Tante aziende e realtà accademiche utilizzano soluzioni antispam e antivirus centralizzate che effettuano la scansione del contenuto delle email e bloccano, lato server, i messaggi di posta dannosi o potenzialmente tali. Questi strumenti spesso integrano anche dei meccanismi che rilevano la presenza di link nei messaggi e li modificano automaticamente, facendo in modo che l’URL di destinazione sia a sua volta sottoposto ad esame ricorrendo a un servizio “ad hoc”.
Un gruppo di accademici ha scoperto che alcuni tra i più famosi servizi di scansione delle email utilizzati presso le imprese e nel settore dell’istruzione evidenziano un comportamento anomalo. I link inseriti dopo una stringa BEGIN PGP MESSAGE
sono puntualmente ignorati e rimangono tal quali in tutti i messaggi di posta recapitati nelle mailbox degli utenti.
Cosa significa BEGIN PGP MESSAGE
La stringa BEGIN PGP MESSAGE
è un indicatore utilizzato nelle email per segnalare l’inizio di un messaggio cifrato o firmato utilizzando PGP (Pretty Good Privacy). PGP è una soluzione crittografica che fornisce privacy e autenticazione. Quando un’email contiene la stringa citata, significa che il messaggio è protetto con la crittografia PGP o che risulta firmato digitalmente per garantire l’integrità e l’autenticità del contenuto.
Alcuni sistemi di filtraggio delle email, tuttavia, ignorano tutto ciò che segue BEGIN PGP MESSAGE
. Questo comportamento può essere sfruttato per bypassare i filtri di sicurezza, come accaduto nel caso discusso a questo indirizzo. Il risultato è che gli URL presenti in un messaggio possono essere sottratti a qualsiasi sistema di scansione interno o esterno all’azienda.
Bypass del filtro contro i link dannosi nelle email
Dal momento che la stringa BEGIN PGP MESSAGE
è seguita da una serie di righe contenenti il testo cifrato o firmato, tanti strumenti antivirus e antispam evitano di applicare qualunque modifica in quest’area in modo da non danneggiare dati importanti.
Da questa semplice osservazione deriva la scoperta degli universitari che si sono accorti come sia facile bypassare le misure di protezione integrate in alcuni famosi prodotti.
Chiunque invii email con link a siti dannosi può utilizzare la stessa tecnica per scavalcare il filtro, rendendo vana qualsiasi linea di difesa. Il sistema di riscrittura degli URL diviene inefficace contro gli attacchi, poiché i link pericolosi non vengono più intercettati filtro.
Effettuando un po’ di test, emerge anche che – in molti casi – i messaggi contenenti l’indicatore BEGIN PGP MESSAGE
non sono nemmeno più marcati come provenienti da fonti potenzialmente inaffidabili.
I filtri citati dai ricercatori
Le verifiche sin qui effettuate puntano il dito contro alcune soluzioni largamente utilizzate. Microsoft Outlook Safe Links, parte di Microsoft Defender for Office 365, riscrive gli URL nelle email per verificarli attraverso un sistema di sicurezza cloud che controlla i link dannosi. Tuttavia, gli accademici hanno osservato che i messaggi contenenti BEGIN PGP MESSAGE
possono bypassare il filtro, poiché il sistema presuppone che i contenuti creati con PGP siano sicuri e intatti.
Anche altre soluzioni per la sicurezza delle email possono evidenziare comportamenti molto simili: è quindi essenziale effettuare verifiche approfondite ed eventualmente segnalare il comportamento anomalo agli sviluppatori della soluzione prescelta.