Zaheslovaný archiv jako obousečná zbraň – 2. díl

minulém dílu jsem psal o tom, že zaheslovaný archiv poslaný jako příloha e-mailu nemusí být doručen.

Dnes bych se chtěl zamyslet nad tím, jak může být zaheslovaný archiv zneužit v rámci APT útoku.

7zip

V okamžiku, kdy si chcete s někým vyměnit nějaké důvěrné informace, a jedná se jen o jednorázovou aktivitu, tak za tímto účelem můžete využít třeba např. volně šiřitelný program 7zip, do kterého soubory vložíte, a on je zkomprimuje a zašifruje.

E-mail s odkazem do internetového úložiště

Tento archiv pak můžete bez obav poslat e-mailem anebo v případě, že je větší a máte obavu, že by nemusel skrz firemní politiku projít, jej můžete nahrát na nějaké úložiště na internetu a poslat příjemci jen odkaz. Ve druhém případě doporučuji archiv pojmenovat tak, aby již svým jménem nedával tušit, čeho se týká a zašifrovat můžete i názvy souborů v samotném archivu.

Dlouhé komplexní heslo, 256bitový AES a out-of-band

A pokud použijete 256bitový šifrovací algoritmus AES a komplexní dlouhé heslo, které si dohodnete na osobní schůzce, anebo jej protistraně dodatečně sdělíte jiným kanálem (out of band), např. po telefonu anebo pošlete jako SMS, tak se k útočník k obsahu tohoto archivu zpravidla nikdy nedostane, protože vámi zvolené heslo nedokáže hrubou silou prolomit. Jenže to není tak docela pravda.

Pozměnění archivu bez znalosti hesla

Útočník si sice nepřečte, co je obsahem vložených souborů, ale to nemusí být vůbec předmětem jeho zájmu. On může využít skutečnosti, že vy odesílateli důvěřujete a důvěřujete i tomu, že obsah tohoto archivu nebyl po cestě k vám pozměněn. A mylně budete předpokládat, že když heslo znáte jen vy a odesílatel, tak jeho obsah nemůže nikdo jiný pozměnit.

Bohužel může. Útočník pravda nemůže bez znalosti hesla pozměnit obsah stávajících souborů, tedy aniž by je poškodil, ale může do archivu nějaké soubory přidat, a to bez znalosti hesla a může dokonce i stávající zašifrované soubory nahradit nezašifrovaným souborem se stejným názvem.

Pro přidání souboru do zašifrovaného archivu není žádné heslo vyžadováno a kdokoliv, kdo se k archivu dostane, tak může do něj cokoliv přidat. A bude záležet jen na něm, jaké informace anebo malware do něj přidá. V archivu stačí ponechat jen jeden původní soubor, který je chráněn heslem.

Příjemce pak jen po výzvě aplikace zadá heslo, kterým je obsah archivu chráněn a jeho veškerý obsah se mu rozbalí do zvolené složky. Veškerý obsah. Jak ten zašifrovaný, tak i ten nezašifrovaný.

Zaheslované archivy zajištují důvěrnost přenášených informací, ale ne integritu a autenticitu a mohou tak být snadno zneužity v rámci sociálního inženýrství a k distribuci malware. Pokud by chtěl mít příjemce jakous takous jistotu, musel by archiv před rozbalením nejprve otevřít a přesvědčit se, že jsou všechny soubory zašifrovány.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:

  1. Tomáš Bezouška

    Po pravdě mi není jasné, proč v dnešní době využívat zaheslované archivy. Přijde mi jednodušší využít některou z dobrých online služeb, ať už E2E kryptovaný mail (např. ProtonMail), nebo kryptované cloudové úložiště (např. Tresorit). To jsou služby dostupné i pro běžného uživatele, a míra bezpečnosti je nesrovnatelně vyšší.
    No a v korporátním světě je využívání šifrovaných archivů pro předávání dat postup, který je z mého pohledu absolutně nepřijatelný od samého počátku (a to z celé řady důvodů).

  2. Miroslav Čermák

    Proč? To je jednoduché, protože klient už nějaký e-mail má a jen ten máte ve své CRM databázi a jen na ten mu můžete něco poslat. Do kryptovaného úložiště můžete pravda nahrát onen archiv a poslat mu jen odkaz, ovšem ani to není zcela bez problémů. Více se tomu budu věnovat ve třetím dílu.


K článku “Zaheslovaný archiv jako obousečná zbraň – 2. díl” se zde nachází 2 komentáře.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: