Форум в сети TOR [?] | Создай своё зеркало девсайда [?] | Бесплатный VPN

[?]

А ещё есть бесплатный VPN, без авторизации, логов и ограничений:


Инструкция для подключения с любых платформ

  1. Статья должна быть актуальна и аргументирована, в ней должны быть обобщены факты, или проведен анализ важных явлений для конкретных групп людей.
    В статьях, авторы публикуют свои мысли, свое видение различных аспектов жизни и деятельности для читателей.
    Для публикации мануала или способа заработка есть другой раздел.
    Не нужно постить обзоры, рекламму каких либо сервисов, программ, тем более со своими реф. ссылками. Есть рекламный раздел.
    Запрещены политические новости.
    Для добавления новости, воспользуйтесь этой формой. Мы платим по 200 рублей за уникальную статью!
Скрыть объявление
Подписывайся на наш канал в Телеграм!
Каждый день форум постит туда самую популярную тему! Последняя информация о работе форума и новости сначала появляются там!
А ты подписался?
Скрыть объявление
Создай своё зеркало девсайда!
Привяжи к форуму свой домен, раздай его друзьям и ты будешь иметь доступ к форуму даже если нас заблокирует роскомнадзор!
А ты обезопасился?

 Что случилось с PGP и S/MIME: как работает уязвимость Efail

Тема в разделе "Информационная безопасность", создана пользователем News_Bot, 16 май 2018.

От News_Bot 16 май 2018 в 14:45
  1. News_Bot

    News_Bot Бот новостей и статей
    Бот форума

    Регистрация:
    29 сен 2016
    Сообщения:
    2.618
    Симпатии:
    28
    Отдано:
    1 ГБ
    Скачано:
    0 байт
    Торрент-рейтинг:
    -
    Что случилось с PGP и S/MIME: как работает уязвимость Efail
    [​IMG]


    В начале текущей недели группа из девяти европейских ученых, во главе с профессором Университета прикладных наук в Мюнстере Себастьяном Шинцелем (Sebastian Schinzel), предупредила о критических уязвимостях в составе PGP и S/MIME. Экспертов поддержали представители Фонда электронных рубежей (Electronic Frontier Foundation, EFF); они подтвердили критичность обнаруженных проблем и опубликовали сообщение, в котором призвали пользователей отключить или деинсталлировать инструменты работы с PGP и S/MIME. Сообщалось, что исправлений для проблем пока нет, в качестве альтернативного способа защищенной связи пользователям советовали обратить внимание на мессенджер Signal.

    Как и было обещано, теперь обнародованы все технические подробности обнаруженных багов: с ними можно ознакомиться на официальном сайте efail.de и в официальном докладе специалистов (PDF).

    Как выяснилось, разработчики и специалисты по безопасности были отчасти правы, когда призывали не паниковать и называли проблему Efail очередным хайпом. Оказалось, что с самими технологиями и криптографией все в порядке, а проблемы кроются в имплементациях и окружающей экосистеме. В частности, уязвимы почтовые клиенты (Thunderbird, Outlook, Apple Mail) и PGP-плагины для них (Enigmail, Gpg4win и GPG Tools, соответственно).

    [​IMG]

    Более того, для эксплуатации уязвимостей атакующему сначала понадобится получить доступ к переписке своей жертвы, то есть предварительно потребуется произвести атаку на почтовый сервер, взломать чужую почту или перехватить трафик посредством атаки man-in-the-middle.

    [​IMG]

    В сущности, атака подразумевает, что злоумышленник, заполучивший в свое распоряжение зашифрованные письма, оснастит их HTML-тегами и хитростью заставит оригинального отправителя (или одного из реципиентов) открыть ставшее вредоносным послание. Эксплуатация проблем тесно сопряжена с тем, как почтовые клиенты и их плагины обрабатывают HTML и ссылки на внешние источники, к примеру, изображения и стили, подгружаемые с внешних URL.

    Дело в том, что почтовые клиенты, как правило, сконфигурированы таким образом, чтобы автоматически дешифровать содержимое защищенных писем. Если клиент при этом еще и автоматически подгружает данные из внешних источников, этим могут воспользоваться атакующие, прислав своей цели модифицированную версию зашифрованного послания и, конечном итоге, получив его расшифрованную копию.

    Так, атакующий может использовать теги img или style, разместив их в незашифрованной части HTML-писем (а именно в MIME-заголовках), как показано на иллюстрации ниже. Фактически, письмо превращается в multipart HTML-сообщение, и внутри тега содержится зашифрованный текст. В итоге, когда уязвимый клиент будет расшифровывать это послание, он перейдет к автоматической обработке HTML и отправит уже дешифрованный текст злоумышленнику в рамках использованного тега.

    [​IMG]

    [​IMG] [​IMG]

    Еще одним способ атаки, предложенный исследователями, предполагает эксплуатацию уязвимостей в спецификациях OpenPGP (CVE-2017-17688) и S/MIME (CVE-2017-17689) и манипуляции блоками шифротекста в режимах CBC и CFB. В данном случае так же используются HTML-теги.

    [​IMG]
    «Как только жертва откроет письмо в своем почтовом клиенте, подставной шифротекст будет расшифрован: вначале приватный ключ жертвы будет использован для расшифровки ключа сессии s, а затем ключ сессии будет использован для расшифровки подставного шифротекста c. В результате, благодаря манипуляциям, расшифрованный текст будет содержать канал эксфильтрации [данных], например, HTML-гиперссылку. Этот канал затем будет использован для отправки расшифрованного текста атакующему (целиком или его части)», — пишут исследователи.​

    Видеодемонстрацию эксплуатации проблем Efail можно увидеть ниже.

    Теперь многие специалисты говорят о том, что высказанные ранее советы по отказу от PGP и S/MIME были явно чрезмерными, ведь защититься от уязвимостей можно более простыми путями: использовать не подверженные проблемам почтовые клиенты и плагины, отключить автоматическую обработку HTML и так далее.

    Известный криптограф, профессор Университета Джона Хопкинса, Мэттью Грин (Matthew Green) пишет, что с одной стороны Efail – это атака-шедевр, но с другой стороны она вряд ли получит широкое распространение и скорее представляет угрозу для корпоративной среды, активистов, журналистов и так далее.

    [​IMG]

    Согласно официальным заявлениям разработчиков, тоже выходит, что исследователи изрядно сгустили краски. Так, команда GnuPG пишет, что пользователи новейшей версии Enigmail в безопасности. Разработчики Thunderbird, в свою очередь, сообщают, что патч для Efail уже готов и в настоящее время проходит тестирование (релиз должен состояться на этой неделе).
     

    Загрузка...

Комментарии

Тема в разделе "Информационная безопасность", создана пользователем News_Bot, 16 май 2018.

  • Кто мы?

    2 разработчика которые решили помочь другим разработчикам в решении их проблем, а так же пользователям с поиском самых свежих и качественных инфопродуктов. За 4 с небольшим месяца мы создали этот форум на который заходят ежедневно 1500 человек и посещаемость постоянно растёт. Мы создали панель лицензирования для защиты PHP скриптов от воровства и SEO панель для мониторинга наших сайтов и выбора верной стратегии их развития. Мы надеемся что то что мы создали пригодится Вам и возможно Вы поможете нам развиваться и совершенствоваться вместе с Вами.
  • Приложения

  • Набираем команду!

    Мы набираем в нашу команду умных и амбициозных людей! Не важно в какой сфере Вы преуспели, Вы можете попасть в нашу команду и развивать с нами действительно достойный ресурс.

    Вступай!