Rondônia, - 07:46

 

Você está no caderno - Tecnologia e Vida Digital
Tecnologiat
Falha em padrão de criptografia põe em xeque comunicação segura por email
Publicado Terça-Feira, 15 de Maio de 2018, às 09:41 | Fonte Gizmodo 0
https://www.ariquemesonline.com.br/noticia.asp?cod=348474&codDep=41" data-text="Falha em padrão de criptografia põe em xeque comunicação segura por email

  
 
 

 

Se você usa o PGP ou S/MIME para criptografia de email, é uma boa ideia desabilitá-lo em seu cliente de email. Pesquisadores descobriram uma vulnerabilidade crítica que expõe mensagens criptografadas em texto puro, mesmo para emails enviados no passado. A falha foi batizada de EFAIL.

“O email não é mais um meio seguro de comunicação”, disse Sebastian Schinzel, professor de segurança da computação da Münster University of Applied Sciences, ao veículo alemão Süddeutschen Zeitun.

A vulnerabilidade foi relatada primeiramente pela Electronic Frontier Foundation (EFF) nas primeiras horas desta segunda-feira (14), e os detalhes apareceram quando o Süddeutschen Zeitun quebrou o embargo de publicação. O grupo de pesquisadores europeus alerta que é preciso parar de usar o PGP completamente e diz que “não existem correções confiáveis para a vulnerabilidade neste momento”.

Dos pesquisadores:

 

“O ataque EFAIL explora vulnerabilidades nos padrões OpenPGP e S/MIME para revelar texto puro de mensagens criptografadas. Resumindo, o EFAIL abusa do conteúdo ativo de emails HTML, como por exemplo imagens carregadas externamente, para infiltrar-se e obter o texto por meio das URLs solicitadas. Para criar essas canais de infiltração, o atacante precisa primeiro acessar os emails criptografados, espionando o tráfego de rede, comprometendo contas de email, servidores de email, sistemas de backup ou computadores clientes, por exemplo. Os emails podem até mesmo ser coletados há anos.

O atacante altera o email criptografado de alguma maneira particular e envia a mensagem alterada para a vítima. O cliente de email da vítima descriptografa o email e carrega todos os conteúdos externos, consequentemente enviando o texto puro para o atacante”.

 

Você pode ler mais sobre a vulnerabilidade EFAIL em https://efail.de/.

Sebastian Schinzel, que é coautor do novo estudo, planejava esperar até as primeiras horas de terça-feira para liberar as descobertas, mas o embargo foi descumprido. No longo prazo, os padrões de segurança precisarão ser drasticamente atualizados, o que os pesquisadores afirmam que levará um bom tempo.

O PGP (Pretty Good Privacy) é um programa de criptografia considerado o padrão de ouro para a segurança de email e foi desenvolvido originalmente em 1991. Emails criptografados, frequentemente colocados como uma espécie de escudo de invisibilidade por alguns especialistas de segurança, se tornaram mais comuns depois que o delator Edward Snowden revelou o escopo da vigilância eletrônica do governo dos EUA, em junho de 2013. Mas essa criptografia não é perfeita, assim como nenhum sistema de segurança.

Por sua vez, a comunidade que defende esses padrões de privacidade insiste que a vulnerabilidade não é tudo isso e que as pessoas estão falando e que há exagero. Werner Koch, principal autor do GNU Privacy Guard, escreve que há duas maneiras de contornar esse ataque: simplesmente não usar emails em HTML e usar criptografia autenticada, algo que é observado no artigo dos pesquisadores.

“Eles descobriram que há clientes de email que não checam corretamente se há erros de decriptografia e que seguem links em mensagens em HTML. Então a vulnerabilidade está nos clientes de email e não nos protocolos. Na verdade, o OpenPGP está imune se for usado corretamente, enquanto o S/MIME não possui uma opção pata atenuar o problema”, escreveu o GNU Privacy Guard no Twitter.

“Se for usado corretamente” parece ser a frase mágica para muitas empresas nos dias de hoje. Mas algumas pessoas já começaram a perceber o quão bobo esse argumento pode ser.


Dizer que “o nosso protocolo e API estão certos, são as pessoas que utilizam errado” não é particularmente uma boa defesa.

A EFF liberou guias (em inglês) para desabilitar o PGP no cliente de email da Apple, no Outlook e no Thunderbird. O que você deveria usar como alternativa? A EFF afirma que não há opções viáveis com emails por enquanto e recomenda a utilização do Signal para mensagens e ligações com criptografia de ponta a ponta. Mas sempre lembre-se de que nada é perfeito.

Você pode ler o artigo completo (em inglês), de autoria de Damian Poddebniak, Christian Dresen, Jens Müller, Fabian Ising, Sebastian Schinzel, Simon Friedberger, Juraj Somorovsky, e Jörg Schwenk no site EFAIL.de.

[EFF e Süddeutschen Zeitun]

Imagem do topo: AP

 







Os comentários são de responsabilidade exclusiva de seus autores e não representam a opinião deste site. Se achar algo que viole os termos de uso, denuncie.

ADS NEWS 5

Veja também em Tecnologia e Vida Digital


Como deslogar de aplicativos que usam o Facebook como login
...


Propagandas estão a caminho do WhatsApp para Android
...


Facebook lança Portal, um 'monitor inteligente' focado em chat por vídeo
...


Como ter um modo noturno em qualquer site no Chrome ou Firefox
...

 

ADS NEWS 2

ADS NEWS 3


:: Publicidade :::



 
 
 
 
EMRONDONIA.COM

Tereré News