In qualche modo, può essere paragonato a Heartbleed (letteralmente, "cuore sanguinante"), il bug del protocollo HTTPS che, nel 2014, scatenò il panico sia tra gli addetti ai lavori e (in maniera minore) tra gli utenti, preoccupati che gli hacker potessero inserirsi nelle loro comunicazioni e riuscire così a "intercettare" cosa si dicessero. Oggi a finire al centro dell'occhio del ciclone sono due dei protocolli crittografici maggiormente utilizzati per proteggere conversazioni e allegati inviati via posta elettronica.
Come scoperto da Sebastian Schinzel, professore di Sicurezza informatica presso la Münster University of Applied Sciences, e un gruppo di ricercatori europei di sicurezza informatica sia PGP sia S/MIME sono affetti da una falla per la quale, al momento, non esistono "cure". Ribattezzata efail (un gioco di parole basato su email, posta elettronica, e fail, "fallire" in inglese), la vulnerabilità permetterebbe di accedere al testo "in chiaro" dei messaggi email che si inviano e che, invece, dovrebbero essere illeggibili grazie alla criptazione dei due protocolli.
Che cos'è e come funziona efail
Le vulnerabilità ribattezzata con il nome di efail permetterebbero a un hacker di accedere al testo "in chiaro" di messaggi di posta elettronica crittografati con standard come PGP ed S/MIME. Il tutto sfruttando bug vecchi anche di un decennio e sinora mai riscontrati né corretti. Sarebbero così a rischio tutte le conversazioni inviate, anche in passato, da client di posta elettronica molto utilizzati come Microsoft Outlook, Thunderbird, Mail per macOS e Mail per iOS.
Per poter mettere in atto un attacco sfruttando efail, un hacker deve prima di tutto riuscire a intercettare una o più email crittografate, che dovrà poi inserire nel codice sorgente di un altro messaggio di posta elettronica combinandolo con del codice HTML malevolo. Per riuscire nell'impresa, gli hacker possono seguire due strade differenti: esfiltrazione diretta o attacco gadget. Tra i due, quest'ultimo è il più efficace e pericoloso: se utilizzato contro il protocollo S/MIME, permette di decifrare fino a 500 messaggi alla volta.
Cosa fare se si usano PGP e S/MIME
Al momento, l'unico modo che hanno gli utenti per difendersi da efail è quello di disabilitare o cancellare plugin presenti nei client email che effettualo la decriptazione dei messaggi protetti da PGP ed S/MIME, soprattutto se si utilizza la posta elettronica per inviare dati e informazioni sensibili. I due protocolli fallati, infatti, potrebbero facilitare, anziché complicare, la vita a qualche hacker interessato a "intercettare" le vostre comunicazioni elettroniche. La stessa EFF ha realizzato delle brevi guide che aiutano gli utenti a cancellare o disabilitare plaugin PGP da Outlook, Thunderbird e Mail per macOS.
Ciò non vuol dire, comunque, che non sia possibile continuare a utilizza PGP ed S/MIME per la criptazione e decriptazione delle email. Come fanno notare i ricercatori europei autori della ricerca, la vulnerabilità ha effetto solo se il processo crittografico avviene tramite un plugin installato all'interno di uno dei client email citati. Nel caso in cui vengano utilizzati programmi ad hoc e slegati dal client email allora non ci saranno problemi di sorta.
Quanto è fattibile un attacco efail
Come fatto notare da qualche analista, le probabilità che un hacker riesca a mettere a segno un attacco sfruttando le vulnerabilità efail sono piuttosto basse (ciò non toglie, comunque, che sia ancora possibile). Per avere successo, come detto, il cybercriminale dovrebbe prima avere "tra le mani" un messaggio di posta elettronica crittografato: ciò vuol dire che deve aver intercettato e trafugato un'email crittografata mentre veniva inviata, oppure aver "bucato" i sistemi di sicurezza del fornitore dei servizi di posta elettronica, essere entrato all'interno dell'account e aver trafugato un'email crittografata. A questo punto, dovrebbe sfruttare del codice HTML malevolo per inserire il testo del messaggio crittografato in un'altra email e inviarla allo stesso destinatario. Se quest'ultimo aprirà il messaggio, allora l'hacker riceverà il testo "in chiaro" della mail cui era interessato. Insomma, un procedimento piuttosto complesso che, però, può essere messo in atto. Consigliabile, dunque, seguire i suggerimenti dell'EFF e disabilitare i plugin PGP o S/MIME che si utilizzano in attesa che le varie software house rilascino delle patch per i loro client di posta elettronica.
16 maggio 2018