Slo-Tech - SKupian evropskih raziskovalcev je na Twiterju objavila opozorilo, da so v šifriranju elektronske pošte PGP/GPG in S/MIME našli skupino resnih ranljivosti, ki lahko napadalcu razkrijejo vsebino preteklih (šifriranih) sporočil.
Podrobnosti sicer še niso znane, jih bodo pa objavili jutri ob 9:00 zjutraj po našem času. Raziskovalci so s podrobnostmi ranljivosti predhodno seznanili Electronic Frontier Foundation, ki je potrdila, da gre za resno grožnjo.
Kot prvi ukrep se priporoča onemogočanje samodejnega dešifriranja sporočil, torej onemogočanje dodatkov za PGP/GPG šifriranje v poštnih odjemalcih (npr. Enigmail v odjemalcu Thunderbird, GPGTools v Apple Mail, Gpg4win v Outlook).
O podrobnostih bomo še poročali.
DODATEK: avtorji so predčasno objavili opis ranljivosti. Na kratko, gre za dve metodi. Prva je tim. neposredno uhajanje (angl. direct exfiltration), kjer napadalec vsebino šifriranega sporočila ukrade s pomočjo HTML image značke, vstavljene v ustrezno pripravljeno sporočilo. Druga metoda pa je tim. napad s CBC/CFB pripomočkom (angl. CBC/CFB Gadget Attack). Gre za napad, ki izkorišča specifičnost delovanja CBC (Cipher Block Chaining) šifriranja. Predpostavka tega napada je sicer, da napadalec pozna vsaj en polni blok navadnega besedila, kar pa v danem primeru ni problem, saj se S/MIME šifrirana e-poštna sporočila običajno začnejo s "Content-type: multipart/signed".
Kot omenjeno, je kratkoročna rešitev onemogočanje šifriranja v poštnem odjemalcu in onemogočanje HTML izrisa, dolgoročna rešitev pa bo zahtevala namestitev ustreznih posodobitev (ko bodo na voljo) ter popravek OpenPGP in S/MIME standardov.
Novice » Varnost » Odkrita resna ranljivost v PGP in S/MIME šifriranju elektronske pošte - podrobnosti še niso znane
b3D_950 ::
The researchers note that, at present, you’ll want to remove your PGP and S/MIME private keys from your email client, and decrypt incoming encrypted emails by copying and pasting the ciphertext into a separate app to decrypt and read your messages; this prevents your email client from transmitting the plaintext contents of your encrypted messages back to the attacker. Additionally, disabling HTML rendering for incoming email messages should also help protect you from unknowingly sending this information from your email client.
Ideally, email client developers should release patches for their software to prevent this vulnerability from being exploited, and those who maintain the PGP and S/MIME standard should update them and lock out malicious actors.
https://thenextweb.com/security/2018/05...
Ideally, email client developers should release patches for their software to prevent this vulnerability from being exploited, and those who maintain the PGP and S/MIME standard should update them and lock out malicious actors.
https://thenextweb.com/security/2018/05...
Zdaj ko je mir, jemo samo krompir.
ender ::
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.
cache invalidation, naming things and off-by-one errors.
MrStein ::
Predčasno so objavili detajle: https://efail.de/
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
poweroff ::
Kako, da ne. Napadalec prestreze sifriran mail, ga spakira v img tag, in mail plugin ga desifrira ter poslje na tvoj server z img zahtevkom. Meni se zdi kar resna rec.
Sicer zdaj pravijo, da zadostuje da v mail clientu onemogocis nalaganje oddaljenih vsebin.
Sicer zdaj pravijo, da zadostuje da v mail clientu onemogocis nalaganje oddaljenih vsebin.
sudo poweroff
LightBit ::
win64 ::
MrStein ::
So kje (zbrane?) informacije, kateri softver je bil in kdaj patch-an?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Email, kje se hranijo kopije,ali se lahko preuredi vsebino emailaOddelek: Pomoč in nasveti | 4888 (4221) | Besna Glista |
» | GPG šifiranje e-pošte preko proxyaOddelek: Omrežja in internet | 2477 (2136) | poweroff |
» | Preverjanje digitalnega podpisaOddelek: Informacijska varnost | 8434 (6586) | neki4 |
» | Hushmail ameriškim pravosodnim organom izročil šifrirne ključe uporabnikaOddelek: Novice / Zasebnost | 3697 (3697) | christooss |
» | Pipin odprti termin: Kako zavarovati elektronsko pošto pred prestrezanjem?Oddelek: Novice / Kiberpipa | 5580 (4318) | M.B. |