image

E-mailclient KMail vergat door fout e-mails te versleutelen

vrijdag 16 juni 2017, 12:15 door Redactie, 9 reacties

Een beveiligingslek in de e-mailclient KMail zorgde ervoor dat berichten die eigenlijk versleuteld hadden moeten worden verstuurd onversleuteld weggingen. KMail is een e-mailclient voor Linux. Het programma biedt de optie om berichten op een later moment te versturen.

In het geval KMail-gebruikers van OpenPGP gebruikmaakten, software voor het versleutelen en signeren van e-mailberichten, stelde de e-mailclient dat de later te verzenden e-mails ook zouden worden versleuteld. Dat bleek echter niet het geval te zijn. De optie om e-mails met vertraging te versturen was niet compatibel met de bestaande OpenPGP-implementatie van KMail, zo ontdekte Daniel Aleksandersen.

Wanneer OpenPGP en de optie om de e-mail later te versturen werden gecombineerd, werden de OpenPGP-routines omzeild. Daardoor werden berichten onversleuteld en ongesigneerd verstuurd. Aleksandersen waarschuwde de ontwikkelaars, waarna op 8 juni KMail 17.04.2 verscheen waarin het probleem is opgelost. Gebruikers die versleuteld e-mailen krijgen dan ook het advies om de update te installeren.

Image

Reacties (9)
16-06-2017, 13:06 door [Account Verwijderd]
[Verwijderd]
16-06-2017, 13:19 door Anoniem
Door Neb Poorten:
Aleksandersen waarschuwde de ontwikkelaars, waarna op 8 juni KMail 17.04.2 verscheen waarin het probleem is opgelost.

Responsible disclosure: 15 juni 2017 is CVE-2017-9604 ingediend terwijl het probleem 8 juni 2017 al was opgelost.

Zoals het hoort.
16-06-2017, 13:45 door Anoniem
Ik gebruik zelf KMail, en heb meerdere problemen met "later versturen" geconstateerd.
Daarom gebruik ik de optie gelukkig nooit.
Anders was ik blijkbaar wel in de problemen geweest.
16-06-2017, 13:46 door Briolet - Bijgewerkt: 16-06-2017, 13:46
Door Anoniem:
Responsible disclosure: ….

Zoals het hoort.

Dat hoort misschien bij een lek dat, als er meer over naar buiten komt, misbruikt kan worden door derden. Hier lijkt me niet dat derden er direct misbruik van kunnen maken. Bij zo'n fout, lijkt het me juist belangrijk dat dit direct in de openheid komt, zodat gebruikers hun mailgedrag kunnen aanpassen.
16-06-2017, 13:55 door [Account Verwijderd]
[Verwijderd]
16-06-2017, 15:24 door Anoniem
Met recht K..Mail dus.
16-06-2017, 15:44 door Anoniem
Don't shoot the messenger

Dat hoort misschien bij een lek dat, als er meer over naar buiten komt, misbruikt kan worden door derden. Hier lijkt me niet dat derden er direct misbruik van kunnen maken. Bij zo'n fout, lijkt het me juist belangrijk dat dit direct in de openheid komt, zodat gebruikers hun mailgedrag kunnen aanpassen.

Kwestie van afwegen

Want als we even het update beleid van de meeste gebruikers bekijken, wat zien we dan?
Juist, gebruikers die heel traag zijn met updaten.
Traag zijn met reageren op een dreiging, als het nieuws ze al bereikt.

Wie zijn er traditioneel snel met reageren?
Juist, de misbruikers, soms al binnen 24 uur.

Omdat er mensenlevens van af kunnen hangen, leven en dood of je gat voor de rest van je leven in een werkkamp geparkeerd, had de enige juiste optie moeten zijn (als dat technisch haalbaar was geweest) per direct de service tijdelijk uit de lucht of op een of andere manier geblokkeerd (van mijn part door een blokkerende push update) in combinatie met actief het nieuws zoeken.

Alles in het werk stellen om te voorkomen dat er slachtoffers vallen.
Want het nieuws lijkt de fout te zijn, bij mij schiet er direct binnen 'hoeveel slachtoffers heeft dat gekost?'.

Fouten worden helaas gemaakt en kan je soms niet voorkomen, maar procedures klaar hebben liggen om te reageren op fouten kan je voorbereiden, zodat als het fout gaat je er snel op kan reageren.
Dat is pas responsible gedrag, want responsible gedrag en afwegingen zijn in de allereerste plaats verantwoordelijkheden die bij de makers liggen en niet bij de melders.

Al te graag leggen sommige makers vanuit een soort slachtofferrol (lees menig disclosure policy) de eindverantwoordelijkheid graag bij de melders door impliciet/expliciet (al dan niet alvast) kritiek te hebben op de beslissingen van de melder (en juridisch te dreigen natuurlijk).
De melder heeft niet de eindverantwoordelijkheid, maar de maker.

En sommige makers maken er best een potje van (algemene opmerking), en hebben een veel te grote mond (juridisch dreigende disclosure spierballenpolicies).
17-06-2017, 07:51 door Anoniem
Door Neb Poorten: Responsible disclosure: 15 juni 2017 is CVE-2017-9604 ingediend terwijl het probleem 8 juni 2017 al was opgelost.
Voor zover ik tot nu toe heb gezien wordt nergens verklaard waarom die CVE vertraagd is ingediend, en dus ook niet of responsible disclosure er iets mee te maken had. Het is ook mogelijk dat iemand een steekje heeft laten vallen. Briolet heeft gelijk dat responsible disclosure hier niets toevoegt.

Kwestie van afwegen

Want als we even het update beleid van de meeste gebruikers bekijken, wat zien we dan?
Juist, gebruikers die heel traag zijn met updaten.
Traag zijn met reageren op een dreiging, als het nieuws ze al bereikt.

Wie zijn er traditioneel snel met reageren?
Juist, de misbruikers, soms al binnen 24 uur.
Je gedachtengang gaat in dit geval niet op, want hoe precies moet een aanvaller forceren dat een e-mail pas later wordt verzonden? Het beveiligingsprobleem hier is niet dat een aanvaller de fout kan forceren maar een specifieke combinatie van handelingen door een legitieme gebruiker een beveiliging uitschakelt.
17-06-2017, 16:39 door Anoniem
Door Anoniem:

Kwestie van afwegen

Want als we even het update beleid van de meeste gebruikers bekijken, wat zien we dan?
Juist, gebruikers die heel traag zijn met updaten.
Traag zijn met reageren op een dreiging, als het nieuws ze al bereikt.

Wie zijn er traditioneel snel met reageren?
Juist, de misbruikers, soms al binnen 24 uur.
Je gedachtengang gaat in dit geval niet op, want hoe precies moet een aanvaller forceren dat een e-mail pas later wordt verzonden? Het beveiligingsprobleem hier is niet dat een aanvaller de fout kan forceren maar een specifieke combinatie van handelingen door een legitieme gebruiker een beveiliging uitschakelt.

Jawel, die gaat heel goed op.
De illustratie heeft betrekking op deze opmerking
Bij zo'n fout, lijkt het me juist belangrijk dat dit direct in de openheid komt, zodat gebruikers hun mailgedrag kunnen aanpassen.
Ergo, met de illustratie wilde ik duidelijk maken dat het openbaar maken niet automatisch inhoudt dat het nieuws die gebruiker direct bereikt laat staan dat de gebruiker er direct actie op onderneemt.
Ook een op zich bewuste gebruiker kan even iets niet ten volle doorhebben of snel genoeg doorhebben en dus definitief zwaar benadeeld worden omdat de inhoud van correspondentie op straat komt te liggen (onderschept en gelezen wordt).

Met zo'n service ligt er dus een extra zware verantwoordelijkheid op de schouders van de aanbieder.
Deze had wat mij betreft, als dat technisch mogelijk was geweest, op de een of andere manier ervoor moeten zorgen dat er een updatende, waarschuwende of technische verstorende hik was opgetreden opdat die eindgebruiker even geen mail had kunnen versturen met niet werkende versleuteling.
Dat was het punt, dus niet de bal bij de gebruiker leggen als oplossing omdat de realiteit bewijst dat dat (vaak en nogal eens) helemaal geen goed werkende oplossing is.
Het grenst zelfs aan naïviteit.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.