Что случилось с PGP и S/MIME: как работает уязвимость Efail

Источник: Xakep

В начале текущей недели группа из девяти европейских ученых, во главе с профессором Университета прикладных наук в Мюнстере Себастьяном Шинцелем (Sebastian Schinzel), предупредила о критических уязвимостях в составе PGP и S/MIME. Экспертов поддержали представители Фонда электронных рубежей (Electronic Frontier Foundation, EFF); они подтвердили критичность обнаруженных проблем и опубликовали сообщение, в котором призвали пользователей отключить или деинсталлировать инструменты работы с PGP и S/MIME. Сообщалось, что  исправлений для проблем пока нет, в качестве альтернативного способа защищенной связи пользователям советовали обратить внимание на мессенджер Signal.

Как и было обещано, теперь обнародованы все технические подробности обнаруженных багов: с ними можно ознакомиться на официальном сайте efail.de и в официальном докладе специалистов (PDF).

Как выяснилось, разработчики и специалисты по безопасности были отчасти правы, когда призывали не паниковать и называли проблему Efail очередным хайпом. Оказалось, что с самими технологиями и криптографией все в порядке, а проблемы кроются в имплементациях и окружающей экосистеме. В частности, уязвимы почтовые клиенты (Thunderbird, Outlook, Apple Mail) и PGP-плагины для них (Enigmail, Gpg4win и GPG Tools, соответственно).


Читать дальше  » 

Правительство США сцепилось с Huawei и ZTE

Правительство США выпустило доклад, в котором утверждает, что Huawei и ZTE представляют угрозу национальной безопасности и что американские компании не должны вести бизнес с китайскими телекоммуникационными гигантами. Huawei, ZTE и китайское правительство категорически отказались от этих претензий, назвав сообщения необоснованными и субъективными.


Читать дальше  » 

Итоги форума Positive Hack Days IV по практической информационной безопасности

Высказывание Фридриха Ницше про «бездну, которая всматривается в тебя» стало девизом форума по практической безопасности Positive Hack Days (PHDays) IV. На ежегодной международной конференции демонстрировались киберугрозы, к которым цивилизация пока не готова: атаки на энергетические и транспортные системы города, превращение «умного дома» в ловушку, опустошение хакерами виртуального банка — и обсуждались различные способы выживания в современных цифровых джунглях.



Рецепт, по которому проводится PHDays, не меняется уже четвёртый год: минимум рекламы и максимум полезной информации, голливудский размах конкурсов, неформальное общение «пиджаков» и «футболок», до предела насыщенные выступления в несколько потоков, не всегда удобные вопросы на круглых столах, атмосфера исследовательской лаборатории на практических занятиях Hands-on Labs.

21 и 22 мая форум посетили более 2500 человек из 18 стран мира: лидеры и специалисты подразделений информационной безопасности из 700 компаний (финансовых, телекоммуникационных, промышленных), молодые учёные и предприниматели, представители государственной власти и интернет-индустрии. В выступлениях и соревнованиях участвовали 15 тысяч посетителей 19 площадок PHDays Everywhere в шести странах.

Читать дальше  »