Il 2018 in termini di sicurezza si sta rivelando scoppiettante tanto quanto il 2017. Dopo le varie falle che hanno riguardato i processori, ora a finire sotto attacco sono le email. Più precisamente i loro principali sistemi di crittografia, PGP/GPG e S/MIME. Le vulnerabilità descritte nel pacchetto EFAIL sono infatti destinate a far rivedere profondamente i modi d’utilizzo della posta elettronica negli ambiti più sensibili, come quelli aziendali.
Per sommi capi, senza entrare troppo in tecnicismi, quanto rinvenuto da un gruppo di ricercatori di sicurezza europei dimostra come sia possibile bucare la codifica end-to-end dei singoli messaggi rendendoli visibili ai malintenzionati attaccanti. Il prerequisito fondamentale, che fortunatamente contribuisce a ridurre almeno in parte i potenziali pericoli diretti di EFAIL, è avere una forma d’accesso all’account di posta della vittima. Il metodo più facile è, prevedibilmente, l’ottenimento delle credenziali di altri account dello stesso circuito, ma in ambiti più sofisticati vengono messe in atto altre procedure come la compromissione del server di posta proprietario, dei sistemi di backup e/o l’analisi dei pacchetti di rete per rintracciare le email. Ricavatasi una via, i criminali effettuano alcune alterazioni al codice HTML dei messaggi crittografati rispedendoli poi alla casella di posta della vittima; una volta aperti, tutto il contenuto testuale verrà decodificato, che verrà poi inviato agli indesiderati destinatari. Nuovi messaggi e vecchi, EFAIL ha efficacia senza distinzioni.
Due sono le principali varianti tecniche dell’attacco, una delle quali sfrutta non solo le falle dei sistemi di crittografia ma pure quelle dei client di posta: in questa poco invidiabile lista si trovano purtroppo Mozilla Thunderbird e le app Mail di Apple. Basandosi invece esclusivamente sui bug di PGP/GPG e S/MIME le applicazioni coinvolte aumentano, includendo almeno in parte anche Microsoft Outlook. Senz’altro nel corso delle prossime settimane verranno predisposte delle mitigazioni lato client, e per un uso strettamente consumer è difficile che EFAIL creerà grossi grattacapi, anche perché in quei casi ci sono vie ahinoi più comode per ottenere le email. Più a lungo termine occorrerà però rivedere gli stessi standard di crittografia, rimuovendo le vulnerabilità dalle loro fondamenta.
Nell’attesa delle prime correzioni, chi adopera plugin come GPGTools nell’app Mail farà bene ad eliminarli rintracciandoli nella cartella /Library/Mail/Bundles, se presente: basta aprire una finestra del Finder, premere il menu “Vai” e dunque “Vai alla cartella…”. Una volta inserito il percorso menzionato poc’anzi e premuto OK, nel caso esso sia esistente e al suo interno vi sia contenuto il file “GPGMail.mailbundle” basterà trascinarlo nel Cestino. L’operazione va effettuata rigorosamente ad app Mail chiusa, non solo ridotta ad icona. Per informazioni davvero sensibili, tuttavia, il consiglio è di affidarsi ad altri circuiti di comunicazione con forte codifica end-to-end, come Signal.