Um grupo de especialistas em segurança informática encontrou uma série de vulnerabilidades em dois padrões de criptografia bastante populares, que expõem o conteúdo das mensagens enviadas pelos utilizadores.
Uma das formas existentes de evitar que alguém, além do destinatário, leia seus e-mails com informações confidenciais é encriptando-os via PGP ou S/MIME. No entanto, um grupo de especialistas em segurança informática acaba de descobrir uma série de vulnerabilidades que expõem o conteúdo das mensagens enviadas pelos utilizadores.
De acordo com os especialistas, os problemas – apelidados de EFAIL – expõem os e-mails encriptados em texto aberto, deixando os utilizadores completamente expostos. A situação também se verifica em mensagens antigas, tornando assim o problema mais grave do que se julgava inicialmente.
“O e-mail já não é um meio de comunicação seguro”, disse Sebastian Schinzel, professor da Universidade de Ciências Aplicadas de Münster, na Alemanha, ao canal de notícias alemão Süddeutschen Zeitun.
A vulnerabilidade foi relatada pela primeira vez pela Electronic Frontier Foundation (EFF) na segunda-feira (14), e os detalhes foram divulgados pouco antes das 6h da manhã. O grupo de especialistas europeus alerta as pessoas para que os utilizadores deixem de usar o PGP imediatamente.
Schinzel, coautor do estudo, avisa que, a longo prazo, devem ser lançados pacotes de atualização para os softwares, de modo a eliminar o problema de forma ampla. No entanto, é preciso ter em conta que levará uma quantidade considerável de tempo até que o processo esteja concluído.
O PGP (Pretty Good Privacy) é um programa de criptografia considerado o “padrão de ouro” na segurança de e-mail. O e-mail encriptado se tornou mais popular depois de Edward Snowden ter revelado os segredos da vigilância eletrônica do governo dos EUA. Contudo, o e-mail encriptado não é perfeito, assim como nenhum sistema de segurança jamais será.
Tanto o PGP como o S/MIME existem há vários anos. Ambos têm como base o esquema de chaves públicas e privadas. A principal diferença entre eles está no modelo de gestão de chaves: no PGP, elas podem ser controladas por utilizadores ou entidades específicas, já no S/MIME, as chaves requerem aval de uma autoridade certificadora, razão pela qual o método é mais utilizado em ambientes corporativos.
A comunidade de privacidade sustenta que a vulnerabilidade está sendo descrita de uma forma bastante exagerada. Werner Koch, autor principal do GNU Privacy Guard, escreve que as duas únicas maneiras de eliminar esse ataque são não usar e-mails em HTML e usar criptografia autenticada.
“Se usado corretamente” parece ser a frase mágica para muitas empresas de segurança nos dias de hoje. No entanto, há quem seja mais cauteloso e tenha percebido o quão disparatado pode ser esse argumento.
A EFF tem guias sobre como desabilitar o PGP no Apple Mail, no Outlook e no Thunderbird. Embora afirme que não existem alternativas confiáveis, recomenda que os utilizadores optem por fazer a descriptografia de uma mensagem recebida, copiando o conteúdo e usando um serviço alternativo, fora do cliente de e-mail, como chamadas telefônicas.
Ciberia // ZAP
