В последние годы шифрование электронной почты было одним из лучших способов, особенно для предприятий, безопасно отправлять конфиденциальные электронные письма. Все мы знали, что это не является панацеей от всех проблем корпоративной информационной безопасности, но, вообще говоря, мы думали, что это, вероятно, лучший вариант обеспечения безопасности электронных писем.
Впрочем, ничто не совершенно. Очень немногие технологии могут выдержать испытание временем: даже те, которые мы считали самыми надежными, не всегда могут оставаться таковыми при постоянных изменениях в мире. И если вы не уверены в этом, просто спросите об этом у создателей протоколов PGP/GPG и S/MIME. И этому есть определенное имя: EFail.
Кто виноват в EFail?
По данным группы исследователей по вопросам информационной безопасности, оба протокола могут иметь серьезную уязвимость, которая позволяет получить доступ к содержимому явно зашифрованных и недоступных электронных писем. Подтверждение со стороны Electornic Frontier Foundation (EFF) привнесло новое «дыхание» в эту полемику, обратив серьезное внимание к данному исследованию и поднятым проблемам безопасности.
А ведь вопрос вполне серьезный: конечно, усредненный пользователь, возможно, даже и не знает о протоколах PGP/GPG и S/MIME, но все дело в том, что они наиболее часто используются тогда, когда речь идет о шифровании электронных писем. Эта практика особенно распространена в бизнесе, где конфиденциальный характер электронных писем вынуждает использовать такого рода инструменты, безопасность которых в настоящее время ставится под сомнение.
Но это еще не конец битвы. Создатель протокола PGP Фил Циммерманн не согласен с такой оценкой. В своем заявлении он утверждает, что любые подозрения в отношении его технологии совершенно необоснованны: по его мнению, обнаруженные уязвимости никоим образом не влияют на его протокол, а скорее влияют только на то, как данный протокол был внедрен рядом почтовых провайдеров (Mozilla Thunderbird, iOS Mail и Apple Mail).
Для Вернера Коха, одного из разработчиков, втянутых в данную полемику, проблема заключается не в рассматриваемом протоколе как таковом, а в использовании HTML-кода при написании и визуализации электронных писем, что, по его словам, скорее всего и является реальной причиной уязвимостей.
Что нам теперь делать?
Помимо всех встречных обвинений, вопрос остается открытым: что нам со всем этим делать? Как насчет компаний, которые считали, что они устраняют риск утечек благодаря использованию PGP/GPG или S/MIME? Информационная безопасность, которую они считали надежной, теперь несет новые риски? И что еще более важно: что теперь следует делать, чтобы смягчить проблему?
В последние несколько недель EFF предоставила некоторые рекомендации относительно того, как пострадавшие компании могут продолжить обеспечивать свою информационную безопасность и предотвратить возможный нежелательный доступ посторонних лиц к их почтовым коммуникациям.
1. «Деактивировать» уязвимости
EFF дает некоторую оценку предложений Циммерманна, который для избавления от уязвимостей в этих протоколах предлагает не отказываться от самих протоколов, а отключать стороннее ПО на почтовом клиенте. Фонд предлагает несколько наглядных пособий о том, как избежать проблем, если компания, среди прочего, полагается на такие платформы, как Gpg4win или GPGTools.
2. Покончить с HTML
Если вставка HTML-кода в электронные письма является одной из главных причин этих уязвимостей, то лучше всего покончить с ней. Это будет лишь временной мерой, т.к. тем временем EFF подтверждает, что продолжит изучать способы повышения уровня безопасности пострадавших протоколов.
3. Использовать различные методы шифрования
В любом случае Electronic Frontier Foundation считает, что шифрование, предлагаемое протоколами PGP/GPG и S/MIME, может быть не лучшим. Как альтернатива, фонд предлагает пользователям вернуться к сквозному шифрованию (end-to-end encryption), которое, как было показано недавно, способно идеально адаптироваться к любым потенциальным уязвимостям. По мнению EFF, лучший пример – это Signal.
Таким образом, «мяч» находится на стороне разработчиков и экспертов. Они должны предоставить патчи для решения проблемы. Но также важно, чтобы компании не забывали о своей собственной информационной безопасности. Данная ситуация показывает, что шифрование не может гарантировать 100% безопасность коммуникаций. Компаниям следует принимать меры для защиты своих систем от потенциальных атак, которые могли бы использовать информацию, полученную из перехваченных электронных писем. Если вам требуется решение, которое способно помочь вам избежать нежелательных «посетителей», вы можете попробовать Panda Adaptive Defense – инструмент, который поможет вам отбить нападки на ИТ-безопасность вашей компании.
