Biztonsági hiba volt a levelezőkben
Egy amerikai matematikus hívta fel rá a figyelmet, hogy igen sok nagyvállalat nem követte a technológiai változásokat, és nem elég biztonságos titkosítási kulcsokat használtak. Miután egy hálózati biztonsággal foglalkozó szervezet, a CERT amerikai egysége hétfőn kiadott egy figyelmeztetést, a legnagyobb ingyenes levelezőszolgáltatók október 23-án frissítették rendszereiket, hogy megszüntessék a benne található sérülékenységet.
A gondra egy amerikai matematikus, Zachary Harris hívta fel a figyelmet – a problémáról és a kezeléséről a javítás után a Wired közölt egy cikket, melyben Harris meséli el a történetet. A hiányosság egy azonosító technológiában volt, az úgynevezett DomainKeys Identified Mail (DKIM) rendszerben. A DKIM elektronikus aláírást tartalmazó csatolt fájlja arra szolgál, hogy ellenőrizhető legyen a levelezési rendszerekben azt, hogy a feladó valós.
A számtalan nagy IT-céget is érintő gond az, hogy hiába szerepel a DKIM ajánlásában az, hogy az ellenőrzési információk továbbításakor legalább 1024 bites titkosítási kulcsot kell használni, az érintettek, az említettek mellett például még az Amazon, a PayPal, illetve többek között bankok ennél gyengébb, a mai nagy teljesítményű számítógépekkel már viszonylag könnyen feltörhető kulcsot használtak, a Google például 512 biteset.
Harris az említett interjúban elmondta, egy állásra toborzó levelet kapott a Google-tól, és akkor vette észre a hiányosságot. Azt hitte, hogy ez valamiféle kreatív teszt, ezért a gyengeséget kihasználva elküldött egy hamis levelet, mely látszólag Larry Page-től, a Google egyik alapítójától indult, és a másik alapítóhoz, Sergey Brinhez érkezett meg. A matematikus elmondta, hogy egy 384 bites kulcsot laptopja segítségével 24, az 512 biteset 72 óra alatt előt tudja állítani. A Google közvetlenül nem reagált ugyan, de Harris észrevette, hogy két nappal később a cég már 2048 bites kulcsot használt.
A matematikus – miután felfedezte, hogy milyen sok cég érintett – egyrészt a gyenge kulcsokat használó vállalatokat, másrészt a US-CERT-et is értesítette, ennek következményeképp jelent meg az említett figyelmeztetés.