Pasar al contenido principal

La cooperativa feminista Kéfir, miembro de APC en México, nos trae este texto sobre cifrado y vulnerabilidades. El texto fue publicado originalmente en su web.

Están circulando por ahí noticias anticipadas sobre una posible vulnerabilidad en el cifrado de correos con PGP.

Una vulnerabilidad no equivale a un ataque sino a la posibilidad de ella. La probabilidad de que suceda (el riesgo) y el impacto que tenga, depende del contexto/los contextos de cada de nosotrxs. En este caso, la “vulnerabilidad Efail” no significa que sus comunicaciones por PGP son de repente inseguras sino que potencialmente podría ser un vector de ataque para algunxs de nosotrxs.

La seguridad es un camino de largo aliento, un proceso en el que vamos aprendiendo, como hoy :)

Las vulnerabilidades suelen ser “bugs”1, propiedades indeseadas y/o no intencionadas de tal o cual programa. No tienen, en si mismo, una connotación negativa. Puede haber “bugs” juguetones, mágicos o simplemente molestos. Otros que sí pueden ser potencialmente un riesgo para nosotrxs.

El software libre ofrece su código: puede ser auditada, revisada y testeada por organizaciones, comunidades de programadorxs y desarrolladorxs, investigadorxs…

Muchas veces las vulnerabilidades digitales se comunican con un tono excesivamente alarmante, dando poca información de qué está pasando e induciendo, por lo tanto, a una paradoja del pánico. Además, se suelen dar recomendaciones muy poco prácticas, inviables para el día-a-día de muchxs compañeres.

En Kéfir preferimos optar por tomar el tiempo en traducir este “lenguaje engorroso” a narrativas desde donde podemos seguir apropiándonos de las tecnologías que habitamos y nos habitan.

Les contamos un poco de qué trata la “Vulnerabilidad Efail de PGP” y cómo cuidarnos juntes. Estamos en diversas comunidades y redes de seguridad digital así que les estaremos pasando más info conforme nos vayamos enterando ;)

Qué es OpenPGP

OpenPGP2 es una herramienta que desde hace 30 años ayuda a personas de todo el mundo a proteger sus correos de la vigilancia y control estatal y de terceros, diseñado originalmente para proteger activistas anti nucleares de Estados Unidos.

Cuando envíamos un correo electrónico por Internet, estamos enviando una especie de postal: todo el servicio postal sabe qué nos estamos contando3.

Con OpenPGP es posible colocar nuestros mensajes dentro de sobres criptográficos. El mensaje sólo puede ser leído por nosotres y les destinataries de nuestros mensajes.

Qué es Efail

El descubrimiento que la Electronic Frontier Foundation4 anuncia5 como Efail (por fallo electrónico) es una técnica que, dadas las condiciones adecuadas, permitiría a unx atacante obtener nuestros mensajes protegidos.

Esto puede sonar catastrófico, pero un análisis más de cerca muestra que no se ha descubierto nada nuevo y que las personas que trabajan cada día para que OpenPGP pueda estar al alcance de nuestras manos ya habían previsto y en algunos casos, hasta resuelto estas cuestiones.

Según las desarrolladoras de GnuPG6 (la versión de software libre de OpenPGP) y de Enigmail7 (el complemento que lo hace más simple de utilizar), Efail ya fue mitigado y/o resuelto hace bastante tiempo, con lo que nos piden que no entremos en pánico8 9.

Cómo funciona

El ataque funciona de la siguiente manera:

  • Se detecta un mensaje cifrado y se modifica para agregarle el ataque. Para ello, l’ente/idad atacante tiene que tener acceso a nuestro correo, ya sea en tránsito a través de Internet, a lxs proveedores de correo o a nuestros dispositivos con lxs que enviamos correos (computadoras, cel, tablet, etc.).

  • Como el mensaje está cifrado, cualquier modificación invalidará el cifrado y nadie podrá leer el mensaje. Entonces la técnica de ataque implica que, sin modificar el mensaje original, se le “envuelve” entre dos mensajes nuevos, de forma que para mostrar el correo completo el cliente de correo10 tiene que decifrar tres partes por separado y unirlas para mostrarlas como un solo mensaje.

  • Los mensajes agregados por l’ente/idad atacante contienen código HTML, el mismo lenguaje de marcado que se usa en las páginas web y que nos permiten incluir texto con colores, tamaño y alineado, imágenes, etc. en nuestros correos. Este HTML agregado le indica a nuestro cliente de correo que debe mostrar una imagen desde una dirección web en Internet controlada por l’ente/idad atacante. La particularidad del ataque es que la unión de las tres partes del mensaje logra que el nombre de la imagen a descargar contenga el mensaje original, sin cifrar, de forma que l’ente/idad es capaz de verlo en sus registros de descargas falsas.

  • Un cliente de correo vulnerable descifrará los tres mensajes (ataque, mensaje, ataque) para detectar que tiene que mostrar una imagen. Al querer hacerlo, intenta “descargar” la imagen cuyo nombre es nuestro mensaje, quedando registrado en la maquinaria de l’ente/idad atacante.

    El cliente de correo es engañado a enviar una copia del mensaje una vez abierto el sobre. Esto quiere decir que el problema no está en el cifrado en si mismo, o sea, en PGP, sino que se puede obtener de otra manera el mensaje sin cifrar.

Cómo nos podemos cuidar
Desactivar HTML

Recomendamos que deshabiliten el HTML en los correos que envíen y reciban.

Si estamos usando Thunderbird con Enigmail (el cliente de correo y el complemento para OpenPGP, respectivamente)

  • Se puede deshabilitar ver los correos en formato HTML en: menú “Ver” > “Cuerpo del mensaje” > “Texto plano”.

  • En el panel izquierdo, donde muestra nuestras cuentas de correo, hacemos clic derecho sobre cada cuenta y escogemos “Configuración” » “Redacción y direcciones” » y desmarcamos (si aún no está) la opción de “Redactar mensajes en formato HTML”.

  • Además, aunque tuviéramos habilitado el HTML (aunque estamos recomendando que no :b), desde hace varios años, Thunderbird pregunta si queremos mostrar imágenes remotas antes de cargarlas por su cuenta.

Migrar a Thunderbird

Si no conocen Thunderbird y conviven con otro cliente de correo, les recomendamos migrar. Thunderbird es un proyecto de software libre y cuyo equipo de desarrollo se tome en serio la seguridad de las personas.

En Kéfir hemos documentado algunas cositas11 y las seguiremos haciendo. También vamos a crear pronto un patio de curiosidades, inquietudes y apoyo mutuo de aprendizajes.

Actualizar

Para asegurarse que están utilizando la última versión de Enigmail (2.0.3), en el menú “Herramientas” en Thunderbird se encuentra la opción “Complementos”. Allí encontrarán Enigmail y podrán verificar la versión activa. También pueden verificarlo a través de la opción “Enigmail” en el menú superior » “Acerca de Enigmail”.

Para dar seguimiento a las últimas actualizaciones de Enigmail, visita su sitio oficial12.

En general, es una buena práctica de seguridad y cuidados colectivos digitales tener los programas al día así que les recomendamos que hagan lo mismo con Thunderbird, en este caso: menú superior » “Ayuda” » “Acerca de Thunderbird”.

\(^-^)/ El texto plano es sexy \(^-^)/

En Kéfir, usamos ASCII13 para nuestros avioncitos y nos encanta el Markdown14. Además de ser más seguro (al no contener código ejecutable), también es más liviano y así reducimos nuestra huella en esta tierra (cuantos más datos, más consumo de recursos agotables, más calentamiento y desgaste de máquinas, de servidores, emisión de carbono, etc, etc.)

  1. https://wiki.kefir.red/Monitoreo_y_documentaci%C3%B3n#Bugs

  2. https://www.openpgp.org/

  3. https://gendersec.tacticaltech.org/wiki/index.php/Modificar_metadatos#Definic.C3.B3n_de_metadatos

  4. https://es.wikipedia.org/wiki/Electronic_Frontier_Foundation

  5. https://www.eff.org/deeplinks/2018/05/attention-pgp-users-new-vulnerabilities-require-you-take-action-now

  6. https://es.wikipedia.org/wiki/GNU_Privacy_Guard

  7. https://es.wikipedia.org/wiki/Enigmail

  8. https://admin.hostpoint.ch/pipermail/enigmail-users_enigmail.net/2018-May/004966.html

  9. https://lists.gnupg.org/pipermail/gnupg-users/2018-May/060315.html

  10. https://wiki.kefir.red/Cliente(inform%C3%A1tica)

  11. https://wiki.kefir.red/Thunderbird

  12. https://enigmail.net/index.php/en/

  13. https://searx.me/?q=ASCII%20ART&categories=general&language=en-US

  14. https://alambique.org/rancho/sysadmin/blob/master/documentos/markdown.md

 

Imagen: Omaluma, bajo licencia Creative Commons.

 

Kéfir es una cooperativa feminista de tecnologías libres para activistas, defensoras de derechos humanos, periodistas, organizaciones sociales, colectivos, artistas. Apuesta por crear juntas vecindades digitales comunitarias donde podamos sentirnos en confianza, expresarnos y accionar sin miedo. Más sobre Kéfir en su web