Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

Cómo mitigar las fallas de Efail en OpenPGP y S / MIME

Cuando las vulnerabilidades se revelan en protocolos de seguridad conocidos y ampliamente utilizados, la comunidad de seguridad de información reacciona rápidamente, tanto en términos de encontrar una solución como de debatir en profundidad la causa raíz de las vulnerabilidades.

El equipo de investigación que escribió sobre las vulnerabilidades descubiertas recientemente en Open Pretty Good Privacy (OpenPGP) y Extensiones de correo de Internet seguras / multipropósito (S / MIME) causó una controversia adicional. No solo se filtró la URL de su informe de investigación, «Efail: Rompiendo el cifrado de correo electrónico S / MIME y OpenPGP usando canales de exfiltración» a través de un tweet, sino porque muchos no están de acuerdo con sus conclusiones de que las vulnerabilidades son fallas inherentes en los protocolos y con sus recomendaciones. para mitigarlos. Muchos en la comunidad creen, en cambio, que las vulnerabilidades son causadas por implementaciones deficientes de protocolos en los clientes de correo electrónico.

Cómo funciona Efail

El informe explica cómo ocurren las fallas de Efail en clientes de correo electrónico que admiten los estándares OpenPGP o S / MIME, dejándolos vulnerables a un modo de retroalimentación de texto cifrado o un ataque de dispositivo de encadenamiento de bloques de cifrado (CBC), respectivamente rastreados como CVE-2017-17688 y CVE- 2017-17689. Esto permite a un atacante inyectar contenido en un correo electrónico cifrado que podría establecer un canal de exfiltración cuando el contenido es descifrado por el cliente de correo electrónico de la víctima.

Por ejemplo, al inyectar una etiqueta de imagen HTML, la falla puede permitir a un atacante exfiltrar el texto sin formato como parte de una solicitud HTTP cuando el cliente de correo electrónico procesa el mensaje. Los investigadores descubrieron que algunos clientes de correo electrónico que no aíslan múltiples partes MIME también pueden permitir a los atacantes intercalar mensajes cifrados entre partes MIME de texto sin formato con enlaces de recursos remotos formateados especialmente. Cuando esos mensajes son descifrados y procesados ​​por el cliente de correo electrónico en un canal posterior basado en HTML, se elimina la necesidad de realizar ataques a dispositivos.

CONTENIDO RELACIONADO  Las inversiones en tecnología de mainframe estimulan las oportunidades de canal

Cualquier ataque basado en Efail depende de si el cliente de correo electrónico ha implementado correctamente los estándares de cifrado autenticado, como el código de detección de modificaciones (MDC), una función de hash criptográfica que se utiliza como verificación de integridad para ver si los mensajes han sido manipulados.

Efail es más efectivo contra S / MIME, ya que actualmente no es compatible con MDC, por lo que los atacantes pueden explotar las propiedades del cifrado basado en CBC para inyectar el ataque en los mensajes. Esta es probablemente la razón por la que Efail parece afectar a más clientes que usan S / MIME que OpenPGP.

Robert J. Hansen, evangelista de GnuPG, una implementación gratuita del estándar OpenPGP, señaló que cuando GnuPG ve un mensaje sin MDC, genera la siguiente advertencia por defecto: «ADVERTENCIA: El mensaje no estaba protegido por integridad». Sin embargo, depende del cliente de correo electrónico tomar la acción apropiada, como no mostrar el mensaje.

Por razones de compatibilidad con versiones anteriores, la especificación OpenPGP técnicamente permite mensajes que no se han cifrado con MDC, pero los clientes modernos de OpenPGP no deben ignorar silenciosamente las advertencias de MDC faltantes o mal formados, ya que esto puede habilitar el ataque Efail. Esto hace que parezca que es la implementación del desarrollador y los problemas de representación HTML con los clientes de correo electrónico los que permiten los ataques, y no OpenPGP en sí.

La tabla de los autores de clientes de correo electrónico afectados también muestra que no todos los clientes se ven afectados. Si los protocolos OpenPGP y S / MIME deben actualizarse para hacer cumplir estrictamente MDC para evitar que un atacante explote las fallas de Efail es otro asunto.

CONTENIDO RELACIONADO  Preguntas y respuestas de expertos: tecnologías y tendencias de alta disponibilidad

Cómo defenderse de eso

Un método sugerido para defenderse de Efail es rechazar todo el correo electrónico con archivos adjuntos HTML, pero eso no es práctico para la mayoría de las empresas, y los ataques de Efail son fáciles de detectar en el perímetro de la red. Sin embargo, también se debe evitar que los clientes de correo electrónico carguen automáticamente recursos remotos como imágenes, ya que esto no solo evitará que el cliente de correo electrónico abra los canales de exfiltración, sino que también puede evitar el seguimiento a través de imágenes invisibles.

Las empresas deben tener en cuenta que, aunque los clientes de correo electrónico de sus usuarios pueden ser seguros para el correo electrónico, no hay forma de garantizar que los destinatarios hayan actualizado su software o configuraciones. Esto significa que existe la posibilidad de que un atacante de Efail lea el mensaje cifrado del remitente.

Una solución es cifrar manualmente el cuerpo del mensaje con una herramienta como gpg4usb o Gpg4win y luego pegarlo en un correo electrónico. Asimismo, los correos electrónicos entrantes se pueden descifrar fuera del cliente de correo electrónico para evitar que el cliente abra canales de exfiltración.

Independientemente de lo que piense la gente sobre Efail, muestra la importancia de mantener actualizado todo el software y garantizar que los usuarios implementen solo los cifrados de cifrado más recientes y sólidos. Este ciertamente no es el final del camino para OpenPGP o S / MIME, pero muchos observadores piensan que la autenticación basada en blockchain es el futuro.

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )

También te puede interesar...

¿Qué son las Comunicaciones de plataforma abierta (OPC)?

Open Platform Communications (OPC) es un estándar de interoperabilidad para el intercambio seguro de datos de automatización industrial. Está diseñado para depender de la plataforma, de modo que los dispositivos de diferentes proveedores puedan intercambiar

¿Qué es CVSS (Common Vulnerability Scoring System)?

El Common Vulnerability Scoring System (CVSS) es un marco público para calificar la gravedad de las vulnerabilidades de seguridad en el software. Es neutral en cuanto a aplicaciones y proveedores, lo que permite que una

Ejecutar UAT y pruebas del sistema en paralelo

Y si es así, ¿cuáles considera que son los principales problemas y / o efectos a largo plazo que esto puede causar? Esto es en gran parte una cuestión de disponibilidad y expectativas de los

¿Cómo puedo limitar el desarrollo personalizado de SAP?

El deseo de un desarrollo personalizado de SAP es natural. Durante la implementación (y posteriormente) los usuarios del nuevo sistema ERP buscarán personalizaciones para informes, interfaces de usuario (UI), flujos de trabajo de procesos comerciales

¿Qué es un CVO?

¿Qué es un CVO (director visionario)? El Director Visionario es un título de C-suite más reciente en el que se espera que el titular tenga un conocimiento amplio y completo de todos los asuntos relacionados

Office 2013 se integra con Microsoft OneDrive

Iniciar sesión en Microsoft Office 2013 permite que Office se conecte a Microsoft OneDrive. OneDrive es el sistema de almacenamiento en la nube de Microsoft para consumidores. Office 2013 no solo es compatible con OneDrive,

Gran charla, poca acción en Internet de las cosas

Ya tenemos una especie de Internet de las cosas, y la mayoría de las cosas conectadas a ella son los dispositivos para compartir información con los que las personas interactúan: computadoras personales, teléfonos inteligentes y

Cumplimiento de la FCPA: lecciones aprendidas de Bio-Rad

Bio-Rad Laboratories Inc., una empresa de investigación en ciencias biológicas y diagnóstico clínico con sede en California, obtuvo 35 millones de dólares adicionales en ganancias en el transcurso de cinco años al pagar millones de

Explorando la lista cada vez mayor de VMware Flings

Aún siendo un recurso relativamente desconocido, VMware Labs ofrece varias herramientas gratuitas para ayudar a los administradores con todo, desde la planificación de la capacidad hasta el vSphere iPad Client. VMware Flings son proyectos a

Combinando IoT con comunicaciones y colaboración

El crecimiento y la prominencia del Internet de las cosas y la transformación digital es innegable. De hecho, informes recientes predicen que 8.400 millones de dispositivos conectados estarán en uso a nivel mundial para fines

Firmas electrónicas y transformación digital

Pasar del papel a las firmas electrónicas es uno de los pasos más importantes, aunque más sencillos, que puede tomar para adoptar la transformación digital. Las firmas electrónicas le permiten acortar los ciclos de ventas,

WANdisco, Azure bailan la migración de datos

WANdisco ha integrado su migración de big data con la nube de Microsoft Azure. La plataforma WANdisco LiveData para Azure, en versión preliminar para clientes, está diseñada para facilitar el traslado de petabytes de datos

Combinando entornos locales y en la nube

¡Gracias por unirte! Accede a tu Pro + Contenido a continuación. Enero de 2015 Aquí y allá: combinación de entornos locales y en la nube Las tecnologías y estrategias de los centros de datos están

Cómo determinar una técnica de modelado de software

En el mundo del software actual, hay discusiones y pensamientos ilimitados sobre «cuál es la mejor manera de desarrollar software» … Hay muchos libros y estándares escritos sobre este tema. Sin embargo, todo se reduce

¿Qué es virtual a físico (V2P)?

¿Qué es virtual a físico (V2P)? De virtual a físico (V2P) implica transferir o trasladar una máquina virtual (VM) a una máquina física. El término hace referencia a la migración de un sistema operativo (SO),

Regreso a eventos en vivo en arenas inteligentes

Cuando llegó COVID-19 en marzo de 2020, muchos aspectos de nuestras vidas se volvieron virtuales y la industria del entretenimiento vio un cierre completo. Si bien ciertos eventos en vivo como deportes, entregas de premios,

¿Qué son los datos del sensor?

Los datos del sensor son la salida de un dispositivo que detecta y responde a algún tipo de entrada del entorno físico. La salida puede usarse para proporcionar información o entrada a otro sistema o

Una mirada a la planificación de la producción

Nota del editor Las API no son nada nuevo, pero están adquiriendo una nueva importancia en la escena de gestión de aplicaciones y software empresarial. Las API han demostrado ser una parte integral de la

Deja un comentario