Barbara, Borbála
-6 °C
3 °C

Súlyos biztonsági hiba a PGP-ben

2002.07.12. 14:02
A Pretty Good Privacy a világ legelterjedtebb titkosítóprogramja. Biztonsági szakértők nemrég olyan hibát találtak az Outlook levelezőprogramhoz fejlesztett PGP plug-inben, amely teljesen kiszolgáltatotta teszi a felhasználó számítógépét.
A világon szinte mindenütt PGP-t használnak, ahol fontos dokumentumok titkosítására illetve titkosított elektronikus levelezésre van szükség. A Microsoft Outlook pedig a világ legelterjedtebb levelezőprogramja. Az eEye Security szakemberei az elmúlt héten felfedezték, hogy a két program találkozása egy rendkívül veszélyes biztonsági rést hordoz magában. A hiba nem a titkosító formulákban van, hanem az úgynevezett plug-inben, amely lehetővé teszi, hogy az Outlookon belül a felhasználó pár kattintással titkosítsa elektronikus levelét.

A hibát kihasználó képzeletbeli hacker egy kézzel kódolt, üzenetet nem tartalmazó emailt küldhetne, amely megnyitás után hibaüzenetet küld, majd átadja a számítógép irányítását a hackernek, aki onnantól a feltűnés nélküli kavarás széles eszköztárát alkalmazva hozzájuthatna a gépen tárolt valamennyi adathoz. "Bármit megtehet, programot futtathat, elolvashatja az emaileket, backdoort telepíthet, ellophatja a kulcsokat. Mindent lehallgathatna." - magyarázza Maiffret, az eEye vezérigazgatója a biztonsági rést. Maiffret egyébként nem tudott olyan esetről, amelyben ezt a biztonsági rést használta ki egy támadó.

Maiffret szerint a programozási hiba a plug-in forráskódját vizslató szakavatott kóderek számára sem ugrott elő nyilvánvaló hibaként.

Eudora gut, Outlook Express gut

Mint ismert, a Network Associates februárban leállította a Pretty Good Privacy fejlesztését, miután a program alapját író Philip Zimmermann kilépett és a freeware változattal párhuzamosan futó fizetős vállalati verzió csekély vásárlóközönséget vonzott. A cég ugyanakkor egy hét leforgása alatt leprogramozta és honlapján letölthetővé tette a hiba javítását. A gyors munka szükségességét indokló körülmény, hogy az amerikai szövetségi nyomozóhivatal és az összes nemzetbiztonsági szakszolgálat a PGP-t használta kommunikációja biztosításához. A Network Associates részvényeinek árfolyama egyre csak zuhan.

Az emailtitkosító plugint egyébként maga Philip Zimmerman is használja, igaz ő a biztonsági rés által nem fenyegetett Eudora levelezőprogramot használ. Ugyancsak nyugodtan szórakozhat, aki az Outlook butított verzióját, az Outlook Expresst használja.