Molte sono le vulnerabilità che possono implicitamente derivare dall’uso della posta elettronica e ciò per il semplice fatto che quest’ultima rappresenta senza dubbio il mezzo più efficace e veloce per lo scambio delle informazioni oggi esistente.
Quali sono le problematiche più frequenti?
1) Identificare il mittente e verificare che sia attendibile.
La prima categoria di rischi che affrontiamo è quella legata alla possibilità di una contraffazione delle intestazioni dei messaggi di posta elettronica (cd. “email spoofing”) in modo tale che essi sembrano provenire da una sorgente mentre, in realtà, sono originati da una fonte completamente diversa.
Questa forma di attacco viene in genere utilizzata per spingere l’utente a rivelare informazioni sensibili che lo riguardano approfittando dello stato di fiducia che egli ripone nel messaggio il quale sembra provenire da una fonte legittima (es. l’amministratore di sistema del proprio Internet Service Provider che chiede di modificare la password di accesso alla rete in un determinato modo).
Tra le molte limitazioni del protocollo SMTP (il protocollo cu cui si basa l’invio delle mail) c’è quella di permettere, spesso, di inviare mail senza la certezza dell’autenticità del mittente. Questa è probabilmente la vulnerabilità più grave, perché viene sfruttata da chi usa l’e-mail come strumento di attacco per fare phishing.
È infatti possibile – e anche abbastanza facile – inviare e-mail falsificando il mittente. In altre parole: si può spedire un’e-mail facendo apparire come mittente l’indirizzo corrispondente ad un altro account. Questo anche senza avere accesso diretto al server che gestisce l’account falsificato e senza conoscere le credenziali della casella di posta che si vuole “impersonificare”.
2) Verificare l’attendibilità di un allegato
Gli attacchi tramite gli allegati di posta elettronica sono sempre più frequenti e devastanti. In questi casi il rischio è quello della esecuzione di codice malevolo che può nascondere al proprio interno virus, worm e cavalli di troia.
3) Proteggere le comunicazioni da eventuali “lettori indesiderati”
L’e-mail può essere facilmente intercettata e letta da un malintenzionato: il cosiddetto “Man in the middle” che si frappone tra mittente e destinatario. Infatti, nella maggior parte dei casi, le e-mail vengono trasmesse non criptate, come se fossero state scritte su una cartolina (che tutti possono leggere).
In genere si dà per assodato che i messaggi che transitano vengano rapidamente cancellati, ma la rete è grande, ci sono tanti operatori, non si ha alcuna conoscenza di quando e come questi messaggi verranno cancellati, né tantomeno da chi.
Gli amministratori di questi nodi, in Europa sono soggetti a varie norme di tutela previste negli ambiti della privacy e della sicurezza delle comunicazioni. In Italia, un provvedimento del garante riguarda espressamente gli amministratori di sistema: ne richiede l’identificazione, la nomina e la corrispondente attribuzione di responsabilità. Ma nel resto del mondo? La natura transnazionale della rete e del protocollo non assicura che i pacchetti in transito rimangano nei confini fisici delle varie giurisdizioni.
Non si deve nemmeno escludere la possibilità che i pacchetti vengano intercettati direttamente dai cavi dati di collegamento senza accedere ai nodi.
Sicurezza delle e-mail: alcune soluzioni
A fronte di indubbi vantaggi nell’ambito dell’attività lavorativa (facilità nella comunicazione, gestione dei calendari ecc…), anche supportati da una facilità di utilizzo, l’uso della mail in modo non consapevole la rende la maggiore fonte di rischi per la sicurezza di una organizzazione: le statistiche mostrano come sia ormai uno dei maggiori veicoli di accesso ed intrusione nelle infrastrutture. Dai virus, ai malware, allo spam, alle mail di phishing, attività di social engineering e via dicendo.
1) Regolamenti e prassi per la gestione delle mail
È necessario identificare regole precise per la creazione, l’utilizzo, l’eliminazione e in generale per la gestione del ciclo di vita di una mail.
2) La formazione del personale
La formazione del personale assume un ruolo fondamentale: una maggiore consapevolezza è la prima fra le misure di sicurezza applicabili in particolare per proteggersi da quelle minacce che approfittano della fiducia dell’utente e utilizzano strumenti di social engineering per appropriarsi di informazioni riservate.
3) Criptare le comunicazioni
L’e-mail, per come concepita, non è in grado di garantire nativamente la riservatezza del messaggio: anche in questo caso si devono adottare strumenti e meccanismi di cifratura che si sovrappongono all’infrastruttura, con il problema che tali meccanismi devono anche essere adottati e condivisi da tutti i partecipanti interessati.
Sicurezza delle comunicazioni e il GDPR
L’art. 32 del GDPR impone alle aziende ed alle organizzazioni un innalzamento dei livelli di sicurezza al fine di una adeguata protezione dei dati personali e precisamente:
“1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
- a) la pseudonimizzazione e la cifratura dei dati personali;
- b) etc…”
A tale proposito ricordiamo che ormai è assodato che il canale mail tradizionale non garantisce purtroppo un adeguato livello di protezione su nessuna delle seguenti direttrici che compongono la cifra di sicurezza di una informazione:
- Non sulla confidenzialità in quanto le mail tradizionali “viaggiano” in chiaro (plain text) per cui chiunque possegga uno “sniffer” della rete può leggerli;
- Non sulla integrità in quanto qualcuno potrebbe anche intercettare la mail, sostituire il contenuto e inoltrarlo modificato (impersonando il mittente originale)
- Non sulla autenticità in quanto, come accennato al punto precedente, con un minimo di abilità è possibile impersonare soggetti diversi (ne sono testimonianza le mail di phishing che sono falsificate per far credere di essere inviate “con lo stesso account” del destinatario)
Infine questo livello di adeguatezza è non solo carente ma insufficiente se la mail contiene:
- Dati personali particolari /giudiziari
- Informazioni strettamente riservate (relative al business, alle scelte strategiche di una azienda, a progetti importanti e confidenziali etc…)
Al fine di potere usare ancora lo strumento mail diviene quindi indispensabile corredarlo di un “add-on” che permetta per le comunicazioni con i contenuti informativi “riservati” sopra descritti di aggiungere:
- Elementi certi di confidenzialità e riservatezza
- Elementi certi di autenticità del mittente
Add-on per la cifratura delle mail
In commercio esistono diversi add-on, gratis e a pagamento, che permettono di cifrare le comunicazioni.
Compet-e ha scelto di utilizzare GPG4WIN (https://www.gpg4win.org/), strumento GRATUITO per Outlook e Thunderbird (compatibile con simile strumento PGPMail per iOs, anche se a pagamento).
Un altro strumento (disponibile sia nella versione free che a pagamento) è FLOWCRYPT per Chrome e Firefox e che permette quindi di criptare le mail di Gmail (e non solo), ed è inoltre compatibile con GPG4WIN.
Per maggiori informazioni sui prodotti citati, potete leggere questi due brevi manuali di installazione che abbiamo redatto:
Serve una mano per l’installazione degli add-on? Contattaci.
