Fastweb

Bug PGP permette agli hacker di leggere le email crittografate

Furto di password Web & Digital #hacker #furto password Come difendersi dal credential stuffing Se ti è mai capitato di subire un furto d'identità online, è probabile che tu sia stato vittima di credential stuffing. Ecco cos'è e come si combatte
ISCRIVITI alla Newsletter
Inserendo l'indirizzo email autorizzi Fastweb all'invio di newsletter editoriali. Se non desideri più ricevere la newsletter, è sufficiente cliccare sul link presente in calce alle mail per richiederne la cancellazione. Condizioni di utilizzo.
Bug PGP permette agli hacker di leggere le email crittografate FASTWEB S.p.A.
Hacker posta elettronica
Web & Digital
Scoperta da un team di ricercatori europei, la falla permetterebbe di leggere il testo dei messaggi crittografati. Sarebbe comunque complicata da sfruttare

In qualche modo, può essere paragonato a Heartbleed (letteralmente, "cuore sanguinante"), il bug del protocollo HTTPS che, nel 2014, scatenò il panico sia tra gli addetti ai lavori e (in maniera minore) tra gli utenti, preoccupati che gli hacker potessero inserirsi nelle loro comunicazioni e riuscire così a "intercettare" cosa si dicessero. Oggi a finire al centro dell'occhio del ciclone sono due dei protocolli crittografici maggiormente utilizzati per proteggere conversazioni e allegati inviati via posta elettronica.

Come scoperto da Sebastian Schinzel, professore di Sicurezza informatica presso la Münster University of Applied Sciences, e un gruppo di ricercatori europei di sicurezza informatica sia PGP sia S/MIME sono affetti da una falla per la quale, al momento, non esistono "cure". Ribattezzata efail (un gioco di parole basato su email, posta elettronica, e fail, "fallire" in inglese), la vulnerabilità permetterebbe di accedere al testo "in chiaro" dei messaggi email che si inviano e che, invece, dovrebbero essere illeggibili grazie alla criptazione dei due protocolli.

Che cos'è e come funziona efail

Le vulnerabilità ribattezzata con il nome di efail permetterebbero a un hacker di accedere al testo "in chiaro" di messaggi di posta elettronica crittografati con standard come PGP ed S/MIME. Il tutto sfruttando bug vecchi anche di un decennio e sinora mai riscontrati né corretti. Sarebbero così a rischio tutte le conversazioni inviate, anche in passato, da client di posta elettronica molto utilizzati come Microsoft Outlook, Thunderbird, Mail per macOS e Mail per iOS.

 

 

Per poter mettere in atto un attacco sfruttando efail, un hacker deve prima di tutto riuscire a intercettare una o più email crittografate, che dovrà poi inserire nel codice sorgente di un altro messaggio di posta elettronica combinandolo con del codice HTML malevolo. Per riuscire nell'impresa, gli hacker possono seguire due strade differenti: esfiltrazione diretta o attacco gadget. Tra i due, quest'ultimo è il più efficace e pericoloso: se utilizzato contro il protocollo S/MIME, permette di decifrare fino a 500 messaggi alla volta.

Cosa fare se si usano PGP e S/MIME

Al momento, l'unico modo che hanno gli utenti per difendersi da efail è quello di disabilitare o cancellare plugin presenti nei client email che effettualo la decriptazione dei messaggi protetti da PGP ed S/MIME, soprattutto se si utilizza la posta elettronica per inviare dati e informazioni sensibili. I due protocolli fallati, infatti, potrebbero facilitare, anziché complicare, la vita a qualche hacker interessato a "intercettare" le vostre comunicazioni elettroniche. La stessa EFF ha realizzato delle brevi guide che aiutano gli utenti a cancellare o disabilitare plaugin PGP da Outlook, Thunderbird e Mail per macOS.

Ciò non vuol dire, comunque, che non sia possibile continuare a utilizza PGP ed S/MIME per la criptazione e decriptazione delle email. Come fanno notare i ricercatori europei autori della ricerca, la vulnerabilità ha effetto solo se il processo crittografico avviene tramite un plugin installato all'interno di uno dei client email citati. Nel caso in cui vengano utilizzati programmi ad hoc e slegati dal client email allora non ci saranno problemi di sorta.

Quanto è fattibile un attacco efail

 

 

Come fatto notare da qualche analista, le probabilità che un hacker riesca a mettere a segno un attacco sfruttando le vulnerabilità efail sono piuttosto basse (ciò non toglie, comunque, che sia ancora possibile). Per avere successo, come detto, il cybercriminale dovrebbe prima avere "tra le mani" un messaggio di posta elettronica crittografato: ciò vuol dire che deve aver intercettato e trafugato un'email crittografata mentre veniva inviata, oppure aver "bucato" i sistemi di sicurezza del fornitore dei servizi di posta elettronica, essere entrato all'interno dell'account e aver trafugato un'email crittografata. A questo punto, dovrebbe sfruttare del codice HTML malevolo per inserire il testo del messaggio crittografato in un'altra email e inviarla allo stesso destinatario. Se quest'ultimo aprirà il messaggio, allora l'hacker riceverà il testo "in chiaro" della mail cui era interessato. Insomma, un procedimento piuttosto complesso che, però, può essere messo in atto. Consigliabile, dunque, seguire i suggerimenti dell'EFF e disabilitare i plugin PGP o S/MIME che si utilizzano in attesa che le varie software house rilascino delle patch per i loro client di posta elettronica.

 

16 maggio 2018

copyright CULTUR-E

Ti piace
questo
articolo?
Iscriviti alla nostra Newsletter

Riceverai settimanalmente le notizie più
interessanti sul mondo della tecnologia!

Inserendo l'indirizzo email autorizzi Fastweb all'invio di newsletter editoriali. Se non desideri più ricevere la newsletter, è sufficiente cliccare sul link presente in calce alle mail per richiederne la cancellazione. Condizioni di utilizzo.
TAGS: #hacker #posta elettronica #crittografia

© Fastweb SpA 2019 - P.IVA 12878470157
ChiudiChiudi Questo sito usa cookies di profilazione, propri e di terzi, per adeguare la pubblicità alle tue preferenze.
Clicca qui per maggiori informazioni o per conoscere come negare il consenso. Se chiudi questo banner o accedi ad altri elementi della pagina acconsenti all'uso dei cookies.