1.PGP技术存在严重缺陷 加密电子邮件不安全
安全专家8月12日警告道,通过欺骗收件人对邮件进行回复,互联网黑客能够破解加密的电子邮件。这一问题影响使用PGP技术的软件。
哥伦比亚大学和Counterpane互联网安全公司的研究人员发现,截取电子邮件的黑客只要对电子邮件重新包装,并发送给收件人,就可以破译加密的电子邮件。发给收件人的电子邮件将显示乱七八糟的信息,很可能促使收件人要求发件人重新发送一次。
如果收件人将收到的邮件内容连同请求一块发送给发件人━━一般用户都会将电子邮件客户端软件配置成这样,黑客就能够读取原来的电子邮件内容。
Counterpane公司的技术总监布鲁斯表示,大多数用户做梦也想不到,只是要求发件人重新发送一次电子邮件,系统的安全就会受到破坏。
截取电子邮件非常简单,只要使用象“嗅探器”这样的软件即可,企业也可以用这样的软件来监测员工使用网络的情况。互联网工程任务小组OpenPGP标准的首席作者卡拉斯表示,尽管这一安全缺陷非常严重,但要利用它却非常困难。许多PGP软件在发送电子邮件前都会对电子邮件进行压缩。研究人员通过研究显示,压缩在许多情况下会对非法的解译构成一定的困难。今天已经发布了解决了这一问题的新版OpenPGP标准。
布鲁斯和卡拉斯还建议,收件人在收到PGP电子邮件后,应当尽量避免在回复时包含完整的原电子邮件。
2.点击回复即中招 邮件加密软件PGP出现漏洞
没有一种安全是绝对的,尤其是在日新月异的计算机网络技术方面。来自美国哥伦比亚大学和康特培因特网安全公司的研究人员8月12日发表论文指出,用于给电子邮件加密的最著名的PGP软件存在漏洞,黑客或其他截获加密邮件的人只需诱使邮件收信人点击“回复”键,就可能破译出被加密邮件的全部内容。
这些人的做法是,截获加密邮件后,通过对邮件信息的重新打包扰乱原有的加密方式,然后再传递给收信人。这时收信人看到的就会是一系列乱码。通常,大多数人会回复该邮件,要求发信人重发。而如果这封回复的邮件里包括了那些乱码——被扰乱的原有邮件(许多人都在邮件软件中设置了回信包括来信的功能),黑客就能得到最初加密邮件的全部内容了。
康特培因特网安全公司技术总监布鲁斯·施奈尔说:“很多人做梦也想不到,把一堆乱码放在回信里,邮件就不安全了。”
PGP软件全称为“Pretty Good Privacy”,通过复杂的数学编码来加密邮件。该软件由总部位于硅谷的美国网络联盟公司开发,仅2000年就有700万人使用了这一软件。
3.Email加密软件有漏洞 黑客可解密私人信息
美国纽约消息,美国哥伦比亚大学的几位计算机安全研究人员8月12日警告称,那些专门在互联网上从事窃取他人信息活动的人仅仅通过诱使电子邮件接收人点击答复按键即可对保密的邮件信息加以解密。
研究人员指出,在包含Pretty Good Privacy这种深受用户欢迎的电子邮件自动答复工具的加密软件中发现了一种安全漏洞,这种漏洞使得网络黑客通过将加密的邮件重新打包发还给邮件接收者并诱骗他们点击答复键即可解密私人邮件。
参与这项研究的Counterpane公司的首席技术官布鲁斯-施奈德表示,大多数网络用户肯定做梦都没有想到网络黑客能够如此轻而易举地解密他们的保密信息。
此前,为了防止保密信息在互联网上传送的途中被人破获,一些人权人士甚至美国联邦调查局的工作人员开始使用PGP技术标准对电子邮件信息和数据加密,但谁也没有想到,这种加密技术本身存在的上述漏洞竟然可以让坏人大钻空子。不过,专家指出,尽管这种漏洞较为严重,但也并非很容易就可以被坏人利用。
上述研究人员表示,大多数PGP软件包在发送电子邮件之前都会将信息进行压缩,但实际上这一压缩做法有时反而导致网络黑客能够在未经授权的情况下对信息进行解密。值得庆幸的是,已经研制出了PGP技术的升级版并将在近日与用户见面。
与此同时,研究人员提醒PGP电子邮件的接收者在按动答复键之前最好避免将邮件中的全部文本信息曝露给潜在的网络黑客。最后,研究人员也特意指出,上述安全漏洞并不会对用于加密电子邮件信息的加密程序产生负面影响。
4.PGP爆出大漏洞 加密电子邮件可被轻易攻击
在十多年来,美国政府一直把加密技术作为致命武器,现在仍然如此。安全咨询公司Foundstone周四称,经过PGP算法加密的电子邮件可以被用来轻易攻击并控制受害者的计算机。
Foundstone在一份忠告中说:“由于PGP处理长文件名的一个漏洞,导致黑客可以控制邮件接收人的计算机,提高其在局域网中的权限。”
该公司将此漏洞划分为高危险级别,并称:“由于人们对该加密算法的信任程度、易于实施性、以及大部分企业、军队及政府机构依赖PGP加密通讯。”
该漏洞存在于PGP企业版7.1.0和7.1.1中,该软件的开发商Network Associates在其网站上贴出了补丁程序。该公司最近将全部PGP资产划拨到新成立的PGP公司,然而将继续提供对软件的支持,双方都未对此发表任何声明。
Network Associates在其网站上称,该漏洞是PGP处理加密文件中的长文件名时出现的,PGP对文件名长于200个字符的文件进行加密/解密就会出现问题,当PGP对文件解密时会导致内存溢出,从而引发安全隐患。
Foundstone首席执行官George Kurtz说,长文件名对于邮件接收者不太明显。
Kurtz还说:“像ZIP文件一样,你可以对加密文件只取8个字符内的文件名,但是压缩包中的文件可以有长名字文件存在。”Kurtz称,该漏洞的最大危险在于它威胁到最受保护的信息。Kurtz还说到:“许多PGP用户在心理上有一定安全感,从而使该漏洞成为高危险级缺陷,黑客可以攻击受加密保护的最敏感的信息。”
该漏洞类似于7月份发现的Outlook软件的PGP漏洞。
阅读(636) | 评论(0) | 转发(0) |