Багато випадків ми бачили, так чи інакше, як буквально Інтернет не є безпечним. На даний момент правда полягає в тому, що якщо компанії та транснаціональні корпорації по всьому світу, ті самі, яким довіряли багато користувачів, побачили, як кіберзлочинці встигли отримати доступ до своїх серверів та викрасти паролі та особисті дані мільйонів своїх користувачів, уявіть це це можна зробити з набагато меншими програмами, де в багатьох випадках безпека займає заднє місце.
Далеко від усього цього, правда полягає в тому, і це набагато тривожніше, існує багато протоколів безпеки, які до цього часу здавалися дуже безпечними, і які починають давати збій. З цієї нагоди ми не будемо говорити про електронну пошту чи компанію з іменем та прізвищем, яка пропонує вам захищений обліковий запис електронної пошти, а саме про протоколи, які створюють ці захищені платформи, які, на думку групи дослідників, можуть надійти виставляти всі свої електронні листи всім, хто має достатньо знань.
PGP, стандартний протокол шифрування електронної пошти, має критичну вразливість
Заглиблюючись трохи детальніше, скажімо, що ми говоримо про протоколи безпеки, які сьогодні використовуються багатьма компаніями для шифрування і, таким чином, пропонують своїм клієнтам набагато безпечнішу електронну пошту. Конкретно ми говоримо про Алгоритми шифрування PGP або S / MIME, яка, як було виявлено, страждає від серйозної вразливості, через яку можуть бути викриті всі зашифровані електронні листи у відкритому тексті, навіть усі повідомлення, які ви могли надсилати раніше.
У набагато простіший спосіб зрозуміти слова та посилатися на них Себастьян Шінцель, один зі спеціалістів з безпеки, який працював над цим проектом, і, в свою чергу, професор комп'ютерної безпеки в Університеті прикладних наук у Мюнстері:
Електронна пошта та анус є безпечним засобом спілкування
Фонд Електроніка Фротьє відповідає за виявлення цього критичного недоліку в протоколі PGP
Щоб дати нам уявлення про ризик, скажіть вам це Вперше ця вразливість була виявлена Electronic Frontier Foundation саме в понеділок вранці відразу після того, як німецька газета, що вийшла з тиражу, порушила ембарго на новини. Після того, як вся ця інформація була оприлюднена, група європейських дослідників, залучених до цього відкриття, буквально почала оголошувати, що люди повинні взагалі припинити використання алгоритмів шифрування PGP, оскільки на сьогоднішній день не існує надійних рішень проти виявленої вразливості.
Як заявили дослідники:
Атаки EFAIL використовують вразливості в стандартах OpenPGP та S / MIME, щоб виявляти зашифровані електронні листи в простому тексті. Простіше кажучи, EFAIL зловживає активним вмістом у електронній пошті HTML, наприклад, зображеннями чи стилями, що завантажуються зовні, щоб фільтрувати звичайний текст через запитані URL-адреси. Для створення цих каналів вилучення зловмиснику спочатку потрібно отримати доступ до зашифрованих електронних листів, наприклад, перехоплюючи мережевий трафік, порушуючи облікові записи електронної пошти, сервери електронної пошти, резервні системи або клієнтські комп'ютери. Електронні листи можна було навіть збирати роки тому.
Зловмисник певним чином змінює зашифрований електронний лист і надсилає цей маніпульований зашифрований електронний лист жертві. Клієнт електронної пошти жертви розшифровує електронну пошту та завантажує будь-який зовнішній вміст, розширюючи відкритий текст для зловмисника.
Багато експертів із безпеки вважають, що ця вразливість була завищена
Щоб дізнатися трохи більше про PGP, кажу вам, що це не що інше, як програмне забезпечення для шифрування, яке, принаймні до цього часу, вважалося стандарт безпеки електронної пошти. Цей тип зашифрованої електронної пошти, який сьогодні для багатьох є важливим для їх комунікації, почав хвилювати багатьох компаній із усіх тих звітів, де було оголошено про величезне електронне спостереження, яке здійснюється урядом США.
В межах небезпеки, яку може представляти ця знахідка, Правда полягає в тому, що є багато експертів, які роблять ставку на те, що вразливість була завищена І всі надмірно реагують на цю рекламу. Приклад цього ми маємо словами Вернер кох, провідний автор GNU Privacy Guard, який буквально коментує, що спосіб пом'якшення цієї проблеми є буквально припинити використання пошти HTML та використовувати автентифіковане шифрування.