CleanPress

Schlagwort: EFAIL

  • Stellungnahme der PGP-Entwickler zu EFAIL

     

    PGP-Entwickler zu EFAIL
    Quelle: StockSnap Lizenz: CC0 1.0

    Die Berichterstattung um die Lücken in E-Mail-Clients, die Angreifer nutzen können, um verschlüsselte E-Mails zu entschlüsseln und zu entwenden, rief viel Kritik bei Entwicklern und Sicherheitsexperten hervor. So hatte sich Werner Koch, der Erfinder von GNU Privacy Guard (GnuPG) auf der GnuPG-Mailingliste dahingehend geäußert, in Sachen OpenPGP sei die Panikmache vor allem der EFF übertrieben. Jetzt haben sich auch die PGP-Entwickler in einer gemeinsamen Erklärung zur Ehrenrettung ihrer Software entschieden. Es äußern sich Andy Yen, der Gründer von ProtonMail, Phillip Zimmermann als Erfinder von Pretty Good Privacy (PGP), Patrick Brunschwig als Entwickler von Enigmail sowie der Mailvelope-Gründer Thomas Oberndörfer.

    Unnötig aufgebauscht

    Die Kritik richtet sich auch hier gegen die Berichterstattung der Electronic Frontier Foundation (EFF), die ein Papier der Entdecker der Lücken aufgegriffen hatte und damit ein weltweites Medienecho bis hin zur Tagesschau ausgelöst hatten. Die PGP-Entwickler richten sich gegen einige Aussagen in der Presseberichterstattung und stellen klar:

    [su_quote style=“modern-light“ cite=“PGP-Entwickler“ url=“https://protonmail.com/blog/pgp-efail-statement/“]»Diese Aussagen sind höchst irreführend und potenziell gefährlich. PGP ist nicht defekt. Die von EFail identifizierten Schwachstellen sind keine Fehler des OpenPGP-Protokolls selbst, sondern Fehler in bestimmten Implementierungen von PGP, darunter in Apple Mail, Mozilla Thunderbird und Microsoft Outlook. Viele andere häufig verwendete Software, die auf PGP basiert, sind von der EFail-Schwachstelle in keiner Weise betroffen, wie die Forscher selbst in ihrem Beitrag betonen. Als offener Standard kann jeder PGP implementiere und es überrascht nicht, dass einige Implementierungen Sicherheitslücken aufweisen. Dies bedeutet jedoch nicht, dass PGP selbst defekt ist.«[/su_quote]

    Empfehlung für Anwender

    Die Empfehlung der Verfasser der Stellungnahme geht dahin, stets aktuelle Versionen der jeweiligen Software zu verwenden. So wurde beispielsweise der E-Mail-Client Thunderbird bereits aktualisiert und größtenteils gegen die Lücken immunisiert. Die Entwickler bitten darum, dass jeder auch seine Kommunikationspartner informiert und zur Aktualisierung der Software animiert.

    Software, die auf  PGP, GnuPG, Mailvelope und ProtonMail basiert, war nie gegen EFAIL anfällig. Enigmail und GPGtools waren verwundbar, jedoch ließ sich ein Angriff relativ leicht verhindern. Bei der Verwendung von Enigmail muss Version 2.05 verwendet werden und nur einfaches HTML ohne Nachladen externer Inhalte oder noch besser, reine Textansicht in Thunderbird. Bei GPGTools muss ebenfalls das Nachladen externer Inhalte deaktiviert werden.

    Empfehlung der EFF zu rigide

    Die EFF empfahl Benutzern, PGP-Plugins zu deaktivieren oder die Verwendung von PGP ganz einzustellen. Das sei so ähnlich wie zu sagen: »Einige Schlösser könnten aufgebrochen werden, deshalb müssen wir alle Türen entfernen.« Das sei besonders gefährlich, da es Personen gefährden kann, die sich aus Sicherheitsgründen auf PGP-Verschlüsselung verlassen, so die Entwickler. Somit ist nach EFAIL die Benutzung von E-Mail genauso (un)-sicher wie eh und je.

     

     

  • Thunderbird 52.8.0 dämmt EFAIL ein

    Bild: Efail | Lizenz: Lizenz: CC0 1.0

     

    Am 18. Mai stellte Mozilla eine neue Version des E-Mail-Clients Thunderbird bereit. Thunderbird 52.8.0 beseitigt mehrere Sicherheitslücken, unter anderem auch in Bezug auf das Auslesen verschlüsselter E-Mails durch EFAIL. Ein Bug, der erst in der nächsten Version behoben werden wird, ist das weiterhin mögliche Darstellen mehrerer Teile einer Mail in einem einzigen HTML-Kontext. Damit besteht weiterhin die Gefahr einer direkten Exfiltration, bei der sich ein Angreifer durch Manipulation recht einfach den Inhalt verschlüsselter Mails übersenden lassen kann.

    Direkte Exfiltration

    Um einen Exfiltrations-Rückkanal zu erstellen, benötigt der Angreifer zunächst Zugriff auf die verschlüsselten E-Mails, etwa durch Abhören des Netzwerkverkehrs, durch Eindringen in E-Mail-Konten, E-Mail-Server oder Client-Computer. Der Angreifer manipuliert eine verschlüsselte E-Mail in einer bestimmten Weise und sendet diese geänderte verschlüsselte E-Mail an das Opfer. Der E-Mail-Client des Opfers entschlüsselt die E-Mail und lädt die manipulativ eingefügten externen Inhalte, wodurch der Klartext an den Angreifer weitergegeben wird.

    Externe Inhalte derzeit meiden

    Das funktioniert bei Thunderbird aber nur, wenn der Anwender selbst die Funktion zum Nachladen externer Inhalte aktiviert hat. Die ist bei Thunderbird von Hause aus deaktiviert. So rät Mozilla dann auch, falls verschlüsselte Mails nachfragen, ob sie externe Inhalte nachladen sollen, dies zurzeit unbedingt zu verneinen. In jedem Fall sollte möglichst zeitnah Thunderbird 52.8.0 installiert werden. Bis zur nächsten Thunderbird-Version 52.8.1 sollten Anwender  auf alle Fälle Vorsicht walten lassen, falls Mail-Verschlüsselung per PGP oder S/MIME verwendet wird. Wann mit Entwarnung durch Thunderbird 52.8.1 zu rechnen ist, hat Mozilla noch nicht erklärt. Standardmäßig wäre das nächste Release erst am 26.6.

  • EFAIL – der Tag danach

    EFAIL
    Bild: Efail | Lizenz: CC0 1.0

     

    Erstaunlich ruhig ist es am Tag nach der Panik verbreitenden Enthüllung mit dem Namen EFAIL. Bereits gestern Abend hatte auf Twitter und G+ die Kritik an der Veröffentlichung und der darauf aufbauenden Berichterstattung eingesetzt. Auch dieses Blog muss sich, wie fast alle, diesen Schuh anziehen. Die Tageschau hatte sich sogar dazu verstiegen zu titeln, Forscher hätten die E-Mail-Verschlüsselung geknackt. Nun weiß es die ganze Welt: E-Mails sind unsicher. Das wissen informierte Anwender schon seit mehr als zwei Jahrzehnten. Ebenso ist die Tatsache, dass man in Mails kein HTML nutzen will, kein Geheimnis und jeder kann sich mit ein wenig Google-Suche darüber informieren, warum das so ist.

    Der Erfinder ergreift das Wort

    Werner Koch, der Erfinder von GNU Privacy Guard (GnuPG) äußerte sich bereits gestern Mittag auf der GnuPG-Mailingliste dahingehend, er sehe die Aussagen in Bezug auf PGP als reichlich überzogen. Koch empfiehlt demnach auch, kein HTML in E-Mails zu nutzen. Wenn es unumgänglich ist, solche Mails anzunehmen, solle man sicherstellen, dass der MIME-Parser des E-Mail-Cients es nicht erlaubt, entschlüsselte HTML-MIME-Anteile aneinanderzuhängen, wodurch solche Angriffe erst möglich werden.

    MDC umstritten!?

    Eine weitere Möglichkeit, Angriffe dieser art zu blockieren, ist die Verwendung von authentifizierter Verschlüsselung, die laut Koch bei PGP bereits seit 2001 verfügbar ist. Sie basiert auf Modification Detection Code (MDC) und wurde damals wegen ähnlicher Angriffe eingeführt. Die Methode ist je nach Implementierung im Client nicht zu 100 Prozent zuverlässig, aber wesentlich besser als im Fall von S/MIME, der über keine funktionierende authentifizierte Verschlüsselung verfügt. Korrekt arbeitende E-Mail-Clients geben bei jeder PGP-verschlüsselten Mail, die keinen MDC-Anhang enthält, eine Warnung aus, dass die Authentizität der Mail nicht verifiziert werden konnte und sollten das Öffnen der Mail verweigern. Gleiches gilt bei Anzeichen einer Manipulation der Mail.

    Hanno Böck, Berliner Sicherheitsexperte, der für Golem.de, die »TAZ« und »Die Zeit« schreibt, erklärte gestern auf Golem, die Datenauthentifizierung mit MDC sei mangelhaft. Seine Begründung: »Wenn die MDC-Authentifizierung fehlschlägt, werden die Daten trotzdem von GnuPG entschlüsselt und ausgegeben, erst hinterher erfolgt eine Benachrichtigung, dass die entsprechenden Daten ungültig sind.« Das gilt nach seiner Aussage für einige »naive« Mail-Clients. Er fährt fort: »Korrekt implementiert dürften ungesicherte Daten nie ausgegeben werden, sondern müssten immer verworfen werden.«

    Papier falsch betitelt

    Sicherheitsexperte und Mitentwickler der Thunderbird-Erweiterung Enigmail, Robert J. Hansen haut mit seiner Kritik in die gleiche Kerbe wie Koch und kritisiert den Rat der EFF, Enigmail, die Verschlüsselungserweiterung von Thunderbird sofort zu entfernen. Er sagt, das Papier der Forscher (PDF) sei falsch betitelt, denn die Lücken erlaubten Angriffe auf fehlerhafte E-Mail-Clients, nicht auf die Verschlüsselung selbst.

    Somit erscheint am Tag danach EFAIL als reichlich aufgeblasen und überzogen. Panikmache hilft nicht an der Stelle, wo handfeste Aufklärung und die korrekte Benennung der Schuldigen vonnöten wäre.

  • EFAIL – Brisante Lücken in OpenPGP und S/MIME

    EFAIL
    Bild: Efail | Lizenz: CC0 1.0

     

    Eigentlich sollten weitere Details zu den heute Morgen bekannt gewordenen Sicherheitslücken erst morgen früh veröffentlicht werden. Ob der Brisanz der Situation hat das Ganze aber eine Eigendynamik entwickelt. Mittlerweile wurde die Lücke mit dem Namen EFAIL versehen, erhielt ein Logo und eine eigene Webseite. Also ist außer Fanartikeln bereits alles vertreten, was eine Sicherheitslücke, die etwas auf sich hält, heutzutage braucht.

    BSI seit Monaten informiert

    Wenn aber innerhalb von wenigen Stunden nach Bekanntwerden das Bundesamt für Sicherheit und Informationstechnik  (BSI) mit Verhaltensregeln zur Stelle ist und die Tagesschau in bester Neuland-Manier berichtet, scheint wirklich Gefahr im Verzug zu sein. Was ist also genau passiert? Forscher der Fachhochschule Münster, der Ruhr-Universität Bochum sowie der Universität zu Leuven in Belgien haben schwerwiegende Schwachstellen in den Verschlüsselungsstandards OpenPGP und S/MIME entdeckt, die in vielen E-Mail-Clients ausgenutzt werden können. Das BSI war bereits seit November 2017 eingebunden.

    Der Angriff manipuliert verschlüsselte E-Mails in einer Weise, die es einem Angreifer erlaubt, den vom Empfänger entschlüsselten Text der E-Mail an einen Server unter Kontrolle des Angreifers zu senden. Dazu braucht der Angreifer Zugriff auf den Transportweg der E-Mail, auf den Mailserver oder auf den Rechner des Angegriffenen und somit auf dessen Postfach haben. Das Opfer muss zudem in seinem Mail-Client HTML-Mails und das Nachladen externer Inhalte als active content erlauben.

    Trickreiche Manipulation

    Die Manipulation einer E-Mail könnte etwa folgendermaßen aussehen: Ein auf dem Transportweg abgefangener verschlüsselter Text wird mit einer Anfrage auf das Nachladen einer Ressource, etwa eines Bildes kombiniert und diese Mail an das Opfer gesendet. Dabei wird der zu entschlüsselnde Text zwischen zwei HTML-Blöcke einbgebettet. Der E-Mail-Client des Opfers entschlüsselt den Textblock und bettet ihn in den HTML-Code ein. Daraufhin wird die im HTML eingebundene URL ausgeführt, die die Anfrage zum Nachladen von externen Inhalten enthält, wodurch der Klartext an den Server des Angreifers versendet wird. Sollte Zugriff auf den Mailserver oder den Rechner des Opfers bestehen, so funktioniert der Angriff auch mit dort liegenden älteren E-Mails.

    Verantwortlich dafür, dass diese HTML-Manipulationen funktionieren, sind veraltete Implementationen der Verschlüsselungsmethoden von OpenPGP und besonders bei S/MIME. Die Manipulation per HTML ist aber nur ein Angriffsvektor in einer derzeit etwas unübersichtlichen Situation. Bei S/MIME gibt es auch die Möglichkeit, die Antwortfunktion des OCSP-Protokolls als Rückkanal zu nutzen.

    Es gibt zwei verschiedene Arten von EFAIL-Angriffen. Der direkte Exfiltrations-Angriff nutzt Schwachstellen in Apple Mail, iOS Mail und Mozilla Thunderbird aus, um den Klartext verschlüsselter E-Mails direkt zu exfiltrieren.  Der zweite Angriffsvektor nutzt Schwachstellen direkt in der Spezifikation von OpenPGP und besonders von S/MIME aus. Der Angriff auf S/MIME ist vergleichsweise einfach und ein Angreifer kann laut den Tests der Forscher bis zu 500 S/MIME-verschlüsselte E-Mails knacken, indem er eine einzige S/MIME-E-Mail an das Opfer sendet. Bei PGP hat die zweite Methode nur eine Erfolgsquote von einem Drittel, da PGP den Klartext vor der Verschlüsselung komprimiert.

    Verschlüsselung abschalten

    Derzeit ist der sicherste Weg um sich zu schützen, Erweiterungen zur Mailverschlüsselung in den Mail-Clients abzuschalten und die privaten Schlüssel aus den Clients zu entfernen. Aktualisierungen der E-Mail-Clients sollten zeitnah installiert werden. Verschlüsselte Mails können weiterhin in einer externen Anwendung außerhalb des E-Mail-Clients geöffnet werden.

    Das Abschalten von HTML-Funktionalität und das Öffnen von eingehenden HTML-Mails verhindert einige, aber nicht alle Angriffe. Beseitigt wird das zugrundeliegende Problem nur durch eine Anpassung der Standards bei OpenPGP und S/MIME. Dort müssen authentifizierte Verschlüsselungsmethoden implementiert beziehungsweise aktiviert werden. Das wird seine Zeit brauchen.

    Die genaue Funktionsweise der Lücke beschreibt ein ausführliches  Papier (PDF) der Forscher.  Werner Koch, der Erfinder von GNU Privacy Guard (GnuPG) äußert sich auf der GnuPG-Mailingliste dahingehend, in Sachen OpenPGP sei die Panikmache vor allem der EFF übertrieben.