Categorie
HardwareSoftware

Scoperta la stringa che elude il funzionamento dei filtri antivirus e antispam

Author: IlSoftware

Scoperta la stringa che elude il funzionamento dei filtri antivirus e antispam

Tante aziende e realtà accademiche utilizzano soluzioni antispam e antivirus centralizzate che effettuano la scansione del contenuto delle email e bloccano, lato server, i messaggi di posta dannosi o potenzialmente tali. Questi strumenti spesso integrano anche dei meccanismi che rilevano la presenza di link nei messaggi e li modificano automaticamente, facendo in modo che l’URL di destinazione sia a sua volta sottoposto ad esame ricorrendo a un servizio “ad hoc”.

Un gruppo di accademici ha scoperto che alcuni tra i più famosi servizi di scansione delle email utilizzati presso le imprese e nel settore dell’istruzione evidenziano un comportamento anomalo. I link inseriti dopo una stringa BEGIN PGP MESSAGE sono puntualmente ignorati e rimangono tal quali in tutti i messaggi di posta recapitati nelle mailbox degli utenti.

Cosa significa BEGIN PGP MESSAGE

La stringa BEGIN PGP MESSAGE è un indicatore utilizzato nelle email per segnalare l’inizio di un messaggio cifrato o firmato utilizzando PGP (Pretty Good Privacy). PGP è una soluzione crittografica che fornisce privacy e autenticazione. Quando un’email contiene la stringa citata, significa che il messaggio è protetto con la crittografia PGP o che risulta firmato digitalmente per garantire l’integrità e l’autenticità del contenuto.

Alcuni sistemi di filtraggio delle email, tuttavia, ignorano tutto ciò che segue BEGIN PGP MESSAGE. Questo comportamento può essere sfruttato per bypassare i filtri di sicurezza, come accaduto nel caso discusso a questo indirizzo. Il risultato è che gli URL presenti in un messaggio possono essere sottratti a qualsiasi sistema di scansione interno o esterno all’azienda.

Dal momento che la stringa BEGIN PGP MESSAGE è seguita da una serie di righe contenenti il testo cifrato o firmato, tanti strumenti antivirus e antispam evitano di applicare qualunque modifica in quest’area in modo da non danneggiare dati importanti.

Da questa semplice osservazione deriva la scoperta degli universitari che si sono accorti come sia facile bypassare le misure di protezione integrate in alcuni famosi prodotti.

Chiunque invii email con link a siti dannosi può utilizzare la stessa tecnica per scavalcare il filtro, rendendo vana qualsiasi linea di difesa. Il sistema di riscrittura degli URL diviene inefficace contro gli attacchi, poiché i link pericolosi non vengono più intercettati filtro.

Effettuando un po’ di test, emerge anche che – in molti casi – i messaggi contenenti l’indicatore BEGIN PGP MESSAGE non sono nemmeno più marcati come provenienti da fonti potenzialmente inaffidabili.

I filtri citati dai ricercatori

Le verifiche sin qui effettuate puntano il dito contro alcune soluzioni largamente utilizzate. Microsoft Outlook Safe Links, parte di Microsoft Defender for Office 365, riscrive gli URL nelle email per verificarli attraverso un sistema di sicurezza cloud che controlla i link dannosi. Tuttavia, gli accademici hanno osservato che i messaggi contenenti BEGIN PGP MESSAGE possono bypassare il filtro, poiché il sistema presuppone che i contenuti creati con PGP siano sicuri e intatti.

Anche altre soluzioni per la sicurezza delle email possono evidenziare comportamenti molto simili: è quindi essenziale effettuare verifiche approfondite ed eventualmente segnalare il comportamento anomalo agli sviluppatori della soluzione prescelta.

Author: IlSoftware

Scoperta la stringa che elude il funzionamento dei filtri antivirus e antispam

Tante aziende e realtà accademiche utilizzano soluzioni antispam e antivirus centralizzate che effettuano la scansione del contenuto delle email e bloccano, lato server, i messaggi di posta dannosi o potenzialmente tali. Questi strumenti spesso integrano anche dei meccanismi che rilevano la presenza di link nei messaggi e li modificano automaticamente, facendo in modo che l’URL di destinazione sia a sua volta sottoposto ad esame ricorrendo a un servizio “ad hoc”.

Un gruppo di accademici ha scoperto che alcuni tra i più famosi servizi di scansione delle email utilizzati presso le imprese e nel settore dell’istruzione evidenziano un comportamento anomalo. I link inseriti dopo una stringa BEGIN PGP MESSAGE sono puntualmente ignorati e rimangono tal quali in tutti i messaggi di posta recapitati nelle mailbox degli utenti.

Cosa significa BEGIN PGP MESSAGE

La stringa BEGIN PGP MESSAGE è un indicatore utilizzato nelle email per segnalare l’inizio di un messaggio cifrato o firmato utilizzando PGP (Pretty Good Privacy). PGP è una soluzione crittografica che fornisce privacy e autenticazione. Quando un’email contiene la stringa citata, significa che il messaggio è protetto con la crittografia PGP o che risulta firmato digitalmente per garantire l’integrità e l’autenticità del contenuto.

Alcuni sistemi di filtraggio delle email, tuttavia, ignorano tutto ciò che segue BEGIN PGP MESSAGE. Questo comportamento può essere sfruttato per bypassare i filtri di sicurezza, come accaduto nel caso discusso a questo indirizzo. Il risultato è che gli URL presenti in un messaggio possono essere sottratti a qualsiasi sistema di scansione interno o esterno all’azienda.

Bypass del filtro contro i link dannosi nelle email

Dal momento che la stringa BEGIN PGP MESSAGE è seguita da una serie di righe contenenti il testo cifrato o firmato, tanti strumenti antivirus e antispam evitano di applicare qualunque modifica in quest’area in modo da non danneggiare dati importanti.

Da questa semplice osservazione deriva la scoperta degli universitari che si sono accorti come sia facile bypassare le misure di protezione integrate in alcuni famosi prodotti.

Chiunque invii email con link a siti dannosi può utilizzare la stessa tecnica per scavalcare il filtro, rendendo vana qualsiasi linea di difesa. Il sistema di riscrittura degli URL diviene inefficace contro gli attacchi, poiché i link pericolosi non vengono più intercettati filtro.

Effettuando un po’ di test, emerge anche che – in molti casi – i messaggi contenenti l’indicatore BEGIN PGP MESSAGE non sono nemmeno più marcati come provenienti da fonti potenzialmente inaffidabili.

I filtri citati dai ricercatori

Le verifiche sin qui effettuate puntano il dito contro alcune soluzioni largamente utilizzate. Microsoft Outlook Safe Links, parte di Microsoft Defender for Office 365, riscrive gli URL nelle email per verificarli attraverso un sistema di sicurezza cloud che controlla i link dannosi. Tuttavia, gli accademici hanno osservato che i messaggi contenenti BEGIN PGP MESSAGE possono bypassare il filtro, poiché il sistema presuppone che i contenuti creati con PGP siano sicuri e intatti.

Anche altre soluzioni per la sicurezza delle email possono evidenziare comportamenti molto simili: è quindi essenziale effettuare verifiche approfondite ed eventualmente segnalare il comportamento anomalo agli sviluppatori della soluzione prescelta.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.