Aggiornamenti recenti Marzo 29th, 2024 9:00 AM
Mag 14, 2018 Marco Schiaffino In evidenza, News, RSS, Vulnerabilità 1
(Articolo aggiornato alle ore 16:11)
L’allarme è di quelli che vanno presi sul serio, anche perché arriva dalla Electronic Frontier Foundation (EFF), cioè da chi per anni si è battuto per diffondere al massimo l’utilizzo di sistemi di crittografia che consentano di migliorare il livello di riservatezza delle comunicazioni via email.
A suscitare il panico tra i fan della privacy è proprio quel PGP (Pretty Good Privacy) che viene generalmente considerato come lo strumento più accessibile ed efficace per rendere illeggibili i messaggi di posta elettronica nel caso in cui qualcuno dovesse metterci le mani sia intercettandoli, sia ottenendo l’accesso ai messaggi una volta memorizzati su qualsiasi supporto.
La falla di sicurezza individuata da un gruppo di ricercatori, sui cui dettagli per il momento sono circolate solo delle speculazioni, consentirebbe di aggirare la protezione crittografica e leggere tranquillamente i messaggi (compresi quelli inviati in passato) anche se non si ha la chiave normalmente necessaria per decodificarli.
La vulnerabilità, in teoria, avrebbe dovuto essere svelata domani, ma le prime descrizioni hanno cominciato a circolare già nella giornata di oggi. Il problema, come si capiva già dalle parole usate per mettere in guardia gli utilizzatori di PGP (“Il nostro consiglio … è di disabilitare immediatamente tutti gli strumenti che decodificano automaticamente i messaggi crittografati con PGP”) riguarda il sistema di decrittazione automatica usato da software di posta elettronica.
La tecnica di attacco, battezzata con il nome di EFAIL, permette in pratica di usare il software della vittima per decodificare i suoi stessi messaggi e recapitarli poi al pirata informatico.
Andiamo con ordine. Per prima cosa il pirata deve mettere le mani sul messaggio crittografato con PGP (intercettandolo via Internet, violando l’account o un dispositivo su cui è memorizzato) che vuole violare.
A questo ha punto tra le mani nulla più che una serie di dati incomprensibili, che possono essere decodificati solo con la chiave privata in possesso del destinatario del messaggio.
Per decodificarlo, però, può sfruttare l’attacco EFAIL con una certa semplicità. Non deve fare altro che copiare il testo crittografato, inserirlo in un’email creata ad arte e inviarlo alla vittima stessa.
Nel messaggio di posta elettronica (rigorosamente in formato HTML) vengono in pratica inserite due parti, una prima e una dopo il testo crittografato. Nella prima parte viene aperto un attributo src (come se si trattasse di un contenuto esterno che il client deve scaricare) che viene chiuso solo nella seconda parte.
Quando la vittima riceve l’email, il suo software di posta elettronica decodifica la parte crittografata e la unisce alle altre due parti. Ciò che ne esce è un’URL che il programma interpreta come un contenuto esterno che deve essere scaricato.
A questo punto invierà la richiesta al dominio relativo. Ma visto che l’url è composta dal messaggio in
chiaro, chi gestisce il dominio si troverà il testo decodificato all’interno dei log di sistema.
Le modalità di attacco, in realtà sono due (descritte in questa pagina Web) e mentre la prima colpisce solo iOS Mail, Apple Mail e Mozilla Thunderbird, la seconda (più complessa e meno efficace) è in grado di colpire qualsiasi client.
Mar 26, 2024 0
Mar 04, 2024 0
Dic 18, 2023 0
Set 22, 2023 0
Mar 29, 2024 0
Mar 28, 2024 0
Mar 27, 2024 0
Mar 25, 2024 0
Mar 29, 2024 0
Le aziende hanno compreso l’importanza della...Mar 28, 2024 0
Stando al Rapporto Annuale sulle Minacce Informatiche di...Mar 27, 2024 0
La sanità viene presa di mira dagli infostealer: a dirlo...Mar 22, 2024 0
Nel 2024 i deepfake saranno una delle applicazioni di...Mar 21, 2024 0
Acronis annuncia l’ottenimento della qualificazione...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Mar 29, 2024 0
Le aziende hanno compreso l’importanza della...Mar 28, 2024 0
Stando al Rapporto Annuale sulle Minacce Informatiche di...Mar 26, 2024 0
Un gruppo di ricercatori ha individuato un grosso problema...Mar 25, 2024 0
La scorsa settimana ha rappresentato una sfida...Mar 25, 2024 0
Il 22 marzo si è concluso il Pwn2Own, l’hackathon...
One thought on “Bug critico: smettete subito di usare PGP!”