Buco di Eudora su PGP?

Con il permesso dell'autore pubblichiamo una mail apparsa sulla mailing list cyber-rights che prende in esame un problema di sicurezza che si verifica con alcune versioni dei due celebri sistemi

Web - "Non no sto sclerando, anche PGP ha un suo bel baco che praticamente lo rende inutile. Vabbé non faccio il sospettoso e passo subito a raccontare quello che gli ho scoperto fare.

Premetto che il baco scoperto nella mia macchina avviene in ambiente Winzoz e solo durante l'utilizzo di PGP (versione 6.5.3) tramite Eudora Pro (versione 4.1). In poche parole il baco è il seguente: quando si riceve una email e la si decritta utilizzando le due iconcine di PGP (appaiono dopo l'installazione in cima a destra) il msg come di natura si decritta una volta scritta la propria chiave segreta.

Fin qui tutto ok, si passa quindi a leggere il msg, dopodiché quando si decide di chiuderlo apparirà la finestra di dialogo con la richiesta "Vuoi salvare il msg...?"
Ovviamente se lo vogliamo tenere "segreto" la risposta sarà no (per leggerlo dovrà essere decrittato nuovamente). A questo punto uno è ok vivendo nella completa sicurezza che la sua arma da guerra lo rende più segreto e pericoloso di un terrorista. Se non fosse che IL MESSAGGIO UNA VOLTA DECRITTATO (ricordo solo quando si usa l'iconcina di Eudora per decrittare) SI VA A SALVARE AUTOMATICAMENTE (senza chiedere alcun tipo di permesso) NELLA DIRECTORY (cosi almeno ho scoperto) WINDOWS/TMP/NOMEDELFILE (della serie tmp5021 o altro). Un file semplicemente leggibile col notepad.
E cosa c'è scritto sopra? TUTTO, ovvero il tuo bel MESSAGGINO IN CHIARO più tutte le info da dove viene (ndi ip etc), da dove è passato, per chi etc... Anch'io stentavo a crederci quando l'ho scoperto e per questo ho aspettato prima di pubblicare tale notizia ed ho provato su altri computer con la stessa combinazione (windows, pgp 6.5.3, eudora 4.1). Il risultato è lo stesso. Piccola consolazione: se non si usa l'iconcina di Eudora, ma direttamente i comandi di PGP, allora questo lavora correttamente senza tirare nessun brutto scherzo. Aspetto di saperne qualcosa di più, delucidazioni etc... ovvero provate anche voi e fatemi sapere i resoconti...."

Nicco
TAG: sicurezza