Investigadores descobrem falhas na encriptação de emails
O alvoroço nas redes sociais levou académicos a antecipar divulgação das vulnerabilidades. Mas nem todos os utilizadores estão em risco.
Os métodos mais populares para enviar emails encriptados, usados desde os anos 1990 por entidades governamentais, autoridades, empresas e indivíduos para trocarem mensagens confidenciais, estão vulneráveis a ataques informáticos que revelam todo o seu conteúdo. Mesmo se os emails tiverem sido enviados anos antes.
O problema, chamado eFail num relatório partilhado esta segunda-feira pela Electronic Frontier Foundation (EFF, uma organização sem fins lucrativos), permite aos hackers esconder código malicioso em emails interceptados devido a vulnerabilidades em clientes como o Outlook, macOS Mail e Thunderbird. Este código engana os sistemas e permite aceder ao conteúdo das conversas. Os investigadores de cibersegurança europeus responsáveis pela descoberta alertam que “ainda não há solução” e que o melhor é “desactivar temporariamente” os métodos de encriptação afectados: o PGP (sigla inglesa para Privacidade Bastante Boa) e o S/MIME.
A informação – que faz parte de um trabalho conjunto das Universidades de Münster e Bochum, na Alemanha, e de Leuven, na Bélgica – apenas deveria ser publicada esta terça-feira, mas um tweet do investigador alemão Sebastian Schinzel sobre os resultados criou alvoroço nas redes sociais, levando a equipa a antecipar a divulgação.
Os autores frisam, no entanto, que os emails não estão todos em perigo. “Este tipo de ataques requer que os atacantes já tenham roubado os emails encriptados. O propósito de encriptar com PGP ou S/MIME é precisamente proteger contra este tipo de atacantes”, escrevem os investigadores numa página dedicada a dúvidas sobre a investigação. Apenas se trata de “motivo para alarme” para utilizadores que dependem de sistemas de encriptação de email como o PGP e o S/MIME, nomeadamente “jornalistas, activistas, denunciadores e entidades governamentais”.
Os investigadores tinham como objectivo principal “mostrar que a confiança [naqueles métodos de encriptação] não é justificada” e alertar para o perigo de utilizar emails para trocar mensagens com conteúdo sensível. Apesar de existirem muitas aplicações para trocar mensagens encriptadas – como o Telegram e o WhatsApp – os autores notam que em 2017 foram enviados mais de 269 milhões de emails por dia.
Como método de encriptação, o PGP é recomendado por organizações de direitos humanos como a Amnistia Internacional, os Repórteres sem Fronteiras, e, até agora, pela própria Electronic Frontier Foundation. Criado há 27 anos, é considerado um método pioneiro a aumentar a segurança de pessoas que trocam informação sensível na Internet. “Vamos temporariamente suspender o nosso uso destes sistemas”, escreve a EFF numa publicação em que valida as descobertas dos investigadores europeus, alertando que “para este ataque, não interessa se é o emissor ou o receptor da mensagem que são alvo de ataque.”
“Embora a sua segurança criptográfica tenha sido sujeita a várias críticas, pouco foi escrito sobre a possibilidade real de ataques”, lê-se no relatório, em que são simulados vários ataques. Estes ataques, porém, só começam depois de se ter acesso a um email encriptado. Isto é possível, por exemplo, através de um outro tipo de ataques, chamado “man-in-the-middle”, em que se conseguem interceptar dados trocados entre duas partes através de routers comprometidos.
Werner Koch, responsável pela criação do GnuPG, um programa de software aberto que permite encriptar dados através do método PGP, afirma que as críticas a esta tecnologia são “exageradas”. Em comunicado, diz que o problema só afecta sistemas de email que não procuram erros na encriptação e queixa-se de não ter sido informado sobre o problema. Os académicos escrevem no relatório que contactaram os responsáveis do GnuPG em Novembro de 2017.
FONTE: público.pt
