IN-SICUREZZA DI MICROSOFT OFFICE : ATTACCO ALLA CRITTOGRAFIA

Secondo i ricercatori della società finlandese di sicurezza informatica WithSecure, i tuoi dati potrebbero godere di una protezione molto inferiore a quella che potresti ragionevolmente aspettarti.

La funzionalità utilizzata dai tester è quella che chiamano Crittografia dei messaggi di Office 365 o OME in breve.

Non abbiamo riprodotto i loro esperimenti qui, per il semplice motivo che i prodotti principali di Office, mi dispiace, 365 non funzionano in modo nativo su Linux, che usiamo per lavoro. Le versioni basate sul Web degli strumenti di Office non hanno lo stesso set di funzionalità delle app complete, quindi è improbabile che i risultati che potremmo ottenere siano in linea con il modo in cui la maggior parte degli utenti aziendali di Office, ah, 365 ha configurato Word, Excel, Outlook e amici sui loro laptop Windows.

Come lo descrivono i ricercatori:

Questa funzione è pubblicizzata per consentire alle organizzazioni di inviare e ricevere messaggi di posta elettronica crittografati tra persone all’interno e all’esterno dell’organizzazione in modo sicuro.

Ma fanno anche notare che:

Sfortunatamente i messaggi OME sono crittografati in modalità operativa non sicura Electronic Codebook (ECB).

Molti algoritmi di crittografia, in particolare Advanced Encryption Standard o AES, utilizzati da OME, sono noti come cifrari a blocchi , che rimescolano blocchi di dati di grandi dimensioni alla volta, anziché elaborare singoli bit o byte in sequenza.

In generale, questo dovrebbe aiutare sia l’efficienza che la sicurezza, perché la cifra ha più dati di input da mescolare, tritare, triturare e liquidare ad ogni giro della manovella crittografica che guida l’algoritmo, e ogni giro ti porta oltre attraverso i dati che vuoi crittografare.

L’algoritmo AES di base, ad esempio, consuma 16 byte di testo in chiaro di input (128 bit) alla volta e codifica i dati in una chiave di crittografia per produrre 16 byte di output di testo crittografato.

(Non confondere la dimensione del blocco con la dimensione della chiave : le chiavi di crittografia AES possono essere lunghe 128 bit, 192 bit o 256 bit, a seconda di quanto sia improbabile che vengano indovinate, ma tutte e tre le dimensioni delle chiavi funzionano ogni volta su blocchi di 128 bit l’algoritmo è “avvolto”.)

Ciò significa che se si sceglie una chiave AES (indipendentemente dalla lunghezza) e quindi si utilizza il codice AES direttamente su un blocco di dati…

… quindi ogni volta che ottieni lo stesso blocco di input, otterrai lo stesso blocco di output .

Come un libro di codici davvero enorme

Ecco perché questa modalità operativa diretta è chiamata ECB , abbreviazione di libro di codici elettronico , perché è un po’ come avere un enorme libro di codici che potrebbe essere utilizzato come tabella di ricerca per la crittografia e la decrittografia.

(Un “codebook” completo non potrebbe mai essere costruito nella vita reale, perché dovresti archiviare un database composto da 2 ¹²⁸ voci da 16 byte per ogni possibile chiave .)

Sfortunatamente, soprattutto nei dati formattati per computer, la ripetizione di determinati blocchi di dati è spesso inevitabile, grazie al formato di file utilizzato.

Ad esempio, i file che riempiono regolarmente sezioni di dati in modo che si allineino su limiti di 512 byte (una dimensione di settore comune durante la scrittura su disco) o su limiti di 4096 byte (una dimensione comune dell’unità di allocazione quando si riserva la memoria) produrranno spesso file con long run di zero byte.

Allo stesso modo, i documenti di testo che contengono molto standard, come intestazioni e piè di pagina su ogni pagina, o la menzione ripetuta del nome completo dell’azienda, conterranno numerose ripetizioni.

Ogni volta che un blocco di testo in chiaro ripetuto si allinea su un limite di 16 byte nel processo di crittografia AES-ECB, emergerà quindi nell’output crittografato esattamente come lo stesso testo cifrato .

Quindi, anche se non puoi decrittografare formalmente il file di testo cifrato, potresti essere in grado di trarre da esso inferenze immediate e distruttive, grazie al fatto che i modelli nell’input (che potresti conoscere, o essere in grado di dedurre, o per indovinare) sono conservati nell’output.

Ecco un esempio basato su un articolo che abbiamo pubblicato quasi nove anni fa quando abbiamo spiegato perché l’uso ormai noto di Adobe della crittografia in modalità ECB per “hash” le password dei suoi utenti non era una buona idea :

Nota come i pixel che sono di colore bianco fisso nell’input producono in modo affidabile uno schema ripetitivo nell’output e le parti blu rimangono alquanto regolari, in modo che la struttura dei dati originali sia ovvia.

In questo esempio, ogni pixel nel file originale occupa esattamente 4 byte, quindi ogni 4 pixel da sinistra a destra eseguito nei dati di input è lungo 16 byte, che si allinea esattamente con ogni blocco di crittografia AES da 16 byte, accentuando così l’“effetto BCE”.

Modelli di testo cifrato corrispondenti

Ancora peggio, se hai due documenti che sai essere crittografati con la stessa chiave e ti capita di avere il testo in chiaro di uno di essi, puoi guardare attraverso il testo cifrato che non puoi decifrare e provare a far corrispondere le sezioni di esso con schemi nel testo cifrato che puoi decifrare.

Ricorda che non hai bisogno della chiave per “decodificare” il primo documento se lo hai già in forma decifrata: questo è noto, non sorprende, come attacco con testo in chiaro noto .

Anche se ci sono solo poche corrispondenze di testo apparentemente innocente che non è di per sé dati segreti, la conoscenza che un avversario può estrarre in questo modo può essere una miniera d’oro per spie della proprietà intellettuale, ingegneri sociali, investigatori forensi e altro ancora.

Ad esempio, anche se non hai idea a cosa si riferiscano i dettagli di un documento, confrontando blocchi di testo in chiaro noti su più file, potresti essere in grado di determinare che una raccolta apparentemente casuale di documenti:

• Sono stati tutti inviati allo stesso destinatario, se c’è un saluto comune in cima a ciascuno.
• Fare riferimento allo stesso progetto, se è presente una stringa di testo identificativa univoca che continua a comparire.
• Avere la stessa classificazione di sicurezza, se sei interessato a concentrarti sulle cose che sono chiaramente destinate a essere “più segrete” rispetto alle altre.

Cosa fare?

Non utilizzare la modalità BCE!

Se stai usando una cifratura a blocchi, scegli una modalità operativa di cifratura a blocchi che:

• Include ciò che è noto come IV, o vettore di inizializzazione, scelto in modo casuale e univoco per ogni messaggio.
• Organizza deliberatamente il processo di crittografia in modo che gli input ripetuti escano ogni volta in modo diverso.

Se stai usando AES, la modalità che probabilmente vorresti scegliere in questi giorni è AES-GCM (Galois Counter Mode), che non solo utilizza un IV per creare ogni volta un flusso di dati di crittografia diverso, anche se la chiave rimane la stessa, ma calcola anche ciò che è noto come Message Authentication Code (MAC), o checksum crittografico, contemporaneamente alla codifica o alla ricomposizione dei dati.

AES-GCM significa non solo che eviti schemi di testo cifrato ripetuti, ma anche che finisci sempre con un “checksum” che ti dirà se i dati che hai appena decifrato sono stati manomessi lungo il percorso.

Ricorda che un truffatore che non sa cosa significhi effettivamente il testo cifrato potrebbe comunque essere in grado di indurti a fidarti di una decrittazione inesatta senza mai sapere (o preoccuparsi) che tipo di output errato ti ritroverai.

Un MAC calcolato durante il processo di decrittazione, basato sulla stessa chiave e IV, ti aiuterà a sapere che il testo cifrato che hai ricevuto è valido e quindi che hai quasi sicuramente decifrato ciò che era stato originariamente inserito all’altra estremità.

In alternativa, utilizzare un codice di flusso dedicato che produce un flusso di chiavi pseudo-casuale byte per byte che consente di crittografare i dati senza dover elaborare 16 byte (o qualunque sia la dimensione del blocco) alla volta.

AES-GCM essenzialmente converte AES in un cifrario di flusso e aggiunge l’autenticazione sotto forma di MAC, ma se stai cercando un cifrario di flusso dedicato progettato specificamente per funzionare in questo modo, suggeriamo ChaCha20-Poly1305 di Daniel Bernstein (la parte Poly1305 è il MAC), come dettagliato nella RFC 8439 .

Cosa succede dopo?

Secondo WithSecure , Microsoft non prevede di correggere questa “vulnerabilità”, apparentemente per motivi di compatibilità con le versioni precedenti di Office 2010…

Le versioni precedenti di Office (2010) richiedono AES 128 ECB e i documenti di Office sono ancora protetti in questo modo dalle app di Office.

…e…

Il rapporto [dei ricercatori WithSecure] non è stato considerato all’altezza del limite per i servizi di sicurezza, né è considerato una violazione. Non è stata apportata alcuna modifica al codice e quindi non è stato emesso alcun CVE per questo rapporto.

In breve, se attualmente ti affidi a OME, potresti prendere in considerazione la possibilità di sostituirlo con uno strumento di crittografia di terze parti per i messaggi sensibili che crittografa i tuoi dati indipendentemente dalle app che hanno creato quei messaggi e quindi funziona indipendentemente dalla crittografia interna codice nella gamma Office.

In questo modo, puoi scegliere una crittografia moderna e una modalità moderna di operazione di crittografia, senza dover tornare al codice di decrittografia della vecchia scuola integrato in Office 2010.

Fonte : https://nakedsecurity.sophos.com/