Efail afecta clientes para enviar y recibir mails cifrados. Qúe debes de saber y cómo solucionarlo

Publicado el 14 mayo 2018 por Cosmoduende @cosmoduende

El día de hoy nos despertamos con la noticia de que los emails encriptados ya no son seguros pero ¿Es eso cierto? En realidad no, pero hay un gran problema y está generando gran polémica en los círculos de seguridad.

Los mails encriptados son una muy importante herramienta para periodistas, informantes, activistas, compañías y todo aquel que necesita comunicarse de manera segura ya que el mensaje y las dos partes involucradas se mantienen seguras y autenticadas.

Ahora, los dos principales estándares usados para mandar y recibir mails encriptados son PGP y S/MIME, sin embargo, el día de hoy un grupo de seguridad europeo publicó información sobre una vulnerabilidad que afecta clientes de email que utilizan  a estos dos estándares, en otras palabras, se encontró una vulnerabilidad que permiten a un atacante obtener el mail desencriptado en algunos casos.

¿En dónde está la polémica? Bueno pues, al principio la EFF (electronic Frontier Foundation) publicó una nota acerca de la vulnerabilidad (a la que se le conoce como Efail), sugiriendo que de inmediato se deshabilitaran o desinstalaran todas las herramientas que descifran automaticamente los mensajes, que se dejara de usar mail encriptado por PGP y se utilizaran otros medios como Signal.

“Our advice, which mirrors that of the researchers, is to immediately disable and/or uninstall tools that automatically decrypt PGP-encrypted email…users should arrange for the use of alternative end-to-end secure channels, such as Signal, and temporarily stop sending and especially reading PGP-encrypted email.”

Seguido de esto, uno de los investigadores dijo en Twitter que al momento no había una solución para la vulnerabilidad y que se deshabilitara todo uso de PGP y S/MIME en los clientes de email.

There are currently no reliable fixes for the vulnerability. If you use PGP/GPG or S/MIME for very sensitive communication, you should disable it in your email client for now. Also read @EFF’s blog post on this issue: https://t.co/zJh2YHhE5q #efail 2/4

— Sebastian Schinzel (@seecurity) May 14, 2018

Seguido de esto, algunos sitios comenzaron a decir que el mail encriptado en general ya no era seguro (1,2)  Pero esto no es del todo cierto.

Por su parte, otras compañías de seguridad como Protonmail que ofrece un servicio de Mail encriptado que usa OpenPGP dijo que estas declaraciones habían sido exageradas, que la vulnerabilidad se conoce desde el 2001, que realmente la vulnerabilidad está a nivel de los clientes de mail (los investigadores dicen que es directamente los estándares de PGP y S/Mime donde está el problema), que su servicio no es impactado por #Efail y que los servicios que usen la librería de OpnPGP son seguros siempre y cuando mantengan los ajustes por default.

If there is a security problem with Windows, you don’t delete Windows, you patch it. When it comes to Efail, Enigmail already patched several months ago. GNUPG patched in 2001. The recommendation should be to update or use secure implementations, not stop using email encryption.

— ProtonMail (@ProtonMail) May 14, 2018

Y es que pese a las sugerencias al principio de que se deshabilitara todo uso de PGP, el mismo paper (artículo científico) donde se explica la vulnerabilidad y el FAQ de Efail.de, muestran que si hay algunos clientes que no son vulnerables a Efail.

25 de 35 clientes probados son vulnerables para S/MIME y 10 de 28 son vulnerables para Open PGP.

Los más afectados por su popularidad son:

  • Thunderbird
  • Apple Mail
  • Outlook

Sin embargo otros como, Protonmail, Mailbox.org, TorBirdy, Canary Mail, Rainloop y Enigmail (según Protonmail. El servicio es seguro aunque el uso de extensiones de enigmail por terceros si son vulnerables) parecen no ser afectados.

¿Cómo estar seguro?

La polémica de cómo se comunicó esta vulnerabilidad seguirá durante todo el día mientras más expertos en seguridad hablan del problema y aunque personalmente he de admitir que no entiendo completamente el mecanismo de esta vulnerabilidad y al parecer todavía no se comprende que tan extenso es el problema, hay algunos consejos a seguir que varias fuentes recomiendan:

  • El ataque es un poco difícil de  hacer ya que se debe de obtener acceso de otro modo a los mails encriptados (como con phishing), pero dado que con que solo uno de los dos extremos haya sido atacado ambos extremos se vuelven vulnerables, es importante que todos tomen precauciones.
  • Si usas uno de los clientes afectados y otras personas con las que te comunicas también lo hacen ( o sospechas que lo hacen) debes suponer que en el peor de los casos, ya eres vulnerable a Efail pero por lo pronto debes deshabilitar el uso de html o carga de contenido remoto en tu cliente de email y estar al pendiente de actualizaciones y declaraciones que publique la compañía responsable y buscar otro servicio no vulnerable además de tomar las precauciones necesarias.
  • Otro método es utilizar un servicio para recibir el mail y otro separado para descifrar el mail en texto plano sin carga de otros elementos.
  • La EFF recomienda deshabilitar PGP por completo pero eso es en lo que no se ponen de acuerdo los expertos y depende de cada servicio de PGP que usan estos clientes, así que es dependiendo del caso.

Puedes encontrar consejos más específicos y extensos en los siguientes enlaces:

https://arstechnica.com/information-technology/2018/05/decade-old-efail-attack-can-decrypt-previously-obtained-encrypted-e-mails/?comments=1

https://www.eff.org/deeplinks/2018/05/attention-pgp-users-new-vulnerabilities-require-you-take-action-now

https://lists.gnupg.org/pipermail/gnupg-users/2018-May/060315.html

https://www.cert.at/services/blog/20180514112601-2208_en.html

https://github.com/openpgpjs/openpgpjs/issues/706

Conclusión

Como pueden ver, el problema si es grave y dado que con que un extremo se vea afectado el mail ya no es confiable, es algo muy importante a considerar por activistas que podrían ponerse al descubierto por Efail. Sin embargo el problema no es tan amplio como lo hizo ver la EFF al principio y hay maneras relativamente fáciles de mitigar el problema.