Un equipo de investigación de la Universidad de Ciencias Aplicadas FH en Münster, el Instituto Horst Görtz para la Seguridad de TI en la Ruhr-Universität Bochum RUB y Katholieke Universiteit Leuven ha demostrado que los dos estándares de cifrado de correo electrónico más comunes son vulnerables a los ataquesSu ataque, conocido como Efail, resultó exitoso en 25 de 35 programas de correo electrónico probados utilizando el estándar de cifrado S / MIME y en 10 de 28 programas probados usando OpenPGP. Los desarrolladores del programa han sido informados y han solucionado las brechas de seguridad.Los expertos recomiendan con urgencia actualizar los algoritmos criptográficos subyacentes para resistir cualquier posible ataque en el futuro.
escenario de ataque realista
Los correos electrónicos están encriptados para ocultar su contenido a los proveedores de la red, los ciberdelincuentes y los servicios de inteligencia que pueden obtener acceso a ellos a través de enrutadores pirateados, un servidor de correo electrónico o grabando un mensaje durante la transmisión ".innumerables servidores de correo electrónico pirateados, este es un escenario muy realista ", subraya el profesor Dr. Sebastian Schinzel, del Departamento de Ingeniería Eléctrica y Ciencias de la Computación de FH Münster.
El atacante manipula el mensaje interceptado cuando agrega sus propios comandos maliciosos en forma encriptada. Así modificado, el mensaje se envía a uno de los destinatarios o al remitente, es decir, dónde se almacenan los datos necesarios para descifrarlo.
Después de descifrar el mensaje, los comandos insertados hacen que el programa de correo electrónico de la víctima establezca una conexión de comunicación con el atacante la próxima vez que se abra el correo electrónico. Esta forma de comunicación es bastante estándar cuando, por ejemplo, imágenes o elementos de diseñoen los correos electrónicos se cargan. A través de esa conexión, el correo electrónico descodificado se envía al atacante que puede leerlos. Los investigadores llamaron a este novedoso método de ataque "Exfiltración con gadgets de maleabilidad".
Empresa, periodista, denunciante
Los estándares de cifrado de correo electrónico S / MIME, abreviatura de Extensiones de correo de Internet seguras / multipropósito, y OpenPGP han estado en uso desde la década de 1990. S / MIME es implementado con frecuencia por empresas que cifran todos los correos salientes y descifran todos los correos electrónicos entrantes. OpenPGPes utilizado preferiblemente por individuos, por ejemplo, por periodistas en áreas de conflicto o por denunciantes como Edward Snowden.
La criptografía subyacente no se ha actualizado desde la década de 1990, a pesar de que las mejores técnicas han estado disponibles durante mucho tiempo ". Este tipo de criptografía se ha roto más de una vez en otros estándares de Internet, por ejemplo, en TLS, abreviatura de Transport Layer Security, unprotocolo para el cifrado de la transmisión de datos en línea. Ahora hemos demostrado por primera vez que también es vulnerable en lo que respecta al cifrado de correo electrónico ", explica el Dr. Dr Jörg Schwenk, de la Cátedra de Seguridad de Redes y Datos en RUB.
en su versión actual, S / MIME no es adecuado para una comunicación segura
En el caso de S / MIME, el ataque exitoso ha demostrado que el estándar actual no es adecuado para una comunicación segura. "OpenPGP se puede configurar y usar de forma segura; sin embargo, este no suele ser el caso como mostramos en nuestros análisis prácticosy, por lo tanto, debe considerarse inseguro ", dice Jörg Schwenk.
Ahora, el Grupo de Trabajo de Ingeniería de Internet, una organización internacional independiente del desarrollador, debe proporcionar un nuevo estándar, según los investigadores. Tras su exitoso ataque, el equipo de investigación ha informado a los desarrolladores de todos los programas de correo electrónico probados delbrecha de seguridad identificada por ellos. Se han tomado medidas para cerrarla, a fin de minimizar el riesgo de un ataque genuino exitoso.
Se ha publicado información detallada sobre su ataque en su sitio web http://efail.de/ .
Fuente de la historia :
Materiales proporcionado por Ruhr-Universidad Bochum . Nota: El contenido puede ser editado por estilo y longitud.
Cita esta página :