patrizio.tufarolo

Ropemaker, email modificate dopo la consegna

Studiata da Mimecast, la nuova tecnica sfrutta i fogli di stile esterni per modificare il contenuto dei messaggi di posta elettronica dopo la consegna; i maggiori client di posta risultano vulnerabili

Roma - Un ricercatore di sicurezza della londinese Mimecast, Francesco Ribeiro, ha identificato un notevole punto di debolezza nei client di posta più diffusi, consistente nella possibilità per un attaccante di modificare il contenuto visuale di un messaggio di posta dopo la consegna dello stesso, bypassando talvolta i controlli anti-spam e anti-malware effettuati nella fase di delivery.

L'attacco è stato denominato Ropemaker (Remote Originated Post-delivery Email Manipulation Attacks keep emails risky) e, come facilmente intuibile, vede come mezzo di attacco le email in formato HTML.

Includendo un foglio di stile esterno, infatti, è possibile manipolare il contenuto del messaggio agendo sulla proprietà CSS display, che consente di regolare la modalità di visualizzazione degli elementi HTML nel DOM, anche dopo che l'email è stata consegnata e scaricata dal client di posta della vittima, bypassando quindi gli eventuali controlli di sicurezza effettuati dal mail server.
I metodi di attacco presentati dal ricercatore sono fondamentalmente due: il primo è la banale applicazione del concetto appena espresso. L'email in questione potrebbe avere, in tal caso, un body di questo tipo:



Un'email con questo contenuto può essere associata al seguente foglio di stile:



Successivamente alla consegna della email, l'attaccante può poi modificare (manualmente o dinamicamente) il contenuto del foglio di stile rendendo visibile il contenuto malevolo e nascondendo quello buono, o porzioni di esso, sostituendo ad esempio link o immagini presenti nel messaggio.
Tale modalità è facilmente contrastabile anche con misure sul server di posta, in quanto tramite meccanismi di content filtering il contenuto malevolo è facilmente individuabile.
Per rendere più difficile la vita ad eventuali sistemi di sicurezza messi in atto da sistemisti e amministratore di rete, si può utilizzare una seconda modalità, consistente nell'utilizzo di una matrice di caratteri nella quale ciascuno di essi è contenuto in un elemento div separato in questo modo:



Agendo sulla proprietà display dei singoli div, si può quindi comporre una stringa arbitraria.
I CSS non sono, tuttavia, l'unico possibile mezzo di attacco: questo può essere portato a termine anche sfruttando i tag iframe, embed, eventuali immagini vettoriali SVG e font personalizzati.
I maggiori client di posta sono soggetti a questo tipo di attacco: tra questi spiccano Microsoft Outlook, Apple Mail e Mozilla Thunderbird. I client di posta Web invece non sono generalmente vulnerabili, in quanto per prassi viene effettuata la cancellazione dell'intestazione del documento HTML e le eventuali risorse esterne vengono incluse permanentemente nel messaggio.
Anche nel caso dei client standalone, comunque, parlare di vulnerabilità è forse inopportuno: si tratta più che altro dell'utilizzo malevolo di una funzionalità così come disegnata. L'utente può infatti disabilitare il download di risorse esterne dalle impostazioni del proprio client di posta, contrastando così l'attacco in modo definitivo; allo stesso modo gli amministratori di sistema possono includere controlli a livello di mail server che effettuino il prefetch delle risorse esterne includendole direttamente nel messaggio.

Patrizio Tufarolo
177 Commenti alla Notizia Ropemaker, email modificate dopo la consegna
Ordina
  • Io firmo, le mie email, da una vita con GPG, mi frega assai se chi riceve non capisce cosa sia quella firma, basta a me per poter dimostrare, se servisse, che l'email è stata o no, modificata dopo l'invio.
  • Qui è pieno di Caproni pronti a sostenere che firmare una mail sia complicato.
    La logica del caprone è quella e è del tutto inutile mettersi a fare a craniate col caprone vince lui.....
    non+autenticato
  • Firmare una mail (come qualsiasi file) non è complicato, sviluppare una chain of trust sufficientemente "distribuita" lo è, o per lo meno è assai lungo in termini di tempo e impegno. Questa è la prima ragione percui GNUPG non è mai decollata IMO.

    Però per quanto mi riguarda una mail con html&css&js ecc non è una mail ma una pagina web se non addirittura una mini-applicazione. Se mi scrivi qualcosa di ufficiale me lo scrivi in testo, base64 se vuoi, ma testo semplice.
    non+autenticato
  • - Scritto da: xte
    > Firmare una mail (come qualsiasi file) non è
    > complicato, sviluppare una chain of trust
    > sufficientemente "distribuita" lo è,
    Vedi che non hai capito un cazzo?
    come sempre del resto a me che tu "ti fidi" (abbia trust) della mia firma non me ne fotte una ceppa quello che conta in questo specifico caso è che tu non possa modificare quello che ho scritto nella mail senza che nessuno se ne accorga per poi spacciarla per "spedita da me".

    Tu proprio di queste cose non capisci una ceppa era meglio se stavi zitto.
    non+autenticato
  • Immagino che il tuo nick sia antitetico della tua capacità di leggere l'italiano. Provo ad aiutarti, per il disegnino 'naltra volta eh!

    >>> Qui è pieno di Caproni pronti a sostenere che
    >>> firmare una mail sia complicato.
    Mia risposta sintetica: non è complicato, il motivo per cui GNUPG&c non s'è diffuso è un altro.

    Quanto alla mail a meno che tu non scriva porcate al posto del testo semplice non hai da preoccuparti di questo "attacco" e in generale non hai da preoccuparti poiché la mail non ha alcun valore legale.

    > del resto a me che tu "ti fidi" (abbia trust)
    > della mia firma non me ne fotte una ceppa quello
    > che conta in questo specifico caso è che tu non
    > possa modificare quello che ho scritto nella mail
    > senza che nessuno se ne accorga per poi spacciarla
    > per "spedita da me".
    Oh, ma certo, tu si che hai capito a che serve la chain of trust. E dimmi la tua chiave autofirmata con fiducia definitiva, magari manco pubblicata su un keyserver come viene verificata da chi riceve il messaggio?
    non si può forse "sostituire" con un'altra egualmente autofirmata con analogo nome&cognome ecc? Se non hai una chain of trust chi riceve a meno di non aver già la tua chiave pubblica non ha modo di verificare nulla.

    Se poi vogliamo cavillare in assenza di chain of trust anche tu non puoi mostrare che non sei il vero autore: dici "hey io ho un'altra chiave, ecco qui la pkey, verificate" e io rispondo "e con ciò? Senza chain of trust puoi aver fatto n chiavi con lo stesso nome, cognome mail ecc e conservato solo quella/e che ti fa comodo".

    > Tu proprio di queste cose non capisci una
    > ceppa era meglio se stavi zitto.
    Eh, in effetti no, ho solo una manciata di dovecot, postfix &c in produzione con qualche centinaio di utenti. Rispetto ai tuoi n Tb/mese di mail che vuoi che sappia...
    non+autenticato
  • mandalo affanculo fai prima, dev' essere quel coglione del jaguaro.
    non+autenticato
  • - Scritto da: ...
    > mandalo affanculo fai prima, dev' essere quel
    > coglione del
    > jaguaro.
    qui il coglione sei tu non c'è nessun jaguaro ma giaguarevolissimevolmente che è tutta un altra cosa.
    I "jaguari" non esistono se non nella tua testa bacata i giaguari invece si!
    La prossima volta se pensi o immagini che io sia giaguarevolissimevolmente (non il jaguaro) basta che tu chieda e otterrai risposta.
    Come ho già spiegato i nick che uso hanno senso ironico rispetto al contesto in cui rispondo ai miei interlocutori
    Contento?
    non+autenticato
  • - Scritto da: xte
    > Immagino che il tuo nick sia antitetico della tua
    > capacità di leggere l'italiano. Provo ad
    > aiutarti, per il disegnino 'naltra volta
    > eh!
    >
    > >>> Qui è pieno di Caproni pronti a sostenere che
    > >>> firmare una mail sia complicato.
    > Mia risposta sintetica: non è complicato, il
    > motivo per cui GNUPG&c non s'è diffuso è un
    > altro.
    >
    > Quanto alla mail a meno che tu non scriva porcate
    > al posto del testo semplice non hai da
    > preoccuparti di questo "attacco" e in generale
    > non hai da preoccuparti poiché la mail non ha
    > alcun valore
    > legale.
    Non è così caro il mio x te!
    Ci sono sentenze che dicono il contrario.
    >
    > > del resto a me che tu "ti fidi" (abbia trust)
    > > della mia firma non me ne fotte una ceppa quello
    > > che conta in questo specifico caso è che tu non
    > > possa modificare quello che ho scritto nella
    > mail
    > > senza che nessuno se ne accorga per poi
    > spacciarla
    > > per "spedita da me".
    > Oh, ma certo, tu si che hai capito a che serve la
    > chain of trust. E dimmi la tua chiave autofirmata
    > con fiducia definitiva, magari manco pubblicata
    > su un keyserver come viene verificata da chi
    > riceve il
    > messaggio?
    E chisse ne frega?
    Vedi che non hai capito una ceppa te lo ripeto la firma serve a me non a te e ti impedisce di modificare il messaggio.
    Fine della festa!

    E no no puoi sostituire una ceppa perché quando si arriva in giudizio io sono l'unico capace di produrre esattamente quella firma esattamente su quel testo!
    Ci arrivi o no?
    In questo caso specifico il trust non c'entra un tubo è pura e semplice MATEMATICA!
    non+autenticato
  • > Non è così caro il mio x te!
    > Ci sono sentenze che dicono il contrario.
    Art. 2712 c.c.
    "Le riproduzioni fotografiche, informatiche o cinematografiche, le   registrazioni fonografiche e, in genere, ogni altra rappresentazione   meccanica di fatti e di cose formano piena prova dei fatti e delle cose    rappresentate, se colui contro il quale sono prodotte non ne disconosce    la conformità ai fatti o alle cose medesime."

    Le "sentenze" (linkarle non sarebbe male) sono relative a casi specifici che in genere han valore poiché in quel particolare e specifico caso si è dimostrato che il messaggio sia chiaramente riconducibile a colui che l'ha inviato e non sia certamente stato manomesso. Prova tu a disdire via mail un contratto, poi tanti auguri con la causa seguente. Poi tieni presente che in questioni particolari si è arrivato ad affermare (forse persino a ragione) che una delle parti ha inviato una raccomanda A/R con dentro un paio di fogli bianchi. Per questo ci si è inventato il "plico raccomandato", e anche questo è stato sconfessato perché non si può sapere lo stesso cosa c'è scritto dentro.

    > Vedi che non hai capito una ceppa te lo ripeto
    > la firma serve a me non a te e ti impedisce di
    > modificare il messaggio.
    Ok, modalità bambino piccolo. L'articolo parla di un eventuale $kattivone remoto che ti invia un messaggio contenente un certo testo e fa in modo che tu ne veda un altro. Che quel messaggio sia firmato è *irrilevante*.
    $vittima legge (e magari risponde) una cosa, convinto, mentre il messaggio ne contiene un'altra. In effetti qui il messaggio è come se fosse "un documento in divenire" giacché viene parzialmente "costruito" (renderizzato) usando contenuti remoti che con la mail non c'entrano nulla.

    In quel che suppongo tu immagini, sei nella situazione opposta a quella dell'articolo: qui il $kattivone è chi riceve il messaggio e lo modifica dicendo "$bob, cornuto, m'ha scritto queste sconcezze! Chiedo giustizia (e mooolti soldi)!" e $bob si salverebbe dicendo "no, non l'ho scritto, infatti ecco la mia chiave, vedete la firma non è corretta." risp. "$bob, spudorato mentitore, hai fatto apposta due chiavi autofirmate, hai firmato la mail di insulti con l'altra chiave e cestinato il tutto, dopodiché hai scritto un'altra mail simile e l'hai firmata con la chiave mostrata oggi per insinuare che io menta, ti calunnio!". $bob non ha ulteriori difese.
    non+autenticato
  • - Scritto da: xte
    coglione leggiti la direttiva europea sulla firma digitale e le relative leggi italiane.
    Basta questo per smentirti.
    non+autenticato
  • La firma digitale della normativa è *validata* da un ente terzo abilitato che ti ha chiesto i documenti... Non è una coppia di chiavi GNUPG e qui la chain of trust è (pericolosamente) sostituita appunto dall'ente terzo certificante.
    non+autenticato
  • E' da un paio di decenni che modifico, per vari motivi, le mail dopo l'arrivo.
    Se ne accorgono adesso?!?!
    Forse mi sono perso qualcosa.
    non+autenticato
  • header o body Sorride
    non+autenticato
  • - Scritto da: xte
    > header o body Sorride
    ambedue e senza problemi
    non+autenticato
  • Interessante, nel mio caso è facile: sono file di testo in una directory, ma l'articolo parla di contenuto "modificato" da remoto. Poi son d'accordo che non è una vulnerabilità ma una *zzata visto che in effetti non "attacca" un tubo ma il discorso è diverso.
    non+autenticato
  • un bidello: "ho imparato rapidamente le lingue. Adesso guadagno un sacco di soldi"

    "una cuoca di caserva ha imparato l'inglese in 9 giorni"

    "apprendimento RAPIDO di una lingua staniera"

    e giu' giu' giu' verso uno squallore sempre piu' grezzo e becero della pubblicita' schifa.

    E' imbarazzante.

    Manca solo

    "sei il milionesimo visitatore, clicca per ritirare il tuo iphone gratis"

    "allunga il tuo pene ci 7 cm con questo segreto himalayano"

    "puoi recuperare i capelli perduti: come? clicca qui per saperlo".

    "lui ti ha lasciato? Maga Magnoza lo riportera' a te con qeusto filtro egiziano"

    veramente, siete imbarazzanti.
    riattivo adblock.
    non+autenticato
  • > "allunga il tuo pene ci 7 cm con questo segreto
    > himalayano"
    >
    > "puoi recuperare i capelli perduti: come? clicca
    > qui per
    > saperlo".
    >

    Sono interessato a questi due.
    non+autenticato
  • - Scritto da: piccoloecal vo
    > > "allunga il tuo pene ci 7 cm con questo
    > segreto
    > > himalayano"
    > >
    > > "puoi recuperare i capelli perduti: come?
    > clicca
    > > qui per
    > > saperlo".
    > >
    >
    > Sono interessato a questi due.

    Li ha provati mio cugGino.

    Adesso ha una ciocca di minchie di 7 cm sulla pelata.
  • - Scritto da: panda rossa
    > - Scritto da: piccoloecal vo
    > > > "allunga il tuo pene ci 7 cm con questo
    > > segreto
    > > > himalayano"
    > > >
    > > > "puoi recuperare i capelli perduti:
    > come?
    > > clicca
    > > > qui per
    > > > saperlo".
    > > >
    > >
    > > Sono interessato a questi due.
    >
    > Li ha provati mio cugGino.
    >
    > Adesso ha una ciocca di minchie di 7 cm sulla
    > pelata.
    Rotola dal ridereRotola dal ridere
    Facci sapere come ha sistemato i 14 zebedei ci ha fatto il riporto?
    Rotola dal ridere
    non+autenticato
  • - Scritto da: Mi chiamo furbond James furbond
    > - Scritto da: panda rossa
    > > - Scritto da: piccoloecal vo
    > > > > "allunga il tuo pene ci 7 cm con
    > questo
    > > > segreto
    > > > > himalayano"
    > > > >
    > > > > "puoi recuperare i capelli perduti:
    > > come?
    > > > clicca
    > > > > qui per
    > > > > saperlo".
    > > > >
    > > >
    > > > Sono interessato a questi due.
    > >
    > > Li ha provati mio cugGino.
    > >
    > > Adesso ha una ciocca di minchie di 7 cm sulla
    > > pelata.
    > Rotola dal ridereRotola dal ridere
    > Facci sapere come ha sistemato i 14 zebedei ci ha
    > fatto il
    > riporto?
    > Rotola dal ridere

    No, gli sono spuntate solo minchie.

    Sei a conoscenza di qualche link che promette la crescita anche degli zebedei?
  • - Scritto da: panda rossa
    > - Scritto da: Mi chiamo furbond James furbond
    > > - Scritto da: panda rossa
    > > > - Scritto da: piccoloecal vo
    > > > > > "allunga il tuo pene ci 7 cm
    > con
    > > questo
    > > > > segreto
    > > > > > himalayano"
    > > > > >
    > > > > > "puoi recuperare i capelli
    > perduti:
    > > > come?
    > > > > clicca
    > > > > > qui per
    > > > > > saperlo".
    > > > > >
    > > > >
    > > > > Sono interessato a questi due.
    > > >
    > > > Li ha provati mio cugGino.
    > > >
    > > > Adesso ha una ciocca di minchie di 7 cm
    > sulla
    > > > pelata.
    > > Rotola dal ridereRotola dal ridere
    > > Facci sapere come ha sistemato i 14 zebedei
    > ci
    > ha
    > > fatto il
    > > riporto?
    > > Rotola dal ridere
    >
    > No, gli sono spuntate solo minchie.
    >
    > Sei a conoscenza di qualche link che promette la
    > crescita anche degli
    > zebedei?
    No pensavo che il segreto "himalayano" provvede se anche agli accessori dopo tutto a che serve una minchia da eunuco?
    non+autenticato
  • Ma quello sarebbe anche il meno (in fondo un giornale mostra la pubblicità che gli pare). Il problema più grosso che riscontro è dovuto al fatto che tentare di leggere gli articoli è diventato come fare una partita di battaglia navale: se non stai attento a dove posizioni il puntatore del mouse ti si apre tanta di quella roba che l'articolo sparisce, per non parlare di "x" che non chiudono contenuti, scrolling up/down selvaggio (manca ancora il left/right ma ci arriveranno)... dovrebbero fornire un corso gratuito di lettura "sincronizzata".
    Nel frattempo, anche (soprattutto) a causa di questo, ho (quasi) smesso di leggere P.I... con tanti saluti alla relativa pubblicità: prima mi bastava evitare il forum.
    888
  • Ragionamento tipico del forum:

    le email ad ARPANET se le mandavano così e così devono rimanere
    non+autenticato
  • - Scritto da: Forza e coraggio
    > Ragionamento tipico del forum:
    >
    > le email ad ARPANET se le mandavano così e così
    > devono
    > rimanere
    Imbecille le email sono SEMPRE (capisci la parola SEMPRE?) Modificabili dopo il delivery!
    A meno che non siano cifrate e/o firmate.
    non+autenticato
  • Ah, certo, peccato che in un caso è qualcosa che fai sul client, nel caso dell'articolo è una mail/pagina web che si succhia pezzi via http al di fuori del messaggio.

    Ma hai almeno capito cosa ha scritto l'articolista si?
    non+autenticato
  • - Scritto da: Forza e coraggio
    > Ragionamento tipico del forum:
    >
    > le email ad ARPANET se le mandavano così e così
    > devono
    > rimanere

    Un po' hanno ragione. Voglio dire, capisco l'esigenza di abbellire un po' una mail ecc, ma alla fine lo scopo per il quale è stata creata la mail è per comunicare da utente A ad utente B, in più si possono mettere allegati, cosa vuoi di più? Il fatto di avere HTML nelle mail ha comportato per anni bug e problemi di sicurezza, poi mail illeggibili perché ogni client di posta fa un po' come gli pare, adesso siamo pieni di roba piena di tracking e alla meglio mi vedo arrivare mail con allegate immagini, se apro immagine è il caxxo di firma o logo dell'azienda di chi mi ha mandato la mail... e che continua a mandarmi ogni volta che mi scrive! una schifezza unica, che se scrive la firma e l'azienda in plain-text lo capisco meglio.
    Insomma, ok evoluzione ma nelle cose che serve. Se mi parli di un wordprocessor mi va bene che mi vuoi aggiugere i caratteri stilosi, il "wordart", la gestione formule ecc ecc, ed ogni realese sarà migliore della precedente, ma la mail nasce per mandarsi messaggi.
    E pensa un attimo, qual'è la piattaforma più usata al mondo di messagistica oggi? Ad occhio e croce whatsapp: manda messaggi ed al massimo allegati (le faccine saranno codici immagino), whasapp non è nient'latro che la mail di arpanet solo che grazie all'app non devi digitare l'indirizzo della mail del destinatario.
    La semplicità ripaga, sempre.
    non+autenticato
  • Condivido e straquoto
    non+autenticato
  • La maggior parte dei clients sono configurati per fare reply o fwd in formato testo. Anche l'utonto clikkando reply o inoltra si accorge che qualcosa non torna.
    non+autenticato
  • - Scritto da: ebdbad920d2
    > La maggior parte dei clients sono configurati per
    > fare reply o fwd in formato testo. Anche l'utonto
    > clikkando reply o inoltra si accorge che qualcosa
    > non torna.

    purtroppo sottovaluti grandemente quanto un utonto possa essere utonto.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)