Министерство транспорта Российской Федерации
ФГУП «ЗащитаИнфоТранс»

Центр кибербезопасности ФГУП «ЗащитаИнфоТранс» сообщает

В последнее время крупные предприятия и организации всё больше обращают внимание на обеспечение корпоративной информационной безопасности. Одним из основных вопросов является конфиденциальность электронных писем.

 

Наиболее распространенным методом по обеспечению конфиденциальности электронных писем является метод шифрования. Широко используемыми в мире протоколами шифрования являются PGP/GPG и S/MIME. По данным мировых экспертов в области информационной безопасности оба протокола могут иметь уязвимость, которая позволяет получить доступ к содержимому электронных писем. Для этого злоумышленник взламывает ящик жертвы, почтовый сервер или перехватывает трафик, проведя так называемую атаку «человек посередине» (man-in-the-middle). Получив доступ к переписке своей жертвы, злоумышленник размещает в письмах HTML – теги, например, img или style. Отправитель или получатель должен открыть вредоносное письмо. При этом почтовый клиент обработает HTML, включая ссылки на внешние источники. Программа автоматически дешифрует защищенное послание, а в случае, если происходит загрузка данных с внешних источников, хакер просто присылает отредактированное им зашифрованное письмо, получая в ответ уже расшифрованную копию. 

Вторым способом атаки является эксплуатация брешей в спецификациях OpenPGP (CVE-2017-17688) и S/MIME (CVE-2017-17689). Используя HTML – теги, злоумышленник манипулирует блоками шифртекста в режимах CBC и CFB.

По словам исследователей, жертве нужно просто открыть письмо в своем почтовом клиенте, после чего будет расшифрован подставной шифртекст. Благодаря манипуляции расшифрованный текст будет содержать в себе канал эксфильтрации данных, после чего этот же канал будет использоваться для отправки расшифрованного текста злоумышленнику.

Эксперты Центра кибербезопасности рекомендуют:

1. Отключать стороннее ПО на почтовом клиенте;

2. Исключать вставку HTML – кода в электронные письма;

3. Использовать сквозное шифрование (end-to-end encryption);

4. Использовать сертифицированные криптосредства, реализующие российские алгоритмы шифрования.