Uma equipe de pesquisadores europeus afirma ter encontrado vulnerabilidades críticas em PGP / GPG e S / MIME. PGP, que significa Pretty Good Privacy, é um código usado para criptografar comunicações, geralmente e-mail. S / MIME, que significa Secure / Multipurpose Internet Mail Extension, é uma maneira de assinar e criptografar e-mail moderno e todos os conjuntos de caracteres estendidos, anexos e conteúdo que ele contém. Se você deseja o mesmo nível de segurança em e-mail que tem em mensagens criptografadas de ponta a ponta, é provável que esteja usando PGP / S / MIME. E, agora, eles podem estar vulneráveis a hacks.
Publicaremos vulnerabilidades críticas na criptografia de e-mail PGP / GPG e S / MIME em 15/05/2018 às 07:00 UTC. Eles podem revelar o texto simples de emails criptografados, incluindo emails criptografados enviados no passado. #efail 1/4
- Sebastian Schinzel (@seecurity) 14 de maio de 2018
Danny O'Brien e Gennie Genhart, escrevendo para O EFF:
Um grupo de pesquisadores de segurança europeus lançou um alerta sobre um conjunto de vulnerabilidades que afetam os usuários de PGP e S / MIME. A EFF está em comunicação com a equipe de pesquisa e pode confirmar que essas vulnerabilidades representam um risco para aqueles que usam essas ferramentas para comunicação por e-mail, incluindo a potencial exposição de conteúdos anteriores mensagens.
E:
Nosso conselho, que reflete o dos pesquisadores, é desative e / ou desinstale imediatamente ferramentas que descriptografam automaticamente e-mails criptografados por PGP. Até que as falhas descritas no artigo sejam mais amplamente compreendidas e corrigidas, os usuários devem providenciar o uso de canais seguros ponta a ponta alternativos, como Signal, e interromper temporariamente o envio e, especialmente, a leitura criptografada por PGP o email.
Dan Goodin em Ars Technica notas:
Tanto Schinzel quanto a postagem do blog da EFF encaminharam os afetados às instruções da EFF para desativar plug-ins no Thunderbird, macOS Mail e Outlook. As instruções dizem apenas para "desativar a integração PGP em clientes de e-mail." Curiosamente, não há conselho para remover aplicativos PGP, como Gpg4win, GNU Privacy Guard. Uma vez que as ferramentas do plugin são removidas do Thunderbird, Mail ou Outlook, as postagens da EFF dizem, "seus e-mails não serão automaticamente descriptografado. "No Twitter, funcionários da EFF continuaram dizendo:" não descriptografe mensagens PGP criptografadas que você recebe usando seu e-mail cliente."
Werner Koch, do GNU Privacy Guard Twitter conta e o lista de discussão gnupg obteve o relatório e respondeu:
O tópico desse artigo é que o HTML é usado como um canal de apoio para criar um oráculo para e-mails criptografados modificados. Há muito se sabe que os e-mails em HTML e, em particular, os links externos como são ruins se o MUA realmente os honrar (o que muitos parecem fazer novamente; veja todos esses boletins informativos). Devido a analisadores MIME quebrados, um monte de MUAs parecem concatenar partes MIME HTML descriptografadas, o que torna mais fácil plantar esses snippets HTML.
Existem duas maneiras de mitigar este ataque
Não use emails em HTML. Ou se você realmente precisa lê-los, use um analisador MIME adequado e proíba qualquer acesso a links externos.
Use criptografia autenticada.
Há muito o que examinar aqui e os pesquisadores não divulgarão suas descobertas ao público até amanhã. Portanto, enquanto isso, se você usar PGP e S / MIME para e-mail criptografado, leia o artigo da EFF, leia o e-mail gnupg e:
- Se você se sentir um pouco preocupado, desative temporariamente a criptografia de e-mail em Outlook, macOS Mail, Thunderbirdetc. e mude para algo como Signal, WhatsApp ou iMessage para comunicação segura até que a poeira baixe.
- Se você não estiver preocupado, fique de olho na história e veja se algo muda nos próximos dias.
Sempre haverá exploits e vulnerabilidades, potenciais e comprovadas. O importante é que eles sejam divulgados de forma ética, relatados com responsabilidade e tratados com rapidez.
Atualizaremos esta história conforme mais informações se tornem conhecidas. Enquanto isso, deixe-me saber se você usa PGP / S / MIME para e-mail criptografado e, em caso afirmativo, qual a sua opinião?
Estes são os melhores fones de ouvido sem fio que você pode comprar a qualquer preço!
Os melhores fones de ouvido sem fio são confortáveis, têm um ótimo som, não custam muito e cabem facilmente no bolso.
Tudo o que você precisa saber sobre o PS5: data de lançamento, preço e muito mais.
A Sony confirmou oficialmente que está trabalhando no PlayStation 5. Aqui está tudo o que sabemos sobre isso até agora.
A Nokia lança dois novos telefones Android One de baixo custo abaixo de US $ 200.
Nokia 2.4 e Nokia 3.4 são as mais recentes adições à linha de smartphones baratos da HMD Global. Como ambos são dispositivos Android One, eles têm a garantia de receber duas atualizações importantes do sistema operacional e atualizações regulares de segurança por até três anos.
Estas são as melhores bandas para o Fitbit Sense e Versa 3.
Junto com o lançamento do Fitbit Sense e do Versa 3, a empresa também lançou novas bandas de infinito. Escolhemos os melhores para tornar as coisas mais fáceis para você.