In questi giorni alcuni ricercatori di sicurezza, guidati da Sebastian Schinzel, (docente di sicurezza informatica presso la FH Münster University of Applied Sciences), hanno fatto sapere di aver scoperto gravi vulnerabilità all'interno di 2 protocolli noti per essere impiegati per l'invio di e-mail cifrate. In pratica i ricercatori hanno rilevato un exploit, (denominato EFAIL), che permette di leggere in chiaro il testo del suddetto tipo di e-mail, (utilizzate per comunicazioni particolarmente sensibili), sfruttando, appunto, alcuni bug presenti negli standard OpenPGP ed S/MIME. In sostanza, come già noto, la maggior parte degli utenti invia e-mail senza crittografia: la trasmissione è parzialmente protetta dallo standard TLS, ma i messaggi vengono conservati in chiaro sui server e nei client. Tuttavia esistono diverse categoria di utenti, (tra cui soprattutto i giornalisti, gli attivisti politici e gli informatori), che utilizzano il protocollo OpenPGP per evitare di essere intercettati; mentre in generale l'S/MIME viene usato per garantire la sicurezza in ambito aziendale. Ad ogni modo, secondo quanto hanno spiegato i ricercatori, l'exploit EFAIL sfrutta il contenuto attivo delle e-mail HTML, (ad esempio, immagini e stili), per accedere al testo in chiaro attraverso le URL richieste: un eventuale malintenzionato dovrebbe però intercettare le e-mail cifrate, (per esempio spiando il traffico di rete o compromettendo client, server o computer). Entrando un po' più nei dettagli dopo aver apportato alcune modifiche, l'e-mail viene inviata all'utente, il client decifra il messaggio, carica il contenuto esterno ed il testo in chiaro viene inviato al cybercriminale, il quale può leggerlo tranquillamente. Al riguardo lo stesso Sebastian Schinzel ha affermato: "L'uso di questi 2 protocolli potrebbe rivelare il testo in chiaro delle e-mail cifrate, incluse anche quelle che si sono inviate in passato". Inoltre gli esperti hanno spiegato che le vulnerabilità in questione sono presenti in client e-mail molto noti, tra cui Outlook, Thunderbird ed Apple Mail: si tratta di piattaforme che presto potrebbero rilasciare patch che vadano a risolvere il problema; anche se in realtà per la soluzione definitiva sarebbe necessaria la modifica degli standard OpenPGP e S/MIME. Comunque sia in attesa di eventuali fix gli esperti di sicurezza hanno suggerito soluzioni temporanee oppure delle modifiche alle specifiche dei protocolli. Difatti a tal proposito lo studioso ha concluso spiegando: "Al momento non esistono delle soluzioni affidabili per tali vulnerabilità. Se usate PGP/GPG o S/MIME per comunicazioni molto sensibili, dovreste immediatamente disabilitarli dai vostri client e-mail". Ma non è tutto, a rinforzare le rivelazioni dei ricercatori c'è stato anche un approfondimento dell'Electronic Frontier Foundation, (nota anche con la sigla EFF), nel quale è stato confermato che: "Queste vulnerabilità pongono un rischio immediato per chi usa questi strumenti per la comunicazione e-mail, inclusa la possibile esposizione di contenuti di messaggi passati". Motivo per il quale sia l'organizzazione che gli esperti di sicurezza hanno, infine, consigliato a tutti quelli che utilizzano i 2 protocolli di disattivare temporaneamente eventuali plugin ed add-on di codifica, (come, ad esempio, Enigmail, GPGTools e Gpg4win), che decifrano automaticamente le e-mail in arrivo; senza contare il consiglio di utilizzare un'applicazione separata per decifrare il testo, (come, per esempio, Signal), e di disattivare il rendering HTML.
Commenti
Posta un commento