Serveis Informàtics Àralos S.L. utiliza cookies propias y de terceros recopilar datos sobre la experiencia de navegación y optimizar el funcionamiento de nuestro sitio web. Si continua navegando, consideramos que acepta su uso. Més informació

Diseño web, marketing digital y posicionamiento en buscadores. Diseño de páginas web. Presupuestos sin compromiso. Solicita tu presupuesto! - presupuesto web

Diseño de páginas web - Presupuestos sin compromiso - Solicita presupuesto para tu web

Diseño de páginas web - Presupuestos sin compromiso - Solicita presupuesto para tu web


EFAIL - Vulnerabilidad crítica en clientes de correo

15/05/2018 Consejos | Correo electónico | Seguridad |
EFAIL - Vulnerabilidad crítica en clientes de correo

Un grupo de investigadores descubren vulnerabilidades en los protocolos PGP y S/MIME. La Electronic Frontier Foundation confirma estas vulnerabilidades e indica que haciendo uso de ellas se puede mostrar contenido de mensajes de correo cifrados que hayamos recibido en el pasado. Esto qué significa? Que cualquier correo recibido bajo este cifrado podría quedar al descubierto aún encriptado.

¿Qué són el PGP y MIME?

MIME (Multipropuse Internet Mail Extensions):
Es una parte de los correos. Va en la cabecera de los mismos (invisible para la mayoría) Internet, lo diseñaron los americanos (ASCII) para un uso muy sencillo.
MIME, soporta otras codificaciones, permite que no sólo se envíe texto, sino también enviar partes diferenciadas (otros correos, parte texto, parte HTML, etc.).

PGP: 
Es un cifrado a nivel de aplicación (extremo a extremo). Es una mejora a los sistemas de cifrado simétricos ya que se le añade una clave aleatoria extra a esta. Lo que hace es cifrar la clave aleatoria y el texto.

Como se usa:
Se usa a nivel de aplicación. Por lo tanto, la usan desde clientes de correo electrónico, a programas de redes privadas (VPN).

¿Cómo funciona este exploit?

El HTML se usa como una puerta trasera para crear una llave para los correos cifrados modificados, además que ciertos sistemas MIME que concatenan partes de mensajes MIME HTML descifrados permiten implantar código HTML que valida esas vulnerabilidades.

Para los desarrolladores la solución se divide en dos partes.

En primer lugar, no leer ni escribir correos HTML y si es necesario leerlos, utilizar una aplicación MIME por separado y no permitir acceso a enlaces externos.

La segunda, usar cifrado autenticado (AE), que en OpenPGP se llama MDC (Modification Detection Code).

Cómo proceder

El grupo de investigadores ha procedido a informar del problema en la web efail.de antes de lo previsto ya que confirman que la encriptación ya se ha roto.

El plan a seguir para todos los usuarios que hagan uso de estos protocolos es deshabilitar o desisntalar la herramienta que utilice el cliente para descifrar automáticamente los correos cifrados con PGP. En la página web muestran los pasos de cómo proceder en algunos de los clientes de correo más conocidos. GPGTools en Apple Mail o GPG4Win en Outlook.

Existen otros métodos como Signal, una alternativa recomendada desde la EFF para comunicaciones móviles.

Fuentes:

eff.org
efail.de
Imagen: Jana Runde, Ruhr University Bochum





¿Tienes dudas? Contacta con nosotros


Consejos | Correo electónico | Seguridad | Secciones: Actualidad




Contacta con nosotros

Responsable: Serveis Informàtics Àralos S.L.
Finalidad: Dar respuesta y gestionar la petición/sugerencia/duda planteada por el interesado.
Destinatarios: No se cederán datos a terceros salvo a aquellos cuya intervención resulte necesaria para dicha finalidad.
Derechos: Acceso, rectificación, oposición o supresión de datos, así como otros derechos detallados en nuestra política de privacidad.
Información adicional: Política de Privacidad y Condiciones generales.