html текст
All interests
  • All interests
  • Design
  • Food
  • Gadgets
  • Humor
  • News
  • Photo
  • Travel
  • Video
Click to see the next recommended page
Like it
Don't like
Add to Favorites

Эксперты по компьютерной безопасности призвали отказаться от популярного способа шифрования почты. Почему?

1

Что случилось?

Исследователи из Мюнстерского университета прикладных наук, Рурского университета в Бохуме и Левенского католического университета обнаружили несколько уязвимостей в почтовых клиентах при шифровании переписки по протоколам S/MIME и OpenPGP.

Найденные уязвимости они назвали EFAIL. Из-за них злоумышленники могут расшифровать сообщения, не владея приватным ключом. Исследователи и правозащитная организация Electronic Frontier Foundation призвали временно перестать пользоваться электронной почтой для обмена конфиденциальной информацией.

2
А что это за уязвимости?

Для начала надо сказать, что современные почтовые клиенты могут показывать не только простые письма, которые не содержат ничего кроме текста, но и письма с HTML-версткой — по сути, отдельные веб-страницы. Самый простой пример — письма с фотографиями. Именно этой особенностью и могут воспользоваться потенциальные хакеры.

Злоумышленник перехватывает зашифрованное сообщение и немного изменяет незашифрованную часть — как будто добавляет туда ссылку на картинку, которую получателю надо загрузить. На самом деле в эту ссылку злоумышленник вставляет всю зашифрованную часть письма. Почтовый клиент (исследование показало, что такая уязвимость есть у многих клиентов — Apple Mail, iOS Mail и Mozilla Thunderbird) сначала расшифровывает секретную часть, а только потом пытается загрузить картинку. Для этого он отправляет запрос к серверу domain.name, который контролирует злоумышленник: но вместо пути к конкретной картинке (например, http://domain.name/image/cat.gif) в запросе содержится весь расшифрованный текст http://domain.name/<исходный текст шифровки>. Получается, что злоумышленник получает на свой сервер секретное письмо в зашифрованном виде.

Есть еще другой вариант атаки, который устроен примерно таким же образом, только ссылка на «картинку» внедряется прямо в зашифрованную часть письма.

3
Не понял, так можно расшифровать любое мое письмо?

Все зависит от того, меняли ли вы когда-нибудь ключ (или подключ) для шифрования. Если вы этого никогда не делали, вся ваша переписка действительно может оказаться под угрозой. Если же вы когда-то потеряли или просто удалили старый приватный ключ и сгенерировали новую пару, то злоумышленник не сможет получить исходный текст старых писем.

4
Еще раз — это проблема почтовых клиентов? Или стоит отказаться от самих программ шифрования?

Уязвимость касается только почтовых клиентов, а не программ шифрования вроде GnuPG. EFAIL не приводит к утечке вашего приватного ключа. Злоумышленник в случае успешной атаки получит только исходный текст зашифрованного сообщения. Для расшифровки каждого нового текста ему нужно организовывать новую атаку.

Кроме того, PGP не ограничивается одной только электронной почтой. Например, существуют менеджер паролей pass или система анонимного общения источников с редакциями изданий SecureDrop. Они используют для шифрования приватные ключи PGP, но не подвержены атакам EFAIL.

5
Все почтовые клиенты уязвимы?

Нет. По словам исследователей, им удалось обмануть только 10 из 28 почтовых клиентов, имеющих шифровать переписку по протоколу OpenPGP. В случае с протоколом S/MIME успешные атаки удалось провести против 25 из 35 почтовых клиентов.

6
Тогда зачем отказываться от шифрования, если мой почтовый клиент не уязвим?

Потому что вы, скорее всего, не можете полностью контролировать ваш круг общения. Зашифрованную переписку можно получить, атаковав не вас, а вашего адресата. Чтобы безопасно шифровать переписку теперь необходимо удостовериться, что весь ваш круг общения тоже использует неуязвимые почтовые клиенты.

7
Что делать, если я параноик?

Откажитесь от электронной почты вообще. PGP не шифрует информацию об отправителях с получателями и (за редким исключением) темы писем. То есть злоумышленник или спецслужбы с доступом к вашему почтовому провайдеру смогут восстановить круг общения и примерные темы переписки.

Вместо шифрования электронной почты представители Electronic Frontier Foundation предлагают перейти на использование защищенных мессенджеров вроде Signal.

8
А еще!
Как жить? Лучшие карточки «Медузы» в одной книге

Денис Дмитриев

Читать дальше
Twitter
Одноклассники
Мой Мир

материал с meduza.io

1

      Add

      You can create thematic collections and keep, for instance, all recipes in one place so you will never lose them.

      No images found
      Previous Next 0 / 0
      500
      • Advertisement
      • Animals
      • Architecture
      • Art
      • Auto
      • Aviation
      • Books
      • Cartoons
      • Celebrities
      • Children
      • Culture
      • Design
      • Economics
      • Education
      • Entertainment
      • Fashion
      • Fitness
      • Food
      • Gadgets
      • Games
      • Health
      • History
      • Hobby
      • Humor
      • Interior
      • Moto
      • Movies
      • Music
      • Nature
      • News
      • Photo
      • Pictures
      • Politics
      • Psychology
      • Science
      • Society
      • Sport
      • Technology
      • Travel
      • Video
      • Weapons
      • Web
      • Work
        Submit
        Valid formats are JPG, PNG, GIF.
        Not more than 5 Мb, please.
        30
        surfingbird.ru/site/
        RSS format guidelines
        500
        • Advertisement
        • Animals
        • Architecture
        • Art
        • Auto
        • Aviation
        • Books
        • Cartoons
        • Celebrities
        • Children
        • Culture
        • Design
        • Economics
        • Education
        • Entertainment
        • Fashion
        • Fitness
        • Food
        • Gadgets
        • Games
        • Health
        • History
        • Hobby
        • Humor
        • Interior
        • Moto
        • Movies
        • Music
        • Nature
        • News
        • Photo
        • Pictures
        • Politics
        • Psychology
        • Science
        • Society
        • Sport
        • Technology
        • Travel
        • Video
        • Weapons
        • Web
        • Work

          Submit

          Thank you! Wait for moderation.

          Тебе это не нравится?

          You can block the domain, tag, user or channel, and we'll stop recommend it to you. You can always unblock them in your settings.

          • meduza.io
          • университет
          • безопасность
          • исследования
          • домен meduza.io

          Get a link

          Спасибо, твоя жалоба принята.

          Log on to Surfingbird

          Recover
          Sign up

          or

          Welcome to Surfingbird.com!

          You'll find thousands of interesting pages, photos, and videos inside.
          Join!

          • Personal
            recommendations

          • Stash
            interesting and useful stuff

          • Anywhere,
            anytime

          Do we already know you? Login or restore the password.

          Close

          Add to collection

             

            Facebook

            Ваш профиль на рассмотрении, обновите страницу через несколько секунд

            Facebook

            К сожалению, вы не попадаете под условия акции