Gond van az e-mail titkositasokkal

Titkosítás, biztonság, privát szféra

Sebastian Schinzel német biztonsági szakértő közzétett egy hírt vasárnap. Azt állítja, hogy a PGP, GPG, S/Mime titkosítást végző MUA kiegészítésekben olyan hibát talált, amivel a titkosított üzenetek tartalmához hozzá lehet férni.

Azt írja, hogy magával a titkosítással nincs gond. Azt, hogy pontosan mivel van, holnap tette volna közzé, de úgy látszik, hogy valami közbejött, mert már publikálta az információt.

A twitter csatornáján van egy halom információ mindenféle forrásból. Sokféle ember elemezte a bejelentést, és ezeket a kutató retweetelte.

Ami talán a HUP közönségének nagy részét érdekli, az ez a kép lehet:

Persze hiába biztonságos mondjuk az én kliensem, ha az általam küldött emailt elkapva egy hibás klienssel bárki vissza tudja fejteni.

A hiba leírása megtalálható itt.

( gee v | 2018. 05. 14., h – 16:25 )

Ahogy olvasom, ugy latszik, hogy a tamadas azon alapul, hogy en megkapom ujra a kezelt emailt, es az en hibas kliensem elkuldi a tamadonak a cleartext tartalmat.

Tehat ha en a kepen zolddel jelolt eseteket hasznalom (vagyis pl. mutt + PGP vagy Kmail + PGP), akkor nem szivarog ki a titkositatlan tartalom.

( uid_18247 | 2018. 05. 15., k – 12:08 )

subscribe, egyrészt a security vonzata miatt, másrészt hajbazer kommentjeiről nem szeretnék lemaradni.

----------------------------------
szélsőségesen idealista, fősodratú hozzászólás

Szerintem nem fog becsatlakozni hajbi, az XP is érintett. Pedig az még mennyivel jobb volt.

Félrevezető a cím, mert nem az e-mailtitkosításokkal van baj, hanem azoknak az implementációjával, azzal is csak egyes e-mailklienseknél, nem az összesnél.

No keyboard detected... Press F1 to run the SETUP

A saját magad által erőltetett mantráid rabláncain vergődsz. Az XP nem egy mail kliens, tehát definíció szerint nem lehet érintett. Ami érintett lehet az az Outlook Express 6, amivel az XP alapból települ. Csakhogy, arról itt egy büdös szó nincs.

Én soha nem használtam e-mail titkosítást. Nem csak azért, mert bloat, hanem azért is, mert totál felesleges. Ha a címzett kényelmeskedő, webmail-t használ, és azt törik fel, akkor úgyis hozzáférnek mindenhez, hiszen Tapicskoló Tamás is hozzáfér mindenhez, a decryption szerver oldalon történik. Ha a címzett a gépén tárolja a leveleket és azt törik fel, ugyanúgy hozzáférnek. Célzott támadások ellen tehát nem nagyon véd. Azt pedig megnézem, hogy ki fog snifferrel nethuszárkodni, az SMTP-n átmenő leveleket elkapkodva. Mert ahol ennyit ér néhány e-mail, ott megintcsak célzott támadásról beszélünk.

Én sokkal inkább aggódnék amiatt, hogy az egyes e-mail szolgáltatók analizálják az e-mail-eket és ez alapján marketingezik a felhasználókat. Szerintem világszinten sokkal több a feleslegsen elszórt pénz ennek következétben, mint a titkosítás hiányából fakadó anyagi kár.

Hidd el, mások is használták már a józan eszüket... ezért vannak olyanok, mint a passphrase a kulcson (hiába van nálad a titkosított kulcs és a kódolt üzenet, még egy információnak a híjján vagy), a smart card (amit pin kód véd ugyanezért), network unlock (kulcsot hálózatról kapod, más hálón értelemszerűen nem kapod meg) és hasonlók.

Ha a felhasználó csak egy passphrase promptot lát, akkor pont jól jött a titkosítás, mert amiatt nem fér hozzá a támadó a leveledhez...

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

[citation needed], egyébként meg lehet, hogy azért használják kevesen, mert utánagondoltak, hogy milyen támadási felületet milyen valószínűséggel használnak ki és az mekkora kárt okoz. Innentől kezdve triviális elemi matematika, hogy megnézd, érdemes-e annyi pénzt kiadni rá... mert te a passphrase-el védett kulcsnál ott jársz, hogy egyrészt vinni kell az adatot, a kulcsot, másrészt legalább egyszer tudnod kell a kliensen kódot futtatnod és onnan is vinnen kell ki adatot (amit utána elemzel, hogy megkeresd benne az információt...). Ha ezt _mind_ el tudja érni egy támadó, ott őszintén nem az a legnagyobb gond, hogy csak passphrase-el van védve a kulcs...

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

huhuhu...acsi! Ne kezd el tul sok gondolattal es a biztonsagi tervezes atgondolasaval tomni a kis fejet! Ne terheld szegenyt :D

Amugy meg ha mond valamit az teny es kesz. Ha o azt mondja hogy 0.1% akkor az annyi es kesz, mert tudja. Kapcsolatban all a vilag osszes IT cegenek osszes rendszereben levo osszes felhasznaloval es mikroservice-vel. Minden az o kis zavaros fejeben fut ossze.

Csaodalod, hogy ennyi adattal a kis fejeben folyamatosan okorsegeket beszel? :D

Ha valaki odaul a lezaratlanul hagyott gepemhez, ahova be vagyok jelentkezve, nem fogja tudni elolvasni a PGP-vel titkositott leveleimet.
Lemasolhatja a titkositott leveleket es elviheti, es brute force modszerrel megprobalhatja visszafejteni. Nem mondom, hogy lehetetlen, de semmikepp se egyszeru vagy gyors.

Ha valaki odaul a lezaratlanul hagyott gepemhez, ahova be vagyok jelentkezve
Ez ugyan teljesen off, de:

Feltesz rá egy kis programot, ami bármit (is) csinálhat.
Tehát akár megvárhatja, míg te bepötyögöd a master passzwordöt és utána küldi el a gazdájának...

Szóval, az alap felvetés már önmagában sokkal nagyobb probléma, hiszen nem csak a titkosított leveleid miatt fosz majd aggódni...

--
zrubi.hu

Nagyon vicces a gyerek csak kicsit faraszto. :D

Mondjuk azt szeretem, amikor beporog es igazi agyzsibbaszto idiotasagokat beszel. Jo hat ez az esetek kilencven szazalekara igaz, de nem mindegy a merteke. Neha fullban nyomja a kretent (30-40%), de altalaban csak egyszeruen fossa a butasgokat (70-60%) :D

Az mindenestre kiderult, hogy anyamnal nem nagyon ert jobban az informatikahoz. O is felhasznalo. Csak anyukamban van alazat, mert tudja hogy nem tudja. Ez a gyerek vizsont mindent visz a "Magabiztos idiota" kategoriaban. :D

( mogorva v | 2018. 05. 15., k – 15:54 )

Megragadom a lényeget: van még The BAT! ?! :D

( kupcsik v | 2018. 05. 15., k – 23:01 )

A példában az attacker egy nő :) Érdekes, milyen feltűnő, ha 'she'-t írnak 'he' helyett.

( egmont | 2018. 05. 15., k – 23:07 )

De komolyan, tényleg, ki a rák ír olyan szoftvert, ami töredék invalid html-eket összefűz? Ez olyan mintha teszem azt, itt a drupálon nyitva lehetne egy html tag-et, például félkövért

Eljutottunk odáig, hogy a felhasználótól már definíció szerint csak kényelmeskedést és tapicskolást várunk el, a programnak pedig feladata saját maga helyes használatát biztosítani. Maygarul, az autó hibája, ha a jogsival nem rendelkező sofőrt engedi vezetni. Ezért kéne nagyon sok birkát eltiltani a számítógéptől. Mert akkor az ilyen IT biztonsági hisztériáknak se nagyon lenne létjogosultsága.

Öööö... igen. A felhasználó per definitionem hülye, lehet fáradt, nem feltétlenül rendelkezik megfelelő ismeretekkel (akár a szoftver feladatköréhez, akár az IT-hez kapcsolódóan).
Vagy akkor a te elved szerint pl. az ÁNYK-ból vegyük ki mondjuk az adóbevallás adatlap ellenőrzéseit, nehogy már a paraszt felhasználó ellustálkodja, hogy át kelljen számolnia, hogy mindent helyesen töltött-e ki, meg a NAV-osok elkényelmesedjenek és ne számoljanak mindent újra papíron. Sőt, ha már itt tartunk, a formai megkötéseket is vegyük ki, a felhasználó igenis bassza meg és nézzen utána, hogy az adóazonosító jel 10 számjegy, tanulja meg, hogy nem azt írjuk oda, hogy "Áááárvííííztűűűűrőő tükörfúúúró gyors róka", mert amint pár év múlva odaér a NAV-os ellenőr, megy is a csekk (azaz nem, nem csekk, mert azon túl sok formai megkötés van az adatokra: papírfecni!!!!négy!) a sokmillió forintról. Sőt, dehogy sokmillió, "orángután" millió forintról. Vagy [nem támogatja a Drupal az emojikat :(] forintról. Illetve dehogy forintról, follárról, mert nehogymár a NAV-os ellenőrnek megmondja valaki, hogy milyen értékei lehetnek a pénznemnek.

BlackY
Szerk.: emoji support híjján eltűnt a kommentem egyharmada :(

Mit emojizgatsz SzBlöki? Nem vagy már tini!

Egyébként, az adóbevallás szándékosan túl van bonyolítva, hogy direkt elrontsd és ha a rendszer ki akar csinálni, akkor ki tudjon. Rég át kellett volna állni olyan rendszerre, ahol a lejelentett munkaviszonyok alapján automatikusan kiszámolva küldik a csekket, mennyit kell befizetni. Ahogy minden normális közüzemi számlát.

Változatlanul fenntartom a véleményem. Aki nem ért a számítógéphez, az ne használja. Pláne ne használjon e-mail titkosítást.

Örülj: A lejelentett munkaviszonyokkal nem csak, hogy automatikusan kiszámolják, hanem automatikusan be is fizetik, és neked semmi dolgod nincs.

Sőt, idén már másodszor megspórolják neked (vagy a céged könyvelőjének) azt is, hogy az egyik papírról a számokat a másik papírra átmásolja, és beküldje, megcsinálják, azt is automatán. Sőt, ha nem szólsz hogy nem tetszik, akkor automatán el is hiszik, hogy úgy gondolod, hogy jó. Eljött a nirvana.

adóbevallás

Jó, akkor hagyjuk az adóbevallást. Amikor a telefonodon SMS-t pötyögsz, mit csinál a telefonod 160 "karakternél": megállítja az inputot vagy elkezdi számolni, hogy akkor azt hány üzenetben kell elküldenie? Mindkettő teljesen valid megoldás arra a problémára, hogy a standardnak nem megfelelő inputot kap a felhasználótól. De a te érved szerint továbbra is olvasni kéne szépen a karaktereket, aztán csak az első 160 byte-ot elküldeni (rosszabb esetben protokoll hibát csinálni), mert nehogymár valami kényelmes legyen. Oh, és persze a felhasználó tudja pontosan, hogy a telefonja milyen karakterkódolást használ, hogy melyik karakter hány byte és folyamatosan kövesse fejben.

A szoftver van a felhasználóért. Nem fordítva.

Aki nem ért a számítógéphez, az ne használja.

Más szemében a szálkát is? Hogy definiálod a "számítógéphez" "értést"? Mit minősítesz még a "számítógép" kategóriába, mi az, ami már "hálózat", "kapcsolódó jogi (szerzői, személyiségi, büntető, polgári, ...) szabályozás", "szolgáltatás", ...? Hogy definiálod az "értést"? Mi az az objektív teszt, amivel ellenőriznéd, hogy Béla leülhet-e a gép elé.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

> Rég át kellett volna állni olyan rendszerre, ahol a lejelentett munkaviszonyok alapján automatikusan kiszámolva küldik a csekket, mennyit kell befizetni.

Done. Idén már a Zapeh számolja neked, és ha jól hallottam 3 éven belül kb felülbírálati lehetőséged se lesz.

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

De, támogatja az emojikat a Drupal, de HTML entityként kell neki megadni az adott Unicode emoji decimális kódját (ésjel kettőskereszt kód pontosvessző), úgy megjeleníti. Egyébként nem, mert tiltott HTML-kódnak veszi, és kiszűri. Egy másik trükk, hogy ha HTML entityként viszed be, akkor Előnézet után visszaalakítja rendes karakterré, tehát újra át kell írni, mielőtt elküldöd.

Teszt: 💩

No keyboard detected... Press F1 to run the SETUP

"Ha a felhasználó hibás adatot ír be és a program nem ellenőrzi, akkor a program a szar."

Én itt a fórum kapcsán a drupalra gondolnék, mint programra, akinek ellenőriznie kell a felhasználó által beírt hibás adatot, nem pedig a felhasználóra gondolnék mint programra, akinek ellenőrizni kell a felhasználó által beírt hibás adatot.

trey, ne mondd hogy nem vágtad le, hogy szándékos ártalmatlan poén volt részemről, ismervén a drupal ezen hiányosságát? És igen, használtam az előnézetet, kipróbálandó hogy még mindig hibás-e.

Szerk, just for the record: itteni első hozzászólásom végére nem én raktam oda a záró tag-et.

( kubi | 2018. 05. 17., cs – 20:32 )

torolve, mert ugye a "hozzaszolashoz belepes szukseges" linkre kattintva szepen elfelejti, hogy pontosan hova is szolnank hozza...