Falha em padrão de criptografia põe em xeque comunicação segura por email
Se você usa o PGP ou S/MIME para criptografia de email, é uma boa ideia desabilitá-lo em seu cliente de email. Pesquisadores descobriram uma vulnerabilidade crítica que expõe mensagens criptografadas em texto puro, mesmo para emails enviados no passado. A falha foi batizada de EFAIL. • O Twitter está testando mensagens diretas criptografadas • Cofundador […]
Se você usa o PGP ou S/MIME para criptografia de email, é uma boa ideia desabilitá-lo em seu cliente de email. Pesquisadores descobriram uma vulnerabilidade crítica que expõe mensagens criptografadas em texto puro, mesmo para emails enviados no passado. A falha foi batizada de EFAIL.
“O email não é mais um meio seguro de comunicação”, disse Sebastian Schinzel, professor de segurança da computação da Münster University of Applied Sciences, ao veículo alemão Süddeutschen Zeitun.
A vulnerabilidade foi relatada primeiramente pela Electronic Frontier Foundation (EFF) nas primeiras horas desta segunda-feira (14), e os detalhes apareceram quando o Süddeutschen Zeitun quebrou o embargo de publicação. O grupo de pesquisadores europeus alerta que é preciso parar de usar o PGP completamente e diz que “não existem correções confiáveis para a vulnerabilidade neste momento”.
“O ataque EFAIL explora vulnerabilidades nos padrões OpenPGP e S/MIME para revelar texto puro de mensagens criptografadas. Resumindo, o EFAIL abusa do conteúdo ativo de emails HTML, como por exemplo imagens carregadas externamente, para infiltrar-se e obter o texto por meio das URLs solicitadas. Para criar essas canais de infiltração, o atacante precisa primeiro acessar os emails criptografados, espionando o tráfego de rede, comprometendo contas de email, servidores de email, sistemas de backup ou computadores clientes, por exemplo. Os emails podem até mesmo ser coletados há anos.
O atacante altera o email criptografado de alguma maneira particular e envia a mensagem alterada para a vítima. O cliente de email da vítima descriptografa o email e carrega todos os conteúdos externos, consequentemente enviando o texto puro para o atacante”.
Você pode ler mais sobre a vulnerabilidade EFAIL em https://efail.de/.
Sebastian Schinzel, que é coautor do novo estudo, planejava esperar até as primeiras horas de terça-feira para liberar as descobertas, mas o embargo foi descumprido. No longo prazo, os padrões de segurança precisarão ser drasticamente atualizados, o que os pesquisadores afirmam que levará um bom tempo.
O PGP (Pretty Good Privacy) é um programa de criptografia considerado o padrão de ouro para a segurança de email e foi desenvolvido originalmente em 1991. Emails criptografados, frequentemente colocados como uma espécie de escudo de invisibilidade por alguns especialistas de segurança, se tornaram mais comuns depois que o delator Edward Snowden revelou o escopo da vigilância eletrônica do governo dos EUA, em junho de 2013. Mas essa criptografia não é perfeita, assim como nenhum sistema de segurança.
Por sua vez, a comunidade que defende esses padrões de privacidade insiste que a vulnerabilidade não é tudo isso e que as pessoas estão falando e que há exagero. Werner Koch, principal autor do GNU Privacy Guard, escreve que há duas maneiras de contornar esse ataque: simplesmente não usar emails em HTML e usar criptografia autenticada, algo que é observado no artigo dos pesquisadores.
“Eles descobriram que há clientes de email que não checam corretamente se há erros de decriptografia e que seguem links em mensagens em HTML. Então a vulnerabilidade está nos clientes de email e não nos protocolos. Na verdade, o OpenPGP está imune se for usado corretamente, enquanto o S/MIME não possui uma opção pata atenuar o problema”, escreveu o GNU Privacy Guard no Twitter.
“Se for usado corretamente” parece ser a frase mágica para muitas empresas nos dias de hoje. Mas algumas pessoas já começaram a perceber o quão bobo esse argumento pode ser.
Saying “our protocol and API is fine, it’s just everyone uses it wrong” is not a particularly good defense #efail#gpg
Dizer que “o nosso protocolo e API estão certos, são as pessoas que utilizam errado” não é particularmente uma boa defesa.
A EFF liberou guias (em inglês) para desabilitar o PGP no cliente de email da Apple, no Outlook e no Thunderbird. O que você deveria usar como alternativa? A EFF afirma que não há opções viáveis com emails por enquanto e recomenda a utilização do Signal para mensagens e ligações com criptografia de ponta a ponta. Mas sempre lembre-se de que nada é perfeito.
Você pode ler o artigo completo (em inglês), de autoria de Damian Poddebniak, Christian Dresen, Jens Müller, Fabian Ising, Sebastian Schinzel, Simon Friedberger, Juraj Somorovsky, e Jörg Schwenk no site EFAIL.de.
fique por dentro das novidades giz
Inscreva-se agora para receber em primeira mão todas as notícias sobre tecnologia, ciência e cultura, reviews e comparativos exclusivos de produtos, além de descontos imperdíveis em ofertas exclusivas
