Zpráva Electronic Frontier Foundation včera vyděsila veřejnost, protože naznačovala, že standardy PGP a S/MIME pro posílání šifrovaných e-mailů jsou zranitelné, a tím pádem nefunkční. Ze strany EFF to ale byla spíš hysterická reakce, na kterou jsme se nechali nachytat i my. Černý den e-mailu se nekoná. Situace je sice vážná, ale ne tolik, jak to včera vypadalo. Evropští bezpečnostní experti měli povahu zranitelností zveřejnit až dnes, nakonec ale několik detailů uniklo již včera, a tak objevitelé nečekali, a ještě odpoledne vydali studii s názvem Efail: Breaking S/MIME and OpenPGP Email Encryption using Exfiltration Channels.
Děravé nejsou standardy, ale implementace
Klíčovou informací je, že zranitelnosti se nenacházejí v samotných standardech popisujících šifrování e-mailů, ale ve způsobu, jak je implementovaly doplňky pro e-mailové klienty (které PGP a S/MIME zpřístupňují) a samotných klientech (které zprávy zobrazují).
Útočník si může přečíst vaši šifrovanou zprávu, jen když mu v tom pomůžeteEfail popisuje celkem tři chyby, všechny mají shodné vlastnosti.
- Aby si útočník mohl něčí šifrovanou zprávu přečíst, musí se k ní nejdříve dostat přímým přístupem ke schránce nebo e-mailovému serveru, získáním potřebných souborů z počítače nebo odposlechem při odesílání zprávy.
- Všechny tři chyby využívají e-mailů zaslaných ve formátu HTML, ke kterým lze přibalit vzdálené obrázky nebo kaskádové styly (CSS).
V prvním bodě nelze zabezpečit všechny kroky, protože u firemní pošty se vám ve schránce může hrabat administrátor. A u libovolného veřejného e-mailového serveru (Gmail, Seznam…) si zprávy „může“ číst rovněž kdokoliv ze správců. Vy jim můžete jen důvěřovat, že to nedělají.
Ve druhém bodě je ochranou to, že v e-mailovém klientu zakážete načítání externího obsahu (většinou je to už výchozí možnost) nebo rovnou zakážete zobrazování obsahu v HTML.
Neobrázek, který vás připraví o soukromí
Jak tedy chyby zneužít? Autoři studie z Münsterské univerzity, Bochumské univerzity a Katolické univerzity v Lovani zneužitelnosti rozdělili do dvou skupin: direct exfiltration a CBC/CFB gadget attack.
V případě direct exfiltration útočník vytvoří nový e-mail, do kterého vloží původní zašifrovanou zprávu získanou od oběti. Ta ovšem na první pohled nebude vůbec vidět. Je schovaná v neuzavřené HTML značce pro načtení obrázku.
Ve značce IMG je schovaná původní zašifrovaná zprávaKdyž útočník oběti záškodnický e-mail opětovně odešle, klientský program oběti šifru převede do čitelné podoby a text vloží do otevřené značky se zdrojovou adresou útočníkova serveru.
Dešifrovaná zprávaPokud má oběť povolené zobrazování HTML a načítání externího obsahu, klient si od serveru vyžádá obrázek. Jenže ten tam žádný není. V adrese je pouze dešifrovaná zpráva, nikoliv cesta k obrázku na serveru. Útočník si ale projde logy na serveru a uvidí, o které neobrázky byl zájem, tedy co skutečně obsahují šifrované zprávy.
Odkaz vedoucí na odposlouchávající serverÚtok je účinný proti Apple Mailu pro macOS a iOS, protože ty standardně zobrazují HTML a načítají externí obsah. Testované klienty Thunderbird, Postbox a MailMate jsou zneužitelné, jen pokud v nich uživatel načítání externího obsahu ručně povolí.
Jablečné e-maily jsou nejohroženějšíDruhá skupina útoků CBC (S/MIME) a CFB (PGP) gadget attack je složitější a hůře zneužitelná. Útočník musí znát část zašifrované zprávy a nahradit ji vlastním kódem – opět neuzavřenou značkou , která dešifrovaný text vyžvaní na útočníkově serveru. Tady v řadě případů ani nemusíte ručně nic povolat, externí obsah si vyžádá samotný špatně šifrovací doplněk.
Tvůrci OpenPGP tvrdí, že jejich řešení je bezpečnější než S/MIME. Součástí OpenPGP je již od roku 2000 detektor modifikovaného kódu (MDC), který hlídá, jestli souhlasí kontrolní součet a jestli tedy nedošlo k úpravě zprávy. Potíž je v tom, že použití MDC není povinné a každý program se k němu staví jinak, na modifikovanou zprávu nereaguje vůbec či jen varováním. S/MIME ani žádnou podobnou ochranu nemá.
Autoři Efailu zjistili, že tento útok fungoval na 10 z 28 testovaných e-mailových klientů využívajících PGP.
Útoky na PGP klientyU S/MIME neodolal téměř žádný.
Útoky na S/MIME klientyCo s šifrovanými e-maily?
Přiznejme si to, většina lidí e-maily nešifruje, takže objevené zranitelnosti nejsou ničím, z čeho by si měli dělat starosti. Objev akademiků z německých a belgických univerzit navíc neprokázal, že by byla chyba v samotném návrhu PGP a S/MIME. Skrz uvedené zranitelnosti se nikdo na dálku nedostane k cizím šifrovacím klíčům a citlivým uživatelům by spíš mělo dělat starost, že útočník potřebuje přístup k jejich zprávě či schránce.
Přesto je dobré, že se o problému s bezpečností HTML zpráv mluví a aféra přesvědčí vývojáře e-mailových klientů a doplňků, aby díry opravili. Autoři Efailu na rozdíl od EFF nevybízejí k tomu přestat šifrování používat. Uživatelé by se ale měli chránit. Buď vypnutím HTML nebo načítání externího obsahu, či dešifrováním zpráv v jiném programu než e-mailovém klientu. V dlouhodobém horizontu prý ale bude třeba upravit i návrh samotných standardů.
Další zdroje:
