Stai criptando i tuoi documenti? Ecco cosa succede se non lo fai

Per gli utentiProtezione dei datiEncryption

Nel giugno del 2015 qualcuno collegato all’Università di Plymouth inviò accidentalmente un foglio elettronico contenente gli stipendi, le pensioni e le indennità di 245 membri del personale senior all’indirizzo e-mail errato.

L’errore fu segnalato al Commissario per l’informazione del Regno Unito (ICO) e fu affermato che il file era stato eliminato dal destinatario. Finché, dunque, lo stesso file è comparso la scorsa settimana nella casella di posta di un giornale locale da una fonte anonima.

L’avvocato dell’università ha riferito al giornale:

“È evidente dal carattere di questo documento che queste informazioni non avrebbero dovuto essere state inviate a voi o a terzi. Vi saremmo grati se cancellaste immediatamente queste informazioni dai vostri documenti e vi chiediamo di comunicarci per iscritto quando lo avrete fatto.”

La riapparizione improvvisa del file richiama l’attenzione sul buco di sicurezza che ha permesso che ciò accadesse – pare che il file non fosse stato crittografato.

Presumendo che l’applicazione utilizzata fosse Excel, la violazione solleva l’interessante questione se la crittografia di Office in uso avrebbe aiutato.

Il problema di base è che criptare un documento impedisce ad altri di accedervi. La password può essere condivisa o conservata da qualche parte, fatto che indebolisce il livello di sicurezza. Tale inconveniente diventa particolarmente grave quando si inviano documenti via email a terze parti.

Il modo in cui la crittografia dei documenti di Office si è evoluta nel tempo non ha esattamente aiutato. Office 97-2003, ha utilizzato i formati .doc, .xls e .ppt con qualcosa chiamato API di crittografia (CryptoAPI). Da Office 2007 in poi, Microsoft ha adottato il formato Open XML .docx, .xlsx, .pptx con CNG (CryptoAPI Next Generation).

Questo, logicamente, ha reso difficile inviare i file crittografati in una versione più recente di Office alle versioni basate su un design più vecchio. Office non solo aveva diversi formati di file, ma anche diversi schemi di crittografia.

Impostazioni predefinite della crittografia di Office:

Office 95, 97 e 2000 – dimenticatela.

Office 2002 and 2003 – usava l’insicuro cifrario a flusso RC4 con una chiave a 128-bit.

Office 2007 – ha cominciato a usare AES-128 con hashing SHA-1.

Office 2010 – Usa ancora AES-128 con hashing SHA-1 ma le “conversioni” SHA sono raddoppiate a 100,000.

Office 2013 – Usa ancora AES-128 ma con SHA- 2/512.

Office 2016/365fino a AES-256 con SHA-2/512 più compatibilità con Office 2007’s CryptoAPI. (Office 365 inoltre cifra in modo trasparente i file stazionari e durante il trasporto).

La crittografia di Office non è altro che un complicato elenco di funzionalità in sovrapposizione che aumenta la possibilità che la gente non la utilizzi perché è fortemente confusa su ciò che offre.

Ancor prima che Office 2013 decollasse, i pro-cracker russi di Elcomsoft avevano affermato di aver trovato una soluzione per la sua crittografia apparentemente blindata. Che fosse vero o no, è quasi irrilevante. Dopo anni di ripetute storielle in merito alla crittografia di Office, forse il fango ha cominciato ad attaccare.

È ovvio che, indipendentemente dalla crittografia, le stesse regole si applicano alle password di documento di Office come a qualsiasi altra password.

La morale è semplice: vale la pena di fare affidamento solo sulla crittografia offerta da Office 2013 in poi, ma qualsiasi crittografia è meglio di niente, persino quella delle versioni con debolezze teoriche. Se solo il foglio di calcolo incredibilmente sensibile della Plymouth avesse usato qualcosa!

Tratto dall’articolo “Are you encrypting your documents? Here’s what happens when you don’t” di John E. Dunn

2 Commenti

Has anyone else had the odd (Italian?!) Sophos post alert lately? Or just me?!

Reply

Hi, Sophos News has recently become multi-language and we are having some teething problems with the wordpress.com “New Post” emails. We hope to have a fix rolled out later today.

Reply

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.