E-mail, la cifratura è debole

Le chiavi di Google e altri pezzi grossi sono troppo fragili. Un ricercatore se ne accorge e decide di segnalare il problema. "Bucando" le caselle di Brin e Page. Tutti corrono rapidamente ai ripari

Roma – Un’implementazione potenzialmente vulnerabile a tentativi di spoofing si aggira per la Rete, riguarda (o meglio riguardava) i principali colossi della fornitura di caselle di posta ed è stata individuata da un matematico incappato in quella che sembrava un’offerta di lavoro proveniente nientemeno che da Google.

L’e-mail diretta a Zachary Harris era apparentemente originata dal dominio assegnato a Mountain View, ma il ricercatore ha in seguito scoperto che l’header della missiva era stato contraffatto sfruttando una vulnerabilità nel sistema di firma digitale DKIM ( DomainKeys Identified Mail ).

La tecnologia DKIM è impiegata per garantire l’autenticità del mittente con una firma apportata alla mail, ma l’uso di chiavi crittografiche (algoritmo RSA) di scarsa complessità rende il sistema vulnerabile ad attacchi a forza bruta assistiti dai sempre più diffusi servizi di computazione remota.

Harris ha così scoperto che Google, Microsoft, Yahoo! e altre grandi aziende usavano chiavi da 512 o 768 bit, un requisito insufficiente rispetto al minimo indispensabile per rendere efficace e infrangibile il sistema di firma DKIM (1024 bit). Il modo di comunicare l’esistenza del problema a Google escogitato dal ricercatore? Spedire una email al co-fondatore Larry Page firmandosi Sergey Brin e viceversa.

Come testimonia anche lo US-CERT, il problema non è esclusiva di Google e si accompagna a un ulteriore problema della tecnologia DKIM quando un messaggio viene inviato in “modalità test”. Sia come sia, a breve distanza dalla diffusione della notizia sull’esistenza della vulnerabilità sia Google che le altri aziende coinvolte hanno sostituito le loro chiavi RSA con versioni adeguate a resistere alle prove dei cracker.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • capitan farlock scrive:
    terminator nn ci ha insegnato nulla
    e allora i guai ce li andiamo a cercare...bene bene lasciamo il controllo dei robot ad altri robot poi se si rivoltano contro..non dico di proposoito dico anche soloper un malfunzionamento..
    • Luke1 scrive:
      Re: terminator nn ci ha insegnato nulla
      Non so se hai notato le dimensioni di questi swarmdroids (li chiamo così, a differenza di PI), ed in futuro saranno molto più piccoli: come pensi di pilotarli?? Ovviamente prenderanno ordini da una centrale operativa, ma altrettanto ovviamente dovranno disporre di un canale di comunicazione per coordinarsi.Ci sono anche robot che seguono letteralmente i soldati sul campo, come Alpha Dog, il mulo robotico che strasporta armi e munizioni, in grado di seguire una persona e di comprendere i gesti che gli indicano di fermarsi o compiere altre operazioni.- Scritto da: capitan farlock
      e allora i guai ce li andiamo a cercare...bene
      bene lasciamo il controllo dei robot ad altri
      robot poi se si rivoltano
      contro..
      non dico di proposoito dico anche soloper un
      malfunzionamento..
Chiudi i commenti