GnuPG, Wikimedia Commons
În luna mai, o lucrare tehnică publicată de EFAIL a încurajat utilizatorii să înceteze să utilizeze pluginurile GNU Privacy Guard (GPG) atunci când doreau să cripteze e-mailurile. Ca și în cazul multor produse open-source realizate de dezvoltatorii GNU, GPG este utilizat pe scară largă de către cei care rulează GNU / Linux într-un mediu desktop sau laptop și acest lucru a făcut lucrarea destul de îngrijorătoare.
Fundația Electronic Frontier și-a exprimat, de asemenea, îngrijorarea cu privire la câteva vulnerabilități noi în software-ul GPG în ultima lună sau cam așa ceva, ceea ce le-a reamintit multor experți în securitate Linux acele opinii exprimate în lucrare. Câțiva specialiști în GNU / Linux au mers până acolo încât au sugerat pur și simplu că e-mailul criptat nu poate fi niciodată considerat cu siguranță sigur.
Din fericire, experții open-source au lansat recent alte recomandări care ar putea sta mai bine cu cei care s-au bazat pe instrumentele GPG pentru a trimite e-mail criptat altor utilizatori GNU / Linux. Experții au declarat încă de joi că orice client de mail care redă HTML, încarcă imagini în mod automat sau acceptă medii la distanță fără permisiune este ceea ce cauzează aceste vulnerabilități. Cu toate acestea, problema este că se pare că mulți nu au profitat de ele.
Enigmail, un popular plugin GPG conceput pentru a funcționa cu Thunderbird, a primit o actualizare la scurt timp după ce raportul EFAIL a fost publicat publicului. Începând de astăzi, 9 iunie, mulți utilizatori care rulează Thunderbird pe GNU / Linux nu au instalat actualizarea menționată, în ciuda faptului că actualizarea are aproape o lună în acest moment. Deoarece aceste plugin-uri nu se actualizează adesea atunci când pachetele de depozite fac, cei care folosesc toate cele mai recente pachete de la începutul lunii iunie pe Debian sau Ubuntu pot fi în continuare expuse riscului dacă nu și-au luat timpul să actualizeze manual pluginul chiar dacă Suntem la curent cu toate celelalte upgrade-uri.
Cea mai recentă listă de recomandări a afirmat că dezactivarea redării HTML și a încărcării imaginilor va învinge majoritatea vulnerabilităților, care nu sunt de fapt legate direct de pachetul GPG în sine. Destul de interesant, dezvoltatorii Engimail fac acum această recomandare, deoarece suportul HTML dezactivat, împreună cu criptarea, asigură o experiență de e-mail mult mai sigură.
Interesant este faptul că, deoarece e-mailul criptat trebuie să fie vizat în mod specific de atacatori, un volum mai mare de e-mail criptat trimis pe Internet ar contribui la reducerea riscului ca orice atac vizat să funcționeze.
Etichete Securitate Linux
