Cảnh báo nguy cơ lộ, lọt nội dung thư điện tử
HQ Online -
Ngày 17-5-2018, Cục An toàn thông tin, Bộ Thông tin và Truyền thông đã phát đi cảnh báo về nguy cơ lộ, lọt nội dung thư điện tử, kể cả trong trường hợp đã được mã hóa bằng OpenPGP hay S/MIME.
Theo Cục An toàn thông tin, nguy cơ lộ, lọt dữ liệu nội dung thư điện tử được đánh giá ở mức cao và gây ảnh hưởng đến các phần mềm, ứng dụng hỗ trợ mã hóa thư điện tử (hệ điều hànhWindows, Linux, MacOS và các hệ điều hành cho các thiết bị di động).
Thông thường nếu không sử dụng mã hóa thư điện tử ở phía thiết bị người dùng thì có thể gặp một số nguy cơ bị lộ, lọt thông tin:
(1) Dữ liệu truyền đi trên đường truyền có thể bị đối tượng tấn công đọc được nội dung bằng các phương thức tấn công cơ bản, trong cả trường hợp có sử dụng các mã hóa thông thường trên đường truyền.
(2) Khi tài khoản thư điện tử của người dùng bị lộ, lọt mật khẩu thì nội dung thư điện tử đang lưu trữ trong tài khoản cũng dễ dàng bị khai thác.
(3) Khi máy chủ thư điện tử bị tấn công thì tất cả thư điện tử đang lưu trữ của người dùng cũng bị lộ. Ngoài ra người quản trị máy chủ thư điện tử cũng có thể đọc nội dung người dùng đã trao đổi.
Nếu người dùng sử dụng mã hóa thư điện tử thì ngày cả khi đối tượng tấn công có được tài khoản thư điện hay thu thập được thư điện tử người dùng đã trao đổi thì cũng rất khó có thể giải mã nếu áp dụng các chuẩn mã hóa thư điện tử sử dụng mật mã khóa công khai với các thuật toán mật mã mạnh như OpenPGP hay S/MIME. Để sử dụng 2 chuẩn mã hóa này thông thường người dùng phải cài thêm phần mềm phía máy người dùng để quản lý các khóa mật mã, để mã hóa và giải mã thư điện tử.
Trước thời điểm có các thông tin công bố về lỗ hổng trên chuẩn mã hóa thư điện tử OpenPGP và S/MIME cho phép giải mã thư điện tử thì việc sử dụng OpenPGP và S/MIME được cho là giải pháp bảo đảm an toàn thông tin mạnh và chủ động cho người dùng thư điện tử.
Ở các quốc gia trên thế giới việc sử dụng OpenPGP và S/MIME là khá phổ biến, thông thường đối tượng dùng mã hóa email phía client gồm chính trị gia, nhà báo, phóng viên, chuyên gia làm về an toàn thông tin, và cả người dùng thông thường - những người muốn bảo vệ thông tin, dữ liệu của mình truyền đi trên môi trường Internet.
Tại Việt Nam việc sử dụng phần mềm mã hóa phía đầu thiết bị người dùng cũng được nhiều người sử dụng, và đã được Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam đưa ra hướng dẫn, khuyến nghị đối với các nhóm CSIRT.
Ngày 14-5-2018 nhóm chuyên gia an toàn thông tin của Châu Âu có tên EFF (Electronic Frontier Foundation) đã công bố nhóm lỗ hổng (có tên EFAIL) trong các công cụ hỗ trợ mã hóa PGP và S/MIME cho phép đối tượng tấn công có thể giải mã thư điện tử đã được người dùng mã hóa bằng OpenPGP và S/MIME khi gửi đi hay cả những thư điện tử mã hóa đã thu thập được trước đó.
Một trong những cách để đối tượng tấn công có thể lấy được nội dung thư điện tử đã giải mã là khai thác việc tự động hiển thị nội dung HTML như sau:
- Thu thập thư điện tử đã mã hóa;
- Sửa đổi thư mã hóa trong đó có thể chèn nội dung để lấy thông tin thư đã giải mã sử dụng thuộc tính src của thẻ <img>;
- Gửi thư mã hóa đã bị sửa đổi đến nạn nhân;
- Ứng dụng mã hóa email phía nạn nhân sẽ thực hiện giải mã và nạp các thông tin khác trong đó thông tin sau giải mã bao gồm cả URL đối tượng tấn công chèn vào và nội dung thư đã giải mã. Việc yêu cầu thông tin trong thẻ <img> cho phép đối tượng tấn công nhận được thông tin đã giải mã.
Hình thức này có thể thực hiện trên Apple Mail (macOS), Mail App (iOS), Thunderbird (Windows, macOS, Linux), Postbox (Windows) and MailMate (macOS).
Ngoài ra còn một số cách khác nhóm chuyên gia mô tả cũng cho phép lấy được thư điện tử mã hóa bằng PGP và S/MIME thông qua tấn công các chế độ CBC/CFB của thuật toán mã hóa mà hai chuẩn này sử dụng
Một số khuyến nghị
Hiện tại chưa có thông tin bản vá cho các lỗ hổng này, trong khi đối tượng tấn công có thể lợi dụng để giải mã cả những thư điện tử đã thu thập trước đây nếu người dùng tiếp tục sử dụng để mã hóa/giải mã thư điện tử. Vì vậy người dùng nên tạm ngừng trao đổi thông tin nhạy cảm qua thư điện tử, hoặc sử dụng phương thức trao đổi khác, cho đến khi có bản vá và sửa lỗi chính thức từ nhà phát hành.
Các lỗ hổng này nhằm vào việc giải mã nội dung thư điện tử và được khai thác kết hợp với một số tính năng có sẵn của phần mềm phía thiết bị người dùng, do vậy nếu vẫn muốn tiếp tục sử dụng OpenPGP và S/MIME, người dùng có thể thực hiện các thao tác sau để hạn chế rủi ro bị tấn công:
(1) Bật chức năng ngăn chặn việc hiển thị và nạp các nội dung từ bên ngoài. Đặc điểm này không chỉ cho phép đối tượng tấn công giải mã thư điện tử mà còn cho phép chèn và thực thi nội dung độc hại khác trên máy tính người dùng. Một số tính năng người dùng có thể thiết lập để an toàn hơn như: Disable HTML messages; Disable JavaScript; Disable Remote Image; Disable the preview pane.
Ví dụ disable JavaScript trên Thunderbird
(2) Bật chức năng kiểm tra tính toàn vẹn của thư điện tử và cảnh báo khi thư điện tử bị thay đổi trong quá trình gửi/nhận.
(3) Theo dõi và cập nhật ngay khi bản vá được phát hành, đồng thời cập nhật bản vá cho các lỗ hổng đã biết.
Tham khảo
https://efail.de/efail-attack-paper.pdf
https://www.eff.org/deeplinks/2018/05/not-so-pretty-what-you-need-know-about-e-fail-and-pgp-flaw-0
https://gist.github.com/rmoriz/5945400
https://lists.gnupg.org/pipermail/gnupg-users/2018-May/060315.html
Minh Đức
Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về bhqdt@baohaiquanvietnam.vn
- Phòng, chống lừa đảo trực tuyến như thế nào? - ( 16-04-24 02:00 )
- Bộ Nội vụ thống nhất tăng lương tối thiểu vùng từ ngày 1/7/2024 - ( 15-04-24 04:00 )
- Trình Thủ tướng xem xét phương án nghỉ 5 ngày dịp lễ 30/4, 1/5 - ( 11-04-24 03:00 )
- Khẩn trương hoàn thiện Tờ trình, Báo cáo Bộ Chính trị về chế độ tiền lương mới, điều chỉnh lương hưu - ( 09-04-24 02:00 )
- Điểm khác biệt của bảng lương công chức áp dụng từ ngày 1/7 là gì? - ( 08-04-24 01:00 )
