» »

Odkrita resna ranljivost v PGP in S/MIME šifriranju elektronske pošte - podrobnosti še niso znane

Odkrita resna ranljivost v PGP in S/MIME šifriranju elektronske pošte - podrobnosti še niso znane

Slo-Tech - SKupian evropskih raziskovalcev je na Twiterju objavila opozorilo, da so v šifriranju elektronske pošte PGP/GPG in S/MIME našli skupino resnih ranljivosti, ki lahko napadalcu razkrijejo vsebino preteklih (šifriranih) sporočil.

Podrobnosti sicer še niso znane, jih bodo pa objavili jutri ob 9:00 zjutraj po našem času. Raziskovalci so s podrobnostmi ranljivosti predhodno seznanili Electronic Frontier Foundation, ki je potrdila, da gre za resno grožnjo.

Kot prvi ukrep se priporoča onemogočanje samodejnega dešifriranja sporočil, torej onemogočanje dodatkov za PGP/GPG šifriranje v poštnih odjemalcih (npr. Enigmail v odjemalcu Thunderbird, GPGTools v Apple Mail, Gpg4win v Outlook).

O podrobnostih bomo še poročali.

DODATEK: avtorji so predčasno objavili opis ranljivosti. Na kratko, gre za dve metodi. Prva je tim. neposredno uhajanje (angl. direct exfiltration), kjer napadalec vsebino šifriranega sporočila ukrade s pomočjo HTML image značke, vstavljene v ustrezno pripravljeno sporočilo. Druga metoda pa je tim. napad s CBC/CFB pripomočkom (angl. CBC/CFB Gadget Attack). Gre za napad, ki izkorišča specifičnost delovanja CBC (Cipher Block Chaining) šifriranja. Predpostavka tega napada je sicer, da napadalec pozna vsaj en polni blok navadnega besedila, kar pa v danem primeru ni problem, saj se S/MIME šifrirana e-poštna sporočila običajno začnejo s "Content-type: multipart/signed".

Kot omenjeno, je kratkoročna rešitev onemogočanje šifriranja v poštnem odjemalcu in onemogočanje HTML izrisa, dolgoročna rešitev pa bo zahtevala namestitev ustreznih posodobitev (ko bodo na voljo) ter popravek OpenPGP in S/MIME standardov.

10 komentarjev

b3D_950 ::

The researchers note that, at present, you’ll want to remove your PGP and S/MIME private keys from your email client, and decrypt incoming encrypted emails by copying and pasting the ciphertext into a separate app to decrypt and read your messages; this prevents your email client from transmitting the plaintext contents of your encrypted messages back to the attacker. Additionally, disabling HTML rendering for incoming email messages should also help protect you from unknowingly sending this information from your email client.

Ideally, email client developers should release patches for their software to prevent this vulnerability from being exploited, and those who maintain the PGP and S/MIME standard should update them and lock out malicious actors.

https://thenextweb.com/security/2018/05...
Zdaj ko je mir, jemo samo krompir.

ender ::

There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

MrStein ::

Predčasno so objavili detajle: https://efail.de/
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

LightBit ::

Ni tako zelo resno.

poweroff ::

Kako, da ne. Napadalec prestreze sifriran mail, ga spakira v img tag, in mail plugin ga desifrira ter poslje na tvoj server z img zahtevkom. Meni se zdi kar resna rec.

Sicer zdaj pravijo, da zadostuje da v mail clientu onemogocis nalaganje oddaljenih vsebin.
sudo poweroff

SeMiNeSanja ::

Še ni konec slabih novic za danes....

LightBit ::

poweroff je izjavil:

Kako, da ne.


Zato:

poweroff je izjavil:

Sicer zdaj pravijo, da zadostuje da v mail clientu onemogocis nalaganje oddaljenih vsebin.

In to je večinoma privzeto (oz. bi moralo biti).

Kakšna varnost je to, če se povezuješ na druge serverje?

win64 ::

SeMiNeSanja je izjavil:

Še ni konec slabih novic za danes....


Klasičen Phishing. Nič novega...

Redorange ::

MrStein ::

So kje (zbrane?) informacije, kateri softver je bil in kdaj patch-an?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Email, kje se hranijo kopije,ali se lahko preuredi vsebino emaila

Oddelek: Pomoč in nasveti
374384 (3717) Besna Glista
»

GPG šifiranje e-pošte preko proxya

Oddelek: Omrežja in internet
162329 (1988) poweroff
»

Preverjanje digitalnega podpisa

Oddelek: Informacijska varnost
338170 (6322) neki4
»

Hushmail ameriškim pravosodnim organom izročil šifrirne ključe uporabnika

Oddelek: Novice / Zasebnost
73513 (3513) christooss
»

Pipin odprti termin: Kako zavarovati elektronsko pošto pred prestrezanjem?

Oddelek: Novice / Kiberpipa
475363 (4101) M.B.

Več podobnih tem