DAJ CYNK

Bezpieczna poczta nie istnieje. Szyfrowanie nic nie da, gdy klient ma dziurę

Dodane przez: Xyrcon

Kategoria: Bezpieczeństwo

Interakcje: 5358

Szyfrowanie e-mail

Szyfrowanie poczty to na ogół dobry pomysł, ale nie gwarantuje bezpieczeństwa. Nie chodzi o to, że OpenPGP czy S/MIME można złamać. Problem w tym, że klienty poczty mają luki w systemach wymiany kluczy i certyfikatów.

Naukowcy przeanalizowali zachowanie 18 klientów poczty, które mają możliwość korzystania z szyfrowania end-to-end OpenPGP i 18, które mogą korzystać z S/MIME. Wyniki są niepokojące. Sześć z pierwszej grupy i pięć z drugiej mają luki, pozwalające na odszyfrowanie wiadomości.

Zobacz: Gmail otrzymuje zakładki dla poczty, czatu, Rooms oraz Meet
Zobacz: Google wprowadza w G Suite usprawnienia dla mobilnych dokumentów

Jeszcze raz zaznaczę, że nie są to wady samego szyfrowania – tu nie ma do czego się przyczepić. Po prostu programy można trochę oszukać przy wysyłaniu wiadomości. Wynika to raczej z przekomplikowanej infrastruktury i możliwości wysyłania e-maili w różnych formatach. Dotyczy to także tego, jak programy do odbierania poczty traktują certyfikaty i cyfrowe podpisy.

W skrócie analitycy odkryli, że wysyłając odpowiednio spreparowany e-mail, można „poprosić” klienta poczty, by przekazał plik z kluczem szyfrującym bądź podmienić ten klucz na własny. Niektóre wersje popularnego Thunderbirda dla Linuxa można było przekonać, by wysłał klucze SSH jako załącznik, co pozwoliłoby atakującym na zdalne logowanie. Specjaliści pokazali ten atak w praktyce.

Bezpieczeństwo poczty elektronicznej wzięli na warsztat naukowcy z Uniwersytetu w Bohum i Münster, a wynik badania zaprezentowali podczas wirtualnej konferencji IEEE Conference on Communications and Network Security. Badanie doprowadziło do odkrycia pięciu luk, przy czym ze względów bezpieczeństwa dwie z nich nie zostały jeszcze ujawnione. Oczywiście deweloperzy klientów poczty zostali powiadomieni odpowiednio wcześniej – już w lutym. Raport wymienia Thinderbirda na Linuxa, a także GNOME Evolution, KDE KMail, IBM/HCL Notes i Pegasus Mail. Dla mnie to kolejny argument za tym, że e-mail musi odejść.

Zobacz: Sto dolarów, albo Twoje strony przestaną działać - nowa kampania w sieci
Zobacz: Nowa kampania phishingowa, na celowniku użytkownicy Office 365

Chcesz być na bieżąco? Obserwuj nas na Google News

Źródło tekstu: Ruhr-Universität Bochum

Przewiń w dół do następnego wpisu