Un’implementazione potenzialmente vulnerabile a tentativi di spoofing si aggira per la Rete, riguarda (o meglio riguardava) i principali colossi della fornitura di caselle di posta ed è stata individuata da un matematico incappato in quella che sembrava un’offerta di lavoro proveniente nientemeno che da Google.
L’e-mail diretta a Zachary Harris era apparentemente originata dal dominio assegnato a Mountain View, ma il ricercatore ha in seguito scoperto che l’header della missiva era stato contraffatto sfruttando una vulnerabilità nel sistema di firma digitale DKIM ( DomainKeys Identified Mail ).
La tecnologia DKIM è impiegata per garantire l’autenticità del mittente con una firma apportata alla mail, ma l’uso di chiavi crittografiche (algoritmo RSA) di scarsa complessità rende il sistema vulnerabile ad attacchi a forza bruta assistiti dai sempre più diffusi servizi di computazione remota.
Harris ha così scoperto che Google, Microsoft, Yahoo! e altre grandi aziende usavano chiavi da 512 o 768 bit, un requisito insufficiente rispetto al minimo indispensabile per rendere efficace e infrangibile il sistema di firma DKIM (1024 bit). Il modo di comunicare l’esistenza del problema a Google escogitato dal ricercatore? Spedire una email al co-fondatore Larry Page firmandosi Sergey Brin e viceversa.
Come testimonia anche lo US-CERT, il problema non è esclusiva di Google e si accompagna a un ulteriore problema della tecnologia DKIM quando un messaggio viene inviato in “modalità test”. Sia come sia, a breve distanza dalla diffusione della notizia sull’esistenza della vulnerabilità sia Google che le altri aziende coinvolte hanno sostituito le loro chiavi RSA con versioni adeguate a resistere alle prove dei cracker.
Alfonso Maruccia
Ti potrebbe interessare
25 ott 2012