Molte sono le occasioni in cui abbiamo visto, in un modo o nell'altro, quanto letteralmente Internet non sia sicuro. A questo punto, la verità è che se le aziende e le multinazionali di tutto il mondo, le stesse di cui molti utenti si sono fidati, hanno visto come i cybercriminali sono riusciti ad accedere ai loro server e rubare le password ei dati personali di milioni di loro utenti, immaginatelo può essere fatto con applicazioni molto più piccole dove, in molti casi, la sicurezza è in secondo piano.
Lungi da tutto questo, la verità è che, e questo è molto più preoccupante, ci sono molti protocolli di sicurezza, che fino ad ora sembravano molto sicuri, che stanno iniziando a fallire. In questa occasione non parleremo di una mail o di un'azienda con nome e cognome che ti offre un account di posta sicuro, ma proprio dei protocolli che queste piattaforme sicure fanno, che, secondo un gruppo di ricercatori, potrebbero arrivare per esporre tutte le tue email a chiunque abbia una conoscenza sufficiente.
PGP, il protocollo di crittografia standard per la posta elettronica, presenta una vulnerabilità critica
Entrando un po 'più nel dettaglio, vi dico che stiamo parlando dei protocolli di sicurezza che oggi vengono utilizzati da molte aziende per crittografare e offrire così ai propri clienti un servizio di posta molto più sicuro. Nello specifico parliamo Algoritmi di crittografia PGP o S / MIME, che, come è stato scoperto, soffre di una grave vulnerabilità per cui tutte le e-mail crittografate in chiaro possono essere esposte, anche tutti quei messaggi che potresti inviare in passato.
In un modo molto più semplice da capire e riferirsi alle parole di Sebastian schinzel, uno degli specialisti della sicurezza che hanno lavorato a questo progetto e, a sua volta, professore di sicurezza informatica presso l'Università di scienze applicate di Münster:
La posta elettronica e l'ano sono un mezzo di comunicazione sicuro
La Fondazione Electronica Frotier è stata responsabile di portare alla luce questo difetto critico nel protocollo PGP
Per darci un'idea del rischio, te lo dico Questa vulnerabilità è stata rilevata per la prima volta dalla Electronic Frontier Foundation proprio lunedì mattina, subito dopo che un grande quotidiano tedesco ha diffuso un embargo di notizie. Una volta che tutte queste informazioni sono state rese pubbliche, il gruppo di ricercatori europei coinvolti in questa scoperta ha letteralmente iniziato ad annunciare che le persone dovrebbero smettere del tutto di utilizzare gli algoritmi di crittografia PGP poiché, ad oggi, non esistono soluzioni affidabili contro la vulnerabilità rilevata.
Come hanno affermato i ricercatori:
Gli attacchi EFAIL sfruttano le vulnerabilità negli standard OpenPGP e S / MIME per rivelare le e-mail crittografate in testo normale. In poche parole, EFAIL abusa del contenuto attivo nelle e-mail HTML, come immagini o stili caricati esternamente, per filtrare il testo normale attraverso gli URL richiesti. Per creare questi canali di esfiltrazione, l'attaccante deve prima accedere alle e-mail crittografate, ad esempio intercettando il traffico di rete, compromettendo account e-mail, server di posta, sistemi di backup o computer client. Le e-mail potrebbero anche essere state raccolte anni fa.
L'aggressore modifica un'e-mail crittografata in un certo modo e invia questa e-mail crittografata manipolata alla vittima. Il client di posta elettronica della vittima decrittografa l'email e carica qualsiasi contenuto esterno, esfiltrando il testo in chiaro all'attaccante.
Molti sono gli esperti di sicurezza che pensano che questa vulnerabilità sia stata sovrastimata
Per saperne un po 'di più PGP, ti dico che non è altro che un software di crittografia che, almeno fino ad ora, è stato considerato il standard per la sicurezza della posta elettronica. Questo tipo di e-mail crittografata, per molti oggi qualcosa di essenziale per le loro comunicazioni, iniziò a preoccupare molte aziende da tutti quei rapporti in cui era stata annunciata l'enorme sorveglianza elettronica che veniva effettuata dal governo degli Stati Uniti.
Con il pericolo che questa scoperta può comportare, La verità è che ci sono molti esperti che scommettono che la vulnerabilità è stata sovrastimata E tutti stanno reagendo in modo esagerato a questo annuncio. Ne abbiamo un esempio nelle parole di Werner koch, autore principale di GNU Privacy Guard che commenta letteralmente che il modo per mitigare questo problema è letteralmente smettere di usare la posta HTML e utilizzare la crittografia autenticata.