Alfonso Maruccia

E-mail e sicurezza, un rapporto problematico

Una bel nota estensione per Thunderbird vuole promuovere la comunicazione elettronica "facile", mentre i server Exim sono risultati ancora una volta vulnerabili. Inviare una missiva elettronica può essere un affare pericoloso

Roma - Nel tentativo di facilitare la diffusione delle comunicazioni elettroniche protette dalla crittografia, gli sviluppatori di Enigmail hanno aggiornato il loro tool includendo le specifiche del progetto Pretty Easy Privacy (pEp). Crittografia a parte, però, i server e-mail tornano a essere un bersaglio degli hacker a causa di una nuova vulnerabilità scoperta su Exim.

Enigmail è un'estensione per Thunderbird che permette all'utente di usare OpenPGP per cifrare, decifrare e firmare digitalmente la posta elettronica, mentre pEp vuole rendere le e-mail più "sicure e private" abilitando di default la cifratura e l'anonimizzazione dei messaggi.

pEp è compatibile con gli account di e-mail pre-esistenti (Outlook, Office 365, Gmail), è disponibile su desktop e mobile e include indicatori facili da leggere (con tanto di faccine colorate ispirate all'illuminazione dei semafori) per capire il grado di sicurezza delle comunicazioni.
Ma le e-mail potrebbero essere compromesse già prima di raggiungere il destinatario, pericolo che va ancora una volta imputato alle vulnerabilità di sicurezza del Mail Transfer Agent (MTA) open source Exim. Il popolare server e-mail contiene un'altra falla, e i ricercatori invitano prevedibilmente gli admin ad aggiornare quanto prima.

La nuova falla riguarda un possibile errore di buffer overflow nell'algoritmo di decodifica Base64, una funzione fondamentale che apre le porte a un possibile attacco da parte dei cyber-criminali con tanto di esecuzione di codice da remoto. Il bug riguarda tutte le versioni di Exim dal 1995 a oggi, e una patch è già disponibile.

Alfonso Maruccia
Notizie collegate
  • SicurezzaExim, vulnerabili i server emailIndividuate due pericolose vulnerabilità nel software per server email più usato al mondo. Una delle falle può portare all'esecuzione di codice da remoto, mentre gli sviluppatori promettono una patch che ancora latita
57 Commenti alla Notizia E-mail e sicurezza, un rapporto problematico
Ordina
  • Ciao,
    Questo messaggio è rivolto a individui, poveri, aziende, aziende e tutti coloro che hanno bisogno di un prestito particolare per portare a termine i loro progetti o per far rivivere le vostre attività o altri. 2%, qualunque sia l'importo richiesto. Prestiti da 3.000 € a 900.000 € Il periodo di rimborso è da 1 anno a 25 anni. Si prega di essere soddisfatti in 72 ore.
    Mail: danielapetrucci07@gmail.com


    Ciao,
    Questo messaggio è rivolto a individui, poveri, aziende, aziende e tutti coloro che hanno bisogno di un prestito particolare per portare a termine i loro progetti o per far rivivere le vostre attività o altri. 2%, qualunque sia l'importo richiesto. Prestiti da 3.000 € a 900.000 € Il periodo di rimborso è da 1 anno a 25 anni. Si prega di essere soddisfatti in 72 ore.
    Mail: danielapetrucci07@gmail.com


    Ciao,
    Questo messaggio è rivolto a individui, poveri, aziende, aziende e tutti coloro che hanno bisogno di un prestito particolare per portare a termine i loro progetti o per far rivivere le vostre attività o altri. 2%, qualunque sia l'importo richiesto. Prestiti da 3.000 € a 900.000 € Il periodo di rimborso è da 1 anno a 25 anni. Si prega di essere soddisfatti in 72 ore.
    Mail: danielapetrucci07@gmail.com
    non+autenticato
  • Fra le migliaia dei miei contatti email sono riuscito a far adottare i certificati s/mime a una manciata di persone. Perché è così difficile?
    Teo_
    2679
  • Perché serve una chain of trust/CA quindi ancora più complesso di GNUPG e perché tutte le webmail non supportano mediamente né l'uno né l'altro...

    La privacy tutti la vogliono implementare per se stessi ma non per il resto del mondo, le cifrature probabilmente farlocche van bene, quelle serie sono viste come la peste.
    non+autenticato
  • Prendendo l'articolo così com'è (ovvero non medium per informare ma medium per produrre click ovvero guadagni il cui contenuto informativo è solo il carburante) vorrei far notare una cosetta: cosa vuol dire sicurezza nelle mail?

    Mi spiego: se tenete le mail in locale (cosa che oramai pochi fanno non rendendosi conto del problema che ciò rappresenta, il famoso disaster waiting to happen per gli anglofili) e il vostro o di vostro fornitore server ha dei problemi vi basta risolverli/attendere che siano risolti/cambiare server (perché si, con le mail ovvero standard aperto potete, con WhatsApp&c no) e ri-uppare le vostre mail. Un semplice colpo di OfflineIMAP, DSync, mbsync, ... Non avete nessun problema. I messaggi, in puro testo, al massimo base64 (1), sono sul *vostro* *personale* computer, sul suo backup, sono se siete ragionevoli, indicizzati in locale, scritti in locale ed inviati. Sono anche come "backup" ulteriore sul vostro mailserver e sul suo backup ecc.

    Con le soluzioni di comunicazione testuale moderne da WhatsApp alle "chat professionali" siete in mano ad un singolo fornitore semplicemente perché il sistema è proprietario quindi non c'è concorrenza compatibile possibile. Se usate WA usate Facebook e i suoi server, Telegram usate Telegram ecc non è come le mail che potete passare da GMail a Mail.ru a YMail al vostro mailserver personale come volete conservando i vostri messaggi e senza che i vostri contatti debbano cambiare alcun software o modo di scrivervi.

    Pensate *molto bene* a ciò. Giusto a tema rileggete l'articolo e grattatevi la capa: mail vulnerabili? No. Un mailserver, uno tra i tanti, usato da un tot di fornitori diversi, ha scoperto e subito corretto una vecchia vulnerabilità. Le mail non si sono fermate. Adesso ripensate al recente passato: ricordate gli articoli "WhatsApp down, $x_mila persone senza messaggi" ecc? Ok. Vi risulta le mail si siano fermate? Può esserci stato un down di un fornitore, anche uno grosso, ma il sistema non ha avuto impatti su scala e i mailserver hai cachato e reinviato i messaggi senza problemi. Ancora vi è mai capitato di cambiare telefono e perdere contenuti di WA? Con la mail? Vi è mai capitato di usare la mail da *n* dispositivi diversi contemporaneamente? Con WA?

    Ecco adesso pensate alla libertà vs la prigione, più o meno colorata, luccicosa, dorata.

    (1) se qualche lettore non lo sapesse non è una forma di "cifratura" ma un modo di "scrivere" in testo semplice contenuti binari, ovvero ad es. scrivere in testo semplice un'immagine. La codifica/decodifica potete farla con n strumenti in locale, non ci sono "chiavi". Per capirci chi ha uno unix installato, OSX incluso
    python -c 'import base64; print( base64.b64encode("testo") )'
    produce il testo codificato in base64 ovvero "dGVzdG8="
    python -c 'import base64; print( base64.b64decode("dGVzdG8=") )'
    funziona sia con python2 che 3, se non sapete cos'è un terminale beh... Informatevi Sorride
    non+autenticato
  • come se il software proprietario fosse sempre esente da falle.. mi ricordo più di un caso in cui nomi celebri (Microsoft, Intel, Apple, HP, e chi più ne ha più ne metta...) si sono trovati a dover coprire falle aperte da anni
    non+autenticato
  • Ecco il vincitore del premio "trave nell'oculo".
    Qui stiamo parlando dei bachi di Exim e di come la commiuniti sia latitata per 23 anni.
    non+autenticato
  • - Scritto da: pANda roSsA
    > Ecco il vincitore del premio "trave nell'oculo".
    > Qui stiamo parlando dei bachi di Exim e di come
    > la commiuniti sia latitata per 23
    > anni.
    la commiuniti sarebbe multimiliardaria se potesse prevedere le cose ... come poteva chiudere un baco 23 anni fa.. se lo ha scoperto solo ora? Patchare PRIMA di scoprire il bug sarebbe stato un po strano, no?Con la lingua fuori
    non+autenticato
  • - Scritto da: bubba
    > Patchare PRIMA di scoprire il bug sarebbe stato
    > un po strano, no?
    Caro alias, per una volta sono concorde con te. Meglio che il lavoro lo faccia qualcun altro, nel frattempo lo sfrutta per farci soldi. Dopo essersi fatto per anni il gruzzoletto e trovati chissà quanti altri bachi segnala questo perché venga chiuso ma nel frattempo continua a guadagnare
    non+autenticato
  • - Scritto da: bubba
    > - Scritto da: pANda roSsA
    > > Ecco il vincitore del premio "trave nell'oculo".
    > > Qui stiamo parlando dei bachi di Exim e di come
    > > la commiuniti sia latitata per 23
    > > anni.
    > la commiuniti sarebbe multimiliardaria se potesse
    > prevedere le cose ... come poteva chiudere un
    > baco 23 anni fa.. se lo ha scoperto solo ora?
    > Patchare PRIMA di scoprire il bug sarebbe stato
    > un po strano, no?
    >Con la lingua fuori

    se avessero un briciolo di cervello pensante, ci sarebbero arrivati anche loro, ma loro sono abituati che anche se fosse da un trent'ennio le falle vanno sempre nascoste!

    Policy slosed source.
    non+autenticato
  • La community? Ah, si, quella che ha inventato le mail ed in generale le telecomunicazioni informatiche, che ha trasformato un progetto militar-accademico in uno strumento globale chiamato internet. Si quella community latita di certo. In effetti oggi è osteggiata da tutti i player fascio-commerciali che esistono grazie a lei ma non potendo far meglio di lei la osteggiano sperando di mantenere il loro status quo.
    non+autenticato
  • - Scritto da: lello
    > come se il software proprietario fosse sempre
    > esente da falle.. mi ricordo più di un caso in
    > cui nomi celebri (Microsoft, Intel, Apple, HP, e
    > chi più ne ha più ne metta...) si sono trovati a
    > dover coprire falle aperte da
    > anni

    Certo, ma mai le hanno chiuse il giorno dopo! Il sorgente aperto invece molto spesso!

    Questo già mi basta per pisciare in testa i beoni che cercano di prendersi gioco del sorgente aperto, loro possono solo sognarseli fix così tempestivi!
    non+autenticato
  • - Scritto da: Wallestain
    > aperto, loro possono solo sognarseli fix così
    > tempestivi!
    23 anni per te sono tempestivi (e non è il primo ad essere chiuso dopo decenni)? Azz sei una vera freccia ...
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: Wallestain
    > > aperto, loro possono solo sognarseli fix così
    > > tempestivi!
    > 23 anni per te sono tempestivi (e non è il primo
    > ad essere chiuso dopo decenni)? Azz sei una vera
    > freccia
    > ...

    Ti piace propprio la parte dello gnorri vero? Continua pure, se ti divrte.
    non+autenticato
  • - Scritto da: ...
    >
    > 23 anni per te sono tempestivi (e non è il primo
    > ad essere chiuso dopo decenni)? Azz sei una vera
    > freccia ...

    La cosa che te e quelli come te non riuscite a capire è che falle del genere sono talmente ben nascoste che neppure gli hacker riescono a trovarle; non è che passino 23 anni per incapacità di qualcuno.
    L'articolo di Maruccia, non a caso, è pieno di "potrebbe", proprio perché ad oggi non esistono casi di compromissione di e-mail attraverso questa falla.

    Tanto per fare un esempio, il server X è stato scritto negli anni 60 al MIT; nonostante la versione usata su Linux sia stata interamente riscritta, ci potrebbero essere falle risalenti quindi a 50 anni fa!
    non+autenticato
  • - Scritto da: Alvaro Vitali
    > La cosa che te e quelli come te non riuscite a
    > capire è che falle del genere sono talmente ben
    > nascoste che neppure gli hacker riescono a
    > trovarle;
    AHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAH

    non è che passino 23 anni per
    > incapacità di
    > qualcuno.
    AHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAH
    AHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAH
    AHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAH

    Qui c'è gente che giura e spergiura che il codice opensurs è COSTANTAMENTE sotto scrutinio. Quindi o mente in malafede, o quelli che lo leggono sono incapaci. Rimane il fatto che non se n'è accorto nessuno per 23 anni, e tutto il mito che il codice libero è intrinsecamente più sicuro va rivisto.


    > L'articolo di Maruccia, non a caso, è pieno di
    > "potrebbe", proprio perché ad oggi non esistono
    > casi di compromissione di e-mail attraverso
    > questa
    > falla.

    Che si sappiaOcchiolino

    > Tanto per fare un esempio, il server X è stato
    > scritto negli anni 60 al MIT; nonostante la
    > versione usata su Linux sia stata interamente
    > riscritta, ci potrebbero essere falle risalenti
    > quindi a 50 anni
    > fa!
    E se fossi in te mi cagherei in mano e correreri a rileggermi il codice, per evitare sorprese.
    Quando hai finito fammi un rapportino k?
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)