GnuPG, Wikimedia Commons
En mayo, un documento técnico publicado por EFAIL alentó a los usuarios a dejar de usar los complementos GNU Privacy Guard (GPG) cuando quisieran cifrar el correo electrónico. Al igual que con muchos productos de código abierto hechos por desarrolladores de GNU, GPG es ampliamente utilizado por aquellos que ejecutan GNU / Linux en un entorno de escritorio o portátil y esto hizo que el artículo fuera bastante preocupante.
La Electronic Frontier Foundation también ha expresado su preocupación por varias vulnerabilidades nuevas en el software GPG durante el último mes, lo que les había recordado a muchos expertos en seguridad de Linux las opiniones expresadas en el documento. Algunos especialistas de GNU / Linux llegaron a sugerir simplemente que el correo electrónico cifrado nunca puede considerarse realmente seguro.
Afortunadamente, los expertos en código abierto publicaron más recomendaciones recientemente que podrían encajar mejor con aquellos que han confiado en las herramientas GPG para enviar correos electrónicos cifrados a otros usuarios de GNU / Linux. Los expertos habían declarado ya el jueves que cualquier cliente de correo que procese HTML, cargue imágenes automáticamente o acepte medios remotos sin permiso es lo que realmente causa estas vulnerabilidades. El problema, sin embargo, es que parece que muchos no se han aprovechado de ellos.
Enigmail, un popular complemento GPG diseñado para funcionar con Thunderbird, recibió una actualización poco después de que el informe EFAIL fuera lanzado al público. A partir de hoy 9 de junio, muchos usuarios que ejecutan Thunderbird en GNU / Linux aún tienen que instalar dicha actualización a pesar de que la actualización tiene casi un mes en este momento. Dado que estos complementos no se actualizan a menudo cuando lo hacen los paquetes de repositorio, aquellos que están usando todos los paquetes más recientes de principios de junio en Debian o Ubuntu pueden seguir en riesgo si no se han tomado el tiempo para actualizar manualmente el complemento, incluso si lo hacen Estás al día con todas las demás actualizaciones.
La última lista de recomendaciones ha indicado que deshabilitar el procesamiento de HTML y la carga de imágenes eliminará la mayoría de las vulnerabilidades, que en realidad no están directamente relacionadas con el paquete GPG en sí. Curiosamente, los desarrolladores de Engimail ahora también hacen esta recomendación, ya que el soporte HTML deshabilitado junto con el cifrado hace que la experiencia de correo electrónico sea mucho más segura.
Curiosamente, dado que los atacantes deben atacar específicamente el correo electrónico cifrado, un mayor volumen de correo electrónico cifrado enviado a Internet ayudaría a reducir el riesgo de que cualquier ataque dirigido funcione.
Etiquetas Seguridad de Linux
