Главная » Блоги Экспертов И ИТ-Компаний » EFail – конец конфиденциальности Вашей электронной почты?

EFail – конец конфиденциальности Вашей электронной почты?

В последние годы шифрование электронной почты было одним из лучших способов, особенно для предприятий, безопасно отправлять конфиденциальные электронные письма. Все мы знали, что это не является панацеей от всех проблем корпоративной информационной безопасности, но, вообще говоря, мы думали, что это, вероятно, лучший вариант обеспечения безопасности электронных писем.

Впрочем, ничто не совершенно. Очень немногие технологии могут выдержать испытание временем: даже те, которые мы считали самыми надежными, не всегда могут оставаться таковыми при постоянных изменениях в  мире. И если вы не уверены в этом, просто спросите об этом у создателей протоколов PGP/GPG и S/MIME. И этому есть определенное имя: EFail.

Кто виноват в EFail?

По данным группы исследователей по вопросам информационной безопасности, оба протокола могут иметь серьезную уязвимость, которая позволяет получить доступ к содержимому явно зашифрованных и недоступных электронных писем.  Подтверждение со стороны Electornic Frontier Foundation (EFF) привнесло новое «дыхание» в эту полемику, обратив серьезное внимание к данному исследованию и поднятым проблемам безопасности.

А ведь вопрос вполне серьезный: конечно, усредненный пользователь, возможно, даже и не знает о протоколах PGP/GPG и S/MIME, но все дело в том, что они наиболее часто используются тогда, когда речь идет о шифровании электронных писем. Эта практика особенно распространена в бизнесе, где конфиденциальный характер электронных писем вынуждает использовать такого рода инструменты, безопасность которых в настоящее время ставится под сомнение.

Но это еще не конец битвы. Создатель протокола PGP Фил Циммерманн не согласен с такой оценкой. В своем заявлении он утверждает, что любые подозрения в отношении его технологии совершенно необоснованны: по его мнению, обнаруженные уязвимости никоим образом не влияют на его протокол, а скорее влияют только на то, как данный протокол был внедрен рядом почтовых провайдеров (Mozilla Thunderbird, iOS Mail и Apple Mail).

Для Вернера Коха, одного из разработчиков, втянутых в данную полемику, проблема заключается не в рассматриваемом протоколе как таковом, а в использовании HTML-кода при написании и визуализации электронных писем, что, по его словам, скорее всего и является реальной причиной уязвимостей.

Что нам теперь делать?

Помимо всех встречных обвинений, вопрос остается открытым: что нам со всем этим делать? Как насчет компаний, которые считали, что они устраняют риск утечек благодаря использованию PGP/GPG или S/MIME? Информационная безопасность, которую они считали надежной, теперь несет новые риски? И что еще более важно: что теперь следует делать, чтобы смягчить проблему?

В последние несколько недель EFF предоставила некоторые рекомендации относительно того, как пострадавшие компании могут продолжить обеспечивать свою информационную безопасность и предотвратить возможный нежелательный доступ посторонних лиц к их почтовым коммуникациям.

1. «Деактивировать» уязвимости

EFF дает некоторую оценку предложений Циммерманна, который для избавления от уязвимостей в этих протоколах предлагает не отказываться от самих протоколов, а отключать стороннее ПО на почтовом клиенте. Фонд предлагает несколько наглядных пособий о том, как избежать проблем, если компания, среди прочего, полагается на такие платформы, как Gpg4win или GPGTools.

2. Покончить с HTML

Если вставка HTML-кода в электронные письма является одной из главных причин этих уязвимостей, то лучше всего покончить с ней. Это будет лишь временной мерой, т.к. тем временем EFF подтверждает, что продолжит изучать способы повышения уровня безопасности пострадавших протоколов.

3. Использовать различные методы шифрования

В любом случае Electronic Frontier Foundation считает, что шифрование, предлагаемое протоколами PGP/GPG и S/MIME, может быть не лучшим. Как альтернатива, фонд предлагает пользователям вернуться к сквозному шифрованию (end-to-end encryption), которое, как было показано недавно, способно идеально адаптироваться к любым потенциальным уязвимостям. По мнению EFF, лучший пример – это Signal.

Таким образом, «мяч» находится на стороне разработчиков и экспертов. Они должны предоставить патчи для решения проблемы. Но также важно, чтобы компании не забывали о своей собственной информационной безопасности. Данная ситуация показывает, что шифрование не может гарантировать 100% безопасность коммуникаций. Компаниям следует принимать меры для защиты своих систем от потенциальных атак, которые  могли бы использовать информацию, полученную из перехваченных электронных писем. Если вам требуется решение, которое способно помочь вам избежать нежелательных «посетителей», вы можете попробовать Panda Adaptive Defense – инструмент, который поможет вам отбить нападки на ИТ-безопасность вашей компании.

 

Оригинал статьи: Is EFail the end of your email privacy?

 

Panda Security в России

 +7(495)105 94 51, marketing@rus.pandasecurity.com

 https://www.cloudav.ru

 


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Екатеринбург
+7(495)1059451
Информационные технологии

Panda Security – это лидирующая испанская мультинациональная компания, предлагающая решения с функциями расширенной информационной безопасности, а также инструменты управления и мониторинга. С момента своего создания в 1990 году, Panda неизменно выделяется своим новаторским подходом, позволившим компании создать ряд наиболее важных разработок в сфере информационной безопасности.

В настоящий момент компания сосредоточена на развитии стратегий и технологий расширенной защиты. Panda Security имеет офисы в более чем 80 странах мира, ее продукты переведены на 23 языка и используются свыше 30 миллионами пользователей во всем мире.

https://www.cloudav.ru

 

 


Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>