En gruppe forskere har offentliggjort flere teknikker, der kan gøre det muligt for en angriber at læse indholdet af mails, der ellers er krypteret via OpenPGP og S/Mime-standarderne. Angrebsteknikkerne har fået betegnelsen EFAIL og er nærmere beskrevet på hjemmesiden efail.de
Tidligere i dag havde en af forskerne, professor ved Münster University of Applied Sciences Sebastian Schinzel, teaset, at angrebet først ville blive offentliggjort i morgen klokken 09.00 dansk tid. Dagen igennem har det dog svirret med rygter i lyset af annonceringen, der for sikkerhedsfolk da også kan lyde noget saftig.
OpenPGP og S/MIME bliver brugt til kryptering i et hav af sammenhænge.
Sebastian Schinzel begrunder - uden at gå i nærmere detaljer - på Twitter offentliggørelsen af EFAIL før tid med, at embargoen er brudt.
Due to our embargo being broken, here are the full details of the #efail attacks. https://t.co/i7xAFwJ3WX
Noget af det, der er blevet diskuteret i forbindelse med EFAIL, er, hvorvidt angrebet kan lade sig gøre som følge af fejl i standarderne bag OpenPGP og S/MIME, eller om det er diverse mail-programmers fejlagtige implementering af standarderne, der er skurken.
Ifølge de otte forskere, der er krediteret for kortlægningen af angrebsteknikkerne, er det begge dele. Forskerne er i øvrigt fordelt på tre universiteter: Damian Poddebniak, Christian Dresen, Fabian Ising og Sebastian Schinzel fra Münster University of Applied Sciences. Jens Müller, Juraj Somorovsky og Jörg Schwenk fra Ruhr University Bochum og Simon Friedberger fra KU Leuven.
Forskerne har offentliggjort en rapport her, der beskriver det hele i tekniske detaljer.
Og så er der en mere letlæselig oversigt på siden efail.de, hvor der også er svar på, hvordan man kan sikre sig mod EFAIL.
Der er overordnet to angreb. Fælles for angrebene er, at angriberen på den ene eller den anden måde skal have adgang til de krypterede mails, som han eller hun vil læse indholdet af. Det kan eksempelvis ske, hvis angriberen kontrollerer en mailserver. Begge angrebsteknikker går ud på, at angriberen manipulerer med indholdet af mails med krypteret indhold. Når offeret dekrypterer indholdet, vil det blive sendt til angriberen i klartekst.
Et relativt simpelt angreb
Det ene angreb er mere ligetil end det andet.
Det simple af angrebene relaterer sig til sårbarheder i mailklienter. Rapporten nævner specifikt Apple Mail (macOS), Mail App (iOS), Thunderbird (Windows, macOS og Linux), Postbox (Windows) og MailMate (macOS).
Det er lykkedes forskerne at narre disse klienter til at lække indholdet at krypterede mails, fordi klienterne ikke isolerer MIME-dele af en mail, men viser dem i samme HTML-dokument. Det gør det muligt for en angriber at konstruere en mail med eksempelvis et HTML image-tag, som omslutter det krypterede indhold. Som flere vil vide, kan sådan et tag - alt efter opsætning - resultere i, at et billede bliver hentet fra en ekstern kilde; her en ondsindet server, som angriberen kontrollerer.
I et konkret angreb, forskerne beskriver, bliver det krypterede indhold omsluttet af et image-tag. Resultatet bliver, at det krypterede indhold bliver sendt i klartekst i en URL til angriberens server. Angrebet behøver ikke foregå via image-tagget, andet aktivt indhold kan også bruges, bemærker forskerne.
De nærmere detaljer er beskrevet i rapporten.
Ifølge rapporten bemærker forskerne, at mens Apple Mail og Mail App som standard henter eksternt indhold, så kræver de øvrige klienter - altså blandt andet Mozillas Thunderbird - brugerinteraktion, før det eksterne indhold bliver hentet, og angrebet kan føres ud i livet. Hvad bruger-interaktionen angår, så påpeger forskerne dog også i rapporten, at de via CSS kan ændre tilstrækkeligt på brugergrænsefladen i Thunderbird og Postbox til at narre brugeren til alligevel at sende indholdet af den krypterede mail i klartekst.
Den gode nyhed i forhold til ovenstående angreb er, at det kan fikses ved at patche mail-klienterne, bemærker forskerne.
Det andet angreb
Den anden angrebsituation er mere kompliceret at gennemføre, men også kompliceret at fikse.
Forskerne kalder dette angreb for et CBC/CFB Gadget-angreb. CBC er den algoritme, som S/MIME anvender, mens OpenPGP kører med CFB.
Begge algoritmer har ifølge forskerne de samme kryptografiske egenskaber og muliggør samme form for angreb mod henholdsvis OpenPGP og MIME/S.
CBC/CFB Gadget-angrebet går helt kort fortalt ud på, at angriberen kan skyde et image-tag ind i mails, såfremt en del af indholdet er kendt på forhånd. Og det kan det ifølge beskrivelsen efail.de sagtens være. Sitet nævner som eksempel, at S/MIME-krypterede mails som regel starter med 'Content-type: multipart/signed'. Og det indlejrede image-tag kan altså, som tidligere nævnt, gøre det muligt for uvedkommende at læse med i det krypterede indhold
S/MIME er mest sårbar overfor angrebet. Her skulle det være lykkedes forskerne i en test at knække indholdet af op til 500 S/MIME-krypterede mails ved at sende en enkelt særligt udformet mail til offeret.
Til sammenligning har forskerne kun haft held til at knække en ud af tre PGP-mails. Forklaringen er, at PGP komprimerer tekst før kryptering, og det gør det sværere at gætte, hvor kendt indhold befinder sig.
Ifølge forskerne er CBC/CFB Gadget-angrebet relateret til sårbarheder i specifikationerne bag OpenPGP og S/MIME. Og det er derfor nødvendigt at opdatere disse standarder for at lukke helt af for angrebsvinklen på den lange bane.
Beskyttelse
På den korte bane foreslår forskerne, at man helt undlader at dekryptere mails via sin mail-klient. I stedet bør man anvende en separat applikation udenfor mail-klienten.
En anden umiddelbar løsning, som forskerne lægger op til, er at slå understøttelse af HTML (og dermed rendering af image-tagget) fra i sin mail-klient.
På den lidt længere bane fortæller forskerne, at nogle leverandører vil frigive patches, der enten lukker ned for EFAIL-sårbarhederne eller gør dem langt sværere at udnytte.
Skal problemet løses på langt sigt, så skal MIME, S/MIME og OpenPGP-standarderne ifølge forskerne altså opdateres.
Matthew Daniel Green er adjunkt ved Johns Hopkins Information Security Institute og har forstand på kryptering. På Twitter giver han sit besyv med i forhold til EFAIL, som han kalder »extremely cool« og »kind of a masterpiece«.
It’s an extremely cool attack and kind of a masterpiece in exploiting bad crypto, combined with a whole lot of sloppiness on the part of mail client developers. 3/
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
