C'è un problema di sicurezza con le mail criptate in PGP e S/MIME

14 Maggio 2018 9

C'è una falla grave nei protocolli PGP/GPG e S/MIME, usati per criptare e decriptare le email in contesti in cui la sicurezza delle informazioni trasmesse è cruciale. Questo, almeno, è quello che sostiene un team di ricercatori europeo; il post con tutti i dettagli avrebbe dovuto essere pubblicato domani, ma a seguito delle molte discussioni generatesi nell'ambiente i tempi sono stati affrettati. La pagina è già online; basta seguire il link FONTE in fondo all'articolo.

Al momento sia i ricercatori che l'EFF (Electronic Frontiers Foundation) suggeriscono di disattivare tutte le plugin PGP per client di posta come Thunderbird, Mail, Outlook e così via. Secondo i ricercatori, la falla potrebbe rivelare in chiaro il testo di mail criptate - non solo, anche di mail inviate in passato. La EFF dice:

Un gruppo di ricercatori di sicurezza europeo ha pubblicato un avvertimento su una serie di vulnerabilità che colpiscono gli utenti di PGP e S/MIME. L'EFF si è tenuta in contatto con i ricercatori e può confermare che queste vulnerabilità costituiscono un rischio immediato per chi usa questi strumenti per la comunicazione via mail, inclusa la potenziale esposizione di messaggi passati. [...] Il nostro consiglio, uguale a quello dei ricercatori, è di disabilitare e/o disinstallare i tool che decriptano automaticamente le mail criptate con PGP. Finché le falle descritte nella ricerca saranno meglio comprese e corrette, gli utenti dovrebbero ricorrere ad altri canali sicuri end-to-end, come Signal, e smettere temporaneamente di inviare e soprattutto leggere mail criptate con PGP.

L'attacco si svolge più o meno così:

  • Il malintenzionato ottiene una mail criptata, non importa come (per esempio accedendo fisicamente al computer di un utente, intercettandolo via internet...)
  • Il malintenzionato copia poi il testo del messaggio in una mail (importante: in formato HTML) costruita in un certo modo e la invia al destinatario originale.
  • Le plugin di decriptazione automatica nei client di posta del destinatario procedono a decifrare il messaggio; la mail è scritta in modo tale che il testo decriptato diventi parte di un URL, che punta al dominio del malintenzionato.
  • I software "credono" che si tratti di un link legittimo a contenuto da scaricare, e inviano una richiesta al dominio, includendo così il messaggio criptato in testo semplice.

Insomma, il problema non è tanto nel protocollo, ma in come si comportano le plugin di decriptazione automatica. I passaggi consigliati per mitigare il problema, lato utente, sono di disattivare la renderizzazione dei messaggi HTML in arrivo, se possibile, oppure disattivare le plugin PGP di client come Thunderbird, Outlook, iOS Mail e tanti altri, e fare ricorso ad altri sistemi di messaggistica sicuri con crittografia end-to-end. I messaggi PGP o S/MIME ricevuti si possono ancora decriptare in sicurezza usando applicazioni esterne, non automatiche.

Nel medio termine, i ricercatori consigliano patch per le plugin di decriptazione; nel lungo termine, infine, una rivisitazione degli standard stessi.


9

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Oliver Cervera

la nuvola (invece del cloud), la crack... gente che sta male davvero

sopaug

ci sono depravati che dicono "la c r a c k"...

Comunque questa buffonata è la prova che ci prendono in giro, è un baco risibile nella sua semplicità, l'unico motivo per avere il giro client del genere (quando da 10 anni tutti i client chiedono di poter scaricare PER DEFAULT anche una semplice IMMAGINE) è che la cosa è stata messa lì ad arte. Non esiste che un client nato per decrittare un protocollo adibito alla protezione per default mandi una richiesta con in chiaro il messaggio decrittato per una svista su una banale sanitizzazione...Ora esce perchè chi di dovere ha finito di spiare o ha trovato un modo migliore.

Shrek

I protocolli non hanno alcun problema, sono i software di decifrazione ad essere vulnerabili a determina url.

(

In teoria per sostantivi di origini inglese puoi usare sia articoli maschili che femminili in italiano.
Però sentirsi dire la socket o la server è indecente.

Alex

#metoo
:)

Shaq Boom

Maschilista fallito !

ijskdldsad

"i protocolli sono sicuri come sempre".. non proprio..

Shrek

"Insomma, il problema non è tanto nel protocollo, ma in come si comportano le plugin di decriptazione automatica."
Cioè, mi avete fatto leggere tutto l'articolo interessato a capire in che consista questa grave falla dei protocolli crittografici in questione, quando invece i protocolli sono sicuri come sempre e la falla si trova nei software di decifrazione automatica......
Comunque, da quando i plugin sono femmine?

~benzo

:(

Scontrino elettronico dal 1° gennaio per tutti, cosa cambia

DJI Mavic Mini ufficiale: pesa solo 249 grammi, prezzi da 399 euro

Recensione PowerBeats Pro: gli Apple AirPods per gli sportivi

Surface: tutte le novità presentate da Microsoft