GnuPG, Wikimedia Commons
Májusban az EFAIL által közzétett technikai cikk arra ösztönözte a felhasználókat, hogy hagyják abba a GNU Privacy Guard (GPG) beépülő modulok használatát, amikor titkosítani akarják az e-maileket. Mint a GNU fejlesztők által gyártott számos nyílt forráskódú termék esetében, a GPG-t is széles körben használják azok, akik asztali vagy laptop környezetben futtatják a GNU / Linux rendszert, és ez inkább aggasztóvá tette a dokumentumot.
Az Electronic Frontier Foundation szintén aggályokat vetett fel a GPG szoftver számos új sebezhetőségével kapcsolatban az elmúlt hónapban, amelyek számos Linux biztonsági szakértőt emlékeztettek a cikkben kifejtett nézetekre. Néhány GNU / Linux szakember odáig ment, hogy egyszerűen azt javasolja, hogy a titkosított e-mail soha nem tekinthető igazán biztonságosnak.
Szerencsére a nyílt forráskódú szakértők nemrégiben további ajánlásokat tettek közzé, amelyek jobban megfelelhetnek azoknak, akik a GPG eszközökre támaszkodva titkosított e-mailt küldtek más GNU / Linux felhasználóknak. A szakértők már csütörtökön kijelentették, hogy minden olyan e-mail kliens, amely HTML-t jelenít meg, képeket tölt be automatikusan, vagy engedély nélkül fogadja el a távoli adathordozókat, valóban okozza ezeket a sebezhetőségeket. A probléma azonban az, hogy úgy tűnik, sokan nem használták ki őket.
Az Enigmail, a Thunderbird-mel való együttműködésre tervezett népszerű GPG bővítmény nem sokkal az EFAIL jelentés nyilvánosságra hozatala után frissítést kapott. Június 9-től sok olyan felhasználó, aki Thunderbird-et futtat GNU / Linux rendszeren, még nem telepítette az említett frissítést annak ellenére, hogy a frissítés ekkor közel egy hónapos volt. Mivel ezek a bővítmények gyakran nem frissülnek, amikor a tárházi csomagok frissülnek, azok, akik június elejétől kezdve az összes legújabb csomagot használják a Debianon vagy az Ubuntuban, továbbra is veszélyben lehetnek, ha nem szánnak időt a bővítmény manuális frissítésére, még akkor is, ha aktuális az összes többi frissítéssel.
Az ajánlások legfrissebb listája kimondta, hogy a HTML-megjelenítés és a képbetöltés letiltása kiküszöböli a legtöbb sebezhetőséget, amelyek valójában nem közvetlenül kapcsolódnak magához a GPG-csomaghoz. Elég érdekes, hogy az Engimail fejlesztői most ezt az ajánlást is megfogalmazták, mivel a letiltott HTML-támogatás a titkosítással együtt sokkal biztonságosabb e-mail élményt nyújt.
Érdekes módon, mivel a titkosított e-maileket kifejezetten a támadóknak kell megcélozniuk, az Internetre küldött nagyobb mennyiségű titkosított e-mail segít csökkenteni a célzott támadások működésének kockázatát.
Címkék Linux biztonság
