Slo-Tech - SKupian evropskih raziskovalcev je na Twiterju objavila opozorilo, da so v šifriranju elektronske pošte PGP/GPG in S/MIME našli skupino resnih ranljivosti, ki lahko napadalcu razkrijejo vsebino preteklih (šifriranih) sporočil.

Podrobnosti sicer še niso znane, jih bodo pa objavili jutri ob 9:00 zjutraj po našem času. Raziskovalci so s podrobnostmi ranljivosti predhodno seznanili Electronic Frontier Foundation, ki je potrdila, da gre za resno grožnjo.

Kot prvi ukrep se priporoča onemogočanje samodejnega dešifriranja sporočil, torej onemogočanje dodatkov za PGP/GPG šifriranje v poštnih odjemalcih (npr. Enigmail v odjemalcu Thunderbird, GPGTools v Apple Mail, Gpg4win v Outlook).

O podrobnostih bomo še poročali.

DODATEK: avtorji so predčasno objavili opis ranljivosti. Na kratko, gre za dve metodi. Prva je tim. neposredno uhajanje (angl. direct exfiltration), kjer napadalec vsebino šifriranega sporočila ukrade s pomočjo HTML image značke, vstavljene v ustrezno pripravljeno sporočilo....

Slo-Tech - Pred kratkim je Google izdal iskalnik za osebne računalnike poimenovan Google Desktop Search. Iskalnik išče datoteke po disku, med elektronsko pošto ter v medpomnilniku (cache). Uporabna zadeva? Vsekakor. A kot kaže tudi nevarna.

Eden izmed uporabnikov poštne liste PGP-USERS namreč poroča o eksperimentu, ki dokazuje, da uporaba programa PGP in Google Desktop Search-a ne gresta skupaj.

GDS namreč indeksira in v svoj pomnilnik doda vse dokumente, ki si jih uporabnik ogleda, tudi tiste, ki so zašifrirani (indeksira jih po tem, ko vnesete geslo), enako stori tudi z vsemi spletnimi stranmi, tudi tistimi, ki so zaščitene z geslom in uporabljajo SSL dostop. Celoten indeks pa GDS shrani na znano, nešifrirano in enostavno dostopno lokacijo na trdem disku, ki je seveda lahko dostopna tudi - hekerjem.

Test je potekal takole:
uporabnik je najprej ustvaril datoteko pptf.txt, jo zašifriral s PGP 8.1 in jo popolnoma izbrisal iz račnalnika (z 32-kratnim prehodom); na disku je ostala samo...