Foto:

Vulnerabilitat de GNUpg?

Creat per Kim el 18 May 2018 · Arxivat a Criptografia

Aquesta setmana es va revolucionar internet amb la noticia per part de EFAIL sobre una vulnerabilitat en el sistema d'encriptació d'extrem a extrem OpenPGP i s/MIME amb el que un usuari podia obtenir en format de texte pla el contingut d'un email encriptat.

Els atacs EFAIL exploten vulnerabilitats en els estàndards OpenPGP i S / MIME per revelar el text sense format dels correus electrònics xifrats. En poques paraules, EFAIL abusa del contingut remot en HTML, com per exemple imatges o estils carregats externament, per exfiltrar el text complet a través d'URL sol·licitats. Per crear aquests canals d'exfiltració, l'atacant primer necessita accés als correus electrònics xifrats, per exemple, escanejant-se en el trànsit de xarxa, comprometent comptes de correu electrònic, servidors de correu electrònic, sistemes de còpia de seguretat o ordinadors client. Els correus electrònics fins i tot podrien haver estat recopilats fa anys.

L'atac directe d'exfiltració abusa de vulnerabilitats en Apple Mail, iOS Mail i Mozilla Thunderbird per exfiltrar directament el text sense format de correus electrònics xifrats. Aquestes vulnerabilitats es poden arreglar als respectius clients de correu electrònic. L'atac funciona així. L'atacant crea un correu electrònic multipart nou amb tres parts del cos com es mostra a continuació. El primer és una part del cos HTML que conté essencialment una etiqueta d'imatge HTML. Tingueu en compte que l'atribut src d'aquesta etiqueta d'imatge s'obre amb les cometes però no està tancat. La segona part del cos conté el text xifrat PGP o S / MIME. El tercer és una part del cos HTML que tanca l'atribut src de la primera part del cos.

L'atacant envia aquest correu electrònic a la víctima. El client de la víctima desxifra la part del segon cos xifrada i posa les tres parts del cos junts en un correu electrònic HTML com es mostra a continuació. Tingueu en compte que l'atribut src de l'etiqueta d'imatge a la línia 1 es tanca a la línia 4, de manera que l'URL s'estén sobre les quatre línies.

El client de correu electrònic l'URL codifica tots els caràcters no imprimibles (per exemple,% 20 és un espai en blanc) i demana una imatge d'aquesta URL. Com que la ruta de l'URL conté el text sense format del correu electrònic xifrat, el client de correu electrònic de la víctima envia el text pla al atacant.

Una vegada va saltar la alarma la Electronic Frontier Fundation va ferun escrit al seu blog aconsellant la desinstalació de GNUpg i va aconsellar l'ús d'aplicacions segons ells de demostrada eficacia com Signal. Tot seguit centenars de blogs dedicats a la tecnologia van escriure amb els mateixos termes, desinstal·lació fulminant i aconsellar Signal, alguns fins i tot van aconsellar Whatsapp com alternativa.

Aquesta actitud va fer sospitar també a tota una part de la comunitat que es volia fer que la gent deixes de fer servir criptografia en els correus electrònics amb obscurs propòsits ja que semblava en principi que tot era culpa dels clients de correu i no del propi GNUpg, potser hagues estat millor parlar de deshabilitar html en els clients de mail i desencriptar els correus en una aplicació externa, d'aquesta manera l'exfiltració no tindrà efecte.

Nosaltres que som usuaris de GNUpg com veieu al nostre formulari de contacte hem pres aquesta decisió, bloquejar la càrrega d'html remot en el Thunderbird en el nostre cas i per desencriptar copiar el texte del correu i fer-ho en una aplicació a part a l'espera de més noticies sobre possibles actualitzacions del protocol si és necessari.

Un petit exemple

Partim del supòsit que tenim un sistema operatiu GNU/Linux i que tenim instal·lat GPG en el sistema, podem copiar el email sense desencriptar en un arxiu de texte i des de el terminal desencriptar-lo.

gpg --decrypt filename.txt.gpg

Si l'arxiu encriptat es diu filename.txt.gpg el command creara una versió desencriptada de nom filename.txt sense el .gpg al final.

Creative Commons License  Aquest article està escrit sota la llicència Creative Commons Attribution-ShareAlike 4.0 International License.