmedel
Electronica Frotier Foundation har varit ansvarig för att belysa denna kritiska brist i PGP-protokollet
Berätta det för att ge oss en uppfattning om risken Denna sårbarhet upptäcktes först av Electronic Frontier Foundation just på måndagsmorgonen strax efter att en tysk tidning i stor upplag bröt ett nyhetsembargo. När all denna information har offentliggjorts har gruppen europeiska forskare som är involverade i denna upptäckt bokstavligen börjat tillkännage att människor borde sluta använda PGP-krypteringsalgoritmer helt och hållet eftersom det hittills inte finns några pålitliga lösningar mot den upptäckta sårbarheten.
Som forskarna har sagt:
EFAIL-attacker utnyttjar sårbarheter i OpenPGP- och S / MIME-standarderna för att avslöja krypterade e-postmeddelanden i klartext. Enkelt uttryckt missbrukar EFAIL aktivt innehåll i HTML-e-post, som externt laddade bilder eller stilar, för att filtrera vanlig text genom de begärda webbadresserna. För att skapa dessa exfiltreringskanaler måste angriparen först få åtkomst till de krypterade e-postmeddelandena, till exempel genom att fånga upp nätverkstrafik, kompromissa med e-postkonton, e-postservrar, reservsystem eller klientdatorer. E-postmeddelandena kunde till och med ha samlats in för flera år sedan.
Angriparen ändrar ett krypterat e-postmeddelande på ett visst sätt och skickar detta manipulerade krypterade e-postmeddelande till offret. Offrets e-postklient dekrypterar e-postmeddelandet och laddar allt externt innehåll och exfiltrerar klartext till angriparen.
Många är säkerhetsexperter som tror att denna sårbarhet har överskattats
Att veta lite mer om PGP, berätta att det inte är något annat än ett krypteringsprogram som åtminstone hittills har betraktats som standard för e-postsäkerhet. Denna typ av krypterad e-post, för många idag, något som är väsentligt för deras kommunikation, började oroa många företag från alla rapporter där den enorma elektroniska övervakningen som genomfördes av USA: s regering tillkännagavs.
Inom faran att detta resultat kan utgöra sanningen är att det finns många experter som slår vad om att sårbarheten har överskattats Och alla överreagerar på den här annonsen. Ett exempel på detta har vi i orden av Werner koch, huvudförfattare till GNU Privacy Guard som bokstavligen kommenterar att sättet att mildra detta problem är bokstavligen sluta använda HTML-post och använd autentiserad kryptering.