Nhiều trường hợp chúng ta đã thấy, theo cách này hay cách khác, Internet không an toàn theo nghĩa đen như thế nào. Tại thời điểm này, sự thật là nếu các công ty và công ty đa quốc gia trên khắp thế giới, cùng những công ty mà nhiều người dùng đã tin tưởng, đã thấy tội phạm mạng đã quản lý như thế nào để truy cập vào máy chủ của họ và đánh cắp mật khẩu và dữ liệu cá nhân của hàng triệu người dùng của họ, hãy tưởng tượng điều đó. có thể được thực hiện với các ứng dụng nhỏ hơn nhiều, trong đó, trong nhiều trường hợp, bảo mật chiếm vị trí hàng đầu.
Khác xa với tất cả những điều này, sự thật là như vậy, và điều này còn đáng lo ngại hơn nhiều, có nhiều giao thức bảo mật, mà cho đến nay dường như rất an toàn, đang bắt đầu không thành công. Nhân dịp này, chúng tôi sẽ không nói về một email hoặc một công ty có tên và họ cung cấp cho bạn một tài khoản email an toàn, mà chính xác là về các giao thức mà các nền tảng an toàn này tạo ra, mà theo một nhóm các nhà nghiên cứu, có thể đến. để hiển thị tất cả các email của bạn cho bất kỳ ai có đủ kiến thức.
PGP, giao thức mã hóa tiêu chuẩn cho email, có một lỗ hổng nghiêm trọng
Đi vào chi tiết hơn một chút, xin cho bạn biết rằng chúng ta đang nói về các giao thức bảo mật ngày nay được nhiều công ty sử dụng để mã hóa và do đó cung cấp cho khách hàng của họ một dịch vụ email an toàn hơn nhiều. Cụ thể chúng ta nói về Thuật toán mã hóa PGP hoặc S / MIME, như đã được phát hiện, có một lỗ hổng nghiêm trọng, theo đó tất cả các email bản rõ được mã hóa có thể bị lộ, thậm chí tất cả những thư mà bạn có thể gửi trước đây.
Theo một cách dễ hiểu hơn nhiều và đề cập đến các từ của Sebastian schinzel, một trong những chuyên gia bảo mật đã làm việc trong dự án này và lần lượt là giáo sư bảo mật máy tính tại Đại học Khoa học Ứng dụng ở Münster:
Email và hậu môn là một phương tiện liên lạc an toàn
Electronica Frotier Foundation đã chịu trách nhiệm đưa ra lỗ hổng nghiêm trọng này trong giao thức PGP
Để cung cấp cho chúng tôi ý tưởng về rủi ro, hãy cho bạn biết rằng Lỗ hổng này được phát hiện lần đầu tiên bởi Electronic Frontier Foundation chính xác vào sáng thứ Hai, ngay sau khi một tờ báo Đức có lượng phát hành lớn phá bỏ lệnh cấm vận đưa tin. Khi tất cả thông tin này được công khai, nhóm các nhà nghiên cứu châu Âu tham gia vào khám phá này đã bắt đầu thông báo rằng mọi người nên ngừng sử dụng các thuật toán mã hóa PGP hoàn toàn vì cho đến ngày nay, không có giải pháp đáng tin cậy nào chống lại lỗ hổng được phát hiện.
Như các nhà nghiên cứu đã nêu:
Các cuộc tấn công EFAIL khai thác các lỗ hổng trong tiêu chuẩn OpenPGP và S / MIME để tiết lộ các email được mã hóa ở dạng văn bản thuần túy. Nói một cách đơn giản, EFAIL lạm dụng nội dung đang hoạt động trong email HTML, chẳng hạn như hình ảnh hoặc kiểu được tải bên ngoài, để lọc văn bản thuần túy thông qua các URL được yêu cầu. Để tạo các kênh đào thải này, trước tiên kẻ tấn công cần có quyền truy cập vào các email được mã hóa, chẳng hạn bằng cách chặn lưu lượng mạng, xâm phạm tài khoản email, máy chủ email, hệ thống sao lưu hoặc máy khách. Các email thậm chí có thể đã được thu thập từ nhiều năm trước.
Kẻ tấn công thay đổi email được mã hóa theo một cách nhất định và gửi email mã hóa bị thao túng này cho nạn nhân. Ứng dụng khách email của nạn nhân giải mã email và tải bất kỳ nội dung bên ngoài nào, trích xuất bản rõ cho kẻ tấn công.
Nhiều chuyên gia bảo mật cho rằng lỗ hổng này đã được đánh giá quá cao
Để biết thêm một chút về PGP, nói với bạn rằng nó không hơn gì một phần mềm mã hóa, ít nhất là cho đến nay, đã được coi là tiêu chuẩn cho bảo mật email. Loại email được mã hóa này, đối với nhiều người ngày nay, một thứ thiết yếu cho liên lạc của họ, bắt đầu khiến nhiều công ty lo lắng từ tất cả các báo cáo nơi mà việc giám sát điện tử khổng lồ do chính phủ Hoa Kỳ thực hiện được công bố.
Trong phạm vi nguy hiểm mà phát hiện này có thể gây ra, Sự thật là có nhiều chuyên gia đặt cược rằng tính dễ bị tổn thương đã được đánh giá quá cao Và mọi người đều phản ứng thái quá với quảng cáo này. Một ví dụ về điều này chúng tôi có trong các từ Werner koch, tác giả chính của GNU Privacy Guard, người nhận xét theo nghĩa đen rằng cách để giảm thiểu vấn đề này theo đúng nghĩa đen ngừng sử dụng thư HTML và sử dụng mã hóa đã xác thực.