Αρθρο

Ευπάθεια #EFAIL: Τι πρέπει να κάνουν οι χρήστες PGP και S / MIME αυτήν τη στιγμή

Μια ομάδα Ευρωπαίων ερευνητών ισχυρίζεται ότι βρήκε κρίσιμες ευπάθειες στα PGP / GPG και S / MIME. Το PGP, που σημαίνει Pretty Good Privacy, είναι κωδικός που χρησιμοποιείται για την κρυπτογράφηση των επικοινωνιών, συνήθως μέσω email. Το S / MIME, που σημαίνει Secure / Multipurpose Internet Mail Extension, είναι ένας τρόπος υπογραφής και κρυπτογράφησης σύγχρονου email και όλων των εκτεταμένων συνόλων χαρακτήρων, συνημμένων και περιεχομένου που περιέχει. Εάν θέλετε το ίδιο επίπεδο ασφάλειας στο email με το κρυπτογραφημένο μήνυμα από άκρο σε άκρο, είναι πιθανό να χρησιμοποιείτε PGP / S / MIME. Και, αυτή τη στιγμή, ενδέχεται να είναι ευάλωτα σε παραβιάσεις.

Θα δημοσιεύσουμε κρίσιμες ευπάθειες σε κρυπτογράφηση email PGP / GPG και S / MIME στις 2018-05-15 07:00 UTC. Μπορεί να αποκαλύψουν το απλό κείμενο κρυπτογραφημένων μηνυμάτων ηλεκτρονικού ταχυδρομείου, συμπεριλαμβανομένων κρυπτογραφημένων μηνυμάτων ηλεκτρονικού ταχυδρομείου που έχουν σταλεί στο παρελθόν. # αποτυχία 1/4

- Sebastian Schinzel (@seecurity) 14 Μαΐου 2018

Danny O'Brien και Gennie Genhart, γράφοντας για Το EFF:

Μια ομάδα ευρωπαίων ερευνητών ασφαλείας κυκλοφόρησε μια προειδοποίηση σχετικά με ένα σύνολο τρωτών σημείων που επηρεάζουν χρήστες PGP και S / MIME. Το EFF έχει επικοινωνήσει με την ερευνητική ομάδα και μπορεί να επιβεβαιώσει ότι αυτές οι ευπάθειες αποτελούν άμεση κίνδυνο για όσους χρησιμοποιούν αυτά τα εργαλεία για επικοινωνία μέσω ηλεκτρονικού ταχυδρομείου, συμπεριλαμβανομένης της πιθανής έκθεσης του περιεχομένου του παρελθόντος μηνύματα.

Και:

Η συμβουλή μας, η οποία αντικατοπτρίζει αυτή των ερευνητών, είναι απενεργοποιήστε αμέσως ή / και απεγκαταστήστε εργαλεία που αποκρυπτογραφούν αυτόματα κρυπτογραφημένα μηνύματα ηλεκτρονικού ταχυδρομείου PGP. Μέχρι τα ελαττώματα που περιγράφονται στο έγγραφο να γίνουν κατανοητά και να διορθωθούν ευρύτερα, οι χρήστες πρέπει να κανονίσουν τη χρήση του εναλλακτικά ασφαλή κανάλια από άκρο σε άκρο, όπως το σήμα, και να σταματήσετε προσωρινά την αποστολή και ιδιαίτερα την ανάγνωση κρυπτογραφημένων PGP ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ.

Dan Goodin στο Ars Technica σημειώσεις:

Τόσο η Schinzel όσο και η ανάρτηση ιστολογίου EFF παρέπεμψαν εκείνους που επηρεάστηκαν στις οδηγίες του EFF για την απενεργοποίηση των προσθηκών στο Thunderbird, το macOS Mail και το Outlook. Οι οδηγίες λένε μόνο "απενεργοποίηση της ενσωμάτωσης PGP σε πελάτες ηλεκτρονικού ταχυδρομείου." Είναι ενδιαφέρον ότι δεν υπάρχουν συμβουλές για την κατάργηση εφαρμογών PGP όπως το Gpg4win, το GNU Privacy Guard. Μόλις αφαιρεθούν τα εργαλεία προσθηκών από το Thunderbird, το Mail ή το Outlook, οι δημοσιεύσεις του EFF ανέφεραν ότι "τα email σας δεν θα είναι αυτόματα αποκρυπτογραφημένο. "Στο Twitter, αξιωματούχοι του EFF συνέχισαν να λένε:" μην αποκρυπτογραφείτε κρυπτογραφημένα μηνύματα PGP που λαμβάνετε χρησιμοποιώντας το email σας πελάτης."

Werner Koch, στο GNU Privacy Guard Κελάδημα λογαριασμός και το λίστα αλληλογραφίας gnupg κατέλαβε την αναφορά και ανταποκρίθηκε:

Το θέμα αυτού του χαρτιού είναι ότι το HTML χρησιμοποιείται ως οπίσθιο κανάλι για τη δημιουργία ενός μαντείου για τροποποιημένα κρυπτογραφημένα μηνύματα. Είναι από καιρό γνωστό ότι τα μηνύματα HTML και ιδίως οι εξωτερικοί σύνδεσμοι όπως είναι κακό αν το MUA τους τιμήσει πραγματικά (κάτι που εν τω μεταξύ πολλοί φαίνεται να κάνουν ξανά. δείτε όλα αυτά τα ενημερωτικά δελτία). Λόγω των σπασμένων αναλυτών MIME, ένα σωρό MUA φαίνεται να συνδυάζει αποκρυπτογραφημένα τμήματα mime HTML, γεγονός που διευκολύνει την εγκατάσταση τέτοιων αποσπάσεων HTML.

Υπάρχουν δύο τρόποι μετριασμού αυτής της επίθεσης

  • Μην χρησιμοποιείτε μηνύματα HTML. Ή εάν πρέπει πραγματικά να τα διαβάσετε χρησιμοποιήστε έναν κατάλληλο αναλυτή MIME και απαγορεύστε την πρόσβαση σε εξωτερικούς συνδέσμους.

  • Χρησιμοποιήστε αυθεντική κρυπτογράφηση.

Υπάρχουν πολλά να κοσκινίσουμε εδώ και οι ερευνητές δεν ανακοινώνουν τα ευρήματά τους στο κοινό μέχρι αύριο. Έτσι, στο μεταξύ, εάν χρησιμοποιείτε PGP και S / MIME για κρυπτογραφημένο email, διαβάστε το άρθρο EFF, διαβάστε το gnupg mail και, στη συνέχεια:

  • Εάν αισθάνεστε το λιγότερο ανησυχητικό, απενεργοποιήστε προσωρινά την κρυπτογράφηση email στο Αποψη, Mail macOS, Thunderbird, και τα λοιπά. και μεταβείτε σε κάτι όπως το Σήμα, το WhatsApp ή το iMessage για ασφαλή επικοινωνία μέχρι να ξεκουραστεί η σκόνη.
  • Εάν δεν ανησυχείτε, συνεχίστε να παρακολουθείτε την ιστορία και να δείτε αν αλλάξει κάτι τις επόμενες δύο ημέρες.

Θα υπάρχουν πάντα εκμεταλλεύσεις και ευπάθειες, πιθανές και αποδεδειγμένες. Αυτό που είναι σημαντικό είναι ότι αποκαλύπτονται ηθικά, αναφέρονται με υπευθυνότητα και αντιμετωπίζονται ταχέως.

Θα ενημερώσουμε αυτήν την ιστορία καθώς γίνονται πιο γνωστά. Εν τω μεταξύ, επιτρέψτε μου εάν χρησιμοποιείτε PGP / S / MIME για κρυπτογραφημένο email και, εάν ναι, ποια είναι η γνώμη σας;

Αυτά είναι τα καλύτερα ασύρματα ακουστικά που μπορείτε να αγοράσετε σε κάθε τιμή!
Ήρθε η ώρα να κόψετε το κορδόνι!

Αυτά είναι τα καλύτερα ασύρματα ακουστικά που μπορείτε να αγοράσετε σε κάθε τιμή!

Τα καλύτερα ασύρματα ακουστικά είναι άνετα, υπέροχα, δεν κοστίζουν πολύ και χωράνε εύκολα στην τσέπη.

Όλα όσα πρέπει να γνωρίζετε για το PS5: Ημερομηνία κυκλοφορίας, τιμή και πολλά άλλα
Επόμενη γενιά

Όλα όσα πρέπει να γνωρίζετε για το PS5: Ημερομηνία κυκλοφορίας, τιμή και πολλά άλλα.

Η Sony επιβεβαίωσε επίσημα ότι εργάζεται στο PlayStation 5. Εδώ είναι ό, τι γνωρίζουμε μέχρι τώρα.

Η Nokia λανσάρει δύο νέα τηλέφωνα Android One προϋπολογισμού κάτω των 200 $
Νέα Nokias

Η Nokia λανσάρει δύο νέα τηλέφωνα Android One προϋπολογισμού κάτω των 200 $

Το Nokia 2.4 και το Nokia 3.4 είναι οι τελευταίες προσθήκες στην οικονομική σειρά smartphone της HMD Global. Δεδομένου ότι είναι και οι δύο συσκευές Android One, είναι εγγυημένο ότι θα λαμβάνουν δύο σημαντικές ενημερώσεις λειτουργικού συστήματος και τακτικές ενημερώσεις ασφαλείας για έως και τρία χρόνια.

Αυτές είναι οι καλύτερες μπάντες για τα Fitbit Sense και Versa 3
Νέο και βελτιωμένο

Αυτές είναι οι καλύτερες μπάντες για τα Fitbit Sense και Versa 3.

Μαζί με την κυκλοφορία των Fitbit Sense και Versa 3, η εταιρεία παρουσίασε επίσης νέες μπάντες απείρου. Διαλέξαμε τα καλύτερα για να σας διευκολύνουμε.

instagram story viewer