Google, Microsoft i Yahoo naprawiają poważne słabości e-maili

Google, Microsoft i Yahoo naprawiły słabość kryptograficzną w swoich systemach pocztowych, która może umożliwić osobie atakującej utworzenie sfałszowanego komunikatu, który przejdzie matematyczną weryfikację bezpieczeństwa.

Słabość wpływa na DKIM lub Identyfikowaną pocztę DomainKeys, system bezpieczeństwa używany przez głównych nadawców poczty e-mail. DKIM opakowuje podpis kryptograficzny wokół wiadomości e-mail, który weryfikuje nazwę domeny, przez którą została wysłana wiadomość, co ułatwia odfiltrowanie fałszywych wiadomości od prawdziwych wiadomości.

Problem polega na tym, że klucze podpisu są mniejsze niż 1024 bity, co może być uwzględnione z uwagi na rosnącą moc komputera. US-CERT poinformował w środę, że klucze do podpisu poniżej 1024 bitów są słabe, a klucze do bitów RSA-768 zostały uwzględnione.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Problem pojawił się po tym, jak matematyk z Florydy, Zachary Harris, otrzymał e-mail od rekrutera Google, który wykorzystał tylko klucz 512-bitowy, jak wynika z raportu opublikowanego w środę przez magazyn Wired.

Myślenie, że to może być sprytny test przez Google włączył klucz, a następnie użył go do wysłania fałszywej wiadomości od Sergeya Brina do Larry'ego Page'a, założycieli Google'a.

To nie był test, ale w rzeczywistości poważny problem, taki, w którym e-maile mogą być fałszywe byłby zaufany. Zgodnie ze standardem DKIM wiadomości e-mail o kluczach krótszych niż 1024 bity niekoniecznie są odrzucane.

Harris stwierdził, że problem nie dotyczy tylko Google, ale także Microsoft i Yahoo, z których każdy prawdopodobnie naprawił problem jako dwa dni temu, według US-CERT. Harris powiedział Wiredowi, że znalazł 512-bitowe lub 768-bitowe klucze używane w serwisach PayPal, Yahoo, Amazon, eBay, Apple, Dell, LinkedIn, Twitter, SBCGlobal, US Bank, HP, Match.com i HSBC.

Słaby klucze do podpisów są dobrodziejstwem dla cyberprzestępców. Selektywnie atakują ludzi za pomocą wiadomości e-mail zawierających złośliwe linki, próbując wykorzystać oprogramowanie komputera i zainstalować złośliwe oprogramowanie, w stylu ataku znanym jako spear phishing. Jeśli wiadomość e-mail zawiera poprawny podpis DKIM, prawdopodobnie trafi ona do skrzynki odbiorczej odbiorcy.

US-CERT ostrzega również o innym problemie. Specyfikacja DKIM umożliwia nadawcy oznaczenie, że testuje DKIM w wiadomościach. Niektórzy odbiorcy "akceptują komunikaty DKIM w trybie testowym, gdy wiadomości powinny być traktowane tak, jakby nie były podpisane przez DKIM", powiedział US-CERT.

Prześlij porady i komentarze na adres [email protected]. Obserwuj mnie na Twitterze: @jeremy_kirk