Gond van az e-mail titkositasokkal

 ( gee | 2018. május 15., kedd - 12:05 )

Sebastian Schinzel német biztonsági szakértő közzétett egy hírt vasárnap. Azt állítja, hogy a PGP, GPG, S/Mime titkosítást végző MUA kiegészítésekben olyan hibát talált, amivel a titkosított üzenetek tartalmához hozzá lehet férni.

Azt írja, hogy magával a titkosítással nincs gond. Azt, hogy pontosan mivel van, holnap tette volna közzé, de úgy látszik, hogy valami közbejött, mert már publikálta az információt.

A twitter csatornáján van egy halom információ mindenféle forrásból. Sokféle ember elemezte a bejelentést, és ezeket a kutató retweetelte.

Ami talán a HUP közönségének nagy részét érdekli, az ez a kép lehet:

Persze hiába biztonságos mondjuk az én kliensem, ha az általam küldött emailt elkapva egy hibás klienssel bárki vissza tudja fejteni.

A hiba leírása megtalálható itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Ahogy olvasom, ugy latszik, hogy a tamadas azon alapul, hogy en megkapom ujra a kezelt emailt, es az en hibas kliensem elkuldi a tamadonak a cleartext tartalmat.

Tehat ha en a kepen zolddel jelolt eseteket hasznalom (vagyis pl. mutt + PGP vagy Kmail + PGP), akkor nem szivarog ki a titkositatlan tartalom.

subscribe, egyrészt a security vonzata miatt, másrészt hajbazer kommentjeiről nem szeretnék lemaradni.

----------------------------------
szélsőségesen idealista, fősodratú hozzászólás

De hat a titkositas is bloat!
Masreszt a geped plusz energiafogyasztasabol en egy evig vilagitok!

--
Any A.I. smart enough to pass a Turing test is smart enough to know to fail it. -Ian McDonald

Sracok, besirtam :D
Koszi! :D

Szerintem nem fog becsatlakozni hajbi, az XP is érintett. Pedig az még mennyivel jobb volt.

Félrevezető a cím, mert nem az e-mailtitkosításokkal van baj, hanem azoknak az implementációjával, azzal is csak egyes e-mailklienseknél, nem az összesnél.


No keyboard detected... Press F1 to run the SETUP

A saját magad által erőltetett mantráid rabláncain vergődsz. Az XP nem egy mail kliens, tehát definíció szerint nem lehet érintett. Ami érintett lehet az az Outlook Express 6, amivel az XP alapból települ. Csakhogy, arról itt egy büdös szó nincs.

Én soha nem használtam e-mail titkosítást. Nem csak azért, mert bloat, hanem azért is, mert totál felesleges. Ha a címzett kényelmeskedő, webmail-t használ, és azt törik fel, akkor úgyis hozzáférnek mindenhez, hiszen Tapicskoló Tamás is hozzáfér mindenhez, a decryption szerver oldalon történik. Ha a címzett a gépén tárolja a leveleket és azt törik fel, ugyanúgy hozzáférnek. Célzott támadások ellen tehát nem nagyon véd. Azt pedig megnézem, hogy ki fog snifferrel nethuszárkodni, az SMTP-n átmenő leveleket elkapkodva. Mert ahol ennyit ér néhány e-mail, ott megintcsak célzott támadásról beszélünk.

Én sokkal inkább aggódnék amiatt, hogy az egyes e-mail szolgáltatók analizálják az e-mail-eket és ez alapján marketingezik a felhasználókat. Szerintem világszinten sokkal több a feleslegsen elszórt pénz ennek következétben, mint a titkosítás hiányából fakadó anyagi kár.

"Ha a címzett a gépén tárolja a leveleket és azt törik fel, ugyanúgy hozzáférnek."

Neked ugye halvány lila fingod nincs, hogy mit csinál a gpg meg az smime?

De van.

Csak szeretem inkább a józan eszem használni. Ha egy gépet feltörnek, akkor azt fogják látni, amit a felhasználója. A többi technikai részletkérdés.

Hidd el, mások is használták már a józan eszüket... ezért vannak olyanok, mint a passphrase a kulcson (hiába van nálad a titkosított kulcs és a kódolt üzenet, még egy információnak a híjján vagy), a smart card (amit pin kód véd ugyanezért), network unlock (kulcsot hálózatról kapod, más hálón értelemszerűen nem kapod meg) és hasonlók.

Ha a felhasználó csak egy passphrase promptot lát, akkor pont jól jött a titkosítás, mert amiatt nem fér hozzá a támadó a leveledhez...

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Ahogy említettem, technikai részletkérdés.

Idézet:
Ha a felhasználó csak egy passphrase promptot lát, akkor pont jól jött a titkosítás, mert amiatt nem fér hozzá a támadó a leveledhez...

Feltalálták már a keylogger-t.

Smart card? Network aware unlock?

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Esetek 0,1%-a.

[citation needed], egyébként meg lehet, hogy azért használják kevesen, mert utánagondoltak, hogy milyen támadási felületet milyen valószínűséggel használnak ki és az mekkora kárt okoz. Innentől kezdve triviális elemi matematika, hogy megnézd, érdemes-e annyi pénzt kiadni rá... mert te a passphrase-el védett kulcsnál ott jársz, hogy egyrészt vinni kell az adatot, a kulcsot, másrészt legalább egyszer tudnod kell a kliensen kódot futtatnod és onnan is vinnen kell ki adatot (amit utána elemzel, hogy megkeresd benne az információt...). Ha ezt _mind_ el tudja érni egy támadó, ott őszintén nem az a legnagyobb gond, hogy csak passphrase-el van védve a kulcs...

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

huhuhu...acsi! Ne kezd el tul sok gondolattal es a biztonsagi tervezes atgondolasaval tomni a kis fejet! Ne terheld szegenyt :D

Amugy meg ha mond valamit az teny es kesz. Ha o azt mondja hogy 0.1% akkor az annyi es kesz, mert tudja. Kapcsolatban all a vilag osszes IT cegenek osszes rendszereben levo osszes felhasznaloval es mikroservice-vel. Minden az o kis zavaros fejeben fut ossze.

Csaodalod, hogy ennyi adattal a kis fejeben folyamatosan okorsegeket beszel? :D

Aha. Meghajlok érveid nagysága előtt. Én azért továbbra is nyugodtan alszom, hogy ha feltörik a gépemet, akkor mit fognak látni a leveleimből :)

Legyen úgy.

Ha valaki odaul a lezaratlanul hagyott gepemhez, ahova be vagyok jelentkezve, nem fogja tudni elolvasni a PGP-vel titkositott leveleimet.
Lemasolhatja a titkositott leveleket es elviheti, es brute force modszerrel megprobalhatja visszafejteni. Nem mondom, hogy lehetetlen, de semmikepp se egyszeru vagy gyors.

Ha valaki odaul a lezaratlanul hagyott gepemhez, ahova be vagyok jelentkezve
Ez ugyan teljesen off, de:

Feltesz rá egy kis programot, ami bármit (is) csinálhat.
Tehát akár megvárhatja, míg te bepötyögöd a master passzwordöt és utána küldi el a gazdájának...

Szóval, az alap felvetés már önmagában sokkal nagyobb probléma, hiszen nem csak a titkosított leveleid miatt fosz majd aggódni...

--
zrubi.hu

Igen.

pssszt...tenyleg de tenyleg fogalmatlan ugy mindennel altalaban az IT vilagaban :D

A legviccesebb idiota akit az elmult 25 evben lattam. :D

Tudom. A szomszéd topikban meg kifejtette, hogy nem kéne számítógépet használni annak, aki nem ért hozzá :D

Nagyon vicces a gyerek csak kicsit faraszto. :D

Mondjuk azt szeretem, amikor beporog es igazi agyzsibbaszto idiotasagokat beszel. Jo hat ez az esetek kilencven szazalekara igaz, de nem mindegy a merteke. Neha fullban nyomja a kretent (30-40%), de altalaban csak egyszeruen fossa a butasgokat (70-60%) :D

Az mindenestre kiderult, hogy anyamnal nem nagyon ert jobban az informatikahoz. O is felhasznalo. Csak anyukamban van alazat, mert tudja hogy nem tudja. Ez a gyerek vizsont mindent visz a "Magabiztos idiota" kategoriaban. :D

"A saját magad által erőltetett mantráid rabláncain vergődsz." - ez nagyon jó volt! :D

----------------------------------
szélsőségesen idealista, fősodratú hozzászólás

Igyekeztem. :P

"Masreszt a geped plusz energiafogyasztasabol en egy evig vilagitok!"

Az uj 100 Wattos korteivel biztos nem :P

+1

+1

Megragadom a lényeget: van még The BAT! ?! :D

Banyek, és tényleg van! :D

> The Bat! v8.2.8
> 19 February 2018

Remélem azért HTML levél kitalálója is csuklik rendesen...

--
zrubi.hu

+1
____________________
echo crash > /dev/kmem

A példában az attacker egy nő :) Érdekes, milyen feltűnő, ha 'she'-t írnak 'he' helyett.

Meg '97 korul kezdtem el rengeteg dokumentaciot olvasni. Ha valahol nem az volt, hogy "one", akkor "she". Szoval engem azota nem lep meg. :D
Basszus 20 eve!!! Huuuuusz eveee!!! :D

De komolyan, tényleg, ki a rák ír olyan szoftvert, ami töredék invalid html-eket összefűz? Ez olyan mintha teszem azt, itt a drupálon nyitva lehetne egy html tag-et, például félkövért

Oh, wait... :-D

ugye, ugye... :D

--
zrubi.hu

LOL :-D

kimoderálódott :(

----------------------------------
szélsőségesen idealista, fősodratú hozzászólás

:D :D :D

Tehát ha a valaki hibás forráskódot ír, a fordítóprogram meg emiatt nem fordít, vagy rosszul működő binárist fordít, akkor a fordítóprogram a szar.

--
trey @ gépház

Rossz az analógia.

Ha a felhasználó hibás adatot ír be és a program nem ellenőrzi, akkor a program a szar.

--
Ickenham template engine

Eljutottunk odáig, hogy a felhasználótól már definíció szerint csak kényelmeskedést és tapicskolást várunk el, a programnak pedig feladata saját maga helyes használatát biztosítani. Maygarul, az autó hibája, ha a jogsival nem rendelkező sofőrt engedi vezetni. Ezért kéne nagyon sok birkát eltiltani a számítógéptől. Mert akkor az ilyen IT biztonsági hisztériáknak se nagyon lenne létjogosultsága.

Öööö... igen. A felhasználó per definitionem hülye, lehet fáradt, nem feltétlenül rendelkezik megfelelő ismeretekkel (akár a szoftver feladatköréhez, akár az IT-hez kapcsolódóan).
Vagy akkor a te elved szerint pl. az ÁNYK-ból vegyük ki mondjuk az adóbevallás adatlap ellenőrzéseit, nehogy már a paraszt felhasználó ellustálkodja, hogy át kelljen számolnia, hogy mindent helyesen töltött-e ki, meg a NAV-osok elkényelmesedjenek és ne számoljanak mindent újra papíron. Sőt, ha már itt tartunk, a formai megkötéseket is vegyük ki, a felhasználó igenis bassza meg és nézzen utána, hogy az adóazonosító jel 10 számjegy, tanulja meg, hogy nem azt írjuk oda, hogy "Áááárvííííztűűűűrőő tükörfúúúró gyors róka", mert amint pár év múlva odaér a NAV-os ellenőr, megy is a csekk (azaz nem, nem csekk, mert azon túl sok formai megkötés van az adatokra: papírfecni!!!!négy!) a sokmillió forintról. Sőt, dehogy sokmillió, "orángután" millió forintról. Vagy [nem támogatja a Drupal az emojikat :(] forintról. Illetve dehogy forintról, follárról, mert nehogymár a NAV-os ellenőrnek megmondja valaki, hogy milyen értékei lehetnek a pénznemnek.

BlackY
Szerk.: emoji support híjján eltűnt a kommentem egyharmada :(

Mit emojizgatsz SzBlöki? Nem vagy már tini!

Egyébként, az adóbevallás szándékosan túl van bonyolítva, hogy direkt elrontsd és ha a rendszer ki akar csinálni, akkor ki tudjon. Rég át kellett volna állni olyan rendszerre, ahol a lejelentett munkaviszonyok alapján automatikusan kiszámolva küldik a csekket, mennyit kell befizetni. Ahogy minden normális közüzemi számlát.

Változatlanul fenntartom a véleményem. Aki nem ért a számítógéphez, az ne használja. Pláne ne használjon e-mail titkosítást.

Örülj: A lejelentett munkaviszonyokkal nem csak, hogy automatikusan kiszámolják, hanem automatikusan be is fizetik, és neked semmi dolgod nincs.

Sőt, idén már másodszor megspórolják neked (vagy a céged könyvelőjének) azt is, hogy az egyik papírról a számokat a másik papírra átmásolja, és beküldje, megcsinálják, azt is automatán. Sőt, ha nem szólsz hogy nem tetszik, akkor automatán el is hiszik, hogy úgy gondolod, hogy jó. Eljött a nirvana.

Tehát, továbbra is felesleges az önbevallásos rendszer.

Továbbra is? Az előbb még túl volt bonyolítva baszod. Pont az történik, amit kértél. Sőt.

Ne zavard ossze! ;-)

Idézet:
adóbevallás

Jó, akkor hagyjuk az adóbevallást. Amikor a telefonodon SMS-t pötyögsz, mit csinál a telefonod 160 "karakternél": megállítja az inputot vagy elkezdi számolni, hogy akkor azt hány üzenetben kell elküldenie? Mindkettő teljesen valid megoldás arra a problémára, hogy a standardnak nem megfelelő inputot kap a felhasználótól. De a te érved szerint továbbra is olvasni kéne szépen a karaktereket, aztán csak az első 160 byte-ot elküldeni (rosszabb esetben protokoll hibát csinálni), mert nehogymár valami kényelmes legyen. Oh, és persze a felhasználó tudja pontosan, hogy a telefonja milyen karakterkódolást használ, hogy melyik karakter hány byte és folyamatosan kövesse fejben.

A szoftver van a felhasználóért. Nem fordítva.

Idézet:
Aki nem ért a számítógéphez, az ne használja.

Más szemében a szálkát is? Hogy definiálod a "számítógéphez" "értést"? Mit minősítesz még a "számítógép" kategóriába, mi az, ami már "hálózat", "kapcsolódó jogi (szerzői, személyiségi, büntető, polgári, ...) szabályozás", "szolgáltatás", ...? Hogy definiálod az "értést"? Mi az az objektív teszt, amivel ellenőriznéd, hogy Béla leülhet-e a gép elé.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

> Rég át kellett volna állni olyan rendszerre, ahol a lejelentett munkaviszonyok alapján automatikusan kiszámolva küldik a csekket, mennyit kell befizetni.

Done. Idén már a Zapeh számolja neked, és ha jól hallottam 3 éven belül kb felülbírálati lehetőséged se lesz.

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

" Aki nem ért a számítógéphez, az ne használja." - eros szavak ezek az elmult husz ev legnagyobb IT bohocatol :D

De, támogatja az emojikat a Drupal, de HTML entityként kell neki megadni az adott Unicode emoji decimális kódját (ésjel kettőskereszt kód pontosvessző), úgy megjeleníti. Egyébként nem, mert tiltott HTML-kódnak veszi, és kiszűri. Egy másik trükk, hogy ha HTML entityként viszed be, akkor Előnézet után visszaalakítja rendes karakterré, tehát újra át kell írni, mielőtt elküldöd.

Teszt: 💩


No keyboard detected... Press F1 to run the SETUP

Ja, OK. Akkor mostantól kötelező lesz az előnézet a kommentek beküldése előtt.

--
trey @ gépház

Done.

--
trey @ gépház

Szerintem még mindig szar

... mint a mellékelt ábra mutatja

Nem is fogja helyetted kijavítani. A fordítóprogram sem javítja ki. Az előnézetnél viszont láttad, hogy szar, nem javítottad. Szándékosan.

Most már jó az analógia.

--
trey @ gépház

A program továbbra sem ellenőrizte. :)

Az előnézet volt az ellenőrzés. Leellenőrizte az általad beadott adatokat és megmutatta, hogy szar. Azért ne legyünk már komplett idióták!

--
trey @ gépház

Egyetértek, ne legyünk. :)

Még mindig izzadságszagúan próbálod hozzáigazítgatni az analógiához a dolgot. Nem ellenőrzött az le semmit, azt nekem kellett volna.

Valóban ne legyünk. Milyen program?

--
trey @ gépház

"Ha a felhasználó hibás adatot ír be és a program nem ellenőrzi, akkor a program a szar."

Én itt a fórum kapcsán a drupalra gondolnék, mint programra, akinek ellenőriznie kell a felhasználó által beírt hibás adatot, nem pedig a felhasználóra gondolnék mint programra, akinek ellenőrizni kell a felhasználó által beírt hibás adatot.

Oké. Én meg azt gondolom, hogy aki html kódolásra adja a fejét akár csak egy sor erejéig, de annyira kretén, hogy szarul megjelenített előnézet után sem javítja, az egy idióta fasz.

Emellett elfogadom, hogy a program meg szar.

--
trey @ gépház

Az elsőt nem vitattam, csak itt most a másodikról volt szó. De örülök, hogy egyetértünk :)

Ne legyunk, vagy megis?

https://xkcd.com/327/

Ennek semmi köze a database inputok ellenőrzéséhez.

--
trey @ gépház

Teljesen mindegy, hogy adatbazis input, a tojast ellenorzod mielott a rantottaba teszed, vagy epp a gyerek furdovizenek a homersekletet. A koncepcio ugyanaz: felmered a veszely merteket es a kovetkezmenyek sulyossat, majd megfelelo ellenintezkedeseket hozol.

A Drupal-ban nyiván van sanitizer. A sima HTML tag-ek lezárásának vizsgálata nem ez a témakör.

--
trey @ gépház

Valoban. Nem az SQL injection, hanem az XSS lett volna a jo pelda. Hupon mondjuk a script talan rendben van, de a formazasok ellenorzese nincs.

--
Any A.I. smart enough to pass a Turing test is smart enough to know to fail it. -Ian McDonald

Gondolkoztam, mi okozhatta a valtozast.

En Drupal verzio frissitesre tippeltem, de orulok, hogy egy kis olvasgatas utan megtalaltam az igazi okot.

Ez telsejen folsosles volt...

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

trey, ne mondd hogy nem vágtad le, hogy szándékos ártalmatlan poén volt részemről, ismervén a drupal ezen hiányosságát? És igen, használtam az előnézetet, kipróbálandó hogy még mindig hibás-e.

Szerk, just for the record: itteni első hozzászólásom végére nem én raktam oda a záró tag-et.

Ez mondjuk teljesen off, de legalább értelmetlen, és rohadtul idegesítő.
És ettől még a drupal nem lett jobb :D

Ráadásul szerintem is pont ugyan ezen "hiba/feature" miatt jöhetett létre az topikban tárgyalt eredeti probléma... ;)

--
zrubi.hu

TB full szar, ez "jo" hir

Thunedrbird meg mindig lehal/zabalja a memoriat/mindketto, ha kuldesz benne egy 10 Megas CSV-t? (szegenykem preview-olni akarja az egeszet, cuki)

torolve, mert ugye a "hozzaszolashoz belepes szukseges" linkre kattintva szepen elfelejti, hogy pontosan hova is szolnank hozza...