E-mail a rischio sicurezza: gravi falle per PGP e S/MIME, e non esiste un fix

I ricercatori hanno individuato un'importante vulnerabilità nel noto protocollo di crittografia S/MIME e nel programma PGP

E-mail a rischio sicurezza: gravi falle per PGP e S/MIME, e non esiste un fix
INFORMAZIONI SCHEDA
Articolo a cura di

In un mondo sempre più connesso come quello odierno, cercare di evitare che i malintenzionati possano mettere digitalmente mano ai nostri dati è diventato di fondamentale importanza. Tuttavia, la necessità di "nascondere informazioni" risale all'alba dei tempi. Pensate che gli Ebrei utilizzavano già un loro semplice cifrario a sostituzione monoalfabetica chiamato atbash. Con il passare dei secoli, i sistemi di questo tipo si sono ovviamente evoluti, fino ad arrivare allo stato attuale, dove, senza che l'utente finale ci faccia troppo caso, vengono usati ogni qualvolta navighiamo sul web.
In particolare, un ambito da sempre interessato dalla crittografia è quello della posta elettronica. Infatti, è impensabile inviare "in chiaro" le proprie e-mail, che sarebbero altrimenti facilmente accessibili da chiunque sia in grado di intromettersi nella comunicazione. Qui subentrano, dunque, i protocolli e i programmi pensati per questo scopo, tra cui troviamo S/MIME e OpenPGP. Ebbene, i ricercatori dell'Università di Münster (Germania) hanno trovato un'importante vulnerabilità legata a quest'ultimi, che consente ai malintenzionati di accedere alle informazioni presenti nelle e-mail. Essa è stata denominata "EFail".

La vulnerabilità

In un paper di oltre 20 pagine, i ricercatori descrivono nei dettagli la falla di sicurezza, mostrando anche qualche riga di codice. Un malintenzionato potrebbe sfruttare il tutto per inserire del codice dannoso all'interno delle e-mail intercettate, riuscendo a rendere inefficace la crittografia applicata su di esse. Il punto debole, in questo caso, è il codice HTML, in particolare se esso contiene dei link. Infatti, diversi client di posta utilizzano dei parser MIME particolarmente soggetti a vulnerabilità. In parole povere, essi sono dei programmi che hanno il compito di "tradurre" i nostri input in un linguaggio comprensibile alla macchina. Capite bene, dunque, che nel caso questa falla venisse utilizzata da un malintenzionato particolarmente esperto, il contenuto potrebbe essere riportato totalmente "in chiaro", mettendo a rischio la sicurezza delle comunicazioni di questo tipo.
Un utilizzo più concreto potrebbe essere, ad esempio, il seguente: la banca vuole inviarvi tramite posta elettronica il link per accedere al vostro conto corrente direttamente online, ma un malintenzionato riesce a intercettare il messaggio e a modificarlo. Questo significa che l'utente finale potrebbe ritrovarsi con una nuova e-mail in tutto e per tutto identica all'originale, ma con del codice dannoso inserito al suo interno. Il metodo per risolvere il tutto? Utilizzare e-mail senza alcun tipo di codice HTML al loro interno, utilizzare dei particolari parser non fallati oppure passare alla crittografia autenticata. Si tratta, dunque, di soluzioni attualmente molto difficili da mettere in atto. Basti pensare all'enorme quantità di newsletter inviate ogni giorno in questo modo. Il tutto è stato fatto notare anche da Sebastian Schinzel, uno degli autori del paper, tramite un post su Twitter dove afferma: "Attualmente, non esistono fix affidabili per questa vulnerabilità".

Insomma, si tratta di una falla di sicurezza importante, visto che S/MIME e OpenPGP sono molto popolari in questo ambito. Pensiamo, ad esempio, all'innumerevole quantità di server aziendali che fanno uso di questi sistemi e a popolari client di posta elettronica come Apple Mail, l'app Mail su iOS e Thunderbird. Ovviamente, la nostra descrizione della vulnerabilità scoperta risulta per forza di cose essere un po' superficiale, visto che ci vorrebbero pagine su pagine per spiegare per bene il funzionamento di S/MIME e OpenPGP. Se siete interessati al tutto e conoscete bene l'inglese, dunque, vi consigliamo di leggere questo paper e di approfondire tramite il comunicato divulgato dal team dietro il software open-source GNU Privacy Guard.