Что случилось с PGP и S/MIME: как работает уязвимость Efail - «Новости»
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Видео уроки
Наш опрос



Наши новости

       
15-05-2018, 21:00
Что случилось с PGP и S/MIME: как работает уязвимость Efail - «Новости»
Рейтинг:
Категория: Новости

В начале текущей недели группа из девяти европейских ученых, во главе с профессором Университета прикладных наук в Мюнстере Себастьяном Шинцелем (Sebastian Schinzel), предупредила о критических уязвимостях в составе PGP и S/MIME. Экспертов поддержали представители Фонда электронных рубежей (Electronic Frontier Foundation, EFF); они подтвердили критичность обнаруженных проблем и опубликовали сообщение, в котором призвали пользователей отключить или деинсталлировать инструменты работы с PGP и S/MIME. Сообщалось, что  исправлений для проблем пока нет, в качестве альтернативного способа защищенной связи пользователям советовали обратить внимание на мессенджер Signal.


Как и было обещано, теперь обнародованы все технические подробности обнаруженных багов: с ними можно ознакомиться на официальном сайте efail.de и в официальном докладе специалистов (PDF).


Как выяснилось, разработчики и специалисты по безопасности были отчасти правы, когда призывали не паниковать и называли проблему Efail очередным хайпом. Оказалось, что с самими технологиями и криптографией все в порядке, а проблемы кроются в имплементациях и окружающей экосистеме. В частности, уязвимы почтовые клиенты (Thunderbird, Outlook, Apple Mail) и PGP-плагины для них (Enigmail, Gpg4win и GPG Tools, соответственно).





Более того, для эксплуатации уязвимостей атакующему сначала понадобится получить доступ к переписке своей жертвы, то есть предварительно потребуется произвести атаку на почтовый сервер, взломать чужую почту или перехватить трафик посредством атаки man-in-the-middle.





В сущности, атака подразумевает, что злоумышленник, заполучивший в свое распоряжение зашифрованные письма, оснастит их HTML-тегами и хитростью заставит оригинального отправителя (или одного из реципиентов) открыть ставшее вредоносным послание. Эксплуатация проблем тесно сопряжена с тем, как почтовые клиенты и их плагины обрабатывают HTML и ссылки на внешние источники, к примеру, изображения и стили, подгружаемые с внешних URL.


Дело в том, что почтовые клиенты, как правило, сконфигурированы таким образом, чтобы автоматически дешифровать содержимое защищенных писем. Если клиент при этом еще и автоматически подгружает данные из внешних источников, этим могут воспользоваться атакующие, прислав своей цели модифицированную версию зашифрованного послания и, конечном итоге, получив его расшифрованную копию.


Так, атакующий может использовать теги img или style, разместив их в незашифрованной части HTML-писем (а именно в MIME-заголовках), как показано на иллюстрации ниже. Фактически, письмо превращается в multipart HTML-сообщение, и внутри тега содержится зашифрованный текст. В итоге, когда уязвимый клиент будет расшифровывать это послание, он перейдет к автоматической обработке HTML и отправит уже дешифрованный текст злоумышленнику в рамках использованного тега.









Еще одним способ атаки, предложенный исследователями, предполагает эксплуатацию уязвимостей в спецификациях OpenPGP (CVE-2017-17688) и S/MIME (CVE-2017-17689) и манипуляции блоками шифротекста в режимах CBC и CFB. В данном случае так же используются HTML-теги.





«Как только жертва откроет письмо в своем почтовом клиенте, подставной шифротекст будет расшифрован: вначале приватный ключ жертвы будет использован для расшифровки ключа сессии s, а затем ключ сессии будет использован для расшифровки подставного шифротекста c. В результате, благодаря манипуляциям, расшифрованный текст будет содержать канал эксфильтрации [данных], например, HTML-гиперссылку. Этот канал затем будет использован для отправки расшифрованного текста атакующему (целиком или его части)», — пишут исследователи.


Видеодемонстрацию эксплуатации проблем Efail можно увидеть ниже.






Теперь многие специалисты говорят о том, что высказанные ранее советы по отказу от PGP и S/MIME были явно чрезмерными, ведь защититься от уязвимостей можно более простыми путями: использовать не подверженные проблемам почтовые клиенты и плагины, отключить автоматическую обработку HTML и так далее.


Известный криптограф, профессор Университета Джона Хопкинса, Мэттью Грин (Matthew Green) пишет, что с одной стороны Efail – это атака-шедевр, но с другой стороны она вряд ли получит широкое распространение и скорее представляет угрозу для корпоративной среды, активистов, журналистов и так далее.



Что случилось с PGP и S/MIME: как работает уязвимость Efail - «Новости»


Согласно официальным заявлениям разработчиков, тоже выходит, что исследователи изрядно сгустили краски. Так, команда GnuPG  пишет, что пользователи новейшей версии Enigmail в безопасности. Разработчики Thunderbird, в свою очередь, сообщают, что патч для Efail уже готов и в настоящее время проходит тестирование (релиз должен состояться на этой неделе).


Источник новостиgoogle.com

В начале текущей недели группа из девяти европейских ученых, во главе с профессором Университета прикладных наук в Мюнстере Себастьяном Шинцелем (Sebastian Schinzel), предупредила о критических уязвимостях в составе PGP и S/MIME. Экспертов поддержали представители Фонда электронных рубежей (Electronic Frontier Foundation, EFF); они подтвердили критичность обнаруженных проблем и опубликовали сообщение, в котором призвали пользователей отключить или деинсталлировать инструменты работы с PGP и S/MIME. Сообщалось, что исправлений для проблем пока нет, в качестве альтернативного способа защищенной связи пользователям советовали обратить внимание на мессенджер Signal. Как и было обещано, теперь обнародованы все технические подробности обнаруженных багов: с ними можно ознакомиться на официальном сайте efail.de и в официальном докладе специалистов (PDF). Как выяснилось, разработчики и специалисты по безопасности были отчасти правы, когда призывали не паниковать и называли проблему Efail очередным хайпом. Оказалось, что с самими технологиями и криптографией все в порядке, а проблемы кроются в имплементациях и окружающей экосистеме. В частности, уязвимы почтовые клиенты (Thunderbird, Outlook, Apple Mail) и PGP-плагины для них (Enigmail, Gpg4win и GPG Tools, соответственно). Более того, для эксплуатации уязвимостей атакующему сначала понадобится получить доступ к переписке своей жертвы, то есть предварительно потребуется произвести атаку на почтовый сервер, взломать чужую почту или перехватить трафик посредством атаки man-in-the-middle. В сущности, атака подразумевает, что злоумышленник, заполучивший в свое распоряжение зашифрованные письма, оснастит их HTML-тегами и хитростью заставит оригинального отправителя (или одного из реципиентов) открыть ставшее вредоносным послание. Эксплуатация проблем тесно сопряжена с тем, как почтовые клиенты и их плагины обрабатывают HTML и ссылки на внешние источники, к примеру, изображения и стили, подгружаемые с внешних URL. Дело в том, что почтовые клиенты, как правило, сконфигурированы таким образом, чтобы автоматически дешифровать содержимое защищенных писем. Если клиент при этом еще и автоматически подгружает данные из внешних источников, этим могут воспользоваться атакующие, прислав своей цели модифицированную версию зашифрованного послания и, конечном итоге, получив его расшифрованную копию. Так, атакующий может использовать теги img или style, разместив их в незашифрованной части HTML-писем (а именно в MIME-заголовках), как показано на иллюстрации ниже. Фактически, письмо превращается в multipart HTML-сообщение, и внутри тега содержится зашифрованный текст. В итоге, когда уязвимый клиент будет расшифровывать это послание, он перейдет к автоматической обработке HTML и отправит уже дешифрованный текст злоумышленнику в рамках использованного тега. Еще одним способ атаки, предложенный исследователями, предполагает эксплуатацию уязвимостей в спецификациях OpenPGP (CVE-2017-17688) и S/MIME (CVE-2017-17689) и манипуляции блоками шифротекста в режимах CBC и CFB. В данном случае так же используются HTML-теги. «Как только жертва откроет письмо в своем почтовом клиенте, подставной шифротекст будет расшифрован: вначале приватный ключ жертвы будет использован для расшифровки ключа сессии s, а затем ключ сессии будет использован для расшифровки подставного шифротекста c. В результате, благодаря манипуляциям, расшифрованный текст будет содержать канал эксфильтрации _

Теги: CSS, будет Efail проблем почтовые использован

Просмотров: 652
Комментариев: 0:   15-05-2018, 21:00
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме:
Комментарии для сайта Cackle