Un equipo de investigadores europeos afirma haber encontrado vulnerabilidades críticas en PGP / GPG y S / MIME. PGP, que significa Pretty Good Privacy, es un código que se utiliza para cifrar las comunicaciones, comúnmente el correo electrónico. S / MIME, que significa Extensión de correo de Internet seguro / multipropósito, es una forma de firmar y cifrar el correo electrónico moderno y todos los conjuntos de caracteres extendidos, archivos adjuntos y contenido que contiene. Si desea el mismo nivel de seguridad en el correo electrónico que tiene en la mensajería cifrada de extremo a extremo, es probable que esté utilizando PGP / S / MIME. Y, ahora mismo, pueden ser vulnerables a los ataques.
Publicaremos vulnerabilidades críticas en el cifrado de correo electrónico PGP / GPG y S / MIME el 15 de mayo de 2018 a las 07:00 UTC. Pueden revelar el texto sin formato de los correos electrónicos cifrados, incluidos los correos electrónicos cifrados enviados en el pasado. #efail 1/4
- Sebastian Schinzel (@seecurity) 14 de mayo de 2018
Danny O'Brien y Gennie Genhart, escribiendo para El EFF:
Un grupo de investigadores de seguridad europeos ha publicado una advertencia sobre un conjunto de vulnerabilidades que afectan a los usuarios de PGP y S / MIME. EFF ha estado en comunicación con el equipo de investigación y puede confirmar que estas vulnerabilidades plantean un problema inmediato. riesgo para quienes usan estas herramientas para la comunicación por correo electrónico, incluida la posible exposición de los contenidos del pasado. mensajes.
Y:
Nuestro consejo, que refleja el de los investigadores, es deshabilite y / o desinstale inmediatamente las herramientas que desencriptan automáticamente el correo electrónico cifrado con PGP. Hasta que los defectos descritos en el documento se comprendan y solucionen más ampliamente, los usuarios deben hacer arreglos para el uso de canales seguros alternativos de extremo a extremo, como Signal, y dejar de enviar temporalmente y, especialmente, leer cifrados con PGP correo electrónico.
Dan Goodin en Ars Technica notas:
Tanto Schinzel como la publicación del blog de EFF remitieron a los afectados a las instrucciones de EFF para deshabilitar complementos en Thunderbird, macOS Mail y Outlook. Las instrucciones solo dicen "deshabilitar la integración de PGP en los clientes de correo electrónico". Curiosamente, no hay ningún consejo para eliminar aplicaciones PGP como Gpg4win, GNU Privacy Guard. Una vez que las herramientas de complementos se eliminan de Thunderbird, Mail o Outlook, las publicaciones de EFF dicen, "sus correos electrónicos no serán automáticamente descifrado ". En Twitter, los funcionarios de la EFF continuaron diciendo:" no descifre los mensajes PGP cifrados que reciba usando su correo electrónico cliente."
Werner Koch, sobre GNU Privacy Guard Gorjeo cuenta y el lista de correo de gnupg consiguió el informe y responde:
El tema de ese documento es que HTML se utiliza como un canal secundario para crear un oráculo para correos electrónicos encriptados modificados. Se sabe desde hace mucho tiempo que los correos HTML y, en particular, los enlaces externos como son malos si el MUA realmente los respeta (lo que muchos, mientras tanto, parecen hacer de nuevo; ver todos estos boletines). Debido a los analizadores MIME rotos, un grupo de MUA parecen concatenar partes mime HTML descifradas, lo que facilita la instalación de dichos fragmentos de HTML.
Hay dos formas de mitigar este ataque
No utilice correos HTML. O si realmente necesita leerlos, use un analizador MIME adecuado y no permita el acceso a enlaces externos.
Utilice cifrado autenticado.
Hay mucho que analizar aquí y los investigadores no darán a conocer sus hallazgos al público hasta mañana. Entonces, mientras tanto, si usa PGP y S / MIME para el correo electrónico encriptado, lea el artículo de EFF, lea el correo de gnupg y luego:
- Si se siente un poco preocupado, desactive temporalmente el cifrado de correo electrónico en panorama, correo de macOS, Thunderbirdetc. y cambie a algo como Signal, WhatsApp o iMessage para una comunicación segura hasta que se asiente el polvo.
- Si no está preocupado, siga atento a la historia y vea si algo cambia en los próximos días.
Siempre habrá exploits y vulnerabilidades, potenciales y comprobadas. Lo importante es que se divulguen éticamente, se informen de manera responsable y se aborden de manera expedita.
Actualizaremos esta historia a medida que se conozcan más. Mientras tanto, permítame si usa PGP / S / MIME para correo electrónico cifrado y, si es así, ¿cuál es su opinión?
Estos son los mejores auriculares inalámbricos que puede comprar a cualquier precio.
Los mejores auriculares inalámbricos son cómodos, suenan muy bien, no cuestan demasiado y caben fácilmente en un bolsillo.
Todo lo que necesita saber sobre la PS5: fecha de lanzamiento, precio y más.
Sony ha confirmado oficialmente que está funcionando en PlayStation 5. Aquí está todo lo que sabemos hasta ahora.
Nokia lanza dos nuevos teléfonos Android One económicos por menos de $ 200.
Nokia 2.4 y Nokia 3.4 son las últimas incorporaciones a la línea de teléfonos inteligentes económicos de HMD Global. Dado que ambos son dispositivos Android One, se garantiza que recibirán dos actualizaciones importantes del sistema operativo y actualizaciones de seguridad periódicas durante un máximo de tres años.
Estas son las mejores correas para Fitbit Sense y Versa 3.
Junto con el lanzamiento de Fitbit Sense y Versa 3, la compañía también presentó nuevas bandas infinitas. Hemos seleccionado los mejores para facilitarle las cosas.