נחשפו פגיעויות בהצפנת הודעות דוא"ל
מאת:
מערכת Telecom News, 15.5.18, 11:40
התקיפה, שמכונה efail, היא בעלת 2 וריאציות. מה מומלץ לארגונים ועסקים לעשות?
דווח, שאתמול פורסמו ע"י חוקרי אבטחה אירופים פגיעויות העלולות לאפשר בתנאים מסוימים קריאה של הודעות דוא"ל המוצפנות באמצעות הפרוטוקולים
OpenPGP ו-
S/MIME. מניתוח המידע שפורסם, מקור הפגיעויות הוא בשימוש של תוכנות הדוא"ל של המשתמשים ב-
HTML להצגת הודעות הדוא"ל. ייתכן, שתוקף עלול לפענח של תכתובות עבר מוצפנות.
OpenPGP הוא פרוטוקול הצפנה להודעות דוא"ל, שעושה שימוש בתעודות דיגיטליות, שהמשתמש מנפיק עבור עצמו, וברשת אמון (
Web Of Trust) הבנויה מאנשים המכירים באופן אישי את בעל התעודה, ומעגל המכרים שלהם, וכן הלאה.
S/MIME הוא פרוטוקול דומה, שעושה שימוש בתשתיות
PKI קלאסיות לניהול התעודות הדיגיטליות הנדרשות לפעולתו.
התקיפה, שמכונה
efail, מנצלת
בווריאציה הראשונה שלה את השימוש, שעושות תוכנות הצפייה בדוא"ל ב-
HTML להצגת ההודעות, למימוש אחת מ
2- האפשרויות לתקיפה. התוקף צריך להשיג נגישות להודעות הדוא"ל המוצפנות של הקורבן, לשנות אותן בדרך מסוימת ולשלוח אותן לקורבן. לאחר מכן, פתיחת ההודעות ע"י הקורבן תגרום להפעלת קוד מסוים, שהוחבא בהודעה, ולהמשך התקיפה.
הווריאציה השנייה של התקיפה עושה שימוש בפגיעות במוד הפעולה (
CBC/CFB) של הפרוטוקול המשמש להצפנה סימטרית של הודעת הדוא"ל. יש לציין, שנציגים של פרויקטי התוכנה הרלוונטיים טוענים, שפגיעות זו מוכרת זה מכבר (שנת 2000) וכבר יושמו עבורה פתרונות בפרוטקול ההצפנה. עם זאת נראה, כי שלא כל הספקים של תוכנות הדוא"ל שנבדקו מיישמים הפתרון באופן מיטבי.
דרכי התמודדות
ישנם יצרנים, שכבר טיפלו בפגיעויות הללו. מי שברשותו תוכנה פגיעה, יכול לבחון מעבר לשימוש, ולו זמני, בתוכנה, שאינה פגיעה. רשימת התוכנות שנבחנו מצויה במסמך המלא של החוקרים -
כאן בעמ' 11.
אם אין אפשרות לשנות את תוכנת הלקוח, ניתן לשקול מעבר לשימוש בהודעות דוא"ל המוצגות ללא רכיבי ה-
HTML, כטקסט בלבד. לחילופין ניתן לבחון ביטול טעינת תוכן מרוחק (
Remote Content). הפרטים המדויקים כיצד לבצע זאת שונים מתוכנה לתוכנה וניתן למוצאם בד"כ באתר היצרן.
אם התהליכים העסקיים בארגון תומכים בכך, ניתן לשקול באופן זמני עד לתיקון הפגיעויות בתוכנה בה עושים שימוש, ביצוע של פענוח ההודעה המוצפנת ביישום ייעודי, שאינו יכול לגשת לרשת האינטרנט, ולא בתוכנת הדוא"ל.
בכל מקרה, אם יצרן התוכנה הוציא תיקון לפגיעויות אלו, מומלץ לבוחנן במערכות ולהתקינן בהקדם האפשרי.