it-swarm.com.de

Welche Maßnahmen sollte ich als Endbenutzer als Reaktion auf EFAIL ergreifen?

Es wird viel darüber gesprochen EFAIL :

Die EFAIL-Angriffe nutzen Schwachstellen in den OpenPGP- und S/MIME-Standards aus, um den Klartext verschlüsselter E-Mails aufzudecken. Kurz gesagt, EFAIL missbraucht aktiven Inhalt von HTML-E-Mails, z. B. extern geladene Bilder oder Stile, um Klartext über angeforderte URLs zu filtern.

Was soll ich als Endbenutzer als Reaktion darauf tun? Sollte ich sofort aufhören, verschlüsselte E-Mails zu senden und/oder zu empfangen? Oder vielleicht alle E-Mails? Oder verwenden Sie PGP überhaupt nicht mehr? Gibt es eine schnelle Lösung? Zu installierende Patches? Und wenn ja, Patches zu was? Andere Maßnahmen zu ergreifen?

Beachten Sie, dass dies eine Frage ist, was als Endbenutzer zu tun ist. Es geht nicht um das Innenleben der Sicherheitsanfälligkeit oder darum, wie das Problem auf Protokollebene behoben werden kann.

50
Anders

Insbesondere ist PGP nicht das Problem. Das Problem liegt in den Mail-Handling-Apps in Ihrem Browser, für die Sie Ihre PGP-Schlüssel verwenden dürfen. Diese Browser-Apps entschlüsseln die Nachricht so, wie sie sollten, aber in dieser Nachricht befindet sich zusätzlich zu Ihrem Geheimnis eine Trojaner-URL, die eine Angreifer-Site darstellt. Ihre Browser-App hat dumm versucht, eine Verbindung zu der URL herzustellen, an die Ihr Geheimnis am Ende angehängt ist.

Für die meisten Menschen ist die praktischste Methode (von Ihrem Link):

Kurzfristig: Deaktivieren Sie das HTML-Rendering. Die EFAIL-Angriffe missbrauchen aktive Inhalte, hauptsächlich in Form von HTML-Bildern, -Stilen usw. Durch Deaktivieren der Darstellung eingehender HTML-E-Mails in Ihrem E-Mail-Client wird die bekannteste Art des Angriffs auf EFAIL geschlossen. Beachten Sie, dass es in E-Mail-Clients andere mögliche Rückkanäle gibt, die nicht mit HTML zusammenhängen, aber schwieriger auszunutzen sind.

Dann wird jede URL in der entschlüsselten Nachricht als Text angezeigt, einschließlich der Trojaner-URL. Mit ziemlicher Sicherheit könnten Sie sich die URL ansehen und wissen, dass etwas nicht stimmt. Wenn nichts falsch war und Ihr Mail-Programm über eine Schaltfläche verfügt, mit der Sie die HTML-Ansicht für diese einzelne Mail umschalten können, können Sie die Mail sicher lesen.

Die andere vorgeschlagene Methode:

Kurzfristig: Keine Entschlüsselung im E-Mail-Client. Der beste Weg, um EFAIL-Angriffe zu verhindern, besteht darin, S/MIME- oder PGP-E-Mails nur in einer separaten Anwendung außerhalb Ihres E-Mail-Clients zu entschlüsseln. Entfernen Sie zunächst Ihre privaten S/MIME- und PGP-Schlüssel von Ihrem E-Mail-Client und entschlüsseln Sie dann eingehende verschlüsselte E-Mails, indem Sie den Chiffretext in eine separate Anwendung kopieren und einfügen, die die Entschlüsselung für Sie vornimmt. Auf diese Weise können die E-Mail-Clients keine Exfiltrationskanäle öffnen. Dies ist derzeit die sicherste Option mit dem Nachteil, dass der Prozess stärker involviert wird.

könnte schwieriger sein. Auf einem Handy könnte es sehr sehr schwierig sein. Auf einem Laptop oder Desktop hängt es davon ab, wie einfach es wäre, die Nicht-Browser-App einzurichten oder von jemandem für Sie ausführen zu lassen. Die umständliche Zeit zum Ausschneiden und Einfügen hängt davon ab, wie viele verschlüsselte Nachrichten Sie verarbeiten müssen.

Sie sollten auch darauf achten, dass die Nicht-Browser-App nicht automatisch versucht, die URL zu kontaktieren.


BEARBEITEN: Das Hinzufügen von Anführungszeichen zur Nachricht schützt Ihre gesendeten verschlüsselten E-Mails nicht. Vielen Dank an @Anders für den Hinweis auf die Referenz.

33
Craig Hicks
  1. Deaktivieren Sie das HTML-Rendering. (Nicht HTML senden : HTML rendern . Es spielt keine Rolle, was E-Mail, die Sie senden; wichtig ist , was Ihr Mailer nach Erhalt der E-Mail des Gegners tut .)

  2. Konfigurieren Sie Ihren Mailer so, dass der automatische Download von PGP-Schlüsseln, die S/MIME-OCSP-Überprüfung, der S/MIME-CRL-Download und der S/MIME-Zwischen-CA-Download deaktiviert werden. Erwägen Sie stattdessen, Ihre Schlüsselringe und Zertifikatspeicher regelmäßig zu aktualisieren. Hier gibt es einen Kompromiss: Sie können sich in den Fuß schießen, indem Sie widerrufene Zertifikate nicht bemerken, und Sie können sich mit Stapeln verwandter Downloads dekanonymisieren, aber der automatische Schlüssel-Download Ihres Mailers oder der OCSP-Verifizierer oder der CRL-Downloader können Sie in den Fuß schießen.

  3. Deaktivieren Sie möglicherweise die automatische Entschlüsselung in Ihrem Mailer. Hier gibt es einen Kompromiss: Sie können sich in den Fuß schießen, indem Sie die Kommunikationsbarriere so hoch anheben, dass Sie es nicht mehr tun möchten, aber die automatische Entschlüsselung Ihres Mailers kann Sie in den Fuß schießen.

  4. Befolgen Sie thegrugqs Anleitung zur Verwendung von PGP , wenn Sie PGP zur Verteidigung gegen ein ernstes Bedrohungsmodell verwenden müssen und bereit sind, das Befehlszeilen-Tool gpg mit all dem mentalen Aufwand zu verwenden das impliziert. (Lesen Sie die OpenSSL-Manpages, wenn Sie S/MIME verwenden müssen, aber erwarten Sie nicht, dass das OpenSSL-Befehlszeilenprogramm einer genauen Prüfung unterzogen wird…)

  5. Wenn Sie jemanden kennen, der mit der OpenPGP- oder S/MIME-Entwicklung verbunden ist, unterstützen Sie seine Bemühungen, moderne Kryptografietechniken zu verwenden und sinnvolle Sicherheitsziele in realen Anwendungen wie Mailern und Paketüberprüfung zu formulieren, nicht nur den Befehl gpg. Linienwerkzeug. (Schreien Sie nicht in den Hacker News, weil die Menschheit ihre HN-Heißluftquote bereits überschritten hat.)

  6. Signal verwenden.

  7. Lesen Sie mehr Details unter crypto.se .

11

Neben dem Deaktivieren des HTML-Renderings gibt es noch eine andere Lösung, die Sie dennoch sollten.

Dies ist eine Liste der betroffenen Clients und Webmailer1::

(List of affected clients, webapps and webmailers

Der Efail-Angriff in seiner aktuellen Form beruht in erster Linie auf einer Client-Schwachstelle. Wenn Sie einen der betroffenen Clients verwenden, möchten Sie möglicherweise vorerst über einen Wechsel zu einem anderen Client nachdenken, obwohl dies auf lange Sicht möglicherweise keine Lösung darstellt. Halten Sie auch Ihren Client und Ihr S/MIME- und/oder PGP-Plugin auf dem neuesten Stand. Angeblich mildert Enigmail 2.0 Efail bereits.1

{1} https://efail.de/efail-attack-paper.pdf
{2} https://www.heise.de/newsticker/meldung/Efail-Was-Sie-jetzt-beachten-muessen-um-sicher-E-Mails-zu-verschicken-4048988.html =

8
Tom K.

Derzeit wird empfohlen, die automatische Entschlüsselung der E-Mail in Ihrem E-Mail-Client zu vermeiden. In den meisten Fällen bedeutet dies, das entsprechende Plugin zu deinstallieren. Anschließend müssen Sie den verschlüsselten Text in eine separate Anwendung kopieren, um ihn anzuzeigen.

Sie sollten weiterhin in der Lage sein, verschlüsselte E-Mails zu senden, vorausgesetzt, der Empfänger trifft die entsprechenden Vorsichtsmaßnahmen, obwohl dies wahrscheinlich die Verwendung der problematischen Plugins bedeuten würde.

Laut Martin Vetgers Kommentar kann das Deaktivieren des automatischen HTML-Renderings den Angriff ebenfalls weitgehend abschwächen, obwohl die Forscher auch sagten, dass andere Kanäle verfügbar seien, die mit mehr Arbeit ausgenutzt werden könnten.

Was dies für Sie als Endbenutzer bedeutet, ist sehr unterschiedlich.

Um von diesem Exploit zu profitieren, muss der Angreifer in der Lage sein, die E-Mail-Nachricht während der Übertragung zu ändern oder eine zuvor erfasste E-Mail erneut zu senden. Natürlich können dies mehrere Nationalstaaten oder Ihr Arbeitgeber tun, aber ich vermute, es ist unwahrscheinlich, dass Sie viele Kriminelle finden, die einen zwielichtigen WLAN-Hotspot betreiben, in der Hoffnung, vertrauliche persönliche Informationen aus Ihren PGP-E-Mails abzurufen.

Wenn Sie nur auf Privatsphäre bedacht sind, können Sie wahrscheinlich einfach weitermachen. Die E-Mail wird weiterhin auf dem Mailserver verschlüsselt, und GCHQ/NSA usw. können sie möglicherweise abrufen, aber die Strafverfolgung kann sie nicht gegen Sie verwenden.

Sie können auch versuchen, die Firewall-Regeln auf Ihrem Computer einzuschränken, sodass der E-Mail-Client nur an 1 oder 2 Ports kommunizieren kann. Das würde den HTML-Vektor vollständig blockieren und möglicherweise viele andere Wege für die Exfiltration abschneiden.

Wenn Leben auf dem Spiel stehen, ist es am besten, sie aufzugeben ...

5
ste-fu

Kurzfristige Korrekturen

Es stehen zwei kurzfristige Korrekturen zur Auswahl:

  1. Deaktivieren Sie das HTML-Rendering in Ihrem E-Mail-Client. (Und beachten Sie, dass HTML gerendert wird, dh angezeigt wird, nicht gesendet wird .)
  2. Beenden Sie die Entschlüsselung von E-Mails in Ihrem E-Mail-Client (z. B. durch Deaktivieren des PGP-Plugins) und kopieren Sie stattdessen die verschlüsselten Daten in ein separates Programm, um die Entschlüsselung durchzuführen.

Die EFAIL-Webseite verweist auf mögliche Möglichkeiten zum Exfiltrieren von Daten ohne HTML, sodass es möglicherweise nicht ganz sicher ist, nur Nummer 1 zu tun. Das ist wahrscheinlich der Grund, warum EFF empfiehlt auch # 2 . Während # 2 weniger praktisch ist, ist es wahrscheinlich sicherer.

Installiere Updates

Da die Sicherheitsanfälligkeit in der Interaktion von E-Mail-Clients mit PGP liegt, sollten Sie Ihren E-Mail-Client und alle Plugins aktualisieren. Wenn das Problem in Ihrem E-Mail-Client behoben ist, können Sie mit den kurzfristigen Maßnahmen aufhören. Sowohl Nr. 1 als auch Nr. 2 sind jedoch auch in Abwesenheit von EFAIL angemessene Sicherheitsvorkehrungen. Wenn Sie sich also angewöhnt haben, sie zu verwenden, können Sie genauso gut fortfahren.

OpenPGP oder eine seiner Implementierungen ist nicht von Natur aus fehlerhaft. Obwohl Sie Ihre Software immer auf dem neuesten Stand halten sollten, müssen Sie sie aus diesem Grund nicht speziell aktualisieren. Sie müssen auch nicht aufhören, sie zu verwenden.

Erinnere dich an die anderen Teilnehmer

Da sowohl der Absender als auch alle Empfänger E-Mails entschlüsseln können, kann der EFAIL-Angriff gegen einen dieser Punkte gerichtet sein. Selbst wenn Sie die oben genannten Vorsichtsmaßnahmen treffen, werden die von Ihnen gesendeten und empfangenen Nachrichten möglicherweise immer noch entschlüsselt, wenn die Personen, mit denen Sie kommunizieren, weniger umsichtig sind.

Möglicherweise möchten Sie dies vorerst berücksichtigen, bevor Sie diese Tools verwenden.

5
Anders