Новости К #5
Отдел К
Все началось в понедельник, когда группа европейских исследователей анонсировала серьезные уязвимости в ряде почтовых клиентов, поддерживающих шифрование по стандартам OpenPGP или S/MIME (новость). Анонсировала, поделилась информацией с особо важными людьми «под эмбарго»: в мире уязвимостей так делают, чтобы попавшие под раздачу вендоры смогли, например, выпустить патч. А еще — чтобы «особо важные люди» высказались в пользу важности и нужности исследования в публичном порядке.
Но что-то пошло не так, и вместо вторника пришлось обнародовать информацию в тот же понедельник (судя по всему, в Твиттере пошло обсуждение и начали раскрываться детали). Для двух опубликованных сценариев атаки наличие своего бренда (Efail), логотипа и веб-странички выглядит странно, но, впрочем, ладно. Оба метода атаки эксплуатируют встроенный в почтовые клиенты просмотрщик сообщений в виде веб-страниц. В сообщение перед зашифрованными текстом вставляется битый тег img — так, чтобы на сервер атакующего отправился не только запрос на загрузку картинки, но чтобы к нему еще было прицеплено расшифрованное сообщение.
В первом методе атаки используется совсем простая схема, когда «отравленный» тег вставляется открытым текстом.
Во втором все происходит чуть хитрее: эксплуатируется отсутствие проверки целостности в том же S/MIME (OpenPGP подвержен, но в меньшей степени), благодаря чему аналогичный «вредоносный» тег можно вставить непосредственно в зашифрованный текст.
То есть злоумышленник должен не только получить доступ к зашифрованным сообщениям жертвы. Ему придется модифицировать их, отправить обратно жертве и надеяться, что на той стороне сработает встроенный «маячок». Не самый результативный метод, но, с другой стороны, речь идет о шифровании, а в шифровании уровень паранойи каждый выбирает для себя самостоятельно.
Интересна также не совсем адекватная реакция фонда EFF: в понедельник, ознакомившись с отчетом еще под эмбарго, они написали, что «это очень серьезная проблема», и порекомендовали всем-всем-всем переходить на Signal. После выхода полного отчета детали были пересказаны на сайте EFF, но рекомендация установить Signal (и еще удалить плагины для дешифрования) осталась.
Насчет «удалите плагины» и «не расшифровывайте уже полученные сообщения»: в случае Efail есть временное решение (до выпуска патча для используемого вами почтового клиента) куда проще: выключить HMTL-представление сообщений. В плейнтексте атака, очевидно, бессильна.
А по поводу Signal: не очень понятно желание EFF рекламировать этот мессенджер по поводу и без повода, тем более что смена инфраструктуры (почта -> чатик) вот так, от одной маленькой проблемы, происходить не должна.
У Signal тоже нашли проблему, и также не самую ужасную в мире. Исследователи обнаружили в десктопной версии мессенджера чрезмерно вольное обращение с HTML-кодами, которое позволяет провести XSS-атаку и вообще может всячески вводить пользователей в заблуждение. Проблема сначала была запатчена, но потом оказалось — не до конца. А для мессенджера Telegram (точнее, для его десктопной версии) обнаружился троян Telegrab, крадущий историю сообщений жертв и складывающий ее на сервере с открытым доступом. В сложные времена мы живем!
LIVE X - в этом канале собраны рассказы людей, которые пережили опыт, о котором невозможно молчать. Идите на этот маячок, тогда вы не заблудитесь в море информации.
Zdislav Group - канал с уникальным контентом из Нью-Йорка! Рубрика "Книга в день" - это выжимка самой сути из бизнес книг, многие из которых даже не были опубликованы в России!
Digital Gold - канал о цифровых валютах, интернет активах и будущем денег, а также дайджест актуальных статей из Нью-Йорка.
Другой Telegram - Тут я рассказываю, как зарабатываю в Telegram. Публикую кейсы, делюсь информацией, которой нигде не найти. Информация полезна для тех, кто интересуется заработком на каналах в Telegram.