Tra Microsoft e i ricercatori nel campo della sicurezza è in corso un dibattito sulla crittografia dei messaggi integrata in Office 365: è sicura, oppure no? In ogni caso, è lecito chiedersi a cosa serva esattamente la crittografia dei messaggi di Office (Office Message Encryption – OME).
Ufficialmente, Office Message Encryption è un modo per “inviare e ricevere messaggi di posta elettronica crittografati tra persone all’interno e all’esterno dell’organizzazione”. Secondo WithSecure, tuttavia, la crittografia a blocchi ECB (Electronic Codebook) utilizzata per l’OME non è adatta ai dati con schemi ripetitivi, quali il testo normale o le immagini e i video non compressi. Ciononostante, Microsoft non ritiene necessario apportare modifiche a questa situazione, così come riportato anche dalla testata giornalistica britannica di settore “The Register”.
Ma WithSecure non è certo l’unica realtà a muovere critiche in tal senso. Il rinomato istituto NIST (National Institute of Standards and Technology), ad esempio, ritiene che “l’uso del sistema ECB per crittografare informazioni riservate rappresenti una grave lacuna nella sicurezza”. Secondo WithSecure, non è di aiuto neanche il fatto che OME utilizzi AES, pur trattandosi di un sistema di cifratura forte. I ricercatori nel campo della sicurezza individuano nel fatto che i messaggi OME vengano inviati come allegati di posta elettronica un ulteriore punto debole: “I criminali informatici che riescono accedere a più messaggi potrebbero utilizzare le informazioni ECB trapelate per scoprire i contenuti crittografati”, spiega Harry Sintonen di WithSecure.
Microsoft non ritiene necessario reagire alla segnalazione. “Il rapporto non implica la necessità di una manutenzione di sicurezza né può essere ritenuto una notifica di non conformità in materia di sicurezza. Non è stata apportata alcuna modifica al codice e pertanto non è stato assegnato alcun CVE per questa segnalazione”, ha dichiarato in un comunicato. Inoltre, da quando Microsoft ha introdotto la a propria soluzione di data governance, chiamata Purview, nell’aprile di quest’anno, il gruppo stesso classifica OME come un sistema legacy.
WithSecure, in ogni caso, raccomanda alle aziende di considerare le possibili conseguenze legali derivanti dall’utilizzo di OME, soprattutto alla luce delle severe norme sulla protezione dei dati vigenti in Europa e in California. “Poiché Microsoft non ha in programma la risoluzione di questa vulnerabilità, l’unico rimedio possibile è evitare di utilizzare Office 365 Message Encryption”, concludono i ricercatori.
Chi desidera crittografare i messaggi e-mail in modo sicuro e conforme agli standard può utilizzare il servizio di Email Encryption basato su gateway di Retarus. Funziona con qualsiasi sistema di posta elettronica basato su SMTP, è indipendente dal dispositivo finale utilizzato e supporta S/MIME, PGP e OpenPGP. Lo standard X.509 v3, compresi i certificati dell’utente, è pienamente supportato; Retarus gestisce centralmente tutte le chiavi interne ed esterne. I destinatari che non dispongono di una propria soluzione di crittografia possono visualizzare i messaggi tramite un portale web sicuro. Per ulteriori informazioni, gli interessati possono visitare il sito web di Retarus o rivolgersi direttamente al referente di zona.