EFAIL: vulnerabilità dei sistemi di crittografia mettono le email a rischio di letture indesiderate

Leggi questo articolo grazie alle donazioni di Stefano Collenghi, Alberto Nonnis.
♥ Partecipa anche tu alle donazioni: sostieni SaggiaMente, sostieni le tue passioni!

Il 2018 in termini di sicurezza si sta rivelando scoppiettante tanto quanto il 2017. Dopo le varie falle che hanno riguardato i processori, ora a finire sotto attacco sono le email. Più precisamente i loro principali sistemi di crittografia, PGP/GPG e S/MIME. Le vulnerabilità descritte nel pacchetto EFAIL sono infatti destinate a far rivedere profondamente i modi d'utilizzo della posta elettronica negli ambiti più sensibili, come quelli aziendali.

Per sommi capi, senza entrare troppo in tecnicismi, quanto rinvenuto da un gruppo di ricercatori di sicurezza europei dimostra come sia possibile bucare la codifica end-to-end dei singoli messaggi rendendoli visibili ai malintenzionati attaccanti. Il prerequisito fondamentale, che fortunatamente contribuisce a ridurre almeno in parte i potenziali pericoli diretti di EFAIL, è avere una forma d'accesso all'account di posta della vittima. Il metodo più facile è, prevedibilmente, l'ottenimento delle credenziali di altri account dello stesso circuito, ma in ambiti più sofisticati vengono messe in atto altre procedure come la compromissione del server di posta proprietario, dei sistemi di backup e/o l'analisi dei pacchetti di rete per rintracciare le email. Ricavatasi una via, i criminali effettuano alcune alterazioni al codice HTML dei messaggi crittografati rispedendoli poi alla casella di posta della vittima; una volta aperti, tutto il contenuto testuale verrà decodificato, che verrà poi inviato agli indesiderati destinatari. Nuovi messaggi e vecchi, EFAIL ha efficacia senza distinzioni.

Due sono le principali varianti tecniche dell'attacco, una delle quali sfrutta non solo le falle dei sistemi di crittografia ma pure quelle dei client di posta: in questa poco invidiabile lista si trovano purtroppo Mozilla Thunderbird e le app Mail di Apple. Basandosi invece esclusivamente sui bug di PGP/GPG e S/MIME le applicazioni coinvolte aumentano, includendo almeno in parte anche Microsoft Outlook. Senz'altro nel corso delle prossime settimane verranno predisposte delle mitigazioni lato client, e per un uso strettamente consumer è difficile che EFAIL creerà grossi grattacapi, anche perché in quei casi ci sono vie ahinoi più comode per ottenere le email. Più a lungo termine occorrerà però rivedere gli stessi standard di crittografia, rimuovendo le vulnerabilità dalle loro fondamenta.

Nell'attesa delle prime correzioni, chi adopera plugin come GPGTools nell'app Mail farà bene ad eliminarli rintracciandoli nella cartella /Library/Mail/Bundles, se presente: basta aprire una finestra del Finder, premere il menu "Vai" e dunque "Vai alla cartella...". Una volta inserito il percorso menzionato poc'anzi e premuto OK, nel caso esso sia esistente e al suo interno vi sia contenuto il file "GPGMail.mailbundle" basterà trascinarlo nel Cestino. L'operazione va effettuata rigorosamente ad app Mail chiusa, non solo ridotta ad icona. Per informazioni davvero sensibili, tuttavia, il consiglio è di affidarsi ad altri circuiti di comunicazione con forte codifica end-to-end, come Signal.

Giovanni "il Razziatore"

Deputy - Ho a che fare con i computer da quando avevo 7 anni. Uso quotidianamente OS X dal 2011, ma non ho abbandonato Windows. Su mobile Android come principale e iOS su iPad. Scrivo su quasi tutto ciò che riguarda la tecnologia.

Commenti controllati Oltre a richiedere rispetto ed educazione, vi ricordiamo che tutti i commenti con un link entrano in coda di moderazione e possono passare diverse ore prima che un admin li attivi. Anche i punti senza uno spazio dopo possono essere considerati link causando lo stesso problema.