Bezpieczeństwo

Bezpieczna poczta nie istnieje. Szyfrowanie nic nie da, gdy klient ma dziurę

Szyfrowanie poczty to na ogół dobry pomysł, ale nie gwarantuje bezpieczeństwa. Nie chodzi o to, że OpenPGP czy S/MIME można złamać. Problem w tym, że klienty poczty mają luki w systemach wymiany kluczy i certyfikatów.

Anna Rymsza (Xyrcon)
ANNA RYMSZA (XYRCON) 19 SIE 2020
2
Udostępnij na fb
Udostępnij na X
Bezpieczna poczta nie istnieje. Szyfrowanie nic nie da, gdy klient ma dziurę

Naukowcy przeanalizowali zachowanie 18 klientów poczty, które mają możliwość korzystania z szyfrowania end-to-end OpenPGP i 18, które mogą korzystać z S/MIME. Wyniki są niepokojące. Sześć z pierwszej grupy i pięć z drugiej mają luki, pozwalające na odszyfrowanie wiadomości.

Dalsza część tekstu pod wideo

Zobacz: Gmail otrzymuje zakładki dla poczty, czatu, Rooms oraz Meet
Zobacz: Google wprowadza w G Suite usprawnienia dla mobilnych dokumentów

Wybrane okazje dla Ciebie
Kolagen WEGAFARM Collagen Force Multi (30 saszetek)
Kolagen WEGAFARM Collagen Force Multi (30 saszetek)
0 zł
74.9 zł - najniższa cena
Kup teraz 74.9 zł
Książka 52 bajkowe opowiastki Niezwykłe przygody (twarda okładka)
Książka 52 bajkowe opowiastki Niezwykłe przygody (twarda okładka)
-4.99 zł
35.99 zł - najniższa cena
Kup teraz 31 zł
Niszczarka XQUANTUM PS300K 10 L, P-2, Paski, Automatyczny Start/Stop, Funkcja cofania
Niszczarka XQUANTUM PS300K 10 L, P-2, Paski, Automatyczny Start/Stop, Funkcja cofania
-22 zł
149.99 zł - najniższa cena
Kup teraz 127.99 zł
Advertisement

Jeszcze raz zaznaczę, że nie są to wady samego szyfrowania – tu nie ma do czego się przyczepić. Po prostu programy można trochę oszukać przy wysyłaniu wiadomości. Wynika to raczej z przekomplikowanej infrastruktury i możliwości wysyłania e-maili w różnych formatach. Dotyczy to także tego, jak programy do odbierania poczty traktują certyfikaty i cyfrowe podpisy.

W skrócie analitycy odkryli, że wysyłając odpowiednio spreparowany e-mail, można „poprosić” klienta poczty, by przekazał plik z kluczem szyfrującym bądź podmienić ten klucz na własny. Niektóre wersje popularnego Thunderbirda dla Linuxa można było przekonać, by wysłał klucze SSH jako załącznik, co pozwoliłoby atakującym na zdalne logowanie. Specjaliści pokazali ten atak w praktyce.

Bezpieczeństwo poczty elektronicznej wzięli na warsztat naukowcy z Uniwersytetu w Bohum i Münster, a wynik badania zaprezentowali podczas wirtualnej konferencji IEEE Conference on Communications and Network Security. Badanie doprowadziło do odkrycia pięciu luk, przy czym ze względów bezpieczeństwa dwie z nich nie zostały jeszcze ujawnione. Oczywiście deweloperzy klientów poczty zostali powiadomieni odpowiednio wcześniej – już w lutym. Raport wymienia Thinderbirda na Linuxa, a także GNOME Evolution, KDE KMail, IBM/HCL Notes i Pegasus Mail. Dla mnie to kolejny argument za tym, że e-mail musi odejść.

Zobacz: Sto dolarów, albo Twoje strony przestaną działać - nowa kampania w sieci
Zobacz: Nowa kampania phishingowa, na celowniku użytkownicy Office 365

Image
telepolis
e-mail poczta szyfrowanie klient e-mail OpenPGP S/MIME szyfrowanie poczty
Źródła tekstu: Ruhr-Universität Bochum