Una nuova ricerca ha rivelato quella che viene definita in gergo informatico una vulnerabilità di sicurezza in Microsoft 365 che potrebbe essere sfruttata per dedurre il contenuto dei messaggi a causa dell’uso di un algoritmo crittografico non funzionante riguardante il recente programma Microsoft Office 365.
In cosa consiste questa vulnerabilità?
“I messaggi [Office 365 Message Encryption] sono crittografati in modalità operativa non sicura Electronic Codebook (ECB)“, ha affermato la società finlandese di sicurezza informatica WithSecure in un rapporto pubblicato la scorsa settimana.
Facendola facile, OME è un meccanismo di sicurezza utilizzato per inviare e ricevere messaggi di posta elettronica crittografati tra utenti all’interno e all’esterno di un’organizzazione senza rivelare nulla sulle comunicazioni stesse; in breve: manca la crittografia? Cani e porci abili nell’hacking possono vedere i tuoi messaggi di posta.
Questo vale per tutti i programmi (o siti) con problemini di crittografia.
Una conseguenza del problema appena divulgato è, non a caso, che terze parti non autorizzate che ottengono l’accesso ai messaggi di posta elettronica crittografati potrebbero essere in grado di decifrare i messaggi, violando efficacemente le protezioni di riservatezza (in linguaggio comune: leggere gli affari tuoi).
Come funziona la crittografia di Office 365?
Electronic Codebook è una delle modalità di crittografia più semplici in cui ogni blocco di messaggi è codificato separatamente da una chiave, il ché significa che blocchi di testo in chiaro identici verranno trasposti in blocchi di testo cifrato identici, rendendolo assolutamente inadatto come protocollo crittografico.
Infatti, il National Institute of Standards and Technology (NIST) degli Stati Uniti ha dichiarato all’inizio di quest’anno che “la modalità ECB crittografa i blocchi di testo in chiaro in modo indipendente, senza randomizzazione; pertanto, l’ispezione di due blocchi di testo cifrato qualsiasi rivela se i blocchi di testo in chiaro corrispondenti sono uguali o meno. ”
Detto questo, la vulnerabilità identificata da WithSecure non riguarda (non solo, almeno) la decrittazione di un singolo messaggio in sé, ma si basa piuttosto sull’analisi di una scorta di posta crittografata rubata per tali schemi che perdono e successivamente sulla decodifica dei contenuti.
Facendola molto semplice: immagina di mandare una mail tramite Office 365, ma che il postino sbagli strada e sia inesperto e un po’ addormentato, e che uno un poco sveglio riesca a convincere il postino che l’indirizzo sia quello giusto: un estraneo leggerebbe la tua lettera, in questo modo.
“Un utente malintenzionato con un ampio database di messaggi può dedurre il loro contenuto (o parti di esso) analizzando le posizioni relative di sezioni ripetute dei messaggi intercettati“, ha affermato la società WithSecure su Office 365.
I danni si aggiungono alle crescenti preoccupazioni che le informazioni crittografate precedentemente esfiltrate possano essere decrittografate e sfruttate per altri attacchi in futuro, una minaccia chiamata “hackerare ora, decrittografare dopo“, alimentando la necessità di passare ad algoritmi resistenti ai quanti.
Microsoft, da parte sua, considera OME come un sistema legacy; la società consiglia ai suoi clienti di utilizzare una piattaforma di governance dei dati chiamata Purview per proteggere e-mail e documenti tramite crittografia e controlli di accesso.
“Anche se entrambe le versioni possono coesistere, ti consigliamo vivamente di modificare le vecchie regole del flusso di posta che utilizzano l’azione della regola Applica la versione precedente di OME per utilizzare Microsoft Purview Message Encryption“, ci viene riferito direttamente Redmond nella sua documentazione.
“Poiché Microsoft non ha in programma di correggere questa vulnerabilità, l’unica soluzione è evitare l’utilizzo della crittografia dei messaggi di Microsoft Office 365“, ha affermato WithSecure
Altri consigli su Office 365?
Tanto per cominciare Office 365 non è l’unico programma che puoi utilizzare per le mail;buone abitudini oltretutto è bene tenere delle quando si è sul web, che grossomodo sono cose viste e riviste.
Per i programmi di invio-ricevimento posta elettronica ci sono molte possibilità, ma ne elenco 3:
- La posta di Windows: esiste un’applicazione preinstallata per la posta elettronica su Windows, funziona bene ed è veloce e facile da configurare;
- Thunderbird: strumento Open Source degli autori di Mozilla Firefox e un tantino più difficile da configurare rispetto a quello elencato poc’anzi, si configura molto bene sul lato della crittografia;
- Usare un browser per accedere al tuo provider di posta: rimane tutt’oggi il metodo più sicuro, meglio se proprio con FireFox, essendo il migliore in circolazione sulla privacy.
