Bitwolk

Terug naar blog

Zijn mijn e-mails veilig voor EFAIL?

Beveiliging — vrijdag 8 juni 2018

De meeste digitale (zakelijke) communicatie gaat via e-mail en voor gevoelige zaken wil je er zeker van zijn dat niemand meeleest. Soms is het zelfs enorm belangrijk. Bijvoorbeeld een journalist die informatie van een onderzoek ontvangt. Dan is het uitlekken van de inhoud van sommige e-mails zelfs enorm gevaarlijk.

Voor het beveiligen van e-mails is Pretty Good Privacy de standaard, beter bekend als PGP. Deze techniek zorgt ervoor dat de inhoud van het bericht alleen leesbaar is voor de verzender en ontvanger. Mocht iemand anders onderweg mee willen kijken, inbreken in een mailbox of op een andere manier een e-mail in handen krijgen, dan is het bericht niet leesbaar.

Onlangs hebben beveiligingsonderzoekers een manier ontdekt om de PGP-beveiligde e-mails toch te lezen. PGP is de standaard en veel mensen vertrouwen op deze techniek, daarom is het groot nieuws (zie de artikelen op Security.nl, Tweakers en NU.nl voor meer informatie).

Wat betekent dit voor mij?

Ook Bitwolk gebruikt PGP voor het beveiligen van e-mail, zo werkt het goed samen met andere software en diensten. Dat maakt het gebruiken van encryptie een stuk makkelijker. Na het bekendmaken van de kwetsbaarheid hebben we gelijk gekeken wat dit voor ons én onze klanten betekent.

Zijn we kwetsbaar? Niet als je online op Bitwolk inlogt om je e-mail te lezen. Dit dankzij onze vele beveiligingsmaatregelen en omdat we erg strikt zijn met het weergeven van de inhoud van e-mails. Wanneer je een e-mailprogramma als Outlook, Apple Mail of Mozilla Thunderbird gebruikt (in combinatie met een PGP-plugin) dan is waarschijnlijk mogelijk om deze aanval uit te voeren. Er is een volledige lijst met kwetsbare programma’s.

Hoe het werkt

De aanvaller breekt eerst in op een mailbox of onderschept een e-mail. Alleen is het bericht niet leesbaar vanwege de PGP-encryptie. Na een kleine aanpassing en het toevoegen van kwaadaardige code zorgt de aanvaller ervoor dat de e-mail weer bij het slachtoffer terechtkomt. Bij het openen/lezen van de e-mail haalt het slachtoffer de encryptie er vanaf, waardoor de inhoud leesbaar is. De kwaadaardige code stuurt na het openen de leesbare inhoud naar een (web)server van de aanvaller toe. Zo heeft de aanvaller toegang tot de inhoud van de e-mail.

De kwetsbaarheid is gebaseerd op web-technieken (HTML) die ook te vinden zijn in nieuwsbrieven. Dit maakt het voor veel e-mailprogramma's lastig om de kwetsbaarheid tegen te gaan. Gelukkig zijn ontwikkelaars van software snel aan de slag gegaan met oplossingen en is er met het gebruik van PGP niets mis (zie artikel).

De kwetsbaarheid is voornamelijk interessant voor persoonlijke en gerichte aanvallen. Het toepassen op grote schaal is moeilijk omdat het vereist is dat de rechtmatige eigenaar de e-mail opent om de aanval uit te voeren.

Ons advies

Wil je er zeker van zijn dat de inhoud van een e-mail niet uitlekt? Log met je browser in op Bitwolk om je mail te lezen.

Gebruik je geen Bitwolk of wil je e-mail lezen in een programma als Outlook, Apple Mail of Mozilla Thunderbird? Zorg er dan voor dat je van de software en eventuele PGP-plugins de laatste versie gebruikt. Bij software is in de toelichting van versies vaak te vinden wat er opgelost is, hierin is op te zoeken of de kwetsbaarheid aangepakt is.

De beveiligingsonderzoekers die de kwetsbaarheid hebben ontdekt geven het advies om PGP in zijn geheel niet meer te gebruiken. Echter maakt dit het nog makkelijker voor aanvallers om mee te lezen en ook op grote schaal, daarom raden wij dit niet aan. Het probleem zit niet in PGP zelf.

Hoe het technisch werkt?

Natuurlijk hebben we in dit artikel het verhaal iets versimpelt en wat technische details weggelaten. We vertellen je er graag meer over, maar de ontdekkers hebben een erg heldere website gemaakt op efail.de. Hierop is alle technische achtergrondinformatie van de kwetsbaarheid te vinden, de methodes om het toe te passen en de daarbij horende researchpapers.

Bonus: Bitwolk is nu nog veiliger

Een leuk feitje, bij het onderzoeken van de kwetsbaarheid en aanvalsmethodes hebben we inspiratie gekregen voor nieuwe beveiligingsmaatregelen. Waarmee we Bitwolk nog veiliger hebben gemaakt.

Ontdek ook hoe makkelijk veilig is.

Gratis proefperiode van een maand, zonder verplichtingen.

Gratis proberen