Уязвимости электронной почты и их обнаружение

Эта статья является дополнением ранее опубликованной на codeby: Уязвимость GnuPG в инструментах шифрования позволяет злоумышленникам подделать чью-либо подпись

На прошлой неделе исследователи обнаружили уязвимости в большом количестве зашифрованных почтовых клиентов: в частности, те, которые используют OpenPGP и S/MIME, включая Thunderbird и AppleMail. Это серьезные уязвимости: злоумышленник, который может изменять почту, отправленную уязвимому клиенту, может обмануть этого клиента, а именно убедить его отправить копии открытого текста на веб-сервер, контролируемый этим злоумышленником. История этих уязвимостей и рассказ о том, как они были раскрыты, иллюстрируют некоторые важные уроки об уязвимостях безопасности в целом, а также о безопасности электронной почты в частности.

Но сначала, если вы используете PGP или S/MIME для шифрования писем электронной почты, вам необходимо проверить список на этой странице для того, чтобы проверить являетесь ли вы уязвимыми. Если это так, обратитесь к поставщику для того, чтобы узнать, была ли исправлена эта уязвимость. (Обратите внимание, что некоторые ранние патчи оказались не эффективными в устранении той или иной уязвимости.) Если же нет, полностью перестаньте использовать программу шифрования электронной почты до тех пор, пока она не будет исправлена. Или же, если вы знаете, как это сделать, то отключите способность клиента электронной почты обрабатывать электронную почту HTML или, что еще лучше, прекратите дешифрование писем электронной почты внутри клиента. Есть еще более сложные советы для более изощренных пользователей, но если вы являетесь одним из них, то, я уверен, вам не нужны дополнительные разъяснения по этому поводу.

Старайтесь воспринимать вашу зашифрованную электронную почту как небезопасную до тех пор, пока это не будет исправлено.

Все программное обеспечение содержит уязвимости безопасности, и одним из основных и лучших способов улучшения нашей безопасности является тот факт, что исследователи обнаруживают уязвимости, а затем поставщики программного обеспечения исправляют их. Это довольно странная система: корпоративные исследователи мотивированы рекламой, академические исследователи публикациями и почти каждый индивидуальной славой, а также небольшими суммами, выплачиваемыми некоторыми поставщиками.

С другой стороны, поставщики программного обеспечения также мотивированы устранять уязвимости под угрозой публичного раскрытия. Без подобного рода угрозы возможной огласки и публичного порицания их действий, поставщики, скорее всего, проигнорируют замечания исследователей и задержат выпуск нового патча, исправляющего эти уязвимости. Подобные случаи часто происходили в 1990-х годах, и даже сегодня поставщики часто используют правовую тактику, чтобы попытаться заблокировать невыгодные им публикации. Это вполне имеет смысл; они выступают в довольно плохом свете, когда их продукты выглядят небезопасно.

За последние несколько лет исследователи начали публиковать отчеты и детальные доклады об уязвимостях для того, чтобы поднять большой шум в прессе. Уязвимости электронной почты стали называться умными именами, такими как "Efail", а симпатичные логотипы стали очень распространены в наше время. Ключевые репортеры получают предварительную информацию об уязвимостях. Иногда продвигаются тизеры. Поставщики теперь являются частью этого процесса и пытаются объявить об исправлении тех или иных уязвимостей одновременно с их публичным объявлением.

Это одновременное объявление лучше всего подходит для обеспечения безопасности. Хотя всегда присутствует возможность того, что какая-то организация, будь то правительство или какая-либо нелегальная организация, самостоятельно обнаружила и использует уязвимость перед её публикацией исследователями, т.к. использование этой уязвимости будет повсеместным после её публичного объявления. Период времени между объявлением и исправлением является самым опасным, и все, кроме потенциальных злоумышленников, хотят его минимизировать.

Все становится намного сложнее, когда задействованы несколько поставщиков. В этом случае Efail не является уязвимостью в конкретном продукте; это представляет собой стандарт уязвимости, который используется в десятках различных продуктов. Таким образом, перед исследователями стоит задача обеспечить, чтобы все знали об уязвимости вовремя для того, чтобы исправить её, а также тот факт, чтобы не произошло никакой утечки об этой уязвимости для общественности в течение этого времени. Как вы можете себе представить, это почти невозможно.

Efail был обнаружен примерно в прошлом году, и исследователи предупреждали десятки разных компаний в период с октября по март. Некоторые компании восприняли новости более серьезно, чем другие. Большинство проблем было исправлено. Удивительно, но новости об уязвимости не просачивались вплоть до дня, который предшествовал запланированной дате выхода объявления. За два дня до запланированного выпуска исследователи представили тизер - честно говоря, очень плохую идею, которая привела к утечке некоторых деталей.

После утечки Electronic Frontier Foundation опубликовала уведомление об уязвимости без каких-либо подробностей. Организация была подвергнута критике за ее заявление, но мне трудно увидеть в этом их вину. (Примечание: я член правления в EFF.) Затем, после публикаций исследователей последовало существенное давление со стороны прессы

Все это говорит о сложности координации раскрытия уязвимостей, когда речь идет о большом количестве компаний или, что еще более проблематично, о сообществах без четко определенного руководства. И это именно то, что мы имеем с OpenPGP. Это намного хуже, когда ошибка связана с взаимодействием между различными частями системы. В этом случае нет ничего плохого в PGP или S/MIME как таковыми. Скорее, уязвимость возникает из-за того, что многие e-mail программы обрабатывают зашифрованную электронную почту. GnuPG, реализация OpenPGP, решила, что ошибка была не по её вине, и поэтому ничего не было сделано. Возможно это и правда, но, по сути, это не имеет значения. GnuPG должна была это исправить.

Ожидайте больше таких проблем в будущем. Интернет переходит от набора систем, которые мы сознательно используем - наши телефоны и компьютеры - к полностью иммерсионному миру интернет-вещей, которым мы живем 24/7. И как в этом случае с уязвимостью электронной почты, уязвимости появятся вследствие взаимодействия различных систем. Иногда будет вполне очевидно, кто должен исправить эту проблему, а иногда нет. Иногда это даже смогут быть две безопасные системы, которые, когда они взаимодействуют определенным образом, становятся причиной определенных небезопасных вещей. В апреле я писал об уязвимости, которая возникла из-за того, что Google и Netflix делают разные допущения об адресах электронной почты. И я даже не знаю, кого винить в этом.

Все становится еще хуже. Наша система обнаружения и исправления предполагает, что поставщики обладают опытом и способностью исправлять свои системы, но это просто-напросто является неверным по отношению ко многим встроенным и недорогим интернет программным пакетам. Их разработка стоила довольно дешево, и часто выполнялась оффшорными командами, которые собираются вместе, создают программное обеспечение, а затем распускаются; в результате не остаётся никого, кто мог бы получать сообщения об уязвимостях от исследователей и произвести необходимые исправления. Хуже того, многие из этих устройств и программ вообще не поддаются исправлениям. Прямо сейчас, если у вас есть цифровой видеомагнитофон, который является уязвимым для того, чтобы быть использованным ботнето - помните Mirai с 2016 года? - единственный способ исправить это - выбросить его и купить новый.

Патчи начинают становиться неэффективными, а это означает, что мы теряем лучший механизм для улучшения безопасности программного обеспечения в то же самое время, когда программное обеспечение получает все большую автономию. Многие исследователи и организации, включая меня, предложили правительственные постановления, обеспечивающие минимальные стандарты безопасности для устройств, связанных с Интернетом, включая стандарты раскрытия и исправления уязвимостей. С моей точки зрения, это было бы очень дорого и трудно найти другую жизнеспособную альтернативу.

Возвращаясь к электронной почте, правда заключается в том, что ее безопасность невероятно сложно обеспечить. Не потому что криптография сложна, а потому, что мы ожидаем слишком многого от электронной почты, а именно возлагаем на нее большое количество задач. Мы используем её для переписки, для разговоров, для планирования и для ведения записей. Я регулярно просматриваю свой 20-летний архив электронной почты. Протоколы безопасности PGP и S/MIME устарели, излишне сложны и были довольно трудными для правильного использования практически все время. Если бы мы могли начать все сначала, мы разработали бы что-то лучшее и более удобное для пользователя, но огромное количество устаревших приложений, использующих существующие стандарты, даёт нам четкое понимание того, что на данный момент это невозможно. Я всегда говорю людям, что если они хотят безопасно общаться с кем-то, то им необходимо использовать одну из безопасных систем обмена сообщениями: Signal, Off-the-Record или - если одна из двух предложенных программ в вашей системе сама по себе является подозрительной - WhatsApp. Конечно, они не идеальны, поскольку на прошлой неделе была анонсирована уязвимость (исправленная в течение нескольких часов) в Signal. И они не являются настолько гибкими, как электронная почта, но это в существенной мере упрощает их защиту.

Данная статья ранее была размещена на Lawfare.com.

Источник: E-Mail Vulnerabilities and Disclosure - Schneier on Security