c.m.g
27-10-2012, 09:12
giovedì 25 ottobre 2012
Le chiavi di Google e altri pezzi grossi sono troppo fragili. Un ricercatore se ne accorge e decide di segnalare il problema. "Bucando" le caselle di Brin e Page. Tutti corrono rapidamente ai ripari
Roma - Un'implementazione potenzialmente vulnerabile a tentativi di spoofing si aggira per la Rete, riguarda (o meglio riguardava) i principali colossi della fornitura di caselle di posta ed è stata individuata da un matematico incappato in quella che sembrava un'offerta di lavoro proveniente nientemeno che da Google.
L'e-mail diretta a Zachary Harris era apparentemente originata dal dominio assegnato a Mountain View, ma il ricercatore ha in seguito scoperto che l'header della missiva era stato contraffatto sfruttando una vulnerabilità nel sistema di firma digitale DKIM (http://punto-informatico.it/cerca.aspx?s=DKIM+&SearchProvider=1&t=4) (DomainKeys Identified Mail).
La tecnologia DKIM è impiegata per garantire l'autenticità del mittente con una firma apportata alla mail, ma l'uso di chiavi crittografiche (algoritmo RSA) di scarsa complessità rende il sistema vulnerabile ad attacchi a forza bruta assistiti dai sempre più diffusi servizi di computazione remota.Harris ha così scoperto che Google, Microsoft, Yahoo! e altre grandi aziende usavano chiavi da 512 o 768 bit, un requisito insufficiente (http://www.h-online.com/security/news/item/Mathematician-exposes-weak-DKIM-keys-1736423.html) rispetto al minimo indispensabile per rendere efficace e infrangibile il sistema di firma DKIM (1024 bit). Il modo di comunicare l'esistenza del problema a Google escogitato dal ricercatore? Spedire una email al co-fondatore Larry Page firmandosi Sergey Brin e viceversa.
Come testimonia anche lo US-CERT, il problema non è esclusiva (http://www.kb.cert.org/vuls/id/268267) di Google e si accompagna a un ulteriore problema della tecnologia DKIM quando un messaggio viene inviato in "modalità test". Sia come sia, a breve distanza dalla diffusione della notizia sull'esistenza della vulnerabilità sia Google che le altri aziende coinvolte hanno sostituito (http://www.computerworld.com/s/article/print/9232876/Google_Microsoft_and_Yahoo_fix_serious_email_weakness) le loro chiavi RSA con versioni adeguate a resistere alle prove dei cracker.
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/3634343/PI/News/e-mail-cifratura-debole.aspx)
Le chiavi di Google e altri pezzi grossi sono troppo fragili. Un ricercatore se ne accorge e decide di segnalare il problema. "Bucando" le caselle di Brin e Page. Tutti corrono rapidamente ai ripari
Roma - Un'implementazione potenzialmente vulnerabile a tentativi di spoofing si aggira per la Rete, riguarda (o meglio riguardava) i principali colossi della fornitura di caselle di posta ed è stata individuata da un matematico incappato in quella che sembrava un'offerta di lavoro proveniente nientemeno che da Google.
L'e-mail diretta a Zachary Harris era apparentemente originata dal dominio assegnato a Mountain View, ma il ricercatore ha in seguito scoperto che l'header della missiva era stato contraffatto sfruttando una vulnerabilità nel sistema di firma digitale DKIM (http://punto-informatico.it/cerca.aspx?s=DKIM+&SearchProvider=1&t=4) (DomainKeys Identified Mail).
La tecnologia DKIM è impiegata per garantire l'autenticità del mittente con una firma apportata alla mail, ma l'uso di chiavi crittografiche (algoritmo RSA) di scarsa complessità rende il sistema vulnerabile ad attacchi a forza bruta assistiti dai sempre più diffusi servizi di computazione remota.Harris ha così scoperto che Google, Microsoft, Yahoo! e altre grandi aziende usavano chiavi da 512 o 768 bit, un requisito insufficiente (http://www.h-online.com/security/news/item/Mathematician-exposes-weak-DKIM-keys-1736423.html) rispetto al minimo indispensabile per rendere efficace e infrangibile il sistema di firma DKIM (1024 bit). Il modo di comunicare l'esistenza del problema a Google escogitato dal ricercatore? Spedire una email al co-fondatore Larry Page firmandosi Sergey Brin e viceversa.
Come testimonia anche lo US-CERT, il problema non è esclusiva (http://www.kb.cert.org/vuls/id/268267) di Google e si accompagna a un ulteriore problema della tecnologia DKIM quando un messaggio viene inviato in "modalità test". Sia come sia, a breve distanza dalla diffusione della notizia sull'esistenza della vulnerabilità sia Google che le altri aziende coinvolte hanno sostituito (http://www.computerworld.com/s/article/print/9232876/Google_Microsoft_and_Yahoo_fix_serious_email_weakness) le loro chiavi RSA con versioni adeguate a resistere alle prove dei cracker.
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/3634343/PI/News/e-mail-cifratura-debole.aspx)