SlideShare a Scribd company logo

Collaboration Suite: realizzazione di una piattaforma open source per la Pubblica Amministrazione

Pierluigi Conti
Pierluigi Conti

Tesi di laurea. Collaboration Suite: realizzazione di una piattaforma open source per la Pubblica Amministrazione.

Technology
1 of 94
Corso di Laurea in Sicurezza dei Sistemi e delle Reti Informatiche Collaboration Suite: realizzazione di una piattaforma open source per la Pubblica Amministrazione RELATORE Prof. Ernesto DAMIANI TESI DI LAUREA DI Pierluigi CONTI Matricola 775292 Anno Accademico 2013/2014
Ai miei Cari, per la loro pazienza e il loro sostegno.
3 Indice generale Introduzione............................................................................................................5 Scopo........................................................................................................................7 Organizzazione.......................................................................................................8 1 Componenti, storia ed evoluzione della Posta Elettronica..............................9 1.1 Funzionamento............................................................................................10 1.2 I protocolli in dettaglio: gli standard della Posta Elettronica......................11 1.2.1 Lo standard RFC 5322: IMF................................................................12 1.2.2 Gli standard MIME..............................................................................13 1.2.3 Lo standard RFC 5321: SMTP............................................................14 1.2.4 Lo standard RFC 1939: POP3.............................................................16 1.2.5 Lo standard RFC 3501: IMAP4...........................................................17 1.3 Evoluzione della Posta Elettronica..............................................................18 1.3.1 QWERTYUIOP...................................................................................19 1.3.2 Email verso la standardizzazione.........................................................20 1.3.3 RFC 821, 2821, 5321 le evoluzioni dello standard SMTP..................20 1.4 Evoluzione dei client di Posta Elettronica...................................................22 2 Minacce alla Posta Elettronica.........................................................................25 2.1 Spam, un problema che ha origine con il protocollo SMTP.......................26 2.1.1 Spam: Meccanismi per contrastarlo.....................................................28 2.2 Phishing.......................................................................................................31 2.2.1 Phishing: Meccanismi per contrastarlo................................................32 2.3 Malware.......................................................................................................33 2.3.1 Malware: Meccanismi per contrastarli................................................34 2.4 Attacchi alle Caselle Mail............................................................................35 2.4.1 Attacchi alle Caselle: Meccanismi per contrastarli..............................36 2.5 Attacchi alla disponibilità del servizio........................................................38 2.5.1 Attacchi alla disponibilità del servizio: Meccanismi per contrastarli..39 2.6 Confidenzialità, Integrità, Autenticazione, Non-Ripudio............................39 2.7 Varie tecniche di protezione........................................................................41
4 2.8 Analisi dei sistemi di sicurezza....................................................................45 3 Collaboration Suite per la PA: Requisiti.........................................................49 3.1 Unione di Comuni Valdarno e Valdisieve: Infrastruttura informatica.........50 3.2 Problemi della piattaforma precedente........................................................51 3.3 Requisiti.......................................................................................................55 3.3.1 Sicurezza..............................................................................................55 3.3.2 Collaboration Suite: Funzionalità........................................................57 3.3.3 Gestione centralizzata..........................................................................58 3.3.4 Contenimento di costi e risorse............................................................59 3.3.5 Dispositivi mobili................................................................................59 4 Collaboration Suite per la PA: Analisi e Implementazione...........................60 4.1 Descrizione dei flussi implementati............................................................62 4.2 Mailserver....................................................................................................64 4.2.1 Software disponibili.............................................................................65 4.2.2 Zimbra..................................................................................................67 4.3 Mailrelay......................................................................................................74 4.3.1 Sicurezza dei flussi SMTP...................................................................75 4.3.2 Sicurezza dei flussi di interrogazione..................................................82 4.3.3 Gestione e Monitoraggio.....................................................................83 4.4 Risultati........................................................................................................84 Conclusioni............................................................................................................91 Indice delle Figure................................................................................................93 Bibliografia...........................................................................................................94
5 Introduzione La posta elettronica rappresenta uno degli strumenti di comunicazione asincroni più diffusi. La semplicità e la velocità che la caratterizzano fanno sì che ogni giorno miliardi di messaggi siano scambiati tra gli utenti di tutto il mondo. Il protocollo di comunicazione che sta alla base della posta elettronica è estremamente potente e flessibile, consente di inviare messaggi a più persone contemporaneamente, di inviare documenti o messaggi multimediali, e in generale, di scambiare contenuto codificato attraverso standard avanzati polifunzionali. Tale protocollo si chiama SMTP (Simple Mail Transfer Protocol) ed è utilizzato per la trasmissione dei messaggi; altri protocolli, tra cui i più diffusi sono POP3 e IMAP4 sono invece utilizzati per l'accesso alle caselle di posta. Negli ultimi anni l'utilizzo della posta elettronica è aumentato enormemente: molti sono i servizi che risultano essere legati a questo strumento, come le comunicazioni che avvengono mediante PEC, la quale rende un messaggio legalmente valido secondo la legislazione Italiana e garantisce autenticazione, integrità, confidenzialità e non-ripudio. Questa notevole diffusione ha reso necessaria l'integrazione della posta elettronica con altri servizi estremamente importanti: spesso alla posta sono funzionalmente legati servizi di chat, conferenza (che costituisce insieme alla chat una forma di comunicazione sincrona), gestione appuntamenti, attività, rubriche, archiviazione e condivisione file; a questi servizi viene affiancato un sistema di condivisione tra utenti per garantire la collaborazione. Non di meno la diffusione di dispositivi mobili sempre più evoluti ha fortemente influenzato il processo di integrazione tra gli account di posta elettronica e i servizi di collaborazione in generale. Quindi la posta elettronica non è più un semplice mezzo di comunicazione asincrona; può piuttosto essere considerata come una serie di servizi collaborativi sincroni e asincroni legati tra loro, acceduti da client eterogenei.
6 Essa presenta però grossi problemi dovuti all'identificazione del mittente e del destinatario, al controllo di integrità del messaggio, alla garanzia della confidenzialità, al non-ripudio di trasmissione e, soprattutto, agli attacchi di spam e truffe. Mediante l'uso di applicazioni, di tecniche crittografiche e di estensioni del protocollo è comunque possibile garantire autenticazione, confidenzialità, integrità, e, mediante l'uso di tecniche avanzate come la PEC, (Posta Elettronica Certificata) è anche possibile garantire il non-ripudio. Lo spam e le truffe in genere rappresentano invece un grosso problema a cui non è possibile porre un rimedio definitivo, ma solo mitigarne gli effetti negativi. La posta elettronica e le sue applicazioni sono comunque uno degli strumenti più utilizzati dagli utenti privati, dalle aziende e dalle pubbliche amministrazioni.
7 Scopo La presente tesi ha lo scopo di illustrare il funzionamento della posta elettronica, dei protocolli di trasmissione e di consultazione, le modalità di implementazione, le evoluzioni strutturali, infrastrutturali e di analizzare le problematiche connesse all'utilizzo di tale strumento. A seguito di tale disamina verrà analizzata una soluzione completamente open source di Collaboration Suite installata presso una Pubblica Amministrazione locale, al fine di mostrare come sia possibile realizzare implementazioni enterprise utilizzando software che si basano su modalità di distribuzione alternative a quelle commerciali. Un software di Collaboration Suite è costituito da una collezione di strumenti di collaborazione che consentono agli utilizzatori non solo di consultare la posta elettronica, ma anche di gestire contatti, calendari, appuntamenti, note, di utilizzare chat e di condividere i contenuti. La piattaforma discussa rispetta vari obiettivi posti dall'Ente che vanno dal contenimento dei costi e delle risorse al mantenimento di elevati standard di sicurezza, dall'adozione dei più avanzati strumenti di collaborazione alla piena flessibilità del sistema. Le soluzioni presenti sul mercato, sia di tipo open source sia di tipo proprietario sono molte, così come notevoli sono le soluzioni che possono essere adottate per prevenire i problemi legati agli attacchi ai servizi offerti dal sistema. Con il presente documento si vogliono quindi presentare alcuni tra i maggiori software disponibili e dettagliare i motivi che hanno portato alla scelta dei componenti sui quali si basa la soluzione. Infine si intende analizzare l'infrastruttura di rete [1] posta a supporto della totale realizzazione; infrastruttura che ha l'obiettivo di garantire stabilità, scalabilità e sicurezza al sistema.
8 Organizzazione La tesi può essere suddivisa in due parti logiche: una prima parte in cui sono illustrati in generale i protocolli della posta elettronica, le infrastrutture di supporto e le relative problematiche; una seconda parte in cui sono analizzate alcune tra le più importanti soluzioni presenti sul mercato, e in cui è discussa la realizzazione implementata presso l'Ente in esame, i requisiti che deve soddisfare le modalità secondo cui sono stati soddisfatti. Nel dettaglio è così strutturata: Prima parte 1. Componenti, storia ed evoluzione della Posta Elettronica - Vengono presentati gli attori che prendono parte allo scambio dei messaggi e i protocolli utilizzati per l'invio, la ricezione e la consultazione delle email. Vengono inoltre presentate le evoluzioni più importanti che riguardano la posta elettronica, sia per quanto concerne i protocolli, sia per quanto concerne le funzionalità per i client. 2. Minacce alla Posta Elettronica - Analisi delle principali minacce dello scambio di messaggi e valutazione delle possibili contromisure. Seconda parte 3. Collaboration Suite per la PA: Requisiti - Descrizione dettagliata dei requisiti individuati per l'Ente in esame e relativa motivazione. 4. Collaboration Suite per la PA: Analisi e implementazione – Descrizione dettagliata della soluzione implementata e analisi dei risultati ottenuti.
9 1 Componenti, storia ed evoluzione della Posta Elettronica I messaggi di posta elettronica scambiati quotidianamente fra milioni di utenti, a prescindere dal percorso che devono compiere, e dal numero o dal tipo di controlli ai quali sono sottoposti, seguono sempre lo stesso processo di trasmissione [2] che, fin dalle origini del protocollo, si basa su: • Mittente, un attore attivo che può essere macchina o uomo. • Destinatario, un attore passivo che può essere macchina o casella personale di un utente. • Infrastruttura di scambio, un mezzo di trasmissione che può essere più o meno intelligente. In particolare i primi due hanno a disposizione un particolare software noto come MUA (Mail User Agent) che costituisce formalmente il client a disposizione degli utenti per ricevere, leggere, scrivere o inviare email. Tale software è realizzato per essere conforme e per supportare almeno gli standard base della posta elettronica: SMTP per dialogare con gli MTA, POP3 e IMAP4 per accedere alla casella. Il mezzo di trasmissione è invece dotato di un software (o una collezione di software) noto come MTA (Mail Transfer Agent) che consente il passaggio dei messaggi ed effettua la consegna al MUA del destinatario. La grande suddivisione dei domini, l'implementazione di tecniche avanzate di sicurezza e di nuove funzionalità che ne arricchiscono i contenuti, così come le necessità di alta disponibilità del servizio, implicano che il concetto di MTA sia estremamente vasto; esso infatti non rappresenta un unico server o una coppia di server (per supportare ad esempio lo scambio tra domini distinti), spesso il messaggio effettua numerosi salti attraverso molti MTA (relay) prima di giungere a destinazione.
10 Come mostrato nella Figura 1 i protocolli [2] coinvolti negli scambi prevedono comunicazioni bidirezionali per supportare invio, ricezione e inoltro. In particolare i MUA hanno due tipi di comunicazioni: quella basata su SMTP, utilizzata per inviare messaggi al server MTA e quella basata su POP3 o IMAP4 per prelevarli dal server MTA di riferimento del dominio. I server MTA invece utilizzano la comunicazione SMTP per inoltrare la posta ad MTA successivi. 1.1 Funzionamento La spedizione si svolge in vari momenti, in cui sono eseguite diverse operazioni. La prima fase è quella di composizione del messaggio, durante la quale l'utente utilizza il MUA che può avere editor più o meno ricchi; l'eventuale salvataggio del messaggio avviene sul disco locale della macchina su cui viene composto. La seconda fase coincide con l'invio da parte del mittente: selezionando il comando preposto a tale funzione l'utente attiva la comunicazione che utilizza il protocollo SMTP verso il proprio server di uscita, “MTA 1”; la memorizzazione del messaggio avviene nella coda di uscita sul disco del server “MTA 1”, in cui rimane in attesa di essere processato dal demone di spedizione. Figura 1: Schema degli scambi.
11 Successivamente il server “MTA 1”, se la mail è destinata a domini diversi ed esterni rispetto a quelli per i quali esso rappresenta il campo MX1 , ottiene il Mail Exchanger del dominio di destinazione attraverso una risoluzione DNS; il server “MTA 1” quindi contatta mediante il protocollo SMTP il server “MTA 2” del destinatario ottenuto dalla fase precedente e consegna il messaggio. Se in questa fase dovessero esserci errori di trasmissione o qualora il server “MTA 2” non dovesse essere raggiungibile è previsto dallo standard RFC, che regola il protocollo SMTP [3], che il messaggio sia mantenuto nella coda del server mittente per poter effettuare tentativi successivi. Infine il server “MTA 2” che ha ricevuto il messaggio lo memorizza nella casella del destinatario, se esiste, altrimenti lo manda indietro con un errore specifico. La ricezione prevede una connessione dal MUA del destinatario verso il server MTA del proprio dominio di appartenenza, tale connessione può avvenire con due protocolli: POP3 o IMAP4; in questa fase il messaggio viene scaricato e memorizzato sul disco locale del client che esegue il MUA. 1.2 I protocolli in dettaglio: gli standard della Posta Elettronica I protocolli elencati in precedenza e lo stesso formato dei messaggi sono regolamentati da standard specifici. In particolare il formato dei messaggi è regolamentato da RFC 5322 [4] (e revisioni successive) che sostituisce il precedente RFC 822 [5]; il protocollo SMTP è regolamentato da RFC 5321 [3] che sostituisce i precedenti RFC 2821 [6] e RFC 821 [7]; il protocollo IMAP4 è regolamentato da RFC 3501 [8]; il protocollo POP3 è regolamentato da RFC 1939 [9]. 1 I campi MX (Mail Exchanger) sono risorse del DNS che indicano server autorizzati ad accettare messaggi mail per conto del dominio di destinazione.
12 1.2.1 Lo standard RFC 5322: IMF Secondo le specifiche di RFC 5322 [4] il formato dei messaggi Internet (IMF) che riguarda i messaggi di testo inviati tramite posta elettronica, si basa su due sezioni fondamentali: una prima sezione detta “busta” contenente tutte le informazioni utili alla consegna del messaggio; una seconda sezione detta “contenuto” in cui sono memorizzati sia l'oggetto sia il corpo del messaggio. I messaggi sono composti da linee di caratteri codificati con la tabella ASCII a 7 bit: la sezione “header” è separata da quella opzionale “body” con una linea vuota. Header può contenere informazioni di origine e di destinazione del messaggio, di identificazione, di informazione e di tracciamento. I campi più importanti sono: • To, contenente il destinatario (oppure i destinatari). • From, contenente il mittente. • CC/BCC, contenente una lista di destinatari in copia/copia nascosta. • Subject, contenente l'oggetto.
13 1.2.2 Gli standard MIME Gli standard MIME (Multipurpose Internet Mail Extensions) consentono agli utenti di scambiare messaggi con contenuti che utilizzano set di caratteri diversi dalla tabella ASCII 7 bit. L'utilità tipica di tali standard è quella di consentire agli utenti di allegare ai messaggi file multimediali, di aggregare diversi messaggi tra loro e di utilizzare protocolli crittografici o di firma digitale. L'elaborazione MIME è demandata ai client degli utenti, quindi il protocollo SMTP non interpreta il contenuto della mail in transito. Un documento MIME contiene una intestazione composta dai seguenti campi: • MIME Version, identifica la versione dello standard usato nel messaggio. • Content-Transfer-Encoding, indica una codifica a cui è stato sottoposto il corpo del messaggio e le operazioni di decodifica che devono essere applicate per ottenere l'originale. Possono essere usate codifiche di tipo 7 bit, 8 bit, base64, binary e le recenti codifiche private ( X- ) che consentono di definire codifiche non standard. • Content-Type, indica il tipo e il sottotipo dei contenuti nel messaggio così da consentire al software MUA di interpretare i dati. • Content-Description, campo opzionale che descrive il contenuto del messaggio. • Content-ID, campo opzionale che identifica univocamente il messaggio. Figura 3: Esempio di un contenuto Content Type.
14 1.2.3 Lo standard RFC 5321: SMTP SMTP [3] è il protocollo principale della posta elettronica il cui compito è quello di trasferire i messaggi. La struttura di SMTP [10] è di tipo client-server: un server di posta può svolgere funzioni di client quando invia messaggi e funzioni di server quando li riceve. Un server SMTP può essere il destinatario finale o un relay: una connessione può seguire un unico percorso che parte dal server MTA del mittente e termina nel server MTA del destinatario oppure può effettuare un certo numero di salti attraverso relay intermedi. Tali relay possono avere semplici funzioni di inoltro oppure funzioni particolari come il controllo della posta o il routing dei messaggi. La trasmissione, che avviene con protocollo TCP e che utilizza come porta di comunicazione standard la 25 per le comunicazioni in chiaro oppure la porta di comunicazione 465 per quelle cifrate, si svolge in più fasi: • Una prima fase di handshake in cui il client e il server stabiliscono la comunicazione, il comando utilizzato in questa fase è EHLO. • Una seconda fase di identificazione del mittente, in cui viene utilizzato il comando MAIL FROM; tale comando comunica al server che sta iniziando una nuova connessione ed ha l'effetto di azzerare tutti gli stati precedenti per la medesima sessione. • Una terza fase in cui viene indicato l'indirizzo del destinatario, il comando utilizzato è RCPT TO che può essere ripetuto più volte; in questa fase vengono effettuati dal server MTA ricevente controlli sul mittente e sul destinatario; ad esempio sul destinatario viene verificata l'esistenza e la disponibilità della mailbox, mentre sul mittente viene verificata l'esistenza del dominio dichiarato. • Una quarta fase di invio del messaggio, in cui viene utilizzato il comando DATA che consente di scrivere il messaggio; il carattere “.” è usato per terminare l'inserimento del messaggio e iniziare il processo di consegna.
15 Il protocollo SMTP è stato oggetto di molte variazioni, infatti sono stati redatti molti documenti RFC a riguardo, e in particolare sono state indicate alcune estensioni del protocollo. Alcune delle più importanti estensioni sono le seguenti: • EHLO, rappresenta il comando HELO esteso; sia i server che i client devono garantire una retro-compatibilità con il comando HELO. • Estensioni MIME, consentono di trasmettere messaggi con contenuti che utilizzano set di caratteri diversi dalla tabella ASCII 7 bit. • SMTP-AUTH, consente ad un client di autenticarsi con il server SMTP; attraverso tale implementazione è possibile consentire ad utenti che si collegano al server SMTP da indirizzi IP non noti, di autenticarsi e di poterlo utilizzare come server di invio. • STARTTLS, consente ad una connessione in chiaro di evolvere in una connessione cifrata senza dover cambiare porta. Un aspetto molto importante riguarda le strategie di spedizione, è necessario che il client SMTP implementi una coda per memorizzare i messaggi in uscita, per poter tentare nuovamente l'invio in caso di errore. Da questa particolarità si evince che tutti i server che possono svolgere funzioni di client SMTP devono implementare una coda locale per storicizzare i messaggi che vengono trasmessi. Figura 4: Esempio di una spedizione.
16 1.2.4 Lo standard RFC 1939: POP3 Il Post Office Protocol [9] (POP) è un protocollo estremamente semplice e diffuso che consente ad un client di scaricare sul proprio MUA i messaggi dal server POP3 [10] di riferimento per il dominio. Il servizio usa una connessione TCP sulla porta 110 e la sessione POP si basa su tre stati distinti: • Autorizzazione, dopo che la connessione è stata stabilita il server presenta al client un messaggio di benvenuto; il client può ora identificarsi con il proprio username e la propria password. • Transazione, dopo che il client si è identificato con successo è possibile scaricare la posta o eseguire comandi per gestire i messaggi, come contrassegnarli per la cancellazione, rimuovere il contrassegno, oppure ottenere informazioni sulle statistiche. • Aggiornamento, dopo che il client ha impartito il comando “quit” il server POP3 provvede ad eliminare tutti i messaggi che erano stati contrassegnati per la cancellazione. I MUA possono interagire con i server POP3 in modalità “download and delete” ovvero il messaggio viene prima scaricato, quindi viene eliminato dal server, oppure in modalità “download and keep” ovvero viene conservata sul server una copia del messaggio scaricato. Figura 5: Esempio di una comunicazione POP3.
17 1.2.5 Lo standard RFC 3501: IMAP4 Internet Message Access Protocol [8] (IMAP) è un protocollo che consente agli utenti di scaricare sul proprio client i messaggi dal server IMAP4 [10] di riferimento. Il servizio usa una connessione TCP sulla porta 143 e, pur condividendo lo scopo finale con il protocollo POP3, vi sono tra loro molte differenze: • Operatività online: il client che si collega al server IMAP4 rimane sempre connesso, mentre con POP3 si collega per scaricare nuovi messaggi e poi si scollega immediatamente. • Accesso parziale ai contenuti multimediali: IMAP4 consente agli utenti di accedere parzialmente alle informazioni di tipo MIME che sono memorizzate nei messaggi, questo permette di scaricare una piccola porzione del messaggio per poterne avere un'anteprima. • Accesso simultaneo alla casella IMAP: il protocollo prevede meccanismi per gestire la concorrenza tra utenze connesse simultaneamente alla stessa casella. • Ricerche: è possibile richiedere al server un elenco di messaggi che soddisfano determinati criteri di ricerca. Il vantaggio principale di IMAP4 rispetto a POP3 è dovuto alla “operatività online”, che consente ad un utente di poter cambiare postazione senza dover trasportare i messaggi da una postazione all'altra o senza dover scaricare nuovamente tutti i messaggi. Una sessione IMAP4 consiste di comandi inviati dal client al server terminati dal carattere CRLF (invio), identificati da un tag specifico (ad esempio A00001), diverso per ogni comando impartito. Inoltre, per gestire la concorrenza, ad ogni messaggio possono essere assegnati uno o più flag che ne indicano lo stato: Seen → il messaggio è stato letto.
18 Answered → è stata inviata una risposta. Flagged → è stato impostato un flag di “urgente” sul messaggio. Deleted → il messaggio è stato contrassegnato per la cancellazione. Draft → il messaggio è una bozza. Recent → il messaggio è appena giunto nella casella di posta. Una sessione IMAP4 può attraversare quattro stati: • Non autenticato: quando il client si collega alla porta del servizio la prima volta senza immettere username e password. • Autenticato: dopo lo stato precedente l'utente si può autenticare con le proprie credenziali e la connessione passa allo stato Autenticato. • Selezionato: un utente la cui connessione è in stato Autenticato, può selezionare una casella e la connessione passa allo stato Selezionato. • Disconnesso: quando l'utente chiude la connessione. 1.3 Evoluzione della Posta Elettronica I protocolli che governano l'invio e la ricezione dei messaggi di posta, in particolare quello SMTP, sono alcuni dei pilastri su cui si basa la rete Internet moderna. Figura 6: Esempio di una comunicazione IMAP4.
19 Sono passati molti decenni dalla realizzazione e la standardizzazione di SMTP e, pur mantenendo le caratteristiche iniziali, il concetto di email si è evoluto e sta cambiando notevolmente. 1.3.1 QWERTYUIOP QWERTYUIOP [11], o un testo casuale molto simile, rappresenta il primo messaggio che Ray Tomlinson ha inviato nel 1971 come messaggio di prova da una macchina ad un'altra, transitando attraverso la rete ARPANET. Le caratteristiche più significative di questo evento sono l'invio di un messaggio da una macchina ad un'altra attraverso ARPANET, e l'utilizzo di un carattere che è divenuto ormai un simbolo fondamentale, il carattere “AT” (@). Tomlinson ha scelto tale carattere proprio per indicare che l'utente si trova su un altro server anziché essere locale alla macchina; tale regola vale ancora oggi per i comuni indirizzi email.
20 1.3.2 Email verso la standardizzazione Sebbene la rete ARPANET fosse destinata all'utilizzo da parte di pochi privilegiati, la mail si è presto evoluta; già alla fine degli anni '70 la maggior parte del traffico della rete ARPANET era costituito da email. Successivamente con l'avvento di Internet e grazie alla realizzazione di software in grado di scaricare i messaggi dal server e di poterli inviare in tempi successivi alla loro scrittura consentendone l'interazione in modalità offline, la posta elettronica si è diffusa in tutto il mondo conquistando prima milioni, poi miliardi di utilizzatori e diventando il pilastro di una rivoluzione che è in atto ancora oggi. 1.3.3 RFC 821, 2821, 5321 le evoluzioni dello standard SMTP Nel 1982 Jonathan Postel ha pubblicato il primo standard riguardante il protocollo di trasmissione della posta elettronica, noto come RFC 821. Mentre nel 2001 e successivamente nel 2008 sono stati rilasciati i due standard successivi: il 2821 e il 5321, rispettivamente. Con tali standard sono state introdotte molte modifiche, soprattutto nella definizione dei dettagli della comunicazione. SMTP Sez. 2 Per quanto concerne la sezione 2 che riguarda il modello SMTP, nella prima versione dello standard era prevista una semplice definizione dello schema SMTP, mentre con gli standard successivi sono state introdotte alcune estensioni, come il comando EHLO (che rappresenta HELO avanzato), o come parametri aggiuntivi per i comandi MAIL e RCPT. Con gli standard recenti sono stati inoltre meglio definiti i concetti di “busta” e di “contenuto”, ed è stato introdotto il ruolo del MUA.
21 SMTP Sez. 3 Tra il primo RFC e gli altri due vi sono alcune differenze importanti. La prima riguarda i comandi “VRFY” ed “EXPN”, in quanto nello standard RFC 821 non risultano obbligatori, mentre lo sono negli RFC successivi. Inoltre con le nuove versioni è stata definita un'altra categoria di server denominata Gateway SMTP, utilizzati per connettere due o più sistemi di posta diversi (che usano protocolli diversi). Un'altra definizione riguardante gli Alias per le mailbox compare per la prima volta nello standard RFC 2821 per poi essere maggiormente dettagliata nel 5321. Infine, negli standard più recenti compare il protocollo Submission, RFC 4409 [12], un servizio realizzato per supportare le connessioni MUA-MTA per l'invio della posta, che risponde sulla porta TCP 587. Tra lo standard RFC 2821 e lo standard RFC 5321 vi è un'altra differenza: nel secondo sono stati introdotti due aspetti molto interessanti per la sicurezza, i concetti di SPF e DKIM. SPF e DKIM sono importanti concetti che riguardano la sicurezza della trasmissione SMTP, attraverso cui i server possono verificare che la sorgente da cui proviene un messaggio sia effettivamente autorizzata alla spedizione per conto del dominio specifico mediante semplici interrogazioni DNS. SMTP Sez. 4 Rispetto alla prima versione dello standard, nelle altre due è previsto l'utilizzo di una coda di trasmissione da parte di ogni client SMTP. Lo scopo di tale coda è quello di memorizzare i messaggi in uscita, per poter tentare nuovamente l'invio in caso di errore. Inoltre sono state esplicate le strategie di trasmissione e di ritrasmissione. SMTP Varie Nelle recenti versioni sono state introdotte nuove funzionalità di debugging, di gestione degli errori, di individuazione dei loop e di sicurezza che non erano previste nella prima versione dello standard.
22 Inoltre nella versione più recente definita dallo standard RFC 5321, vi è una nota di sicurezza riguardante i bounce messages2 ; tali messaggi non devono essere inviati perché possono amplificare la posta indesiderata. 1.4 Evoluzione dei client di Posta Elettronica I client di posta (MUA) rappresentano l'interfaccia tra i server POP3, IMAP4, SMTP e gli utenti. Infatti gli utenti che compongono il messaggio sul MUA e che successivamente selezionano il comando “invia”, scatenano l'evento, ad essi totalmente trasparente, che prevede una conversione del messaggio e l'invio dello stesso attraverso una connessione SMTP verso il server MTA. Anche scaricando la posta, gli utenti scatenano un evento, ad essi totalmente trasparente, di connessione verso la casella postale che è tipicamente contenuta su un MTA (che nello specifico assolve funzioni di MDA3 ) al fine di consentire al MUA di prelevare i messaggi attraverso l'uso del protocollo POP3 o del protocollo IMAP4. Il MUA è considerato un importante nodo del processo di mailing, in quanto è il componente software con cui gli utenti interagiscono direttamente; per questo gran parte dell'evoluzione dei software dedicati allo scambio dei messaggi si concentra sui MUA. All'inizio i client erano composti solo dalla parte di connessione che prevedeva il supporto ai protocolli POP3, IMAP4, SMTP e da un semplice editor. I MUA si sono presto evoluti accorpando funzioni avanzate, dalla gestione dei contatti, ai calendari, dalla gestione delle note a quella degli appuntamenti. Si sono anche evoluti gli editor che sono diventati sempre più ricchi, con correttori di testo, editor HTML, etc. 2 Un messaggio di Bounce è un messaggio di rimbalzo, contenente codice identificativo del tipo di bounce e motivazione. 3 Un MDA (Mail Delivery Agent) è un particolare software che accetta i messaggi delle email e li distribuisce alle varie caselle di destinazione.
23 La maggior parte dei MUA recenti sono stati arricchiti con la possibilità di essere integrati con software anti-malware per contrastare gli attacchi che si sono recentemente diffusi nella rete. Anche gli aspetti di integrità e confidenzialità son stati curati, è infatti possibile implementare gli standard più diffusi in materia, ad esempio integrando script per PGP o per S/MIME. Infine molti dei programmi client di posta elettronica supportano integrazioni con software di terze parti, mediante plug-in. Nell'ultimo decennio un protocollo in particolare ha avuto un enorme sviluppo, il protocollo HTTP. Tale sviluppo si deve a moltissimi fattori, uno tra i più incisivi è costituito dalla sua enorme “reachability4 ”, questo perché è sufficiente un comune browser, e perché tale protocollo è filtrato o inibito in pochissime reti. Un altro fattore molto interessante di HTTP risiede nella forte espandibilità che ruota attorno ai linguaggi, in quanto è possibile utilizzare linguaggi di programmazione o di scripting per implementare con semplicità nuove funzioni. I protocolli della posta elettronica sono tra i primi che sono stati adattati per poter interagire con una sessione HTTP. Le webmail infatti esistono ormai da decenni e sono di uso estremamente comune. Anche quest'ultime hanno avuto una vasta evoluzione, le primissime sono quelle scritte nel 1995 in linguaggio CGI-BIN per Lotus, ma si sono presto sviluppate webmail di grandi provider di servizi come quelle di AOL, IOL, Yahoo, Hotmail, che hanno semplificato l'utilizzo della posta e hanno contribuito alla diffusione del servizio, consentendo agli utenti di utilizzarlo da diverse postazioni. L'avvento di Gmail la cui forza, oltre che nella sicurezza e nella altissima disponibilità del servizio, risiede in un enorme lavoro di integrazione tra mail e servizi correlati (quali chat, plug-in, office systems, etc) ha rafforzato ulteriormente questo trend. 4 Per reachability è da intendere la possibilità per il protocollo di essere raggiunto dalle postazioni Internet.
24 Per questo una soluzione moderna di gestione della posta deve prevedere un'interfaccia web estremamente accattivante e ricca di funzioni, perché l'utenza che oggi utilizza tali software è fortemente abituata ad utilizzare uno strumento che le consente di effettuare molte operazioni collaborative concentrate in un unico punto, e che fonde sia il concetto di comunicazione asincrona, sia quello di comunicazione sincrona. Un ultimo aspetto riguardante le evoluzioni dei client deriva dalla grande diffusione dei dispositivi mobili. Anche in questo caso il protocollo della posta è stato uno dei pionieri della transizione dai client tradizionali a quelli mobili. Per questo la webmail deve essere scritta opportunamente in un linguaggio moderno (Responsive web design5 ) che consenta ad esempio la facile transizione grafica da un PC ad un tablet o ad uno smartphone, in modo tale da garantire, almeno attraverso il canale HTTP, un accesso immediato ai servizi di posta da qualsiasi dispositivo. Per essere pienamente apprezzabile tale sistema dovrebbe anche supportare metodi avanzati di integrazione con i dispositivi, ad esempio mediante l'adozione di “app6 ” scritte ad hoc per i Sistemi Operativi mobili. Una valida alternativa alla “app” potrebbe essere la scelta di utilizzare un protocollo specifico di sincronizzazione tra il sistema di posta e le “app” preposte a tale funzione già presenti sui dispositivi; tipicamente il protocollo più ricco per tale sincronizzazione è rappresentato da “ActiveSync” di Microsoft, il quale è preferibile ai classici IMAP4+CalDAV7 perché è più semplice e veloce da configurare. 5 Responsive web design è una tecnica di realizzazione dei siti Internet in grado di adattarsi dinamicamente alle impostazioni visive del dispositivo dal quale vengono visualizzati. 6 Il termine app deriva dalla abbreviazione della parola “applicazione”; per app si intende una variante delle applicazioni informatiche scritte appositamente per dispositivi mobili. 7 CalDAV è un servizio Internet che consente di sincronizzare le agende remote.
25 2 Minacce alla Posta Elettronica L'enorme diffusione del servizio di posta elettronica rappresenta allo stesso tempo il suo maggior punto di forza e la sua più grande debolezza, in quanto gli utenti malintenzionati possono sfruttarla massivamente al fine di portare a compimento numerosi tipi di attacchi e frodi informatiche. Questo evidenzia la criticità del servizio e la profonda necessità di proteggere i server di posta al fine di rendere lo scambio di messaggi sicuro e di garantirne una piena fruibilità. Spesso, parlando di mail security, ci si riferisce solo a problemi legati allo spam o ai virus, ma in realtà, esistono numerosi tipi di attacco molto più pericolosi. Per la maggior parte delle minacce analizzate in questa tesi non esiste ad oggi una soluzione definitiva [13]; una ragionevole sicurezza dello scambio di messaggi attraverso la posta elettronica può essere ottenuta attraverso un processo molto complesso basato su scelte e compromessi. I filtri alle minacce possono essere applicati direttamente sui MUA, mediante l'utilizzo di plug-in e software addizionali sui client; questo però comporta una possibile disomogeneità delle regole di sicurezza, un incremento delle risorse di calcolo necessarie sui client e minor controllo sul sistema in generale. Un'altra modalità di filtro è quella implementata sui server MTA attraverso l'uso di tecniche di analisi, di regole di implementazione e di software polifunzionali; questo comporta l'adozione di server specifici per l'applicazione dei filtri e di un'infrastruttura adeguata, ma consente di avere maggior controllo e omogeneità sulle regole. Una terza modalità si basa sull'utilizzo di servizi esterni di sicurezza; la posta viene ricevuta da tali sistemi che non risiedono all'interno della rete dell'ente o dell'azienda, viene quindi bonificata e inoltrata ai sistemi di posta interni. Tale modalità offre gli stessi vantaggi offerti dai filtri applicati sui server MTA spostando la gestione dei sistemi a terzi, ma prevede dei costi di abbonamento.
26 In particolare le ultime due modalità sono interessanti laddove si abbia a che fare con una vasta eterogeneità di MUA che renderebbe estremamente ardua e costosa l'applicazione e la gestione della prima modalità. 2.1 Spam, un problema che ha origine con il protocollo SMTP Si ritiene che lo spam abbia origine nel 1978 ad opera della DEC, la quale inviò a tutti i destinatari ARPANET della costa ovest degli Stati Uniti una mail pubblicitaria per promuovere un nuovo prodotto. Da allora lo spam ha fatto balzi da gigante ed è diventato un problema di scala mondiale per il quale è ancora oggi molto difficile trovare una soluzione definitiva e condivisa. Qual è il significato di spam e a cosa serve [14]? Spam deriva da uno sketch di Monty Python in cui tale parola veniva utilizzata insistentemente da una cameriera per pubblicizzare un fantomatico ingrediente con qualsiasi pietanza, denominato spam. Questo particolare richiama molto da vicino il concetto moderno di spam, il cui intento è quello di pubblicizzare insistentemente un prodotto mediante l'invio di messaggi massivi a molti destinatari. Lo spam nell'accezione moderna indica appunto tutto quanto concerne l'invio di messaggi indesiderati e si concentra su Internet in generale, sia nei messaggi di posta che nelle chat, sia nei social network, che nei forum. Quindi lo scopo dello spam è quello di raggiungere il maggior numero di utenti, senza il loro consenso, con messaggi commerciali attraverso l'uso di software che consentono di effettuare massmailing. Si può dividere in due tipologie principali:
27 • UBE (Unsolicited Bulk Email); appartengono a questa categoria tutti quei messaggi chiamati “Hoax” o “Urban legend” che costituiscono di fatto le così dette “catene di Sant'Antonio”, ovvero email non commerciali inviate a grandi masse di destinatari. Spesso l'obiettivo di queste email è quello di diffondere messaggi fasulli o virus. • UCE (Unsolicited Commercial Email); appartengono a questa categoria tutti quei messaggi aventi scopi commerciali e pubblicitari inviati a grandi masse di destinatari. L'obiettivo di queste mail è quello di promuovere campagne o prodotti commerciali. Vi sono molti metodi utilizzati dagli spammer per perseguire i propri obiettivi; tali metodi possono essere sfruttati a causa della natura del protocollo SMTP, la quale non prevede una effettiva identificazione del mittente e del server di partenza. Uno spammer può ad esempio utilizzare open relay8 , spambot, macchine compromesse da virus o cavalli di troia per inviare moltissime mail durante una campagna di spam. Inoltre è molto semplice per gli spammer generare la lista dei destinatari; infatti è possibile acquistare pacchetti di indirizzi di posta elettronica presso opportuni venditori su Internet, i quali possono ottenerli attraverso varie tecniche di scansione sulla rete, di rilevazione su siti web, forum, etc. Lo spam non costituisce un vero e proprio pericolo per gli utenti di Internet perché la maggioranza dei messaggi indesiderati ha solo scopi commerciali, però l'enorme diffusione del fenomeno comporta comunque notevoli inconvenienti: • La maggior parte del traffico email è rappresentato da posta indesiderata, vi è quindi un enorme spreco di banda Internet a livello globale. • La grande quantità di messaggi di spam risiede sul disco del server che ospita caselle di posta, vi è quindi un grande spreco di spazio disco. • Una campagna di spam si basa su spedizioni massive, questo potrebbe causare la saturazione del server che gestisce la posta generando interruzioni del servizio. 8 Un open relay è un server SMTP mal configurato che consente a chiunque di inviare email verso altri domini.
28 • Il contenuto dei messaggi di spam è spesso violento o indecoroso. • La difficoltà per gli utenti nell'utilizzare le caselle di posta e il tempo necessario alla selezione dei messaggi desiderati rispetto a quelli indesiderati. Secondo il documento “Annual Security Report 2015” di Cisco [15] nel 2014 il problema dello spam è aumentato enormemente, superando duecento miliardi di mail di spam al giorno. D'altra parte è anche emerso che i migliori sistemi antispam riescono a bloccare oltre il 99% di email indesiderate. 2.1.1 Spam: Meccanismi per contrastarlo Il problema dello spam è in costante evoluzione; le tipologie di spam e le relative modalità di trasmissione e di composizione di un messaggio indesiderato sono moltissime, tutto questo rende impossibile individuare un metodo univoco per risolvere definitivamente tale fenomeno. Piuttosto è opportuno individuare una ricetta per mitigarne gli effetti, composta da soluzioni, spesso condivise tra i soggetti che partecipano allo scambio di messaggi. Tale ricetta può essere composta da molti strumenti, installati arbitrariamente in ogni implementazione del sistema di mail security, classificabili secondo le seguenti categorie. DNSBL Le liste DNSBL (DNS-based Blackhole List, dette anche RBL) costituiscono insiemi di indirizzi IP scritti in uno specifico formato, interrogabili attraverso la rete Internet.
29 Lo scopo di tali insiemi è quello di fornire un meccanismo di protezione basato sul riconoscimento dell'indirizzo IP sorgente mediante l'utilizzo di interrogazioni DNS. Possono essere utilizzate da qualsiasi servizio in grado di implementare un client di tipo RBL, attraverso cui viene verificato l'indirizzo IP sorgente prima di determinare se concedere o meno l'accesso; sono principalmente impiegate nei sistemi di controllo dei server di posta elettronica. L'interrogazione DNS ad una RBL viene eseguita mediante i seguenti passi: 1. Il server isola l'indirizzo IP sorgente e lo inverte (ad esempio 82.193.30.8 diventa 8.30.193.82). 2. All'indirizzo IP appena ottenuto pospone il dominio della RBL. 3. Esegue un'interrogazione per l'hostname ottenuto9 . 4. Se l'hostname precedente è contenuto nella lista RBL il server ottiene un indirizzo IP, altrimenti riceve una risposta NXDOMAIN10 . 5. Nel caso in cui l'hostname sia contenuto nella lista è possibile eseguire una seconda interrogazione di tipo TXT per ottenere informazioni riguardanti la motivazione. Il server che implementa tali controlli può quindi applicare delle regole di prevenzione in base alle politiche di sicurezza stabilite (ad esempio può bloccare il mittente o può assegnare alla mail un punteggio che concorre al computo finale per la valutazione della bontà del messaggio). Le liste RBL possono essere classificate in base al metodo di rimozione (è automatico dopo un certo tempo di permanenza o è necessario farne richiesta specifica?), al tempo di permanenza di un indirizzo IP (se il contenuto della lista viene rimosso automaticamente, qual è il tempo medio di permanenza?), al metodo di inserimento di un indirizzo IP (l'inserimento avviene previa segnalazione o in modo automatico attraverso l'utilizzo di honeypot?). 9 In particolare esegue un'interrogazione di tipo “A”, attraverso cui ricerca un indirizzo IP partendo da un hostname. 10 Dominio non trovato.
30 L'utilizzo delle liste RBL va valutato con cura in quanto esse sono gestite da terzi, dei quali non è sempre noto il fine; inoltre nell'insieme degli indirizzi IP spesso sono inclusi range DHCP di classi di indirizzi dial-up solo a scopo preventivo. Per questo è opportuno ponderarne l'utilizzo e prediligere l'applicazione di un punteggio nel caso in cui l'indirizzo IP del mittente sia presente nella lista, piuttosto che bloccare il client preventivamente; oppure è necessario prediligere l'utilizzo di poche liste fidate o gestite da enti senza scopo di lucro. Filtri antispam Molti software utilizzati dai relay si basano su filtri antispam che mediante varie classi di regole, possono stabilire se un messaggio è spam o meno. Tipicamente i filtri più avanzati analizzano il messaggio e la sua intestazione al fine di valutarne la bontà, attribuendo un punteggio in base alle regole violate. Vi sono tre classi di filtri: • Filtri statici, largamente usati in passato, che si basano su liste di parole o espressioni regolari che l'amministratore di sicurezza indica come “termini non permessi”. A seguito della presenza di tali parole all'interno di un messaggio il filtro può bloccare l'intera mail. Lo svantaggio di questi filtri è dovuto alla gestione e all'aggiornamento delle parole non permesse. • Filtri euristici, che analizzano il contenuto della mail e le relative intestazioni al fine di individuare modelli o schemi di realizzazione del messaggio che violano determinate regole stabilite dall'amministratore del sistema. Queste regole possono riguardare tutte le caratteristiche relative al corpo e all'intestazione del messaggio. Lo svantaggio di questi filtri è dovuto alla loro incapacità di eseguire analisi predittive. • Filtri statistici che utilizzano tecniche avanzate, come i filtri Bayesiani. Questi filtri si basano sul teorema di Bayes e fanno uso di metodi statistici basati su raccolte di email per predire se un messaggio è spam o meno. Lo svantaggio di questi filtri è dovuto alla gestione della collezione dei dati statistici relativi ai messaggi in quanto può assumere dimensioni anche molto significative, per questo è opportuno utilizzare un database.
31 I filtri che tipicamente sono utilizzati dai software antispam sono sia quelli euristici, sia quelli statistici. Reti collaborative Una terza tecnica di protezione contro lo spam si basa sulle reti collaborative, cioè reti composte da un insieme di client e di server su cui sono memorizzati gli hash che rappresentano univocamente un messaggio o parte di esso. Ogni volta che un server di posta riceve un messaggio ne calcola l'hash e richiede ai server della rete collaborativa la probabilità che tale mail sia spam o meno. Tale probabilità è calcolata in base al numero di server che hanno segnalato la ricezione di tale valore hash; maggiore è il numero, maggiore è la probabilità che il messaggio sia spam. I server di posta che filtrano con successo lo spam, utilizzano tecniche miste che coinvolgono controlli RBL, filtri euristici e filtri statistici, reti collaborative e altre tecniche che sono utilizzate non solo per contrastare lo spam ma anche le altre minacce analizzate in questa tesi. Tali tecniche sono trattate successivamente come metodi di contrasto ad altre minacce. 2.2 Phishing Il Phishing [14] è una particolare frode informatica attraverso cui un malintenzionato cerca di perseguire l'obiettivo di farsi comunicare dalla vittima dati finanziari, personali o codici di accesso. Sebbene il phishing possa avvenire attraverso vari mezzi di comunicazione, quello maggiormente colpito è la posta elettronica. Il malintenzionato utilizza tecniche di social engineering11 mediante l'invio massivo di email aventi contenuti e link che imitano messaggi legittimi di fornitori di servizi attraverso cui richiede di fornire informazioni personali. 11 Social engineering è lo studio del comportamento individuale al fine di carpire informazioni quali codici di accesso, dati personali, dati finanziari.
32 L'attacco phishing si svolge nel seguente modo: 1. L'utente malintenzionato, dopo aver predisposto una pagina del tutto simile a quella proposta dal fornitore di servizi, invia una mail massiva contenente del testo in cui viene richiesto l'accesso a tale pagina. Tipicamente tale accesso è realizzato attraverso l'uso di link fittizi che corrispondo a URL simili a quelli legittimi. 2. La vittima, selezionando tale link e inserendo i dati richiesti, inconsapevolmente li fornisce al malintenzionato, il quale li può utilizzare per compiere operazioni a titolo dell'utente legittimo, acquistando ad esempio servizi o trasferendo somme di denaro. Vi sono casi particolari di phishing in cui il malintenzionato ha l'obiettivo di indurre l'utente a selezionare un link che lo condurrà su una pagina malevola contenente virus o worm. In questo modo il malintenzionato può infettare molte macchine attraverso l'uso del phishing. Secondo il “McAfee Threats Report” [16] nel 2014 vi sono stati oltre 200.000 nuovi URL di phishing ogni mese. 2.2.1 Phishing: Meccanismi per contrastarlo Un meccanismo preventivo per contrastare tale fenomeno è quello della formazione dell'utente. Basandosi sul social engineering tale tecnica è particolarmente efficace laddove vi siano utenti inconsapevoli dei rischi e del tutto impreparati a fronteggiare il problema. Comunque è possibile implementare alcuni controlli di sicurezza che consentono di limitare le mail contenenti phishing.
33 Tipicamente è possibile utilizzare regole specifiche nel filtro euristico dei software antispam per rilevare e segnalare una possibile frode. Un'altra tecnica si basa su software che utilizzano particolari database di firme per scansionare il messaggio, individuare e segnalare l'eventuale presenza di link che puntano ad URL pericolosi all'interno della mail. 2.3 Malware Un malware è un software avente lo scopo di causare danni ad un computer, ai dati in esso contenuti o ad un sistema informatico. Il significato di malware deriva dalle parole malicious software, cioè, codice maligno. La diffusione dei malware è sempre in aumento e i vettori principali di diffusione di tali software sono i servizi più diffusi e utilizzati nella rete Internet, tra cui spicca in particolare la posta elettronica. Vi sono molte categorie di malware; quelle più importanti e pericolose sono: • Virus, sono porzioni di codice che si diffondono all'interno di altri file; si riproducono facendo copie di sé stessi. • Worm, sono simili ai virus, cioè sono porzioni di codice in grado di replicarsi autonomamente, ma non hanno bisogno di legarsi ad altri eseguibili. • Trojan, le cui funzionalità malevole sono nascoste all'interno di programmi apparentemente utili. • Spyware, che raccolgono le informazioni dell'attività di un utente e le trasmettono su Internet a società che le utilizzano per trarne profitto (ad esempio attraverso pubblicità mirata). • Rabbit, sono particolari software che si replicano all'interno del sistema con grandissima velocità saturandone le risorse.
34 Questo elenco comprende solo una parte delle tipologie di codice maligno che possono attaccare un computer o una rete informatica; alcuni di essi, come i worm, prediligono la replica automatica attraverso vettori a grande diffusione come le email; altri utilizzano qualsiasi vettore di trasmissione, quindi anche la mail. Tutti i software che sono classificati come malware possono costituire un pericolo non solo per il computer che li esegue, ma per l'intera rete informatica che lo ospita, e per i dati contenuti da tutte le macchine ad essa collegate. 2.3.1 Malware: Meccanismi per contrastarli I moderni software antivirus si basano su database di firme che contengono tutte le categorie di malware, consentendo di prevenire molti attacchi. Contro questi attacchi la miglior difesa [10] è la prevenzione, che può essere ottenuta bloccando l'ingresso a tutto il codice malevolo e cercando di evitare che si possa diffondere all'interno della rete informatica. Per poter bloccare il codice malevolo è quindi necessario controllare le mail in ingresso perché costituiscono uno dei principali vettori di diffusione. Tale compito è svolto egregiamente dai software antivirus integrati con i programmi di mail security. Due sono le tecniche che consentono ad un amministratore di sistema di avere successo nel contrastare i malware: • Bloccare le estensioni che sono tipicamente utilizzate da software malevoli. Mediante opportune regole il relay su cui è configurato il sistema di sicurezza, può bloccare tipologie note di file, impedendone la diffusione a prescindere dalla bontà del file in questione. Regole avanzate possono prevedere anche il blocco di archivi di file protetti da password, in quanto il software antivirus sarebbe impossibilitato ad aprirli.
35 • Utilizzare due programmi antivirus diversi. Eseguire in cascata due antivirus, realizzati da due società aventi scopi diversi; ad esempio uno commerciale e uno di tipo open source. Questo garantisce l'applicazione di database di firme di più ampio respiro, aumentando la probabilità di rilevare attacchi meno noti o diffusi. I file che sono stati rilevati come infetti dai sistemi di sicurezza possono essere eliminati oppure possono essere messi in quarantena per consentire agli utenti di accedervi qualora venga trovato un metodo di disinfezione. 2.4 Attacchi alle Caselle Mail Le caselle di posta costituiscono per un sistema mail il bene più prezioso. Esse infatti contengono la posta degli utenti, per questo vanno salvaguardate contro attacchi che possono comportare furto di informazioni o di identità oppure perdita di dati. I problemi principali che riguardano le caselle di posta degli utenti sono due: • Perdita di informazioni, molte possono essere le cause della perdita delle caselle di posta. Il server che ospita le caselle si può danneggiare, oppure un malware può corrompere i file in esso contenuto, oppure un utente può inavvertitamente cancellare la propria casella postale o parte di essa. • Attacco alle informazioni, esistono molti tipi di servizi che espongono le caselle, o che vi devono accedere direttamente, e nessun software è esente da errori di programmazione. Tali errori costituiscono bug che possono essere sfruttati per connessioni indesiderate, attraverso cui un utente malintenzionato può guadagnare un accesso illegittimo alle informazioni. Un altro problema può derivare dalla particolare infrastruttura di rete progettata per i servizi aziendali.
36 Per quanto riguarda la posta elettronica, ad esempio, moltissime installazioni prevedono che i servizi SMTP, POP3, IMAP4 e HTTP siano direttamente connessi ai dati aziendali, e installati in una rete accessibile da Internet. Questo tipo di architettura espone direttamente le caselle postali degli utenti ad Internet perché non vi è alcuna rete che renda tale accesso indiretto. Infine un ultimo problema può derivare dagli utenti stessi, i quali tendono ad utilizzare password spesso ripetitive e molto semplici che consentono ad utenti malintenzionati di accedere con facilità alla casella di posta con attacchi brute force12 . 2.4.1 Attacchi alle Caselle: Meccanismi per contrastarli Per contrastare la perdita di informazioni, la tecnica più efficace consiste nel mettere il dato al sicuro. Il meccanismo che concretamente consente di conservare in modo appropriato il dato è il backup. Infatti, pur adottando tecniche di ridondanza fisica, Access Control List sugli oggetti, controllo all'accesso e altri mezzi per aumentare la sicurezza del dato, le informazioni non sono mai completamente al sicuro. I sistemi e le informazioni in essi contenute sono costantemente esposte a pericoli di vario genere, per questo è necessario individuare un'opportuna strategia di backup per tutelare i dati. Caratteristiche che il backup deve avere: • Frequenza di backup, il salvataggio deve essere effettuato con una frequenza tale da consentire il ripristino del dato più recente possibile, per diminuire la perdita di informazioni. • Retention Policy, i salvataggi devono essere mantenuti per un periodo sufficiente che soddisfi le necessità di storicità delle informazioni imposte dalla direzione aziendale. 12 Brute force è un metodo che consente di trovare i codici di accesso ad un sistema, tentando tutte le possibili combinazioni.
37 • Sicurezza del backup, come le macchine che offrono il servizio di posta, anche i dispositivi di destinazione dei salvataggi possono essere sottoposti a malfunzionamenti; è quindi opportuno prevedere una politica di esportazione periodica dei backup per sopperire a eventuali situazioni di disastro, ad esempio attraverso l'uso di nastri. • Tipologia di backup, per ridurre lo spazio occupato e il tempo utile ad eseguire il salvataggio dei dati è necessario utilizzare un backup completo affiancato ad un backup di tipo incrementale o differenziale. Per contrastare l'attacco alle informazioni è necessario adottare una serie di accorgimenti. Password policy L'utilizzo di password semplici consente agli utenti malintenzionati di ottenere con facilità un accesso indebito al sistema con tecniche di brute force o password guessing. Per questo è molto importante utilizzare una password policy robusta che imponga all'utente di scegliere password sicure, non banali e che lo obblighi a cambiarle con una certa cadenza temporale, senza utilizzare nuovamente i codici già scelti. Patch management I software spesso contengono bug di realizzazione che possono compromettere la stabilità del servizio e spesso possono concedere accessi indesiderati. Per questo le funzioni di patch management dovrebbero essere implementate per tutti i servizi cui l'azienda o l'ente fanno riferimento. In particolare i software che espongono servizi verso Internet dovrebbero prevedere una politica di approvazione e applicazione continua delle patch per consentire un aggiornamento costante del sistema in modo da poter prevenire gli attacchi noti.
38 Infrastruttura di rete Spesso l'applicazione delle patch non è sufficiente a tutelare i servizi dagli attacchi, per questo è necessario implementare un'infrastruttura di rete che consenta di mettere in totale sicurezza i dati aziendali. In particolare è opportuno rendere, ove possibile, l'accesso ai dati indiretto. I software moderni consentono l'accesso indiretto ai server che ospitano le informazioni mediante l'uso di tecniche come il reverse proxy. In particolare per la posta elettronica è possibile implementare reverse proxy per i servizi di POP3, IMAP4 e per HTTP usato dalla webmail. Per quanto riguarda il protocollo SMTP, è possibile sfruttare le funzioni di relay per implementare uno (o più) server SMTP di frontiera per ricevere la posta dall'esterno, bonificarla e inoltrarla verso i server interni che contengono le caselle degli utenti. Un'implementazione che rispetti queste norme di sicurezza tipicamente si basa su una rete DMZ che è direttamente accessibile da Internet, utilizzata per consentire gli accessi dall'esterno verso i servizi di posta. Tali servizi accedono alle caselle interne per conto dell'utente che ne fa richiesta, consentendo un accesso indiretto alle informazioni. Quindi l'accesso alle caselle è mitigato dal server relay posto nella DMZ, i dati degli utenti rimangono sempre al sicuro nella rete LAN perché non vengono mai acceduti direttamente dall'esterno; anche l'eventuale compromissione dei servizi esposti sulla rete pubblica non consentirebbe l'accesso diretto alle informazioni. 2.5 Attacchi alla disponibilità del servizio L'alta disponibilità della posta elettronica è estremamente importante in quanto molti utenti la utilizzano quotidianamente. Anche molti servizi si basano sulla mail per inviare comunicazioni, rapporti, allarmi, questo ne aumenta la criticità e l'importanza.
39 Vi è una categoria di attacchi che mina la disponibilità dei servizi: gli attacchi di tipo DoS e DDoS. Questi attacchi hanno l'obiettivo di colpire il funzionamento dei servizi attraverso un gran numero di richieste, saturando le risorse e limitandone la disponibilità. 2.5.1 Attacchi alla disponibilità del servizio: Meccanismi per contrastarli Il protocollo SMTP ha un grosso vantaggio in quanto la ricerca dei server MTA dedicati alla ricezione della posta avviene attraverso l'analisi dei campi MX mediante un'interrogazione DNS. Nella definizione della zona DNS è possibile impostare un numero arbitrario di record MX e di attribuire loro un peso mediante un numero di preferenza. Durante la fase di invio il server MTA del mittente ottiene l'elenco dei record MX per il dominio di destinazione; tale server quindi può scegliere arbitrariamente, o in base alla preferenza del record MX, a quale MX inoltrare la mail. In caso di errore la mail in uscita viene trattenuta nella coda, quando il server effettua il successivo tentativo di spedizione, può scegliere un altro record MX. Questo consente quindi di introdurre una sorta di alta affidabilità e di bilanciamento nel protocollo SMTP, garantendo sia la protezione contro attacchi che minano la disponibilità del servizio SMTP, sia la possibilità di spegnere un server per manutenzione. 2.6 Confidenzialità, Integrità, Autenticazione, Non- Ripudio I sistemi mail non hanno un metodo nativo che garantisca confidenzialità, integrità, autenticazione e non-ripudio.
40 Tali paradigmi possono essere implementati attraverso varie tecniche che costituiscono integrazioni del protocollo oppure varianti del protocollo. Per quanto riguarda le integrazioni è possibile utilizzare: • PGP (Pretty Good Privacy) che è diventato uno standard denominato OpenPGP e consente di implementare confidenzialità, integrità e autenticazione attraverso l'uso della crittografia. Infatti attraverso tecniche crittografiche simmetriche e asimmetriche gli utenti che comunicano possono garantire la propria identità firmando il messaggio attraverso l'uso delle coppie di chiavi pubbliche e private. Possono inoltre garantire confidenzialità cifrando il messaggio con una chiave di sessione, a sua volta cifrata con la crittografia asimmetrica. Infine possono garantire l'integrità calcolando l'hash del messaggio e generando la firma digitale. • S/MIME offre le stesse garanzie di PGP ma anziché usare un sistema di “web of trust” per la distribuzione delle chiavi pubbliche usa una Certification Authority. Per quanto riguarda le varianti del protocollo è possibile utilizzare la Posta Elettronica Certificata (PEC). La PEC è una variante della posta elettronica tradizionale, disciplinata dalla legge italiana, che ha l'obiettivo di dare ai messaggi la stessa validità delle raccomandate, garantendo il paradigma del non-ripudio. Quando il mittente invia un messaggio, il suo gestore della PEC gli spedisce una ricevuta di ritorno avente valore legale circa la sua trasmissione. Anche il gestore della PEC del destinatario, una volta ricevuto il messaggio, spedisce al mittente una ricevuta di ritorno avente valore legale circa la sua consegna. Queste due mail costituiscono per il mittente un documento digitale che attesta, attraverso l'indicazione di data e ora, l'avvenuta trasmissione e consegna del messaggio; in questo modo è implementato per il destinatario il paradigma del non-ripudio, secondo cui egli non può negare di aver ricevuto la mail.
41 Anche il destinatario riceve, insieme al messaggio, un file che attesta che la mail è stata inviata dal mittente con data e ora; questo garantisce il non-ripudio anche da parte del mittente. Tale mezzo di comunicazione è attualmente l'unico utilizzabile per le comunicazioni tra imprese e Pubblica Amministrazione. I vantaggi offerti dalla PEC sono: • Implementazione della validità legale dei messaggi elettronici. • Tracciabilità delle mail. • Certezza della consegna. • Possibilità di inviare qualsiasi formato elettronico. • Riduzione dei costi. Lo svantaggio principale è dovuto al fatto che la PEC è uno standard italiano, non riconosciuto come standard internazionale. 2.7 Varie tecniche di protezione Vi sono molte altre tecniche che consentono di affinare i controlli che i filtri di sicurezza effettuano sulla posta. Greylisting Questo metodo si basa sul concetto di coda previsto dallo standard RFC del protocollo SMTP: se un MTA non riesce ad inviare un messaggio ad un server destinatario, deve utilizzare una coda per memorizzarlo e tentare nuovamente l'invio; il messaggio deve essere mantenuto in coda per un numero ragionevole di giorni prima di poter essere eliminato in caso di fallimento prolungato. I messaggi malevoli sono generalmente inviati attraverso macchine compromesse sulle quali non può essere implementato un sistema di code né nella memoria RAM né sul disco; tipicamente i messaggi spediti attraverso questi vettori vengono inviati una sola volta e non sono previsti ulteriori tentativi.
42 Quindi attraverso le Greylist i server utilizzano una particolare lista “grigia” in cui vengono poste le informazioni del mittente e del destinatario, in attesa che scada un certo periodo di tempo; successivamente tali informazioni sono poste in una “Whitelist” e i messaggi relativi possono essere consegnati senza ulteriori attese. Il server MTA che implementa un sistema di Greylisting tiene traccia di una tripletta contenente indirizzo di posta del mittente, indirizzo di posta del destinatario, indirizzo IP del mittente; ad ogni mail in arrivo il server verifica se la tripletta relativa allo specifico messaggio è già presente nel database, in caso positivo la mail può entrare, in caso negativo viene bloccata con un messaggio di errore di tipo 4XX e viene popolato il database con la tripletta relativa. Il successivo tentativo di spedizione della stessa mail da parte del server mittente ha successo se tra il primo e il secondo invio è trascorso un tempo sufficiente per coprire il periodo di grey13 . Questa tecnica offre la possibilità di effettuare una selezione preventiva dei messaggi, consentendo di bloccare molte mail malevole che sono inviate da client impropri, e di risparmiare tempo di calcolo necessario ai sistemi di sicurezza che, generalmente sono molto onerosi e consumano molte risorse. SPF Sender Policy Framework consente di dichiarare nel DNS, mediante un record di tipo SPF o TXT, i server che sono autorizzati a spedire posta per il dominio. L'utilizzo di SPF può essere totale, ovvero un server può bloccare definitivamente una mail in ingresso proveniente da un indirizzo IP che non compare nel record SPF del dominio, oppure parziale, ovvero la mancanza dell'indirizzo IP del server mittente nel record SPF può aumentare le probabilità che il messaggio sia malevolo, mentre la presenza può diminuirne le probabilità. La verifica del campo SPF può essere implementata nativamente o mediante plug- in nei server di posta e la scelta di adottare o meno tale controllo di sicurezza è totalmente arbitraria. 13 Il periodo di Grey è un periodo durante il quale la tripletta fa parte della “lista grigia”; il messaggio relativo non può essere consegnato fino a che tale periodo non è terminato.
43 Molti amministratori attribuiscono ancora oggi ad SPF un'importanza minore, questo ne penalizza le potenzialità perché la sua efficacia dipende dalla cardinalità dei domini che lo adottano. DKIM Domain Keys Identified Mail è un protocollo basato sulla crittografia e sull'utilizzo del DNS; ha l'obiettivo di risolvere i problemi legati all'autenticità del mittente e all'integrità del messaggio. Il funzionamento di DKIM si basa sull'inserimento della chiave pubblica per il dominio in un record di tipo TXT nel DNS e sull'aggiunta della DKIM-Signature alla mail. La DKIM-Signature contiene molti campi, quelli più importanti riguardano l'indicazione del dominio e l'hash cifrato. Il destinatario che riceve un messaggio con firma DKIM preleva il nome del dominio e lo utilizza per effettuare una ricerca DNS al fine di individuarne la chiave pubblica; quest'ultima viene quindi utilizzata per decifrare l'hash, il quale indica il valore univoco che contraddistingue il messaggio. Il destinatario può quindi calcolare nuovamente l'hash del messaggio per poterlo verificare con quello ottenuto dall'operazione precedente. Se i due hash corrispondono allora il mittente è autentico e la mail è integra. Il protocollo DKIM è ancora poco diffuso, molti domini si limitano ad implementarne la verifica ma non applicano la firma ai messaggi. DMARC Domain-based Message Authentication, Reporting and Conformance è un'estensione dei meccanismi di controllo SPF e DKIM. Questo protocollo consente agli amministratori di specificare, sempre mediante un record di tipo TXT nella zona DNS del dominio, quale azione deve essere intrapresa dai server di posta qualora ricevano una mail il cui campo “From” faccia riferimento allo specifico dominio, ma il messaggio non abbia passato il controllo SPF o DKIM.
44 Attraverso questa modalità gli amministratori possono rafforzare le verifiche DKIM e SPF determinando quale valore i server che ricevono mail dal dominio di competenza debbano attribuire a tali controlli. Formazione degli utenti I sistemi di protezione non sono infallibili, in particolare, considerando l'ingente quantità di messaggi che ogni giorno sono processati da un sistema di posta, la mole di minacce in grado di eludere le misure di sicurezza può essere significativa. Per questo è necessario formare gli utilizzatori della posta elettronica al fine di informarli sulle principali tipologie di minacce per evitare che gli attacchi non rilevati dal sistema di protezione costituiscano pericoli gravi per l'intera rete. Certificati SSL Un metodo per evitare intercettazioni, furti di informazioni, furti di messaggi o di credenziali di accesso è quello di rendere sicuro il canale di comunicazione tra gli utenti e il sistema di posta. Questo compito può essere assolto attraverso l'uso della crittografia, con i certificati SSL. Tutti i browser e i MUA sono in grado di riconoscere la veridicità e la validità di un certificato SSL, per questo è molto importante proteggere i protocolli con un certificato valido e riconosciuto da una Certification Authority. Anche in questo caso la formazione degli utenti è fondamentale, in quanto è necessario che essi sappiano riconoscere quando un certificato non è valido rispetto a quanto dichiarato dal server o quando un certificato non è ufficiale o generato da una Certification Authority riconosciuta, in modo da evitare accessi indebiti al sistema di posta, attacchi phishing, etc. Reputazione La reputazione di un server o di un dominio è di fondamentale importanza rispetto ai controlli di sicurezza analizzati, in particolare rispetto alle liste DNSBL.
45 Per questo è importante evitare di diffondere messaggi impropri o di essere vettori di attacchi: è molto facile ottenere una pessima valutazione o una cattiva reputazione. Un server che ha una cattiva reputazione può incontrare molte difficoltà nell'invio della posta; questo può determinare gravi disservizi. Senza adeguati controlli un MTA può effettuare attacchi a terzi, ad esempio un utente malevolo può utilizzare le credenziali di un utente legittimo ottenute illecitamente, per inviare spam o virus; oppure il server può essere configurato in modo errato ed essere un open relay; oppure una macchina del dominio può essere infetta da un virus e può utilizzare la posta per attaccare macchine esterne. Quindi è opportuno configurare adeguatamente i server relay per evitare che utenti esterni al dominio possano utilizzarli per inviare posta verso terzi (bloccare quindi le impostazioni di tipo open relay), applicare delle regole in uscita per bloccare massmailing dalle macchine interne e applicare i comuni filtri anche alle mail in uscita. Infine è opportuno che il sistema di protezione abbia un accurato meccanismo di controllo dello stato al fine di consentire agli amministratori di verificarne i rapporti di funzionamento per poter agire prontamente sulle regole, affinandone i controlli e per poter prevenire comportamenti inattesi del servizio di posta. 2.8 Analisi dei sistemi di sicurezza I sistemi di sicurezza che sono utilizzati per bonificare le email intraprendono moltissime azioni e possono essere estremamente invasivi. Infatti tali sistemi possono applicare “tag” alle mail per segnalarne la possibile pericolosità, possono bloccare i messaggi e renderli inaccessibili agli utenti o possono metterli in uno stato di quarantena. Inoltre, effettuando molti controlli, possono rallentare notevolmente la trasmissione dei messaggi aumentando i tempi di consegna e utilizzando molte risorse di una rete.
46 Per questo è molto importante valutare e classificare i sistemi di sicurezza, rispetto ai risultati e rispetto ai tempi di latenza che derivano dal loro utilizzo. Rispetto ai risultati ottenuti è necessario introdurre due concetti particolarmente importanti, tali concetti hanno una grande utilità nella maggior parte delle tecniche usate per contrastare le minacce alla posta elettronica. Infatti l'obiettivo finale di tali tecniche è quello di filtrare tutti i messaggi il cui contenuto è considerato indesiderato14 , quindi risulta estremamente importante poter verificare il corretto funzionamento dei metodi di sicurezza utilizzati, valutandone i risultati ottenuti. I concetti in questione sono: • Falso positivo: quando una mail è risultata indesiderata secondo i controlli di sicurezza cui è stata sottoposta, ma in realtà è “pulita” (può essere stata interpretata come spam senza effettivamente esserlo, oppure il sistema antivirus può aver individuato nel suo contenuto un virus, ma in realtà il contenuto ne è esente, o può essere stato rilevato un attacco phishing che non costituisce una minaccia). • Falso negativo: quando una mail è risultata “pulita” secondo i controlli di sicurezza, ma in realtà contiene delle minacce (ad esempio se i controlli di sicurezza non rilevano un virus, un attacco phishing, oppure non individuano spam all'interno di un messaggio che può essere classificato come spam). Un buon sistema che filtra le minacce alla posta deve mantenere bassi entrambi i valori; un numero alto di falsi negativi corrisponde ad un sistema che non è in grado di rilevare minacce concrete insite nei messaggi, quindi gli utenti ricevono molto spam, molti virus, o tanti attacchi di tipo phishing. Un numero alto di falsi positivi corrisponde ad un sistema che segnala come indesiderata molta posta che in realtà dovrebbe essere considerata buona; questo indica che gli utenti perdono mail che potrebbero essere importanti. 14 Una mail può essere considerata “buona” se non è spam, non contiene phishing, non contiene virus, è stata legittimamente prodotta dal mittente.
47 I sistemi di sicurezza sono prevalentemente valutati rispetto al numero di minacce che non riescono a bloccare sul totale delle mail che costituiscono un pericolo concreto (quindi sul numero di falsi negativi); è comunque importante evitare di mantenere un numero alto di falsi positivi (utilizzando ad esempio filtri molto aggressivi) perché altrimenti potrebbero venir bloccate molte mail lecite, provocando un disservizio alla fruibilità della posta da parte degli utenti. Il bilanciamento tra il numero di falsi positivi e falsi negativi è puramente arbitrario e dipende dalle politiche di sicurezza previste dall'ente o dall'azienda cui il sistema di protezione deve garantirne l'affidabilità; quindi è spesso frutto di scelte e compromessi tra le necessità dell'azienda e le necessità degli amministratori della sicurezza. Rispetto ai tempi di latenza risulta molto importante valutare sia le risorse che sono necessarie ai sistemi di sicurezza per svolgere i propri compiti, sia il tempo che tali scansioni richiedono, perché esso costituirà un overhead rispetto ai normali tempi di consegna dei messaggi. Anche in questo caso risulta necessario un bilanciamento tra i risultati che si intende ottenere e le penalizzazioni che possono derivare dall'utilizzo di un sistema troppo oneroso. Tale bilanciamento è opportuno perché l'overhead che deriva dall'applicazione dei filtri può risultare esiguo se applicato ad un numero ristretto di messaggi, ma se applicato a una grande mole di informazioni può aumentare esponenzialmente e può quindi inficiare negativamente sulla fruibilità del servizio. Spesso la scelta e le modalità di applicazione di un processo di sicurezza sono frutto di una contrattazione tra la direzione aziendale e gli amministratori della sicurezza. Infine, dato che alcuni dei controlli effettuati dai sistemi di bonifica dei messaggi si possono affidare a terzi (ad esempio a liste DNSBL o a software antivirus) è molto importante accertarsi dell'affidabilità di tali servizi perché il peso derivante dalle regole di controllo basate su di essi può compromettere l'intero funzionamento del sistema.
48 L'utilizzo dei sistemi esterni dovrebbe quindi costituire solo una parte dei controlli applicati ai messaggi, sia per limitarne il peso nella valutazione finale, sia per limitare i tempi di latenza derivanti dalla loro esecuzione. L'esperienza di grandi provider di servizi e il successo di sistemi di posta quali Gmail, che ha fatto della sicurezza dei messaggi il fulcro della propria offerta, deve essere d'esempio per ogni ente o azienda che intenda utilizzare un sistema di posta elettronica. Un buon sistema collaborativo non può prescindere da un buon sistema di sicurezza.
49 3 Collaboration Suite per la PA: Requisiti La Comunità Montana “Montagna Fiorentina” è un Ente che comprende sette importanti Comuni compresi tra la Valle della Sieve e il Valdarno. Fanno parte di tale Unione i Comuni di: • Londa • Pelago • Pontassieve • Reggello • Rignano sull'Arno • Rufina • San Godenzo L'Unione copre una superficie di oltre 500 KM2 con oltre 55000 abitanti.
50 3.1 Unione di Comuni Valdarno e Valdisieve: Infrastruttura informatica Lo scopo dell'Unione è quello di gestire una pluralità di funzioni e servizi complessivi di competenza dei Comuni che ne fanno parte. Tra i principali servizi spiccano quelli relativi alla gestione delle risorse informatiche. Infatti ai Comuni che ne fanno parte è affidata una gestione parziale dei servizi informativi locali, mentre spetta all'Unione la gestione di funzioni informatiche centralizzate e comuni a tutti gli Enti medesimi. Servizi quali la gestione del S.I.T (Sistema Informativo Territoriale), la gestione informatizzata del SUAP (Sportello Unico Attività Produttive), la gestione informatizzata dell'Albo Pretorio, la modulistica digitale, il Sistema Documentario, la posta elettronica o il sito istituzionale sono accentrati presso il CED dell'Unione. La gestione del parco macchine, delle utenze e di alcuni servizi istituzionali locali è invece demandata ad ogni singolo Ente. Ogni sede è dotata di un proprio dominio ed è collegata all'Unione attraverso una VPN per integrare in modo sicuro i servizi della Comunità Montana. Per quanto concerne la posta, oltre a quella relativa alla Comunità Montana, sono gestite dalle macchine dell'Ente le caselle postali dei Comuni di Londa, Pelago, Reggello, Rignano sull'Arno, Rufina, San Godenzo, mentre è previsto per il Comune di Pontassieve un piano di integrazione futuro. Tali Enti contano un totale di oltre 400 caselle di posta, 200 alias e 50 liste di distribuzione, gestite da un unico punto di amministrazione. I domini serviti dal sistema di posta sono in totale 11 di cui 4 sono alias. Oltre alla posta elettronica tradizionale è previsto l'utilizzo della Posta Elettronica Certificata per espletare le funzioni dello Sportello Unico delle Attività Produttive e per tutte le comunicazioni ufficiali che coinvolgono Enti, cittadini e imprese.
51 Figura 9: tutte le sedi che fanno parte della Comunità Montana sono interconnesse alla sede operativa dell'Ente mediante una VPN di tipo IPSEC. 3.2 Problemi della piattaforma precedente La piattaforma su cui era implementata la gestione della posta elettronica per tutti i Comuni appartenenti alla Comunità Montana soffriva di numerosi problemi di sicurezza e carenze di funzionalità. Figura 9: Schema delle reti interconnesse dell'Unione di Comuni.
52 Posizionamento del server Il primo problema era dovuto alla topologia di rete utilizzata per la soluzione, in quanto sia le funzioni di sicurezza, sia le funzioni di fruizione della posta erano implementate su un unico server. In particolare il server che gestiva la soluzione, e con esso tutte le caselle postali degli utenti, era posizionato nella rete DMZ; questo posizionamento consentiva ad utenti malintenzionati di ottenere direttamente l'accesso alle caselle di posta, a seguito di un attacco. Infatti, a seguito di attacchi che hanno consentito a terzi di ottenere accessi illeciti alla macchina, alcune caselle di posta sono state effettivamente compromesse. Anche le configurazioni del server sono state alterate indebitamente, con lo scopo di creare condizioni favorevoli agli spammer. Inoltre il posizionamento delle caselle in una rete facilmente accessibile da Internet ha consentito ad utenti malintenzionati di installare software quali sniffer per potersi impadronire delle password dei legittimi utilizzatori della posta. Spesso tali password consentivano l'accesso ad altri software dell'Ente, quindi la compromissione del server di posta ha costituito gravi rischi per l'intera rete. Infine, utilizzando un unico server per i servizi di posta e quelli di sicurezza, era particolarmente difficile eseguire operazioni di manutenzione, in quanto, lo spegnimento dello stesso fermava tutti i servizi installati, rendendo impossibile l'utilizzo temporaneo di una coda per memorizzare i messaggi in transito. Controlli inadeguati Le regole di sicurezza previste non erano sufficienti a limitare in modo adeguato gli attacchi e le mail indesiderate. Tali regole si basavano prevalentemente su filtri euristici datati, su un antivirus e su filtri statistici di tipo Bayesiano, configurati per gestire ogni casella con un database distinto anziché utilizzarne uno centrale per il dominio. Queste misure di sicurezza sono risultate più volte inefficienti in quanto gli utenti sono stati spesso vittime di vaste campagne di spam.
53 La carenza di tali sistemi di sicurezza non era dovuta solo alla scarsa manutenzione dei filtri (causata principalmente dalla mancanza di aggiornamenti pianificati) ma anche alla particolare configurazione del filtro Bayesiano poiché esso era suddiviso per ogni casella di posta e non centralizzato per l'intero sistema. Quindi il filtro statistico che veniva applicato non sfruttava appieno le potenzialità di analisi. Infine non era prevista una funzione, estremamente importante contro lo spam, di autoapprendimento attraverso la segnalazione della posta indesiderata che non è stata classificata come tale (falsi negativi). Il sistema di sicurezza era perciò totalmente inadeguato e molte mail contenenti spam, virus, phishing e altri attacchi riuscivano ad entrare quotidianamente nel sistema. Gestione delle utenze La gestione degli utenti era locale al server e non era prevista alcuna password policy. Molti utenti utilizzavano password semplici da indovinare, per questo i relativi account erano spesso violati ed erano utilizzati per lanciare campagne di spam verso altri domini. Non erano neanche previsti tempi di scadenza per obbligare gli utenti a cambiare le password. Infine non era previsto alcun meccanismo di integrazione con i sistemi di directory presenti nei Comuni appartenenti alla Comunità Montana. Tali caratteristiche hanno reso il server di posta della Comunità particolarmente debole agli attacchi contro le utenze. Scarsa reputazione A causa dei molti problemi di sicurezza evidenziati in precedenza il server di posta era spesso utilizzato come vettore di attacchi, campagne di spam e diffusione di virus. Infatti le utenze potevano essere violate attraverso attacchi brute force a causa della mancanza di password policy, oppure potevano essere sfruttate attraverso i MUA installati su macchine che erano state infettate da virus o trojan.
54 I domini degli Enti erano spesso catalogati come vettori di attacchi, per questo erano inseriti in blacklist (DNSBL); la posta inviata veniva bloccata da tutti i destinatari che implementavano controlli basati sulle medesime blacklist. Questo causava notevoli disservizi e l'eliminazione dalle blacklist era sempre più onerosa e complessa. Funzionalità collaborative assenti Il server di posta installato in precedenza non era dotato di funzionalità collaborative. Infatti non erano presenti chat intradominio o trasversali tra i domini; non erano presenti calendari e non era possibile gestire note e appuntamenti. Mancava inoltre un'applicazione che consentisse la gestione e la condivisione di file e allegati. La rubrica era presente ma non poteva essere condivisa tra utenti e tra domini. Questo rendeva la soluzione poco flessibile e non adatta alle necessità aziendali. Limitata disponibilità per i dispositivi mobili L'unica possibilità di collegare dispositivi mobili al sistema di posta era attraverso l'uso di protocolli POP3 o IMAP4. La soluzione quindi non poteva offrire ai dispositivi mobili la possibilità di utilizzare i calendari o di consultare la rubrica e la configurazione dei client stessi era piuttosto macchinosa. Inoltre la webmail disponibile non era di tipo responsive15 per cui la consultazione della posta su dispositivo mobile attraverso il protocollo HTTP era limitata. Gestione e configurazione non centralizzata I componenti utilizzati per filtrare la posta non erano gestibili attraverso alcuna interfaccia centralizzata, per cui la manutenzione delle regole era molto complessa e onerosa. 15 Il design responsive consente di realizzare siti in grado di adattarsi in modo automatico al dispositivo.
55 Inoltre la soluzione non era dotata di strumenti per il controllo e la reportistica, quindi era impossibile valutare il funzionamento dei filtri o il livello di sicurezza. Anche per la gestione delle caselle non era prevista alcuna interfaccia, quindi l'aggiunta o la modifica di un utente richiedeva l'accesso alla macchina e l'interazione con la linea di comando del sistema operativo. La gestione del server risultava quindi molto complessa. 3.3 Requisiti In seguito a quanto emerso dalle problematiche e dalle limitazioni cui era affetto il sistema precedente, l'Ente Unione di Comuni Valdarno e Valdisieve ha individuato per la realizzazione del nuovo sistema di Collaboration Suite i seguenti requisiti. 3.3.1 Sicurezza La sicurezza della posta elettronica è sempre stata un grosso problema per l'Ente, per questo il nuovo sistema deve: • Garantire un tasso di falsi negativi inferiore al 5% per limitare le mail spazzatura. • Bloccare spam, attacchi provenienti da malware e attacchi phishing. • Mantenere un tasso di falsi positivi inferiore al 0,1% per non provocare troppo disservizio agli utenti. • Prevedere metodi per prevenire la cattiva reputazione dei server di posta, al fine di evitare che i domini finiscano nelle blacklist. • Integrare metodi per consentire l'identificazione del mittente, la confidenzialità e l'integrità. • Prevedere un metodo di gestione e applicazione automatica delle patch.
56 • Utilizzare metodi modulari per il controllo della mail, in modo da garantire la possibilità di aggiornare le tecniche di protezione contro nuovi attacchi. • Sfruttare gli utenti già configurati nei vari domini (Active Directory) presenti in tutti i Comuni appartenenti all'Unione, al fine di centralizzare gli accessi e di consentirne una gestione semplificata. Tale implementazione garantisce inoltre la possibilità di utilizzare le password policy già implementate. Deve comunque prevedere la possibilità di mantenere un database locale di utenti, garantendo password policy, password rotation e tecniche per prevenire attacchi brute force. • Preservare le informazioni utilizzando backup di tipo full affiancati a backup incrementali. Le informazioni devono essere salvate con un livello di granularità pari alla singola mailbox e allo stesso modo devono poter essere ripristinate. Oltre alle caselle di posta è necessario salvare anche le informazioni accessorie, come i calendari, le rubriche, etc. • Preservare le caselle e il server di posta, garantendo loro un accesso indiretto, utilizzando l'infrastruttura di rete già presente presso la Server Farm dell'Unione. Figura 10: Infrastruttura di rete dell'Unione di Comuni Valdarno e Valdisieve.
57 Figura 10: la rete dell'Unione è composta da due segmenti separati, quello che comprende la rete interna (LAN) e quello che comprende la rete direttamente accessibile dagli utenti Internet (DMZ). Per la nuova realizzazione è necessario sfruttare tale infrastruttura di rete per poter suddividere il server di Collaboration Suite da quello di frontiera. In particolare è necessario posizionare le caselle all'interno della rete LAN proteggendole dagli accessi diretti utilizzando la rete DMZ per collocare un server di frontiera che garantisca l'accesso indiretto ai protocolli fondamentali, configurati sul server di Collaboration Suite. 3.3.2 Collaboration Suite: Funzionalità Uno degli obiettivi principali della nuova implementazione deve essere quello di ammodernare il sistema di comunicazione tra gli utenti dei Comuni associati all'Ente. Quindi la nuova implementazione deve prevedere tutte le funzionalità tipiche di una Collaboration Suite: • Al fine di consentire uno scambio di messaggi in modalità sincrona e di preservare lo spazio e le risorse dei server di memorizzazione e di gestione dei messaggi di posta, è necessario prevedere un sistema di chat che consenta agli utenti di tutti i Comuni di dialogare tra loro in tempo reale ma che non permetta loro di comunicare con utenti esterni. • La gestione dei contatti dell'Ente e di tutti i Comuni deve poter essere completamente demandata al nuovo sistema di posta, il quale deve quindi prevedere una gestione estremamente granulare delle rubriche. In particolare deve garantire la possibilità di definire rubriche condivise per ogni Comune, rubriche condivise e centralizzate per l'Unione, una o più rubriche per ogni utente e la possibilità di condividere le stesse tra gli utilizzatori.
58 • Per facilitare la collaborazione tra gli utenti deve essere prevista la possibilità di definire e condividere eventi, attività e note, fruibili da tutta la rete dell'Unione. • L'amministrazione dei calendari e degli appuntamenti di ogni utente, Comune e della Comunità Montana stessa, deve essere implementata nel sistema di posta, il quale deve prevedere una gestione centralizzata, integrata e condivisibile tra ogni soggetto. • Al fine di consentire lo scambio di file e allegati è necessario implementare un sistema di gestione e condivisione di oggetti tra gli utenti interni all'Ente e tra i dipendenti e i cittadini. • Per soddisfare eventuali future esigenze, è necessario che il nuovo sistema consenta la realizzazione e l'implementazione di nuove funzionalità attraverso plug-in o estensioni del software. 3.3.3 Gestione centralizzata La soluzione scelta deve poter essere gestita centralmente da un'interfaccia intuitiva. In particolare deve consentire: • Una visione e una gestione centralizzata dei domini. • La definizione e la gestione delle utenze e di tutte le caratteristiche ad esse collegate, quali password e password policy (ove necessario), identità e dimensionamento per ogni singola casella. • La configurazione di tutte le funzionalità previste dalla soluzione. • La definizione e la gestione dei protocolli offerti. • La configurazione di liste di distribuzione e alias. • Il monitoraggio di tutti i filtri di sicurezza implementati. • La configurazione dei filtri di sicurezza. • La gestione e l'implementazione di Whitelist o Blacklist a livello globale.
59 • Il monitoraggio delle risorse consumate dal server utilizzato per i servizi collaborativi e di quelle consumate dal server di filtro. • La verifica e la notifica delle versioni e degli aggiornamenti disponibili. 3.3.4 Contenimento di costi e risorse Non sono stati individuati limiti di spesa esatti e non sono stati definiti limiti computazionali. Comunque la soluzione di posta non deve essere particolarmente dispendiosa e non deve utilizzare eccessive risorse del Data Center dell'Unione. In particolare è necessario prediligere software di tipo Open Source, soprattutto per favorire il riuso della soluzione. Inoltre, al fine di evitare sprechi di spazio disco è necessario utilizzare software che supportino la deduplica dei dati. Infine deve essere possibile espandere il sistema con facilità e senza ulteriori costi (fatto salvo per le risorse computazionali), per garantire la possibilità di aggiungere nuovi Enti soci alla Collaboration Suite. 3.3.5 Dispositivi mobili Per garantire totale fruibilità da parte dei dipendenti dell'Ente, deve essere sostenuta ampia compatibilità con i dispositivi mobili. In particolare devono essere almeno garantiti i protocolli IMAP4 e SMTP autenticato per consentire la configurazione della posta elettronica su tali dispositivi. Per facilitare la configurazione dei dispositivi sarebbe preferibile una soluzione che renda disponibili protocolli più complessi quali ActiveSync. La soluzione può anche prevedere un design di tipo responsive per permettere l'accesso direttamente alla propria interfaccia web.
60 4 Collaboration Suite per la PA: Analisi e Implementazione A seguito delle necessità espresse dall'Ente è stata realizzata ed implementata nella prima metà del 2013 una soluzione di Collaboration Suite per soddisfarne i requisiti. La seguente analisi ha due scopi: • Mostrare ogni dettaglio implementativo e i componenti utilizzati. • Mostrare che i risultati ottenuti soddisfano appieno i requisiti. Il primo aspetto riguarda l'architettura utilizzata per la realizzazione della soluzione, da cui emergono i flussi dei protocolli applicativi. Figura 11: Schema di rete della piattaforma installata.
61 La soluzione è composta da due categorie di server: • Un server di frontiera denominato “Mailrelay” dedito all'interfacciamento tra il servizio di posta dell'Ente e il mondo esterno. Questo server è posizionato nella rete DMZ, direttamente accessibile da Internet e di fatto isolato dalla rete interna; consente a terzi di consegnare i messaggi per i destinatari appartenenti ai domini dell'Ente e consente agli utenti interni di inviare posta verso l'esterno, inoltre applica ai messaggi in ingresso e in uscita tutti i controlli di sicurezza che sono stati individuati per garantire affidabilità alla posta elettronica. Rappresenta inoltre il punto di ingresso che permette agli utenti di accedere agli strumenti di collaborazione, sia fuori che dentro la rete aziendale. La soluzione prevede un singolo server, individuato nelle zone DNS come campo MX dei domini cui appartiene; in futuro questo server può essere affiancato da altri per ridondanza o bilanciamento, senza stravolgere i flussi implementati, ma effettuando una semplice modifica alla zona DNS. • Un server posizionato nella rete interna, denominato “Mailserver”, il quale implementa la soluzione di Collaboration Suite. Questo server contiene le caselle degli utenti e si interfaccia sia con i servizi di directory, sia con il database locale per garantire loro l'accesso e gestirne le politiche. Non è previsto alcun flusso di accesso, sia esso di interrogazione, di gestione o operativo, diretto verso questa macchina, Gli strumenti adottati per la soluzione sono tutti open source, per garantire il riuso. I software sono stati scelti anche in base a criteri di supporto e manutenzione, infatti per la maggior parte di essi vi è la possibilità di sottoscrivere contratti di assistenza con la casa produttrice, oppure, vi è una vasta comunità di utilizzatori con una continua condivisione delle esperienze di gestione; in questo modo è possibile garantire tempi di attività elevati e aggiornamenti costanti per adeguare la soluzione alle necessità future.
62 4.1 Descrizione dei flussi implementati Per garantire un buon livello di sicurezza il primo obiettivo è quello di individuare i flussi implementati al fine di conoscere le possibili comunicazioni e per evitare di consentire connessioni inusuali o rischiose. Pubblicazione delle risorse verso Internet Il firewall isola la rete DMZ da quella interna e gestisce le configurazioni di port forwarding che consentono la pubblicazione dei servizi verso l'esterno. I servizi sono fruibili dall'esterno attraverso una serie di port forwarding che realizzano tunnel tra un indirizzo IP pubblico del pool di cui l'Ente è assegnatario e il server Mailrelay. In particolare sono esposti i protocolli SMTP (porta 25), SMTPS (porta 465), POP3 (porta 110), POP3S (porta 995), IMAP4 (porta 143), IMAP4S (porta 995), HTTPS (porta 443). Tutte queste regole sono utilizzate per consentire l'accesso sia agli utenti che provengono dalla rete interna che a quelli provenienti dalla rete esterna. In particolare per consentire l'accesso alle risorse, identificandole con lo stesso nome sia dalle reti interne, sia da quelle esterne, sono possibili due configurazioni: • “Split DNS” per referenziare in due modi diversi lo stesso dominio, ma questo ha lo svantaggio di dover gestire una doppia configurazione. • “Nat reflection” che consente agli utenti che provengono dall'interfaccia “interna” del firewall di potersi collegare a indirizzi IP configurati sull'interfaccia pubblica. Il Nat reflection è stato scelto perché consente di gestire le zone DNS senza complicarne la manutenzione. Accesso alla rete interna Affinché lo scambio di messaggi avvenga correttamente il server di frontiera Mailrelay deve poter accedere a specifiche porte del server interno Mailserver.
Collaboration Suite: realizzazione di una piattaforma open source per la Pubblica Amministrazione
Collaboration Suite: realizzazione di una piattaforma open source per la Pubblica Amministrazione
Collaboration Suite: realizzazione di una piattaforma open source per la Pubblica Amministrazione
Collaboration Suite: realizzazione di una piattaforma open source per la Pubblica Amministrazione
Collaboration Suite: realizzazione di una piattaforma open source per la Pubblica Amministrazione
Collaboration Suite: realizzazione di una piattaforma open source per la Pubblica Amministrazione
Collaboration Suite: realizzazione di una piattaforma open source per la Pubblica Amministrazione
Collaboration Suite: realizzazione di una piattaforma open source per la Pubblica Amministrazione
Collaboration Suite: realizzazione di una piattaforma open source per la Pubblica Amministrazione
Collaboration Suite: realizzazione di una piattaforma open source per la Pubblica Amministrazione
Collaboration Suite: realizzazione di una piattaforma open source per la Pubblica Amministrazione
Collaboration Suite: realizzazione di una piattaforma open source per la Pubblica Amministrazione
Collaboration Suite: realizzazione di una piattaforma open source per la Pubblica Amministrazione
Collaboration Suite: realizzazione di una piattaforma open source per la Pubblica Amministrazione
Collaboration Suite: realizzazione di una piattaforma open source per la Pubblica Amministrazione
Collaboration Suite: realizzazione di una piattaforma open source per la Pubblica Amministrazione
Collaboration Suite: realizzazione di una piattaforma open source per la Pubblica Amministrazione
Collaboration Suite: realizzazione di una piattaforma open source per la Pubblica Amministrazione
Collaboration Suite: realizzazione di una piattaforma open source per la Pubblica Amministrazione
Collaboration Suite: realizzazione di una piattaforma open source per la Pubblica Amministrazione
Collaboration Suite: realizzazione di una piattaforma open source per la Pubblica Amministrazione
Collaboration Suite: realizzazione di una piattaforma open source per la Pubblica Amministrazione
Collaboration Suite: realizzazione di una piattaforma open source per la Pubblica Amministrazione
Collaboration Suite: realizzazione di una piattaforma open source per la Pubblica Amministrazione
Collaboration Suite: realizzazione di una piattaforma open source per la Pubblica Amministrazione
Collaboration Suite: realizzazione di una piattaforma open source per la Pubblica Amministrazione
Collaboration Suite: realizzazione di una piattaforma open source per la Pubblica Amministrazione
Collaboration Suite: realizzazione di una piattaforma open source per la Pubblica Amministrazione
Collaboration Suite: realizzazione di una piattaforma open source per la Pubblica Amministrazione
Collaboration Suite: realizzazione di una piattaforma open source per la Pubblica Amministrazione
Collaboration Suite: realizzazione di una piattaforma open source per la Pubblica Amministrazione
Collaboration Suite: realizzazione di una piattaforma open source per la Pubblica Amministrazione

Recommended

Strumenti CMC e web 2.0
Strumenti CMC e web 2.0Strumenti CMC e web 2.0
Strumenti CMC e web 2.0Caterina Policaro
 
Strumenti CMC
Strumenti CMC Strumenti CMC
Strumenti CMC Caterina Policaro
 
Open source copyright e copyleft
Open source copyright e copyleftOpen source copyright e copyleft
Open source copyright e copyleftAndrea Linfozzi
 
Collaborare ed apprendere in rete
Collaborare ed apprendere in reteCollaborare ed apprendere in rete
Collaborare ed apprendere in reteAndrea Linfozzi
 
Lezione Infea Grosseto 4
Lezione Infea Grosseto 4Lezione Infea Grosseto 4
Lezione Infea Grosseto 4Caterina Policaro
 
Lezione Infea Grosseto 4
Lezione Infea Grosseto 4Lezione Infea Grosseto 4
Lezione Infea Grosseto 4Caterina Policaro
 
Lezione Infea Grosseto 1
Lezione Infea Grosseto 1Lezione Infea Grosseto 1
Lezione Infea Grosseto 1Caterina Policaro
 
Nuove tecnologie e società globale
Nuove tecnologie e società globaleNuove tecnologie e società globale
Nuove tecnologie e società globaleAndrea Linfozzi
 

Recommended

Strumenti CMC e web 2.0
Strumenti CMC e web 2.0Strumenti CMC e web 2.0
Strumenti CMC e web 2.0Caterina Policaro
 
Strumenti CMC
Strumenti CMC Strumenti CMC
Strumenti CMC Caterina Policaro
 
Open source copyright e copyleft
Open source copyright e copyleftOpen source copyright e copyleft
Open source copyright e copyleftAndrea Linfozzi
 
Collaborare ed apprendere in rete
Collaborare ed apprendere in reteCollaborare ed apprendere in rete
Collaborare ed apprendere in reteAndrea Linfozzi
 
Lezione Infea Grosseto 4
Lezione Infea Grosseto 4Lezione Infea Grosseto 4
Lezione Infea Grosseto 4Caterina Policaro
 
Lezione Infea Grosseto 4
Lezione Infea Grosseto 4Lezione Infea Grosseto 4
Lezione Infea Grosseto 4Caterina Policaro
 
Lezione Infea Grosseto 1
Lezione Infea Grosseto 1Lezione Infea Grosseto 1
Lezione Infea Grosseto 1Caterina Policaro
 
Nuove tecnologie e società globale
Nuove tecnologie e società globaleNuove tecnologie e società globale
Nuove tecnologie e società globaleAndrea Linfozzi
 
Collaboration Suite: realizzazione di una piattaforma open source per la Pubb...
Collaboration Suite: realizzazione di una piattaforma open source per la Pubb...Collaboration Suite: realizzazione di una piattaforma open source per la Pubb...
Collaboration Suite: realizzazione di una piattaforma open source per la Pubb...Pierluigi Conti
 
Come rendere più collaborative le tue riunioni - by Epson - festival ICT 2015
Come rendere più collaborative le tue riunioni - by Epson - festival ICT 2015Come rendere più collaborative le tue riunioni - by Epson - festival ICT 2015
Come rendere più collaborative le tue riunioni - by Epson - festival ICT 2015festival ICT 2016
 
6 next
6 next6 next
6 nextRedazione InnovaPuglia
 
Le riunioni efficaci: 3. i 4 strumenti per riunioni efficaci
Le riunioni efficaci: 3. i 4 strumenti per riunioni efficaciLe riunioni efficaci: 3. i 4 strumenti per riunioni efficaci
Le riunioni efficaci: 3. i 4 strumenti per riunioni efficaciManager.it
 
Riunioni efficaci move the limit
Riunioni efficaci move the limitRiunioni efficaci move the limit
Riunioni efficaci move the limitMarco Zamboni
 
Cooperative e collaborative learning
Cooperative e collaborative learning Cooperative e collaborative learning
Cooperative e collaborative learning University of Bologna
 
Le riunioni efficaci: 1. Le fasi di una riunione
Le riunioni efficaci: 1. Le fasi di una riunioneLe riunioni efficaci: 1. Le fasi di una riunione
Le riunioni efficaci: 1. Le fasi di una riunioneManager.it
 
Come fare riunioni di lavoro efficaci
Come fare riunioni di lavoro efficaciCome fare riunioni di lavoro efficaci
Come fare riunioni di lavoro efficaciDaniele Frongia
 
Organizzare riunioni efficaci (anche per chi partecipa)
Organizzare riunioni efficaci (anche per chi partecipa)Organizzare riunioni efficaci (anche per chi partecipa)
Organizzare riunioni efficaci (anche per chi partecipa)Andrealauri
 
Tekio Loyalty Suite
Tekio Loyalty SuiteTekio Loyalty Suite
Tekio Loyalty SuiteTekio
 
Presentazione Vibecode Loyalty Suite
Presentazione Vibecode Loyalty SuitePresentazione Vibecode Loyalty Suite
Presentazione Vibecode Loyalty SuiteThe Blue Seed
 
Fondamenti di Sicurezza Informatica
Fondamenti di Sicurezza InformaticaFondamenti di Sicurezza Informatica
Fondamenti di Sicurezza InformaticaDaniele Landro
 
Lo standard MPEG-7 per la definizione di metadati di oggetti multimediali
Lo standard MPEG-7 per la definizione di metadati di oggetti multimedialiLo standard MPEG-7 per la definizione di metadati di oggetti multimediali
Lo standard MPEG-7 per la definizione di metadati di oggetti multimedialidelfinostefano
 
Presentazione2010
Presentazione2010Presentazione2010
Presentazione2010MCT Europe
 
00 Servizi It Con Prodotti Open 10 11 12 Nov 2003
00 Servizi It Con Prodotti Open 10 11 12 Nov 200300 Servizi It Con Prodotti Open 10 11 12 Nov 2003
00 Servizi It Con Prodotti Open 10 11 12 Nov 2003Marco Guardigli
 
Altri strumenti di comunicazione
Altri strumenti di comunicazioneAltri strumenti di comunicazione
Altri strumenti di comunicazioneGiovanni Mennea
 
Sicurezza end-to-end-per-la-posta-e-documenti-allegati
Sicurezza end-to-end-per-la-posta-e-documenti-allegatiSicurezza end-to-end-per-la-posta-e-documenti-allegati
Sicurezza end-to-end-per-la-posta-e-documenti-allegatiat MicroFocus Italy ❖✔
 
Tesi di Laurea Paolo Selce
Tesi di Laurea Paolo SelceTesi di Laurea Paolo Selce
Tesi di Laurea Paolo SelcePaolo Selce
 
Web Portal for E-Government
Web Portal for E-Government Web Portal for E-Government
Web Portal for E-Government Nicola Mezzetti
 
Cloud Computing PA
Cloud Computing PACloud Computing PA
Cloud Computing PAGianni Dominici
 
Elearning E Lms
Elearning E LmsElearning E Lms
Elearning E LmsFormaLms
 
Pasquale D'Agnese Microsoft
Pasquale D'Agnese MicrosoftPasquale D'Agnese Microsoft
Pasquale D'Agnese MicrosofteGgov Regione Veneto Veneto
 

More Related Content

Viewers also liked

Collaboration Suite: realizzazione di una piattaforma open source per la Pubb...
Collaboration Suite: realizzazione di una piattaforma open source per la Pubb...Collaboration Suite: realizzazione di una piattaforma open source per la Pubb...
Collaboration Suite: realizzazione di una piattaforma open source per la Pubb...Pierluigi Conti
 
Come rendere più collaborative le tue riunioni - by Epson - festival ICT 2015
Come rendere più collaborative le tue riunioni - by Epson - festival ICT 2015Come rendere più collaborative le tue riunioni - by Epson - festival ICT 2015
Come rendere più collaborative le tue riunioni - by Epson - festival ICT 2015festival ICT 2016
 
Le riunioni efficaci: 3. i 4 strumenti per riunioni efficaci
Le riunioni efficaci: 3. i 4 strumenti per riunioni efficaciLe riunioni efficaci: 3. i 4 strumenti per riunioni efficaci
Le riunioni efficaci: 3. i 4 strumenti per riunioni efficaciManager.it
 
Riunioni efficaci move the limit
Riunioni efficaci move the limitRiunioni efficaci move the limit
Riunioni efficaci move the limitMarco Zamboni
 
Le riunioni efficaci: 1. Le fasi di una riunione
Le riunioni efficaci: 1. Le fasi di una riunioneLe riunioni efficaci: 1. Le fasi di una riunione
Le riunioni efficaci: 1. Le fasi di una riunioneManager.it
 
Come fare riunioni di lavoro efficaci
Come fare riunioni di lavoro efficaciCome fare riunioni di lavoro efficaci
Come fare riunioni di lavoro efficaciDaniele Frongia
 
Organizzare riunioni efficaci (anche per chi partecipa)
Organizzare riunioni efficaci (anche per chi partecipa)Organizzare riunioni efficaci (anche per chi partecipa)
Organizzare riunioni efficaci (anche per chi partecipa)Andrealauri
 
Tekio Loyalty Suite
Tekio Loyalty SuiteTekio Loyalty Suite
Tekio Loyalty SuiteTekio
 
Presentazione Vibecode Loyalty Suite
Presentazione Vibecode Loyalty SuitePresentazione Vibecode Loyalty Suite
Presentazione Vibecode Loyalty SuiteThe Blue Seed
 

Viewers also liked (11)

Collaboration Suite: realizzazione di una piattaforma open source per la Pubb...
Collaboration Suite: realizzazione di una piattaforma open source per la Pubb...Collaboration Suite: realizzazione di una piattaforma open source per la Pubb...
Collaboration Suite: realizzazione di una piattaforma open source per la Pubb...
 
Come rendere più collaborative le tue riunioni - by Epson - festival ICT 2015
Come rendere più collaborative le tue riunioni - by Epson - festival ICT 2015Come rendere più collaborative le tue riunioni - by Epson - festival ICT 2015
Come rendere più collaborative le tue riunioni - by Epson - festival ICT 2015
 
6 next
6 next6 next
6 next
 
Le riunioni efficaci: 3. i 4 strumenti per riunioni efficaci
Le riunioni efficaci: 3. i 4 strumenti per riunioni efficaciLe riunioni efficaci: 3. i 4 strumenti per riunioni efficaci
Le riunioni efficaci: 3. i 4 strumenti per riunioni efficaci
 
Riunioni efficaci move the limit
Riunioni efficaci move the limitRiunioni efficaci move the limit
Riunioni efficaci move the limit
 
Cooperative e collaborative learning
Cooperative e collaborative learning Cooperative e collaborative learning
Cooperative e collaborative learning
 
Le riunioni efficaci: 1. Le fasi di una riunione
Le riunioni efficaci: 1. Le fasi di una riunioneLe riunioni efficaci: 1. Le fasi di una riunione
Le riunioni efficaci: 1. Le fasi di una riunione
 
Come fare riunioni di lavoro efficaci
Come fare riunioni di lavoro efficaciCome fare riunioni di lavoro efficaci
Come fare riunioni di lavoro efficaci
 
Organizzare riunioni efficaci (anche per chi partecipa)
Organizzare riunioni efficaci (anche per chi partecipa)Organizzare riunioni efficaci (anche per chi partecipa)
Organizzare riunioni efficaci (anche per chi partecipa)
 
Tekio Loyalty Suite
Tekio Loyalty SuiteTekio Loyalty Suite
Tekio Loyalty Suite
 
Presentazione Vibecode Loyalty Suite
Presentazione Vibecode Loyalty SuitePresentazione Vibecode Loyalty Suite
Presentazione Vibecode Loyalty Suite
 

Similar to Collaboration Suite: realizzazione di una piattaforma open source per la Pubblica Amministrazione

Fondamenti di Sicurezza Informatica
Fondamenti di Sicurezza InformaticaFondamenti di Sicurezza Informatica
Fondamenti di Sicurezza InformaticaDaniele Landro
 
Lo standard MPEG-7 per la definizione di metadati di oggetti multimediali
Lo standard MPEG-7 per la definizione di metadati di oggetti multimedialiLo standard MPEG-7 per la definizione di metadati di oggetti multimediali
Lo standard MPEG-7 per la definizione di metadati di oggetti multimedialidelfinostefano
 
Presentazione2010
Presentazione2010Presentazione2010
Presentazione2010MCT Europe
 
00 Servizi It Con Prodotti Open 10 11 12 Nov 2003
00 Servizi It Con Prodotti Open 10 11 12 Nov 200300 Servizi It Con Prodotti Open 10 11 12 Nov 2003
00 Servizi It Con Prodotti Open 10 11 12 Nov 2003Marco Guardigli
 
Altri strumenti di comunicazione
Altri strumenti di comunicazioneAltri strumenti di comunicazione
Altri strumenti di comunicazioneGiovanni Mennea
 
Sicurezza end-to-end-per-la-posta-e-documenti-allegati
Sicurezza end-to-end-per-la-posta-e-documenti-allegatiSicurezza end-to-end-per-la-posta-e-documenti-allegati
Sicurezza end-to-end-per-la-posta-e-documenti-allegatiat MicroFocus Italy ❖✔
 
Tesi di Laurea Paolo Selce
Tesi di Laurea Paolo SelceTesi di Laurea Paolo Selce
Tesi di Laurea Paolo SelcePaolo Selce
 
Web Portal for E-Government
Web Portal for E-Government Web Portal for E-Government
Web Portal for E-Government Nicola Mezzetti
 
Elearning E Lms
Elearning E LmsElearning E Lms
Elearning E LmsFormaLms
 
Corso internet
Corso internetCorso internet
Corso internetGForm
 
Studioerealizzazionedisoluzioniperlavorocollaborativobasatesulmotorediworkflo...
Studioerealizzazionedisoluzioniperlavorocollaborativobasatesulmotorediworkflo...Studioerealizzazionedisoluzioniperlavorocollaborativobasatesulmotorediworkflo...
Studioerealizzazionedisoluzioniperlavorocollaborativobasatesulmotorediworkflo...snoopalexia
 
Modello economico del Cloud, Knowledge Intensive Business Services
Modello economico del Cloud, Knowledge Intensive Business ServicesModello economico del Cloud, Knowledge Intensive Business Services
Modello economico del Cloud, Knowledge Intensive Business Servicesciii_inginf
 
3 - Introduzione a Internet (2/2) - 17/18
3 - Introduzione a Internet (2/2) - 17/183 - Introduzione a Internet (2/2) - 17/18
3 - Introduzione a Internet (2/2) - 17/18Giuseppe Vizzari
 
Sistemi Distribuiti part 5: P2P systems: from simple to distributed P2P trust...
Sistemi Distribuiti part 5: P2P systems: from simple to distributed P2P trust...Sistemi Distribuiti part 5: P2P systems: from simple to distributed P2P trust...
Sistemi Distribuiti part 5: P2P systems: from simple to distributed P2P trust...Paolo Nesi
 
Nuova ecdl modulo 7- Online collaboration
Nuova ecdl modulo 7- Online collaborationNuova ecdl modulo 7- Online collaboration
Nuova ecdl modulo 7- Online collaborationProf Web
 
Premio forum pa sanita 2021 asl roma 1 medicina legale - template word
Premio forum pa sanita 2021 asl roma 1 medicina legale - template wordPremio forum pa sanita 2021 asl roma 1 medicina legale - template word
Premio forum pa sanita 2021 asl roma 1 medicina legale - template wordMichelaMazzotta1
 

Similar to Collaboration Suite: realizzazione di una piattaforma open source per la Pubblica Amministrazione (20)

Fondamenti di Sicurezza Informatica
Fondamenti di Sicurezza InformaticaFondamenti di Sicurezza Informatica
Fondamenti di Sicurezza Informatica
 
Lo standard MPEG-7 per la definizione di metadati di oggetti multimediali
Lo standard MPEG-7 per la definizione di metadati di oggetti multimedialiLo standard MPEG-7 per la definizione di metadati di oggetti multimediali
Lo standard MPEG-7 per la definizione di metadati di oggetti multimediali
 
Presentazione2010
Presentazione2010Presentazione2010
Presentazione2010
 
00 Servizi It Con Prodotti Open 10 11 12 Nov 2003
00 Servizi It Con Prodotti Open 10 11 12 Nov 200300 Servizi It Con Prodotti Open 10 11 12 Nov 2003
00 Servizi It Con Prodotti Open 10 11 12 Nov 2003
 
Altri strumenti di comunicazione
Altri strumenti di comunicazioneAltri strumenti di comunicazione
Altri strumenti di comunicazione
 
Sicurezza end-to-end-per-la-posta-e-documenti-allegati
Sicurezza end-to-end-per-la-posta-e-documenti-allegatiSicurezza end-to-end-per-la-posta-e-documenti-allegati
Sicurezza end-to-end-per-la-posta-e-documenti-allegati
 
Tesi di Laurea Paolo Selce
Tesi di Laurea Paolo SelceTesi di Laurea Paolo Selce
Tesi di Laurea Paolo Selce
 
Web Portal for E-Government
Web Portal for E-Government Web Portal for E-Government
Web Portal for E-Government
 
Cloud Computing PA
Cloud Computing PACloud Computing PA
Cloud Computing PA
 
Elearning E Lms
Elearning E LmsElearning E Lms
Elearning E Lms
 
Pasquale D'Agnese Microsoft
Pasquale D'Agnese MicrosoftPasquale D'Agnese Microsoft
Pasquale D'Agnese Microsoft
 
TESIPOLI
TESIPOLITESIPOLI
TESIPOLI
 
Corso internet
Corso internetCorso internet
Corso internet
 
DDT Lab Toscana
DDT Lab ToscanaDDT Lab Toscana
DDT Lab Toscana
 
Studioerealizzazionedisoluzioniperlavorocollaborativobasatesulmotorediworkflo...
Studioerealizzazionedisoluzioniperlavorocollaborativobasatesulmotorediworkflo...Studioerealizzazionedisoluzioniperlavorocollaborativobasatesulmotorediworkflo...
Studioerealizzazionedisoluzioniperlavorocollaborativobasatesulmotorediworkflo...
 
Modello economico del Cloud, Knowledge Intensive Business Services
Modello economico del Cloud, Knowledge Intensive Business ServicesModello economico del Cloud, Knowledge Intensive Business Services
Modello economico del Cloud, Knowledge Intensive Business Services
 
3 - Introduzione a Internet (2/2) - 17/18
3 - Introduzione a Internet (2/2) - 17/183 - Introduzione a Internet (2/2) - 17/18
3 - Introduzione a Internet (2/2) - 17/18
 
Sistemi Distribuiti part 5: P2P systems: from simple to distributed P2P trust...
Sistemi Distribuiti part 5: P2P systems: from simple to distributed P2P trust...Sistemi Distribuiti part 5: P2P systems: from simple to distributed P2P trust...
Sistemi Distribuiti part 5: P2P systems: from simple to distributed P2P trust...
 
Nuova ecdl modulo 7- Online collaboration
Nuova ecdl modulo 7- Online collaborationNuova ecdl modulo 7- Online collaboration
Nuova ecdl modulo 7- Online collaboration
 
Premio forum pa sanita 2021 asl roma 1 medicina legale - template word
Premio forum pa sanita 2021 asl roma 1 medicina legale - template wordPremio forum pa sanita 2021 asl roma 1 medicina legale - template word
Premio forum pa sanita 2021 asl roma 1 medicina legale - template word
 

Collaboration Suite: realizzazione di una piattaforma open source per la Pubblica Amministrazione

  • 1. Corso di Laurea in Sicurezza dei Sistemi e delle Reti Informatiche Collaboration Suite: realizzazione di una piattaforma open source per la Pubblica Amministrazione RELATORE Prof. Ernesto DAMIANI TESI DI LAUREA DI Pierluigi CONTI Matricola 775292 Anno Accademico 2013/2014
  • 2. Ai miei Cari, per la loro pazienza e il loro sostegno.
  • 3. 3 Indice generale Introduzione............................................................................................................5 Scopo........................................................................................................................7 Organizzazione.......................................................................................................8 1 Componenti, storia ed evoluzione della Posta Elettronica..............................9 1.1 Funzionamento............................................................................................10 1.2 I protocolli in dettaglio: gli standard della Posta Elettronica......................11 1.2.1 Lo standard RFC 5322: IMF................................................................12 1.2.2 Gli standard MIME..............................................................................13 1.2.3 Lo standard RFC 5321: SMTP............................................................14 1.2.4 Lo standard RFC 1939: POP3.............................................................16 1.2.5 Lo standard RFC 3501: IMAP4...........................................................17 1.3 Evoluzione della Posta Elettronica..............................................................18 1.3.1 QWERTYUIOP...................................................................................19 1.3.2 Email verso la standardizzazione.........................................................20 1.3.3 RFC 821, 2821, 5321 le evoluzioni dello standard SMTP..................20 1.4 Evoluzione dei client di Posta Elettronica...................................................22 2 Minacce alla Posta Elettronica.........................................................................25 2.1 Spam, un problema che ha origine con il protocollo SMTP.......................26 2.1.1 Spam: Meccanismi per contrastarlo.....................................................28 2.2 Phishing.......................................................................................................31 2.2.1 Phishing: Meccanismi per contrastarlo................................................32 2.3 Malware.......................................................................................................33 2.3.1 Malware: Meccanismi per contrastarli................................................34 2.4 Attacchi alle Caselle Mail............................................................................35 2.4.1 Attacchi alle Caselle: Meccanismi per contrastarli..............................36 2.5 Attacchi alla disponibilità del servizio........................................................38 2.5.1 Attacchi alla disponibilità del servizio: Meccanismi per contrastarli..39 2.6 Confidenzialità, Integrità, Autenticazione, Non-Ripudio............................39 2.7 Varie tecniche di protezione........................................................................41
  • 4. 4 2.8 Analisi dei sistemi di sicurezza....................................................................45 3 Collaboration Suite per la PA: Requisiti.........................................................49 3.1 Unione di Comuni Valdarno e Valdisieve: Infrastruttura informatica.........50 3.2 Problemi della piattaforma precedente........................................................51 3.3 Requisiti.......................................................................................................55 3.3.1 Sicurezza..............................................................................................55 3.3.2 Collaboration Suite: Funzionalità........................................................57 3.3.3 Gestione centralizzata..........................................................................58 3.3.4 Contenimento di costi e risorse............................................................59 3.3.5 Dispositivi mobili................................................................................59 4 Collaboration Suite per la PA: Analisi e Implementazione...........................60 4.1 Descrizione dei flussi implementati............................................................62 4.2 Mailserver....................................................................................................64 4.2.1 Software disponibili.............................................................................65 4.2.2 Zimbra..................................................................................................67 4.3 Mailrelay......................................................................................................74 4.3.1 Sicurezza dei flussi SMTP...................................................................75 4.3.2 Sicurezza dei flussi di interrogazione..................................................82 4.3.3 Gestione e Monitoraggio.....................................................................83 4.4 Risultati........................................................................................................84 Conclusioni............................................................................................................91 Indice delle Figure................................................................................................93 Bibliografia...........................................................................................................94
  • 5. 5 Introduzione La posta elettronica rappresenta uno degli strumenti di comunicazione asincroni più diffusi. La semplicità e la velocità che la caratterizzano fanno sì che ogni giorno miliardi di messaggi siano scambiati tra gli utenti di tutto il mondo. Il protocollo di comunicazione che sta alla base della posta elettronica è estremamente potente e flessibile, consente di inviare messaggi a più persone contemporaneamente, di inviare documenti o messaggi multimediali, e in generale, di scambiare contenuto codificato attraverso standard avanzati polifunzionali. Tale protocollo si chiama SMTP (Simple Mail Transfer Protocol) ed è utilizzato per la trasmissione dei messaggi; altri protocolli, tra cui i più diffusi sono POP3 e IMAP4 sono invece utilizzati per l'accesso alle caselle di posta. Negli ultimi anni l'utilizzo della posta elettronica è aumentato enormemente: molti sono i servizi che risultano essere legati a questo strumento, come le comunicazioni che avvengono mediante PEC, la quale rende un messaggio legalmente valido secondo la legislazione Italiana e garantisce autenticazione, integrità, confidenzialità e non-ripudio. Questa notevole diffusione ha reso necessaria l'integrazione della posta elettronica con altri servizi estremamente importanti: spesso alla posta sono funzionalmente legati servizi di chat, conferenza (che costituisce insieme alla chat una forma di comunicazione sincrona), gestione appuntamenti, attività, rubriche, archiviazione e condivisione file; a questi servizi viene affiancato un sistema di condivisione tra utenti per garantire la collaborazione. Non di meno la diffusione di dispositivi mobili sempre più evoluti ha fortemente influenzato il processo di integrazione tra gli account di posta elettronica e i servizi di collaborazione in generale. Quindi la posta elettronica non è più un semplice mezzo di comunicazione asincrona; può piuttosto essere considerata come una serie di servizi collaborativi sincroni e asincroni legati tra loro, acceduti da client eterogenei.
  • 6. 6 Essa presenta però grossi problemi dovuti all'identificazione del mittente e del destinatario, al controllo di integrità del messaggio, alla garanzia della confidenzialità, al non-ripudio di trasmissione e, soprattutto, agli attacchi di spam e truffe. Mediante l'uso di applicazioni, di tecniche crittografiche e di estensioni del protocollo è comunque possibile garantire autenticazione, confidenzialità, integrità, e, mediante l'uso di tecniche avanzate come la PEC, (Posta Elettronica Certificata) è anche possibile garantire il non-ripudio. Lo spam e le truffe in genere rappresentano invece un grosso problema a cui non è possibile porre un rimedio definitivo, ma solo mitigarne gli effetti negativi. La posta elettronica e le sue applicazioni sono comunque uno degli strumenti più utilizzati dagli utenti privati, dalle aziende e dalle pubbliche amministrazioni.
  • 7. 7 Scopo La presente tesi ha lo scopo di illustrare il funzionamento della posta elettronica, dei protocolli di trasmissione e di consultazione, le modalità di implementazione, le evoluzioni strutturali, infrastrutturali e di analizzare le problematiche connesse all'utilizzo di tale strumento. A seguito di tale disamina verrà analizzata una soluzione completamente open source di Collaboration Suite installata presso una Pubblica Amministrazione locale, al fine di mostrare come sia possibile realizzare implementazioni enterprise utilizzando software che si basano su modalità di distribuzione alternative a quelle commerciali. Un software di Collaboration Suite è costituito da una collezione di strumenti di collaborazione che consentono agli utilizzatori non solo di consultare la posta elettronica, ma anche di gestire contatti, calendari, appuntamenti, note, di utilizzare chat e di condividere i contenuti. La piattaforma discussa rispetta vari obiettivi posti dall'Ente che vanno dal contenimento dei costi e delle risorse al mantenimento di elevati standard di sicurezza, dall'adozione dei più avanzati strumenti di collaborazione alla piena flessibilità del sistema. Le soluzioni presenti sul mercato, sia di tipo open source sia di tipo proprietario sono molte, così come notevoli sono le soluzioni che possono essere adottate per prevenire i problemi legati agli attacchi ai servizi offerti dal sistema. Con il presente documento si vogliono quindi presentare alcuni tra i maggiori software disponibili e dettagliare i motivi che hanno portato alla scelta dei componenti sui quali si basa la soluzione. Infine si intende analizzare l'infrastruttura di rete [1] posta a supporto della totale realizzazione; infrastruttura che ha l'obiettivo di garantire stabilità, scalabilità e sicurezza al sistema.
  • 8. 8 Organizzazione La tesi può essere suddivisa in due parti logiche: una prima parte in cui sono illustrati in generale i protocolli della posta elettronica, le infrastrutture di supporto e le relative problematiche; una seconda parte in cui sono analizzate alcune tra le più importanti soluzioni presenti sul mercato, e in cui è discussa la realizzazione implementata presso l'Ente in esame, i requisiti che deve soddisfare le modalità secondo cui sono stati soddisfatti. Nel dettaglio è così strutturata: Prima parte 1. Componenti, storia ed evoluzione della Posta Elettronica - Vengono presentati gli attori che prendono parte allo scambio dei messaggi e i protocolli utilizzati per l'invio, la ricezione e la consultazione delle email. Vengono inoltre presentate le evoluzioni più importanti che riguardano la posta elettronica, sia per quanto concerne i protocolli, sia per quanto concerne le funzionalità per i client. 2. Minacce alla Posta Elettronica - Analisi delle principali minacce dello scambio di messaggi e valutazione delle possibili contromisure. Seconda parte 3. Collaboration Suite per la PA: Requisiti - Descrizione dettagliata dei requisiti individuati per l'Ente in esame e relativa motivazione. 4. Collaboration Suite per la PA: Analisi e implementazione – Descrizione dettagliata della soluzione implementata e analisi dei risultati ottenuti.
  • 9. 9 1 Componenti, storia ed evoluzione della Posta Elettronica I messaggi di posta elettronica scambiati quotidianamente fra milioni di utenti, a prescindere dal percorso che devono compiere, e dal numero o dal tipo di controlli ai quali sono sottoposti, seguono sempre lo stesso processo di trasmissione [2] che, fin dalle origini del protocollo, si basa su: • Mittente, un attore attivo che può essere macchina o uomo. • Destinatario, un attore passivo che può essere macchina o casella personale di un utente. • Infrastruttura di scambio, un mezzo di trasmissione che può essere più o meno intelligente. In particolare i primi due hanno a disposizione un particolare software noto come MUA (Mail User Agent) che costituisce formalmente il client a disposizione degli utenti per ricevere, leggere, scrivere o inviare email. Tale software è realizzato per essere conforme e per supportare almeno gli standard base della posta elettronica: SMTP per dialogare con gli MTA, POP3 e IMAP4 per accedere alla casella. Il mezzo di trasmissione è invece dotato di un software (o una collezione di software) noto come MTA (Mail Transfer Agent) che consente il passaggio dei messaggi ed effettua la consegna al MUA del destinatario. La grande suddivisione dei domini, l'implementazione di tecniche avanzate di sicurezza e di nuove funzionalità che ne arricchiscono i contenuti, così come le necessità di alta disponibilità del servizio, implicano che il concetto di MTA sia estremamente vasto; esso infatti non rappresenta un unico server o una coppia di server (per supportare ad esempio lo scambio tra domini distinti), spesso il messaggio effettua numerosi salti attraverso molti MTA (relay) prima di giungere a destinazione.
  • 10. 10 Come mostrato nella Figura 1 i protocolli [2] coinvolti negli scambi prevedono comunicazioni bidirezionali per supportare invio, ricezione e inoltro. In particolare i MUA hanno due tipi di comunicazioni: quella basata su SMTP, utilizzata per inviare messaggi al server MTA e quella basata su POP3 o IMAP4 per prelevarli dal server MTA di riferimento del dominio. I server MTA invece utilizzano la comunicazione SMTP per inoltrare la posta ad MTA successivi. 1.1 Funzionamento La spedizione si svolge in vari momenti, in cui sono eseguite diverse operazioni. La prima fase è quella di composizione del messaggio, durante la quale l'utente utilizza il MUA che può avere editor più o meno ricchi; l'eventuale salvataggio del messaggio avviene sul disco locale della macchina su cui viene composto. La seconda fase coincide con l'invio da parte del mittente: selezionando il comando preposto a tale funzione l'utente attiva la comunicazione che utilizza il protocollo SMTP verso il proprio server di uscita, “MTA 1”; la memorizzazione del messaggio avviene nella coda di uscita sul disco del server “MTA 1”, in cui rimane in attesa di essere processato dal demone di spedizione. Figura 1: Schema degli scambi.
  • 11. 11 Successivamente il server “MTA 1”, se la mail è destinata a domini diversi ed esterni rispetto a quelli per i quali esso rappresenta il campo MX1 , ottiene il Mail Exchanger del dominio di destinazione attraverso una risoluzione DNS; il server “MTA 1” quindi contatta mediante il protocollo SMTP il server “MTA 2” del destinatario ottenuto dalla fase precedente e consegna il messaggio. Se in questa fase dovessero esserci errori di trasmissione o qualora il server “MTA 2” non dovesse essere raggiungibile è previsto dallo standard RFC, che regola il protocollo SMTP [3], che il messaggio sia mantenuto nella coda del server mittente per poter effettuare tentativi successivi. Infine il server “MTA 2” che ha ricevuto il messaggio lo memorizza nella casella del destinatario, se esiste, altrimenti lo manda indietro con un errore specifico. La ricezione prevede una connessione dal MUA del destinatario verso il server MTA del proprio dominio di appartenenza, tale connessione può avvenire con due protocolli: POP3 o IMAP4; in questa fase il messaggio viene scaricato e memorizzato sul disco locale del client che esegue il MUA. 1.2 I protocolli in dettaglio: gli standard della Posta Elettronica I protocolli elencati in precedenza e lo stesso formato dei messaggi sono regolamentati da standard specifici. In particolare il formato dei messaggi è regolamentato da RFC 5322 [4] (e revisioni successive) che sostituisce il precedente RFC 822 [5]; il protocollo SMTP è regolamentato da RFC 5321 [3] che sostituisce i precedenti RFC 2821 [6] e RFC 821 [7]; il protocollo IMAP4 è regolamentato da RFC 3501 [8]; il protocollo POP3 è regolamentato da RFC 1939 [9]. 1 I campi MX (Mail Exchanger) sono risorse del DNS che indicano server autorizzati ad accettare messaggi mail per conto del dominio di destinazione.
  • 12. 12 1.2.1 Lo standard RFC 5322: IMF Secondo le specifiche di RFC 5322 [4] il formato dei messaggi Internet (IMF) che riguarda i messaggi di testo inviati tramite posta elettronica, si basa su due sezioni fondamentali: una prima sezione detta “busta” contenente tutte le informazioni utili alla consegna del messaggio; una seconda sezione detta “contenuto” in cui sono memorizzati sia l'oggetto sia il corpo del messaggio. I messaggi sono composti da linee di caratteri codificati con la tabella ASCII a 7 bit: la sezione “header” è separata da quella opzionale “body” con una linea vuota. Header può contenere informazioni di origine e di destinazione del messaggio, di identificazione, di informazione e di tracciamento. I campi più importanti sono: • To, contenente il destinatario (oppure i destinatari). • From, contenente il mittente. • CC/BCC, contenente una lista di destinatari in copia/copia nascosta. • Subject, contenente l'oggetto.
  • 13. 13 1.2.2 Gli standard MIME Gli standard MIME (Multipurpose Internet Mail Extensions) consentono agli utenti di scambiare messaggi con contenuti che utilizzano set di caratteri diversi dalla tabella ASCII 7 bit. L'utilità tipica di tali standard è quella di consentire agli utenti di allegare ai messaggi file multimediali, di aggregare diversi messaggi tra loro e di utilizzare protocolli crittografici o di firma digitale. L'elaborazione MIME è demandata ai client degli utenti, quindi il protocollo SMTP non interpreta il contenuto della mail in transito. Un documento MIME contiene una intestazione composta dai seguenti campi: • MIME Version, identifica la versione dello standard usato nel messaggio. • Content-Transfer-Encoding, indica una codifica a cui è stato sottoposto il corpo del messaggio e le operazioni di decodifica che devono essere applicate per ottenere l'originale. Possono essere usate codifiche di tipo 7 bit, 8 bit, base64, binary e le recenti codifiche private ( X- ) che consentono di definire codifiche non standard. • Content-Type, indica il tipo e il sottotipo dei contenuti nel messaggio così da consentire al software MUA di interpretare i dati. • Content-Description, campo opzionale che descrive il contenuto del messaggio. • Content-ID, campo opzionale che identifica univocamente il messaggio. Figura 3: Esempio di un contenuto Content Type.
  • 14. 14 1.2.3 Lo standard RFC 5321: SMTP SMTP [3] è il protocollo principale della posta elettronica il cui compito è quello di trasferire i messaggi. La struttura di SMTP [10] è di tipo client-server: un server di posta può svolgere funzioni di client quando invia messaggi e funzioni di server quando li riceve. Un server SMTP può essere il destinatario finale o un relay: una connessione può seguire un unico percorso che parte dal server MTA del mittente e termina nel server MTA del destinatario oppure può effettuare un certo numero di salti attraverso relay intermedi. Tali relay possono avere semplici funzioni di inoltro oppure funzioni particolari come il controllo della posta o il routing dei messaggi. La trasmissione, che avviene con protocollo TCP e che utilizza come porta di comunicazione standard la 25 per le comunicazioni in chiaro oppure la porta di comunicazione 465 per quelle cifrate, si svolge in più fasi: • Una prima fase di handshake in cui il client e il server stabiliscono la comunicazione, il comando utilizzato in questa fase è EHLO. • Una seconda fase di identificazione del mittente, in cui viene utilizzato il comando MAIL FROM; tale comando comunica al server che sta iniziando una nuova connessione ed ha l'effetto di azzerare tutti gli stati precedenti per la medesima sessione. • Una terza fase in cui viene indicato l'indirizzo del destinatario, il comando utilizzato è RCPT TO che può essere ripetuto più volte; in questa fase vengono effettuati dal server MTA ricevente controlli sul mittente e sul destinatario; ad esempio sul destinatario viene verificata l'esistenza e la disponibilità della mailbox, mentre sul mittente viene verificata l'esistenza del dominio dichiarato. • Una quarta fase di invio del messaggio, in cui viene utilizzato il comando DATA che consente di scrivere il messaggio; il carattere “.” è usato per terminare l'inserimento del messaggio e iniziare il processo di consegna.
  • 15. 15 Il protocollo SMTP è stato oggetto di molte variazioni, infatti sono stati redatti molti documenti RFC a riguardo, e in particolare sono state indicate alcune estensioni del protocollo. Alcune delle più importanti estensioni sono le seguenti: • EHLO, rappresenta il comando HELO esteso; sia i server che i client devono garantire una retro-compatibilità con il comando HELO. • Estensioni MIME, consentono di trasmettere messaggi con contenuti che utilizzano set di caratteri diversi dalla tabella ASCII 7 bit. • SMTP-AUTH, consente ad un client di autenticarsi con il server SMTP; attraverso tale implementazione è possibile consentire ad utenti che si collegano al server SMTP da indirizzi IP non noti, di autenticarsi e di poterlo utilizzare come server di invio. • STARTTLS, consente ad una connessione in chiaro di evolvere in una connessione cifrata senza dover cambiare porta. Un aspetto molto importante riguarda le strategie di spedizione, è necessario che il client SMTP implementi una coda per memorizzare i messaggi in uscita, per poter tentare nuovamente l'invio in caso di errore. Da questa particolarità si evince che tutti i server che possono svolgere funzioni di client SMTP devono implementare una coda locale per storicizzare i messaggi che vengono trasmessi. Figura 4: Esempio di una spedizione.
  • 16. 16 1.2.4 Lo standard RFC 1939: POP3 Il Post Office Protocol [9] (POP) è un protocollo estremamente semplice e diffuso che consente ad un client di scaricare sul proprio MUA i messaggi dal server POP3 [10] di riferimento per il dominio. Il servizio usa una connessione TCP sulla porta 110 e la sessione POP si basa su tre stati distinti: • Autorizzazione, dopo che la connessione è stata stabilita il server presenta al client un messaggio di benvenuto; il client può ora identificarsi con il proprio username e la propria password. • Transazione, dopo che il client si è identificato con successo è possibile scaricare la posta o eseguire comandi per gestire i messaggi, come contrassegnarli per la cancellazione, rimuovere il contrassegno, oppure ottenere informazioni sulle statistiche. • Aggiornamento, dopo che il client ha impartito il comando “quit” il server POP3 provvede ad eliminare tutti i messaggi che erano stati contrassegnati per la cancellazione. I MUA possono interagire con i server POP3 in modalità “download and delete” ovvero il messaggio viene prima scaricato, quindi viene eliminato dal server, oppure in modalità “download and keep” ovvero viene conservata sul server una copia del messaggio scaricato. Figura 5: Esempio di una comunicazione POP3.
  • 17. 17 1.2.5 Lo standard RFC 3501: IMAP4 Internet Message Access Protocol [8] (IMAP) è un protocollo che consente agli utenti di scaricare sul proprio client i messaggi dal server IMAP4 [10] di riferimento. Il servizio usa una connessione TCP sulla porta 143 e, pur condividendo lo scopo finale con il protocollo POP3, vi sono tra loro molte differenze: • Operatività online: il client che si collega al server IMAP4 rimane sempre connesso, mentre con POP3 si collega per scaricare nuovi messaggi e poi si scollega immediatamente. • Accesso parziale ai contenuti multimediali: IMAP4 consente agli utenti di accedere parzialmente alle informazioni di tipo MIME che sono memorizzate nei messaggi, questo permette di scaricare una piccola porzione del messaggio per poterne avere un'anteprima. • Accesso simultaneo alla casella IMAP: il protocollo prevede meccanismi per gestire la concorrenza tra utenze connesse simultaneamente alla stessa casella. • Ricerche: è possibile richiedere al server un elenco di messaggi che soddisfano determinati criteri di ricerca. Il vantaggio principale di IMAP4 rispetto a POP3 è dovuto alla “operatività online”, che consente ad un utente di poter cambiare postazione senza dover trasportare i messaggi da una postazione all'altra o senza dover scaricare nuovamente tutti i messaggi. Una sessione IMAP4 consiste di comandi inviati dal client al server terminati dal carattere CRLF (invio), identificati da un tag specifico (ad esempio A00001), diverso per ogni comando impartito. Inoltre, per gestire la concorrenza, ad ogni messaggio possono essere assegnati uno o più flag che ne indicano lo stato: Seen → il messaggio è stato letto.
  • 18. 18 Answered → è stata inviata una risposta. Flagged → è stato impostato un flag di “urgente” sul messaggio. Deleted → il messaggio è stato contrassegnato per la cancellazione. Draft → il messaggio è una bozza. Recent → il messaggio è appena giunto nella casella di posta. Una sessione IMAP4 può attraversare quattro stati: • Non autenticato: quando il client si collega alla porta del servizio la prima volta senza immettere username e password. • Autenticato: dopo lo stato precedente l'utente si può autenticare con le proprie credenziali e la connessione passa allo stato Autenticato. • Selezionato: un utente la cui connessione è in stato Autenticato, può selezionare una casella e la connessione passa allo stato Selezionato. • Disconnesso: quando l'utente chiude la connessione. 1.3 Evoluzione della Posta Elettronica I protocolli che governano l'invio e la ricezione dei messaggi di posta, in particolare quello SMTP, sono alcuni dei pilastri su cui si basa la rete Internet moderna. Figura 6: Esempio di una comunicazione IMAP4.
  • 19. 19 Sono passati molti decenni dalla realizzazione e la standardizzazione di SMTP e, pur mantenendo le caratteristiche iniziali, il concetto di email si è evoluto e sta cambiando notevolmente. 1.3.1 QWERTYUIOP QWERTYUIOP [11], o un testo casuale molto simile, rappresenta il primo messaggio che Ray Tomlinson ha inviato nel 1971 come messaggio di prova da una macchina ad un'altra, transitando attraverso la rete ARPANET. Le caratteristiche più significative di questo evento sono l'invio di un messaggio da una macchina ad un'altra attraverso ARPANET, e l'utilizzo di un carattere che è divenuto ormai un simbolo fondamentale, il carattere “AT” (@). Tomlinson ha scelto tale carattere proprio per indicare che l'utente si trova su un altro server anziché essere locale alla macchina; tale regola vale ancora oggi per i comuni indirizzi email.
  • 20. 20 1.3.2 Email verso la standardizzazione Sebbene la rete ARPANET fosse destinata all'utilizzo da parte di pochi privilegiati, la mail si è presto evoluta; già alla fine degli anni '70 la maggior parte del traffico della rete ARPANET era costituito da email. Successivamente con l'avvento di Internet e grazie alla realizzazione di software in grado di scaricare i messaggi dal server e di poterli inviare in tempi successivi alla loro scrittura consentendone l'interazione in modalità offline, la posta elettronica si è diffusa in tutto il mondo conquistando prima milioni, poi miliardi di utilizzatori e diventando il pilastro di una rivoluzione che è in atto ancora oggi. 1.3.3 RFC 821, 2821, 5321 le evoluzioni dello standard SMTP Nel 1982 Jonathan Postel ha pubblicato il primo standard riguardante il protocollo di trasmissione della posta elettronica, noto come RFC 821. Mentre nel 2001 e successivamente nel 2008 sono stati rilasciati i due standard successivi: il 2821 e il 5321, rispettivamente. Con tali standard sono state introdotte molte modifiche, soprattutto nella definizione dei dettagli della comunicazione. SMTP Sez. 2 Per quanto concerne la sezione 2 che riguarda il modello SMTP, nella prima versione dello standard era prevista una semplice definizione dello schema SMTP, mentre con gli standard successivi sono state introdotte alcune estensioni, come il comando EHLO (che rappresenta HELO avanzato), o come parametri aggiuntivi per i comandi MAIL e RCPT. Con gli standard recenti sono stati inoltre meglio definiti i concetti di “busta” e di “contenuto”, ed è stato introdotto il ruolo del MUA.
  • 21. 21 SMTP Sez. 3 Tra il primo RFC e gli altri due vi sono alcune differenze importanti. La prima riguarda i comandi “VRFY” ed “EXPN”, in quanto nello standard RFC 821 non risultano obbligatori, mentre lo sono negli RFC successivi. Inoltre con le nuove versioni è stata definita un'altra categoria di server denominata Gateway SMTP, utilizzati per connettere due o più sistemi di posta diversi (che usano protocolli diversi). Un'altra definizione riguardante gli Alias per le mailbox compare per la prima volta nello standard RFC 2821 per poi essere maggiormente dettagliata nel 5321. Infine, negli standard più recenti compare il protocollo Submission, RFC 4409 [12], un servizio realizzato per supportare le connessioni MUA-MTA per l'invio della posta, che risponde sulla porta TCP 587. Tra lo standard RFC 2821 e lo standard RFC 5321 vi è un'altra differenza: nel secondo sono stati introdotti due aspetti molto interessanti per la sicurezza, i concetti di SPF e DKIM. SPF e DKIM sono importanti concetti che riguardano la sicurezza della trasmissione SMTP, attraverso cui i server possono verificare che la sorgente da cui proviene un messaggio sia effettivamente autorizzata alla spedizione per conto del dominio specifico mediante semplici interrogazioni DNS. SMTP Sez. 4 Rispetto alla prima versione dello standard, nelle altre due è previsto l'utilizzo di una coda di trasmissione da parte di ogni client SMTP. Lo scopo di tale coda è quello di memorizzare i messaggi in uscita, per poter tentare nuovamente l'invio in caso di errore. Inoltre sono state esplicate le strategie di trasmissione e di ritrasmissione. SMTP Varie Nelle recenti versioni sono state introdotte nuove funzionalità di debugging, di gestione degli errori, di individuazione dei loop e di sicurezza che non erano previste nella prima versione dello standard.
  • 22. 22 Inoltre nella versione più recente definita dallo standard RFC 5321, vi è una nota di sicurezza riguardante i bounce messages2 ; tali messaggi non devono essere inviati perché possono amplificare la posta indesiderata. 1.4 Evoluzione dei client di Posta Elettronica I client di posta (MUA) rappresentano l'interfaccia tra i server POP3, IMAP4, SMTP e gli utenti. Infatti gli utenti che compongono il messaggio sul MUA e che successivamente selezionano il comando “invia”, scatenano l'evento, ad essi totalmente trasparente, che prevede una conversione del messaggio e l'invio dello stesso attraverso una connessione SMTP verso il server MTA. Anche scaricando la posta, gli utenti scatenano un evento, ad essi totalmente trasparente, di connessione verso la casella postale che è tipicamente contenuta su un MTA (che nello specifico assolve funzioni di MDA3 ) al fine di consentire al MUA di prelevare i messaggi attraverso l'uso del protocollo POP3 o del protocollo IMAP4. Il MUA è considerato un importante nodo del processo di mailing, in quanto è il componente software con cui gli utenti interagiscono direttamente; per questo gran parte dell'evoluzione dei software dedicati allo scambio dei messaggi si concentra sui MUA. All'inizio i client erano composti solo dalla parte di connessione che prevedeva il supporto ai protocolli POP3, IMAP4, SMTP e da un semplice editor. I MUA si sono presto evoluti accorpando funzioni avanzate, dalla gestione dei contatti, ai calendari, dalla gestione delle note a quella degli appuntamenti. Si sono anche evoluti gli editor che sono diventati sempre più ricchi, con correttori di testo, editor HTML, etc. 2 Un messaggio di Bounce è un messaggio di rimbalzo, contenente codice identificativo del tipo di bounce e motivazione. 3 Un MDA (Mail Delivery Agent) è un particolare software che accetta i messaggi delle email e li distribuisce alle varie caselle di destinazione.
  • 23. 23 La maggior parte dei MUA recenti sono stati arricchiti con la possibilità di essere integrati con software anti-malware per contrastare gli attacchi che si sono recentemente diffusi nella rete. Anche gli aspetti di integrità e confidenzialità son stati curati, è infatti possibile implementare gli standard più diffusi in materia, ad esempio integrando script per PGP o per S/MIME. Infine molti dei programmi client di posta elettronica supportano integrazioni con software di terze parti, mediante plug-in. Nell'ultimo decennio un protocollo in particolare ha avuto un enorme sviluppo, il protocollo HTTP. Tale sviluppo si deve a moltissimi fattori, uno tra i più incisivi è costituito dalla sua enorme “reachability4 ”, questo perché è sufficiente un comune browser, e perché tale protocollo è filtrato o inibito in pochissime reti. Un altro fattore molto interessante di HTTP risiede nella forte espandibilità che ruota attorno ai linguaggi, in quanto è possibile utilizzare linguaggi di programmazione o di scripting per implementare con semplicità nuove funzioni. I protocolli della posta elettronica sono tra i primi che sono stati adattati per poter interagire con una sessione HTTP. Le webmail infatti esistono ormai da decenni e sono di uso estremamente comune. Anche quest'ultime hanno avuto una vasta evoluzione, le primissime sono quelle scritte nel 1995 in linguaggio CGI-BIN per Lotus, ma si sono presto sviluppate webmail di grandi provider di servizi come quelle di AOL, IOL, Yahoo, Hotmail, che hanno semplificato l'utilizzo della posta e hanno contribuito alla diffusione del servizio, consentendo agli utenti di utilizzarlo da diverse postazioni. L'avvento di Gmail la cui forza, oltre che nella sicurezza e nella altissima disponibilità del servizio, risiede in un enorme lavoro di integrazione tra mail e servizi correlati (quali chat, plug-in, office systems, etc) ha rafforzato ulteriormente questo trend. 4 Per reachability è da intendere la possibilità per il protocollo di essere raggiunto dalle postazioni Internet.
  • 24. 24 Per questo una soluzione moderna di gestione della posta deve prevedere un'interfaccia web estremamente accattivante e ricca di funzioni, perché l'utenza che oggi utilizza tali software è fortemente abituata ad utilizzare uno strumento che le consente di effettuare molte operazioni collaborative concentrate in un unico punto, e che fonde sia il concetto di comunicazione asincrona, sia quello di comunicazione sincrona. Un ultimo aspetto riguardante le evoluzioni dei client deriva dalla grande diffusione dei dispositivi mobili. Anche in questo caso il protocollo della posta è stato uno dei pionieri della transizione dai client tradizionali a quelli mobili. Per questo la webmail deve essere scritta opportunamente in un linguaggio moderno (Responsive web design5 ) che consenta ad esempio la facile transizione grafica da un PC ad un tablet o ad uno smartphone, in modo tale da garantire, almeno attraverso il canale HTTP, un accesso immediato ai servizi di posta da qualsiasi dispositivo. Per essere pienamente apprezzabile tale sistema dovrebbe anche supportare metodi avanzati di integrazione con i dispositivi, ad esempio mediante l'adozione di “app6 ” scritte ad hoc per i Sistemi Operativi mobili. Una valida alternativa alla “app” potrebbe essere la scelta di utilizzare un protocollo specifico di sincronizzazione tra il sistema di posta e le “app” preposte a tale funzione già presenti sui dispositivi; tipicamente il protocollo più ricco per tale sincronizzazione è rappresentato da “ActiveSync” di Microsoft, il quale è preferibile ai classici IMAP4+CalDAV7 perché è più semplice e veloce da configurare. 5 Responsive web design è una tecnica di realizzazione dei siti Internet in grado di adattarsi dinamicamente alle impostazioni visive del dispositivo dal quale vengono visualizzati. 6 Il termine app deriva dalla abbreviazione della parola “applicazione”; per app si intende una variante delle applicazioni informatiche scritte appositamente per dispositivi mobili. 7 CalDAV è un servizio Internet che consente di sincronizzare le agende remote.
  • 25. 25 2 Minacce alla Posta Elettronica L'enorme diffusione del servizio di posta elettronica rappresenta allo stesso tempo il suo maggior punto di forza e la sua più grande debolezza, in quanto gli utenti malintenzionati possono sfruttarla massivamente al fine di portare a compimento numerosi tipi di attacchi e frodi informatiche. Questo evidenzia la criticità del servizio e la profonda necessità di proteggere i server di posta al fine di rendere lo scambio di messaggi sicuro e di garantirne una piena fruibilità. Spesso, parlando di mail security, ci si riferisce solo a problemi legati allo spam o ai virus, ma in realtà, esistono numerosi tipi di attacco molto più pericolosi. Per la maggior parte delle minacce analizzate in questa tesi non esiste ad oggi una soluzione definitiva [13]; una ragionevole sicurezza dello scambio di messaggi attraverso la posta elettronica può essere ottenuta attraverso un processo molto complesso basato su scelte e compromessi. I filtri alle minacce possono essere applicati direttamente sui MUA, mediante l'utilizzo di plug-in e software addizionali sui client; questo però comporta una possibile disomogeneità delle regole di sicurezza, un incremento delle risorse di calcolo necessarie sui client e minor controllo sul sistema in generale. Un'altra modalità di filtro è quella implementata sui server MTA attraverso l'uso di tecniche di analisi, di regole di implementazione e di software polifunzionali; questo comporta l'adozione di server specifici per l'applicazione dei filtri e di un'infrastruttura adeguata, ma consente di avere maggior controllo e omogeneità sulle regole. Una terza modalità si basa sull'utilizzo di servizi esterni di sicurezza; la posta viene ricevuta da tali sistemi che non risiedono all'interno della rete dell'ente o dell'azienda, viene quindi bonificata e inoltrata ai sistemi di posta interni. Tale modalità offre gli stessi vantaggi offerti dai filtri applicati sui server MTA spostando la gestione dei sistemi a terzi, ma prevede dei costi di abbonamento.
  • 26. 26 In particolare le ultime due modalità sono interessanti laddove si abbia a che fare con una vasta eterogeneità di MUA che renderebbe estremamente ardua e costosa l'applicazione e la gestione della prima modalità. 2.1 Spam, un problema che ha origine con il protocollo SMTP Si ritiene che lo spam abbia origine nel 1978 ad opera della DEC, la quale inviò a tutti i destinatari ARPANET della costa ovest degli Stati Uniti una mail pubblicitaria per promuovere un nuovo prodotto. Da allora lo spam ha fatto balzi da gigante ed è diventato un problema di scala mondiale per il quale è ancora oggi molto difficile trovare una soluzione definitiva e condivisa. Qual è il significato di spam e a cosa serve [14]? Spam deriva da uno sketch di Monty Python in cui tale parola veniva utilizzata insistentemente da una cameriera per pubblicizzare un fantomatico ingrediente con qualsiasi pietanza, denominato spam. Questo particolare richiama molto da vicino il concetto moderno di spam, il cui intento è quello di pubblicizzare insistentemente un prodotto mediante l'invio di messaggi massivi a molti destinatari. Lo spam nell'accezione moderna indica appunto tutto quanto concerne l'invio di messaggi indesiderati e si concentra su Internet in generale, sia nei messaggi di posta che nelle chat, sia nei social network, che nei forum. Quindi lo scopo dello spam è quello di raggiungere il maggior numero di utenti, senza il loro consenso, con messaggi commerciali attraverso l'uso di software che consentono di effettuare massmailing. Si può dividere in due tipologie principali:
  • 27. 27 • UBE (Unsolicited Bulk Email); appartengono a questa categoria tutti quei messaggi chiamati “Hoax” o “Urban legend” che costituiscono di fatto le così dette “catene di Sant'Antonio”, ovvero email non commerciali inviate a grandi masse di destinatari. Spesso l'obiettivo di queste email è quello di diffondere messaggi fasulli o virus. • UCE (Unsolicited Commercial Email); appartengono a questa categoria tutti quei messaggi aventi scopi commerciali e pubblicitari inviati a grandi masse di destinatari. L'obiettivo di queste mail è quello di promuovere campagne o prodotti commerciali. Vi sono molti metodi utilizzati dagli spammer per perseguire i propri obiettivi; tali metodi possono essere sfruttati a causa della natura del protocollo SMTP, la quale non prevede una effettiva identificazione del mittente e del server di partenza. Uno spammer può ad esempio utilizzare open relay8 , spambot, macchine compromesse da virus o cavalli di troia per inviare moltissime mail durante una campagna di spam. Inoltre è molto semplice per gli spammer generare la lista dei destinatari; infatti è possibile acquistare pacchetti di indirizzi di posta elettronica presso opportuni venditori su Internet, i quali possono ottenerli attraverso varie tecniche di scansione sulla rete, di rilevazione su siti web, forum, etc. Lo spam non costituisce un vero e proprio pericolo per gli utenti di Internet perché la maggioranza dei messaggi indesiderati ha solo scopi commerciali, però l'enorme diffusione del fenomeno comporta comunque notevoli inconvenienti: • La maggior parte del traffico email è rappresentato da posta indesiderata, vi è quindi un enorme spreco di banda Internet a livello globale. • La grande quantità di messaggi di spam risiede sul disco del server che ospita caselle di posta, vi è quindi un grande spreco di spazio disco. • Una campagna di spam si basa su spedizioni massive, questo potrebbe causare la saturazione del server che gestisce la posta generando interruzioni del servizio. 8 Un open relay è un server SMTP mal configurato che consente a chiunque di inviare email verso altri domini.
  • 28. 28 • Il contenuto dei messaggi di spam è spesso violento o indecoroso. • La difficoltà per gli utenti nell'utilizzare le caselle di posta e il tempo necessario alla selezione dei messaggi desiderati rispetto a quelli indesiderati. Secondo il documento “Annual Security Report 2015” di Cisco [15] nel 2014 il problema dello spam è aumentato enormemente, superando duecento miliardi di mail di spam al giorno. D'altra parte è anche emerso che i migliori sistemi antispam riescono a bloccare oltre il 99% di email indesiderate. 2.1.1 Spam: Meccanismi per contrastarlo Il problema dello spam è in costante evoluzione; le tipologie di spam e le relative modalità di trasmissione e di composizione di un messaggio indesiderato sono moltissime, tutto questo rende impossibile individuare un metodo univoco per risolvere definitivamente tale fenomeno. Piuttosto è opportuno individuare una ricetta per mitigarne gli effetti, composta da soluzioni, spesso condivise tra i soggetti che partecipano allo scambio di messaggi. Tale ricetta può essere composta da molti strumenti, installati arbitrariamente in ogni implementazione del sistema di mail security, classificabili secondo le seguenti categorie. DNSBL Le liste DNSBL (DNS-based Blackhole List, dette anche RBL) costituiscono insiemi di indirizzi IP scritti in uno specifico formato, interrogabili attraverso la rete Internet.
  • 29. 29 Lo scopo di tali insiemi è quello di fornire un meccanismo di protezione basato sul riconoscimento dell'indirizzo IP sorgente mediante l'utilizzo di interrogazioni DNS. Possono essere utilizzate da qualsiasi servizio in grado di implementare un client di tipo RBL, attraverso cui viene verificato l'indirizzo IP sorgente prima di determinare se concedere o meno l'accesso; sono principalmente impiegate nei sistemi di controllo dei server di posta elettronica. L'interrogazione DNS ad una RBL viene eseguita mediante i seguenti passi: 1. Il server isola l'indirizzo IP sorgente e lo inverte (ad esempio 82.193.30.8 diventa 8.30.193.82). 2. All'indirizzo IP appena ottenuto pospone il dominio della RBL. 3. Esegue un'interrogazione per l'hostname ottenuto9 . 4. Se l'hostname precedente è contenuto nella lista RBL il server ottiene un indirizzo IP, altrimenti riceve una risposta NXDOMAIN10 . 5. Nel caso in cui l'hostname sia contenuto nella lista è possibile eseguire una seconda interrogazione di tipo TXT per ottenere informazioni riguardanti la motivazione. Il server che implementa tali controlli può quindi applicare delle regole di prevenzione in base alle politiche di sicurezza stabilite (ad esempio può bloccare il mittente o può assegnare alla mail un punteggio che concorre al computo finale per la valutazione della bontà del messaggio). Le liste RBL possono essere classificate in base al metodo di rimozione (è automatico dopo un certo tempo di permanenza o è necessario farne richiesta specifica?), al tempo di permanenza di un indirizzo IP (se il contenuto della lista viene rimosso automaticamente, qual è il tempo medio di permanenza?), al metodo di inserimento di un indirizzo IP (l'inserimento avviene previa segnalazione o in modo automatico attraverso l'utilizzo di honeypot?). 9 In particolare esegue un'interrogazione di tipo “A”, attraverso cui ricerca un indirizzo IP partendo da un hostname. 10 Dominio non trovato.
  • 30. 30 L'utilizzo delle liste RBL va valutato con cura in quanto esse sono gestite da terzi, dei quali non è sempre noto il fine; inoltre nell'insieme degli indirizzi IP spesso sono inclusi range DHCP di classi di indirizzi dial-up solo a scopo preventivo. Per questo è opportuno ponderarne l'utilizzo e prediligere l'applicazione di un punteggio nel caso in cui l'indirizzo IP del mittente sia presente nella lista, piuttosto che bloccare il client preventivamente; oppure è necessario prediligere l'utilizzo di poche liste fidate o gestite da enti senza scopo di lucro. Filtri antispam Molti software utilizzati dai relay si basano su filtri antispam che mediante varie classi di regole, possono stabilire se un messaggio è spam o meno. Tipicamente i filtri più avanzati analizzano il messaggio e la sua intestazione al fine di valutarne la bontà, attribuendo un punteggio in base alle regole violate. Vi sono tre classi di filtri: • Filtri statici, largamente usati in passato, che si basano su liste di parole o espressioni regolari che l'amministratore di sicurezza indica come “termini non permessi”. A seguito della presenza di tali parole all'interno di un messaggio il filtro può bloccare l'intera mail. Lo svantaggio di questi filtri è dovuto alla gestione e all'aggiornamento delle parole non permesse. • Filtri euristici, che analizzano il contenuto della mail e le relative intestazioni al fine di individuare modelli o schemi di realizzazione del messaggio che violano determinate regole stabilite dall'amministratore del sistema. Queste regole possono riguardare tutte le caratteristiche relative al corpo e all'intestazione del messaggio. Lo svantaggio di questi filtri è dovuto alla loro incapacità di eseguire analisi predittive. • Filtri statistici che utilizzano tecniche avanzate, come i filtri Bayesiani. Questi filtri si basano sul teorema di Bayes e fanno uso di metodi statistici basati su raccolte di email per predire se un messaggio è spam o meno. Lo svantaggio di questi filtri è dovuto alla gestione della collezione dei dati statistici relativi ai messaggi in quanto può assumere dimensioni anche molto significative, per questo è opportuno utilizzare un database.
  • 31. 31 I filtri che tipicamente sono utilizzati dai software antispam sono sia quelli euristici, sia quelli statistici. Reti collaborative Una terza tecnica di protezione contro lo spam si basa sulle reti collaborative, cioè reti composte da un insieme di client e di server su cui sono memorizzati gli hash che rappresentano univocamente un messaggio o parte di esso. Ogni volta che un server di posta riceve un messaggio ne calcola l'hash e richiede ai server della rete collaborativa la probabilità che tale mail sia spam o meno. Tale probabilità è calcolata in base al numero di server che hanno segnalato la ricezione di tale valore hash; maggiore è il numero, maggiore è la probabilità che il messaggio sia spam. I server di posta che filtrano con successo lo spam, utilizzano tecniche miste che coinvolgono controlli RBL, filtri euristici e filtri statistici, reti collaborative e altre tecniche che sono utilizzate non solo per contrastare lo spam ma anche le altre minacce analizzate in questa tesi. Tali tecniche sono trattate successivamente come metodi di contrasto ad altre minacce. 2.2 Phishing Il Phishing [14] è una particolare frode informatica attraverso cui un malintenzionato cerca di perseguire l'obiettivo di farsi comunicare dalla vittima dati finanziari, personali o codici di accesso. Sebbene il phishing possa avvenire attraverso vari mezzi di comunicazione, quello maggiormente colpito è la posta elettronica. Il malintenzionato utilizza tecniche di social engineering11 mediante l'invio massivo di email aventi contenuti e link che imitano messaggi legittimi di fornitori di servizi attraverso cui richiede di fornire informazioni personali. 11 Social engineering è lo studio del comportamento individuale al fine di carpire informazioni quali codici di accesso, dati personali, dati finanziari.
  • 32. 32 L'attacco phishing si svolge nel seguente modo: 1. L'utente malintenzionato, dopo aver predisposto una pagina del tutto simile a quella proposta dal fornitore di servizi, invia una mail massiva contenente del testo in cui viene richiesto l'accesso a tale pagina. Tipicamente tale accesso è realizzato attraverso l'uso di link fittizi che corrispondo a URL simili a quelli legittimi. 2. La vittima, selezionando tale link e inserendo i dati richiesti, inconsapevolmente li fornisce al malintenzionato, il quale li può utilizzare per compiere operazioni a titolo dell'utente legittimo, acquistando ad esempio servizi o trasferendo somme di denaro. Vi sono casi particolari di phishing in cui il malintenzionato ha l'obiettivo di indurre l'utente a selezionare un link che lo condurrà su una pagina malevola contenente virus o worm. In questo modo il malintenzionato può infettare molte macchine attraverso l'uso del phishing. Secondo il “McAfee Threats Report” [16] nel 2014 vi sono stati oltre 200.000 nuovi URL di phishing ogni mese. 2.2.1 Phishing: Meccanismi per contrastarlo Un meccanismo preventivo per contrastare tale fenomeno è quello della formazione dell'utente. Basandosi sul social engineering tale tecnica è particolarmente efficace laddove vi siano utenti inconsapevoli dei rischi e del tutto impreparati a fronteggiare il problema. Comunque è possibile implementare alcuni controlli di sicurezza che consentono di limitare le mail contenenti phishing.
  • 33. 33 Tipicamente è possibile utilizzare regole specifiche nel filtro euristico dei software antispam per rilevare e segnalare una possibile frode. Un'altra tecnica si basa su software che utilizzano particolari database di firme per scansionare il messaggio, individuare e segnalare l'eventuale presenza di link che puntano ad URL pericolosi all'interno della mail. 2.3 Malware Un malware è un software avente lo scopo di causare danni ad un computer, ai dati in esso contenuti o ad un sistema informatico. Il significato di malware deriva dalle parole malicious software, cioè, codice maligno. La diffusione dei malware è sempre in aumento e i vettori principali di diffusione di tali software sono i servizi più diffusi e utilizzati nella rete Internet, tra cui spicca in particolare la posta elettronica. Vi sono molte categorie di malware; quelle più importanti e pericolose sono: • Virus, sono porzioni di codice che si diffondono all'interno di altri file; si riproducono facendo copie di sé stessi. • Worm, sono simili ai virus, cioè sono porzioni di codice in grado di replicarsi autonomamente, ma non hanno bisogno di legarsi ad altri eseguibili. • Trojan, le cui funzionalità malevole sono nascoste all'interno di programmi apparentemente utili. • Spyware, che raccolgono le informazioni dell'attività di un utente e le trasmettono su Internet a società che le utilizzano per trarne profitto (ad esempio attraverso pubblicità mirata). • Rabbit, sono particolari software che si replicano all'interno del sistema con grandissima velocità saturandone le risorse.
  • 34. 34 Questo elenco comprende solo una parte delle tipologie di codice maligno che possono attaccare un computer o una rete informatica; alcuni di essi, come i worm, prediligono la replica automatica attraverso vettori a grande diffusione come le email; altri utilizzano qualsiasi vettore di trasmissione, quindi anche la mail. Tutti i software che sono classificati come malware possono costituire un pericolo non solo per il computer che li esegue, ma per l'intera rete informatica che lo ospita, e per i dati contenuti da tutte le macchine ad essa collegate. 2.3.1 Malware: Meccanismi per contrastarli I moderni software antivirus si basano su database di firme che contengono tutte le categorie di malware, consentendo di prevenire molti attacchi. Contro questi attacchi la miglior difesa [10] è la prevenzione, che può essere ottenuta bloccando l'ingresso a tutto il codice malevolo e cercando di evitare che si possa diffondere all'interno della rete informatica. Per poter bloccare il codice malevolo è quindi necessario controllare le mail in ingresso perché costituiscono uno dei principali vettori di diffusione. Tale compito è svolto egregiamente dai software antivirus integrati con i programmi di mail security. Due sono le tecniche che consentono ad un amministratore di sistema di avere successo nel contrastare i malware: • Bloccare le estensioni che sono tipicamente utilizzate da software malevoli. Mediante opportune regole il relay su cui è configurato il sistema di sicurezza, può bloccare tipologie note di file, impedendone la diffusione a prescindere dalla bontà del file in questione. Regole avanzate possono prevedere anche il blocco di archivi di file protetti da password, in quanto il software antivirus sarebbe impossibilitato ad aprirli.
  • 35. 35 • Utilizzare due programmi antivirus diversi. Eseguire in cascata due antivirus, realizzati da due società aventi scopi diversi; ad esempio uno commerciale e uno di tipo open source. Questo garantisce l'applicazione di database di firme di più ampio respiro, aumentando la probabilità di rilevare attacchi meno noti o diffusi. I file che sono stati rilevati come infetti dai sistemi di sicurezza possono essere eliminati oppure possono essere messi in quarantena per consentire agli utenti di accedervi qualora venga trovato un metodo di disinfezione. 2.4 Attacchi alle Caselle Mail Le caselle di posta costituiscono per un sistema mail il bene più prezioso. Esse infatti contengono la posta degli utenti, per questo vanno salvaguardate contro attacchi che possono comportare furto di informazioni o di identità oppure perdita di dati. I problemi principali che riguardano le caselle di posta degli utenti sono due: • Perdita di informazioni, molte possono essere le cause della perdita delle caselle di posta. Il server che ospita le caselle si può danneggiare, oppure un malware può corrompere i file in esso contenuto, oppure un utente può inavvertitamente cancellare la propria casella postale o parte di essa. • Attacco alle informazioni, esistono molti tipi di servizi che espongono le caselle, o che vi devono accedere direttamente, e nessun software è esente da errori di programmazione. Tali errori costituiscono bug che possono essere sfruttati per connessioni indesiderate, attraverso cui un utente malintenzionato può guadagnare un accesso illegittimo alle informazioni. Un altro problema può derivare dalla particolare infrastruttura di rete progettata per i servizi aziendali.
  • 36. 36 Per quanto riguarda la posta elettronica, ad esempio, moltissime installazioni prevedono che i servizi SMTP, POP3, IMAP4 e HTTP siano direttamente connessi ai dati aziendali, e installati in una rete accessibile da Internet. Questo tipo di architettura espone direttamente le caselle postali degli utenti ad Internet perché non vi è alcuna rete che renda tale accesso indiretto. Infine un ultimo problema può derivare dagli utenti stessi, i quali tendono ad utilizzare password spesso ripetitive e molto semplici che consentono ad utenti malintenzionati di accedere con facilità alla casella di posta con attacchi brute force12 . 2.4.1 Attacchi alle Caselle: Meccanismi per contrastarli Per contrastare la perdita di informazioni, la tecnica più efficace consiste nel mettere il dato al sicuro. Il meccanismo che concretamente consente di conservare in modo appropriato il dato è il backup. Infatti, pur adottando tecniche di ridondanza fisica, Access Control List sugli oggetti, controllo all'accesso e altri mezzi per aumentare la sicurezza del dato, le informazioni non sono mai completamente al sicuro. I sistemi e le informazioni in essi contenute sono costantemente esposte a pericoli di vario genere, per questo è necessario individuare un'opportuna strategia di backup per tutelare i dati. Caratteristiche che il backup deve avere: • Frequenza di backup, il salvataggio deve essere effettuato con una frequenza tale da consentire il ripristino del dato più recente possibile, per diminuire la perdita di informazioni. • Retention Policy, i salvataggi devono essere mantenuti per un periodo sufficiente che soddisfi le necessità di storicità delle informazioni imposte dalla direzione aziendale. 12 Brute force è un metodo che consente di trovare i codici di accesso ad un sistema, tentando tutte le possibili combinazioni.
  • 37. 37 • Sicurezza del backup, come le macchine che offrono il servizio di posta, anche i dispositivi di destinazione dei salvataggi possono essere sottoposti a malfunzionamenti; è quindi opportuno prevedere una politica di esportazione periodica dei backup per sopperire a eventuali situazioni di disastro, ad esempio attraverso l'uso di nastri. • Tipologia di backup, per ridurre lo spazio occupato e il tempo utile ad eseguire il salvataggio dei dati è necessario utilizzare un backup completo affiancato ad un backup di tipo incrementale o differenziale. Per contrastare l'attacco alle informazioni è necessario adottare una serie di accorgimenti. Password policy L'utilizzo di password semplici consente agli utenti malintenzionati di ottenere con facilità un accesso indebito al sistema con tecniche di brute force o password guessing. Per questo è molto importante utilizzare una password policy robusta che imponga all'utente di scegliere password sicure, non banali e che lo obblighi a cambiarle con una certa cadenza temporale, senza utilizzare nuovamente i codici già scelti. Patch management I software spesso contengono bug di realizzazione che possono compromettere la stabilità del servizio e spesso possono concedere accessi indesiderati. Per questo le funzioni di patch management dovrebbero essere implementate per tutti i servizi cui l'azienda o l'ente fanno riferimento. In particolare i software che espongono servizi verso Internet dovrebbero prevedere una politica di approvazione e applicazione continua delle patch per consentire un aggiornamento costante del sistema in modo da poter prevenire gli attacchi noti.
  • 38. 38 Infrastruttura di rete Spesso l'applicazione delle patch non è sufficiente a tutelare i servizi dagli attacchi, per questo è necessario implementare un'infrastruttura di rete che consenta di mettere in totale sicurezza i dati aziendali. In particolare è opportuno rendere, ove possibile, l'accesso ai dati indiretto. I software moderni consentono l'accesso indiretto ai server che ospitano le informazioni mediante l'uso di tecniche come il reverse proxy. In particolare per la posta elettronica è possibile implementare reverse proxy per i servizi di POP3, IMAP4 e per HTTP usato dalla webmail. Per quanto riguarda il protocollo SMTP, è possibile sfruttare le funzioni di relay per implementare uno (o più) server SMTP di frontiera per ricevere la posta dall'esterno, bonificarla e inoltrarla verso i server interni che contengono le caselle degli utenti. Un'implementazione che rispetti queste norme di sicurezza tipicamente si basa su una rete DMZ che è direttamente accessibile da Internet, utilizzata per consentire gli accessi dall'esterno verso i servizi di posta. Tali servizi accedono alle caselle interne per conto dell'utente che ne fa richiesta, consentendo un accesso indiretto alle informazioni. Quindi l'accesso alle caselle è mitigato dal server relay posto nella DMZ, i dati degli utenti rimangono sempre al sicuro nella rete LAN perché non vengono mai acceduti direttamente dall'esterno; anche l'eventuale compromissione dei servizi esposti sulla rete pubblica non consentirebbe l'accesso diretto alle informazioni. 2.5 Attacchi alla disponibilità del servizio L'alta disponibilità della posta elettronica è estremamente importante in quanto molti utenti la utilizzano quotidianamente. Anche molti servizi si basano sulla mail per inviare comunicazioni, rapporti, allarmi, questo ne aumenta la criticità e l'importanza.
  • 39. 39 Vi è una categoria di attacchi che mina la disponibilità dei servizi: gli attacchi di tipo DoS e DDoS. Questi attacchi hanno l'obiettivo di colpire il funzionamento dei servizi attraverso un gran numero di richieste, saturando le risorse e limitandone la disponibilità. 2.5.1 Attacchi alla disponibilità del servizio: Meccanismi per contrastarli Il protocollo SMTP ha un grosso vantaggio in quanto la ricerca dei server MTA dedicati alla ricezione della posta avviene attraverso l'analisi dei campi MX mediante un'interrogazione DNS. Nella definizione della zona DNS è possibile impostare un numero arbitrario di record MX e di attribuire loro un peso mediante un numero di preferenza. Durante la fase di invio il server MTA del mittente ottiene l'elenco dei record MX per il dominio di destinazione; tale server quindi può scegliere arbitrariamente, o in base alla preferenza del record MX, a quale MX inoltrare la mail. In caso di errore la mail in uscita viene trattenuta nella coda, quando il server effettua il successivo tentativo di spedizione, può scegliere un altro record MX. Questo consente quindi di introdurre una sorta di alta affidabilità e di bilanciamento nel protocollo SMTP, garantendo sia la protezione contro attacchi che minano la disponibilità del servizio SMTP, sia la possibilità di spegnere un server per manutenzione. 2.6 Confidenzialità, Integrità, Autenticazione, Non- Ripudio I sistemi mail non hanno un metodo nativo che garantisca confidenzialità, integrità, autenticazione e non-ripudio.
  • 40. 40 Tali paradigmi possono essere implementati attraverso varie tecniche che costituiscono integrazioni del protocollo oppure varianti del protocollo. Per quanto riguarda le integrazioni è possibile utilizzare: • PGP (Pretty Good Privacy) che è diventato uno standard denominato OpenPGP e consente di implementare confidenzialità, integrità e autenticazione attraverso l'uso della crittografia. Infatti attraverso tecniche crittografiche simmetriche e asimmetriche gli utenti che comunicano possono garantire la propria identità firmando il messaggio attraverso l'uso delle coppie di chiavi pubbliche e private. Possono inoltre garantire confidenzialità cifrando il messaggio con una chiave di sessione, a sua volta cifrata con la crittografia asimmetrica. Infine possono garantire l'integrità calcolando l'hash del messaggio e generando la firma digitale. • S/MIME offre le stesse garanzie di PGP ma anziché usare un sistema di “web of trust” per la distribuzione delle chiavi pubbliche usa una Certification Authority. Per quanto riguarda le varianti del protocollo è possibile utilizzare la Posta Elettronica Certificata (PEC). La PEC è una variante della posta elettronica tradizionale, disciplinata dalla legge italiana, che ha l'obiettivo di dare ai messaggi la stessa validità delle raccomandate, garantendo il paradigma del non-ripudio. Quando il mittente invia un messaggio, il suo gestore della PEC gli spedisce una ricevuta di ritorno avente valore legale circa la sua trasmissione. Anche il gestore della PEC del destinatario, una volta ricevuto il messaggio, spedisce al mittente una ricevuta di ritorno avente valore legale circa la sua consegna. Queste due mail costituiscono per il mittente un documento digitale che attesta, attraverso l'indicazione di data e ora, l'avvenuta trasmissione e consegna del messaggio; in questo modo è implementato per il destinatario il paradigma del non-ripudio, secondo cui egli non può negare di aver ricevuto la mail.
  • 41. 41 Anche il destinatario riceve, insieme al messaggio, un file che attesta che la mail è stata inviata dal mittente con data e ora; questo garantisce il non-ripudio anche da parte del mittente. Tale mezzo di comunicazione è attualmente l'unico utilizzabile per le comunicazioni tra imprese e Pubblica Amministrazione. I vantaggi offerti dalla PEC sono: • Implementazione della validità legale dei messaggi elettronici. • Tracciabilità delle mail. • Certezza della consegna. • Possibilità di inviare qualsiasi formato elettronico. • Riduzione dei costi. Lo svantaggio principale è dovuto al fatto che la PEC è uno standard italiano, non riconosciuto come standard internazionale. 2.7 Varie tecniche di protezione Vi sono molte altre tecniche che consentono di affinare i controlli che i filtri di sicurezza effettuano sulla posta. Greylisting Questo metodo si basa sul concetto di coda previsto dallo standard RFC del protocollo SMTP: se un MTA non riesce ad inviare un messaggio ad un server destinatario, deve utilizzare una coda per memorizzarlo e tentare nuovamente l'invio; il messaggio deve essere mantenuto in coda per un numero ragionevole di giorni prima di poter essere eliminato in caso di fallimento prolungato. I messaggi malevoli sono generalmente inviati attraverso macchine compromesse sulle quali non può essere implementato un sistema di code né nella memoria RAM né sul disco; tipicamente i messaggi spediti attraverso questi vettori vengono inviati una sola volta e non sono previsti ulteriori tentativi.
  • 42. 42 Quindi attraverso le Greylist i server utilizzano una particolare lista “grigia” in cui vengono poste le informazioni del mittente e del destinatario, in attesa che scada un certo periodo di tempo; successivamente tali informazioni sono poste in una “Whitelist” e i messaggi relativi possono essere consegnati senza ulteriori attese. Il server MTA che implementa un sistema di Greylisting tiene traccia di una tripletta contenente indirizzo di posta del mittente, indirizzo di posta del destinatario, indirizzo IP del mittente; ad ogni mail in arrivo il server verifica se la tripletta relativa allo specifico messaggio è già presente nel database, in caso positivo la mail può entrare, in caso negativo viene bloccata con un messaggio di errore di tipo 4XX e viene popolato il database con la tripletta relativa. Il successivo tentativo di spedizione della stessa mail da parte del server mittente ha successo se tra il primo e il secondo invio è trascorso un tempo sufficiente per coprire il periodo di grey13 . Questa tecnica offre la possibilità di effettuare una selezione preventiva dei messaggi, consentendo di bloccare molte mail malevole che sono inviate da client impropri, e di risparmiare tempo di calcolo necessario ai sistemi di sicurezza che, generalmente sono molto onerosi e consumano molte risorse. SPF Sender Policy Framework consente di dichiarare nel DNS, mediante un record di tipo SPF o TXT, i server che sono autorizzati a spedire posta per il dominio. L'utilizzo di SPF può essere totale, ovvero un server può bloccare definitivamente una mail in ingresso proveniente da un indirizzo IP che non compare nel record SPF del dominio, oppure parziale, ovvero la mancanza dell'indirizzo IP del server mittente nel record SPF può aumentare le probabilità che il messaggio sia malevolo, mentre la presenza può diminuirne le probabilità. La verifica del campo SPF può essere implementata nativamente o mediante plug- in nei server di posta e la scelta di adottare o meno tale controllo di sicurezza è totalmente arbitraria. 13 Il periodo di Grey è un periodo durante il quale la tripletta fa parte della “lista grigia”; il messaggio relativo non può essere consegnato fino a che tale periodo non è terminato.
  • 43. 43 Molti amministratori attribuiscono ancora oggi ad SPF un'importanza minore, questo ne penalizza le potenzialità perché la sua efficacia dipende dalla cardinalità dei domini che lo adottano. DKIM Domain Keys Identified Mail è un protocollo basato sulla crittografia e sull'utilizzo del DNS; ha l'obiettivo di risolvere i problemi legati all'autenticità del mittente e all'integrità del messaggio. Il funzionamento di DKIM si basa sull'inserimento della chiave pubblica per il dominio in un record di tipo TXT nel DNS e sull'aggiunta della DKIM-Signature alla mail. La DKIM-Signature contiene molti campi, quelli più importanti riguardano l'indicazione del dominio e l'hash cifrato. Il destinatario che riceve un messaggio con firma DKIM preleva il nome del dominio e lo utilizza per effettuare una ricerca DNS al fine di individuarne la chiave pubblica; quest'ultima viene quindi utilizzata per decifrare l'hash, il quale indica il valore univoco che contraddistingue il messaggio. Il destinatario può quindi calcolare nuovamente l'hash del messaggio per poterlo verificare con quello ottenuto dall'operazione precedente. Se i due hash corrispondono allora il mittente è autentico e la mail è integra. Il protocollo DKIM è ancora poco diffuso, molti domini si limitano ad implementarne la verifica ma non applicano la firma ai messaggi. DMARC Domain-based Message Authentication, Reporting and Conformance è un'estensione dei meccanismi di controllo SPF e DKIM. Questo protocollo consente agli amministratori di specificare, sempre mediante un record di tipo TXT nella zona DNS del dominio, quale azione deve essere intrapresa dai server di posta qualora ricevano una mail il cui campo “From” faccia riferimento allo specifico dominio, ma il messaggio non abbia passato il controllo SPF o DKIM.
  • 44. 44 Attraverso questa modalità gli amministratori possono rafforzare le verifiche DKIM e SPF determinando quale valore i server che ricevono mail dal dominio di competenza debbano attribuire a tali controlli. Formazione degli utenti I sistemi di protezione non sono infallibili, in particolare, considerando l'ingente quantità di messaggi che ogni giorno sono processati da un sistema di posta, la mole di minacce in grado di eludere le misure di sicurezza può essere significativa. Per questo è necessario formare gli utilizzatori della posta elettronica al fine di informarli sulle principali tipologie di minacce per evitare che gli attacchi non rilevati dal sistema di protezione costituiscano pericoli gravi per l'intera rete. Certificati SSL Un metodo per evitare intercettazioni, furti di informazioni, furti di messaggi o di credenziali di accesso è quello di rendere sicuro il canale di comunicazione tra gli utenti e il sistema di posta. Questo compito può essere assolto attraverso l'uso della crittografia, con i certificati SSL. Tutti i browser e i MUA sono in grado di riconoscere la veridicità e la validità di un certificato SSL, per questo è molto importante proteggere i protocolli con un certificato valido e riconosciuto da una Certification Authority. Anche in questo caso la formazione degli utenti è fondamentale, in quanto è necessario che essi sappiano riconoscere quando un certificato non è valido rispetto a quanto dichiarato dal server o quando un certificato non è ufficiale o generato da una Certification Authority riconosciuta, in modo da evitare accessi indebiti al sistema di posta, attacchi phishing, etc. Reputazione La reputazione di un server o di un dominio è di fondamentale importanza rispetto ai controlli di sicurezza analizzati, in particolare rispetto alle liste DNSBL.
  • 45. 45 Per questo è importante evitare di diffondere messaggi impropri o di essere vettori di attacchi: è molto facile ottenere una pessima valutazione o una cattiva reputazione. Un server che ha una cattiva reputazione può incontrare molte difficoltà nell'invio della posta; questo può determinare gravi disservizi. Senza adeguati controlli un MTA può effettuare attacchi a terzi, ad esempio un utente malevolo può utilizzare le credenziali di un utente legittimo ottenute illecitamente, per inviare spam o virus; oppure il server può essere configurato in modo errato ed essere un open relay; oppure una macchina del dominio può essere infetta da un virus e può utilizzare la posta per attaccare macchine esterne. Quindi è opportuno configurare adeguatamente i server relay per evitare che utenti esterni al dominio possano utilizzarli per inviare posta verso terzi (bloccare quindi le impostazioni di tipo open relay), applicare delle regole in uscita per bloccare massmailing dalle macchine interne e applicare i comuni filtri anche alle mail in uscita. Infine è opportuno che il sistema di protezione abbia un accurato meccanismo di controllo dello stato al fine di consentire agli amministratori di verificarne i rapporti di funzionamento per poter agire prontamente sulle regole, affinandone i controlli e per poter prevenire comportamenti inattesi del servizio di posta. 2.8 Analisi dei sistemi di sicurezza I sistemi di sicurezza che sono utilizzati per bonificare le email intraprendono moltissime azioni e possono essere estremamente invasivi. Infatti tali sistemi possono applicare “tag” alle mail per segnalarne la possibile pericolosità, possono bloccare i messaggi e renderli inaccessibili agli utenti o possono metterli in uno stato di quarantena. Inoltre, effettuando molti controlli, possono rallentare notevolmente la trasmissione dei messaggi aumentando i tempi di consegna e utilizzando molte risorse di una rete.
  • 46. 46 Per questo è molto importante valutare e classificare i sistemi di sicurezza, rispetto ai risultati e rispetto ai tempi di latenza che derivano dal loro utilizzo. Rispetto ai risultati ottenuti è necessario introdurre due concetti particolarmente importanti, tali concetti hanno una grande utilità nella maggior parte delle tecniche usate per contrastare le minacce alla posta elettronica. Infatti l'obiettivo finale di tali tecniche è quello di filtrare tutti i messaggi il cui contenuto è considerato indesiderato14 , quindi risulta estremamente importante poter verificare il corretto funzionamento dei metodi di sicurezza utilizzati, valutandone i risultati ottenuti. I concetti in questione sono: • Falso positivo: quando una mail è risultata indesiderata secondo i controlli di sicurezza cui è stata sottoposta, ma in realtà è “pulita” (può essere stata interpretata come spam senza effettivamente esserlo, oppure il sistema antivirus può aver individuato nel suo contenuto un virus, ma in realtà il contenuto ne è esente, o può essere stato rilevato un attacco phishing che non costituisce una minaccia). • Falso negativo: quando una mail è risultata “pulita” secondo i controlli di sicurezza, ma in realtà contiene delle minacce (ad esempio se i controlli di sicurezza non rilevano un virus, un attacco phishing, oppure non individuano spam all'interno di un messaggio che può essere classificato come spam). Un buon sistema che filtra le minacce alla posta deve mantenere bassi entrambi i valori; un numero alto di falsi negativi corrisponde ad un sistema che non è in grado di rilevare minacce concrete insite nei messaggi, quindi gli utenti ricevono molto spam, molti virus, o tanti attacchi di tipo phishing. Un numero alto di falsi positivi corrisponde ad un sistema che segnala come indesiderata molta posta che in realtà dovrebbe essere considerata buona; questo indica che gli utenti perdono mail che potrebbero essere importanti. 14 Una mail può essere considerata “buona” se non è spam, non contiene phishing, non contiene virus, è stata legittimamente prodotta dal mittente.
  • 47. 47 I sistemi di sicurezza sono prevalentemente valutati rispetto al numero di minacce che non riescono a bloccare sul totale delle mail che costituiscono un pericolo concreto (quindi sul numero di falsi negativi); è comunque importante evitare di mantenere un numero alto di falsi positivi (utilizzando ad esempio filtri molto aggressivi) perché altrimenti potrebbero venir bloccate molte mail lecite, provocando un disservizio alla fruibilità della posta da parte degli utenti. Il bilanciamento tra il numero di falsi positivi e falsi negativi è puramente arbitrario e dipende dalle politiche di sicurezza previste dall'ente o dall'azienda cui il sistema di protezione deve garantirne l'affidabilità; quindi è spesso frutto di scelte e compromessi tra le necessità dell'azienda e le necessità degli amministratori della sicurezza. Rispetto ai tempi di latenza risulta molto importante valutare sia le risorse che sono necessarie ai sistemi di sicurezza per svolgere i propri compiti, sia il tempo che tali scansioni richiedono, perché esso costituirà un overhead rispetto ai normali tempi di consegna dei messaggi. Anche in questo caso risulta necessario un bilanciamento tra i risultati che si intende ottenere e le penalizzazioni che possono derivare dall'utilizzo di un sistema troppo oneroso. Tale bilanciamento è opportuno perché l'overhead che deriva dall'applicazione dei filtri può risultare esiguo se applicato ad un numero ristretto di messaggi, ma se applicato a una grande mole di informazioni può aumentare esponenzialmente e può quindi inficiare negativamente sulla fruibilità del servizio. Spesso la scelta e le modalità di applicazione di un processo di sicurezza sono frutto di una contrattazione tra la direzione aziendale e gli amministratori della sicurezza. Infine, dato che alcuni dei controlli effettuati dai sistemi di bonifica dei messaggi si possono affidare a terzi (ad esempio a liste DNSBL o a software antivirus) è molto importante accertarsi dell'affidabilità di tali servizi perché il peso derivante dalle regole di controllo basate su di essi può compromettere l'intero funzionamento del sistema.
  • 48. 48 L'utilizzo dei sistemi esterni dovrebbe quindi costituire solo una parte dei controlli applicati ai messaggi, sia per limitarne il peso nella valutazione finale, sia per limitare i tempi di latenza derivanti dalla loro esecuzione. L'esperienza di grandi provider di servizi e il successo di sistemi di posta quali Gmail, che ha fatto della sicurezza dei messaggi il fulcro della propria offerta, deve essere d'esempio per ogni ente o azienda che intenda utilizzare un sistema di posta elettronica. Un buon sistema collaborativo non può prescindere da un buon sistema di sicurezza.
  • 49. 49 3 Collaboration Suite per la PA: Requisiti La Comunità Montana “Montagna Fiorentina” è un Ente che comprende sette importanti Comuni compresi tra la Valle della Sieve e il Valdarno. Fanno parte di tale Unione i Comuni di: • Londa • Pelago • Pontassieve • Reggello • Rignano sull'Arno • Rufina • San Godenzo L'Unione copre una superficie di oltre 500 KM2 con oltre 55000 abitanti.
  • 50. 50 3.1 Unione di Comuni Valdarno e Valdisieve: Infrastruttura informatica Lo scopo dell'Unione è quello di gestire una pluralità di funzioni e servizi complessivi di competenza dei Comuni che ne fanno parte. Tra i principali servizi spiccano quelli relativi alla gestione delle risorse informatiche. Infatti ai Comuni che ne fanno parte è affidata una gestione parziale dei servizi informativi locali, mentre spetta all'Unione la gestione di funzioni informatiche centralizzate e comuni a tutti gli Enti medesimi. Servizi quali la gestione del S.I.T (Sistema Informativo Territoriale), la gestione informatizzata del SUAP (Sportello Unico Attività Produttive), la gestione informatizzata dell'Albo Pretorio, la modulistica digitale, il Sistema Documentario, la posta elettronica o il sito istituzionale sono accentrati presso il CED dell'Unione. La gestione del parco macchine, delle utenze e di alcuni servizi istituzionali locali è invece demandata ad ogni singolo Ente. Ogni sede è dotata di un proprio dominio ed è collegata all'Unione attraverso una VPN per integrare in modo sicuro i servizi della Comunità Montana. Per quanto concerne la posta, oltre a quella relativa alla Comunità Montana, sono gestite dalle macchine dell'Ente le caselle postali dei Comuni di Londa, Pelago, Reggello, Rignano sull'Arno, Rufina, San Godenzo, mentre è previsto per il Comune di Pontassieve un piano di integrazione futuro. Tali Enti contano un totale di oltre 400 caselle di posta, 200 alias e 50 liste di distribuzione, gestite da un unico punto di amministrazione. I domini serviti dal sistema di posta sono in totale 11 di cui 4 sono alias. Oltre alla posta elettronica tradizionale è previsto l'utilizzo della Posta Elettronica Certificata per espletare le funzioni dello Sportello Unico delle Attività Produttive e per tutte le comunicazioni ufficiali che coinvolgono Enti, cittadini e imprese.
  • 51. 51 Figura 9: tutte le sedi che fanno parte della Comunità Montana sono interconnesse alla sede operativa dell'Ente mediante una VPN di tipo IPSEC. 3.2 Problemi della piattaforma precedente La piattaforma su cui era implementata la gestione della posta elettronica per tutti i Comuni appartenenti alla Comunità Montana soffriva di numerosi problemi di sicurezza e carenze di funzionalità. Figura 9: Schema delle reti interconnesse dell'Unione di Comuni.
  • 52. 52 Posizionamento del server Il primo problema era dovuto alla topologia di rete utilizzata per la soluzione, in quanto sia le funzioni di sicurezza, sia le funzioni di fruizione della posta erano implementate su un unico server. In particolare il server che gestiva la soluzione, e con esso tutte le caselle postali degli utenti, era posizionato nella rete DMZ; questo posizionamento consentiva ad utenti malintenzionati di ottenere direttamente l'accesso alle caselle di posta, a seguito di un attacco. Infatti, a seguito di attacchi che hanno consentito a terzi di ottenere accessi illeciti alla macchina, alcune caselle di posta sono state effettivamente compromesse. Anche le configurazioni del server sono state alterate indebitamente, con lo scopo di creare condizioni favorevoli agli spammer. Inoltre il posizionamento delle caselle in una rete facilmente accessibile da Internet ha consentito ad utenti malintenzionati di installare software quali sniffer per potersi impadronire delle password dei legittimi utilizzatori della posta. Spesso tali password consentivano l'accesso ad altri software dell'Ente, quindi la compromissione del server di posta ha costituito gravi rischi per l'intera rete. Infine, utilizzando un unico server per i servizi di posta e quelli di sicurezza, era particolarmente difficile eseguire operazioni di manutenzione, in quanto, lo spegnimento dello stesso fermava tutti i servizi installati, rendendo impossibile l'utilizzo temporaneo di una coda per memorizzare i messaggi in transito. Controlli inadeguati Le regole di sicurezza previste non erano sufficienti a limitare in modo adeguato gli attacchi e le mail indesiderate. Tali regole si basavano prevalentemente su filtri euristici datati, su un antivirus e su filtri statistici di tipo Bayesiano, configurati per gestire ogni casella con un database distinto anziché utilizzarne uno centrale per il dominio. Queste misure di sicurezza sono risultate più volte inefficienti in quanto gli utenti sono stati spesso vittime di vaste campagne di spam.
  • 53. 53 La carenza di tali sistemi di sicurezza non era dovuta solo alla scarsa manutenzione dei filtri (causata principalmente dalla mancanza di aggiornamenti pianificati) ma anche alla particolare configurazione del filtro Bayesiano poiché esso era suddiviso per ogni casella di posta e non centralizzato per l'intero sistema. Quindi il filtro statistico che veniva applicato non sfruttava appieno le potenzialità di analisi. Infine non era prevista una funzione, estremamente importante contro lo spam, di autoapprendimento attraverso la segnalazione della posta indesiderata che non è stata classificata come tale (falsi negativi). Il sistema di sicurezza era perciò totalmente inadeguato e molte mail contenenti spam, virus, phishing e altri attacchi riuscivano ad entrare quotidianamente nel sistema. Gestione delle utenze La gestione degli utenti era locale al server e non era prevista alcuna password policy. Molti utenti utilizzavano password semplici da indovinare, per questo i relativi account erano spesso violati ed erano utilizzati per lanciare campagne di spam verso altri domini. Non erano neanche previsti tempi di scadenza per obbligare gli utenti a cambiare le password. Infine non era previsto alcun meccanismo di integrazione con i sistemi di directory presenti nei Comuni appartenenti alla Comunità Montana. Tali caratteristiche hanno reso il server di posta della Comunità particolarmente debole agli attacchi contro le utenze. Scarsa reputazione A causa dei molti problemi di sicurezza evidenziati in precedenza il server di posta era spesso utilizzato come vettore di attacchi, campagne di spam e diffusione di virus. Infatti le utenze potevano essere violate attraverso attacchi brute force a causa della mancanza di password policy, oppure potevano essere sfruttate attraverso i MUA installati su macchine che erano state infettate da virus o trojan.
  • 54. 54 I domini degli Enti erano spesso catalogati come vettori di attacchi, per questo erano inseriti in blacklist (DNSBL); la posta inviata veniva bloccata da tutti i destinatari che implementavano controlli basati sulle medesime blacklist. Questo causava notevoli disservizi e l'eliminazione dalle blacklist era sempre più onerosa e complessa. Funzionalità collaborative assenti Il server di posta installato in precedenza non era dotato di funzionalità collaborative. Infatti non erano presenti chat intradominio o trasversali tra i domini; non erano presenti calendari e non era possibile gestire note e appuntamenti. Mancava inoltre un'applicazione che consentisse la gestione e la condivisione di file e allegati. La rubrica era presente ma non poteva essere condivisa tra utenti e tra domini. Questo rendeva la soluzione poco flessibile e non adatta alle necessità aziendali. Limitata disponibilità per i dispositivi mobili L'unica possibilità di collegare dispositivi mobili al sistema di posta era attraverso l'uso di protocolli POP3 o IMAP4. La soluzione quindi non poteva offrire ai dispositivi mobili la possibilità di utilizzare i calendari o di consultare la rubrica e la configurazione dei client stessi era piuttosto macchinosa. Inoltre la webmail disponibile non era di tipo responsive15 per cui la consultazione della posta su dispositivo mobile attraverso il protocollo HTTP era limitata. Gestione e configurazione non centralizzata I componenti utilizzati per filtrare la posta non erano gestibili attraverso alcuna interfaccia centralizzata, per cui la manutenzione delle regole era molto complessa e onerosa. 15 Il design responsive consente di realizzare siti in grado di adattarsi in modo automatico al dispositivo.
  • 55. 55 Inoltre la soluzione non era dotata di strumenti per il controllo e la reportistica, quindi era impossibile valutare il funzionamento dei filtri o il livello di sicurezza. Anche per la gestione delle caselle non era prevista alcuna interfaccia, quindi l'aggiunta o la modifica di un utente richiedeva l'accesso alla macchina e l'interazione con la linea di comando del sistema operativo. La gestione del server risultava quindi molto complessa. 3.3 Requisiti In seguito a quanto emerso dalle problematiche e dalle limitazioni cui era affetto il sistema precedente, l'Ente Unione di Comuni Valdarno e Valdisieve ha individuato per la realizzazione del nuovo sistema di Collaboration Suite i seguenti requisiti. 3.3.1 Sicurezza La sicurezza della posta elettronica è sempre stata un grosso problema per l'Ente, per questo il nuovo sistema deve: • Garantire un tasso di falsi negativi inferiore al 5% per limitare le mail spazzatura. • Bloccare spam, attacchi provenienti da malware e attacchi phishing. • Mantenere un tasso di falsi positivi inferiore al 0,1% per non provocare troppo disservizio agli utenti. • Prevedere metodi per prevenire la cattiva reputazione dei server di posta, al fine di evitare che i domini finiscano nelle blacklist. • Integrare metodi per consentire l'identificazione del mittente, la confidenzialità e l'integrità. • Prevedere un metodo di gestione e applicazione automatica delle patch.
  • 56. 56 • Utilizzare metodi modulari per il controllo della mail, in modo da garantire la possibilità di aggiornare le tecniche di protezione contro nuovi attacchi. • Sfruttare gli utenti già configurati nei vari domini (Active Directory) presenti in tutti i Comuni appartenenti all'Unione, al fine di centralizzare gli accessi e di consentirne una gestione semplificata. Tale implementazione garantisce inoltre la possibilità di utilizzare le password policy già implementate. Deve comunque prevedere la possibilità di mantenere un database locale di utenti, garantendo password policy, password rotation e tecniche per prevenire attacchi brute force. • Preservare le informazioni utilizzando backup di tipo full affiancati a backup incrementali. Le informazioni devono essere salvate con un livello di granularità pari alla singola mailbox e allo stesso modo devono poter essere ripristinate. Oltre alle caselle di posta è necessario salvare anche le informazioni accessorie, come i calendari, le rubriche, etc. • Preservare le caselle e il server di posta, garantendo loro un accesso indiretto, utilizzando l'infrastruttura di rete già presente presso la Server Farm dell'Unione. Figura 10: Infrastruttura di rete dell'Unione di Comuni Valdarno e Valdisieve.
  • 57. 57 Figura 10: la rete dell'Unione è composta da due segmenti separati, quello che comprende la rete interna (LAN) e quello che comprende la rete direttamente accessibile dagli utenti Internet (DMZ). Per la nuova realizzazione è necessario sfruttare tale infrastruttura di rete per poter suddividere il server di Collaboration Suite da quello di frontiera. In particolare è necessario posizionare le caselle all'interno della rete LAN proteggendole dagli accessi diretti utilizzando la rete DMZ per collocare un server di frontiera che garantisca l'accesso indiretto ai protocolli fondamentali, configurati sul server di Collaboration Suite. 3.3.2 Collaboration Suite: Funzionalità Uno degli obiettivi principali della nuova implementazione deve essere quello di ammodernare il sistema di comunicazione tra gli utenti dei Comuni associati all'Ente. Quindi la nuova implementazione deve prevedere tutte le funzionalità tipiche di una Collaboration Suite: • Al fine di consentire uno scambio di messaggi in modalità sincrona e di preservare lo spazio e le risorse dei server di memorizzazione e di gestione dei messaggi di posta, è necessario prevedere un sistema di chat che consenta agli utenti di tutti i Comuni di dialogare tra loro in tempo reale ma che non permetta loro di comunicare con utenti esterni. • La gestione dei contatti dell'Ente e di tutti i Comuni deve poter essere completamente demandata al nuovo sistema di posta, il quale deve quindi prevedere una gestione estremamente granulare delle rubriche. In particolare deve garantire la possibilità di definire rubriche condivise per ogni Comune, rubriche condivise e centralizzate per l'Unione, una o più rubriche per ogni utente e la possibilità di condividere le stesse tra gli utilizzatori.
  • 58. 58 • Per facilitare la collaborazione tra gli utenti deve essere prevista la possibilità di definire e condividere eventi, attività e note, fruibili da tutta la rete dell'Unione. • L'amministrazione dei calendari e degli appuntamenti di ogni utente, Comune e della Comunità Montana stessa, deve essere implementata nel sistema di posta, il quale deve prevedere una gestione centralizzata, integrata e condivisibile tra ogni soggetto. • Al fine di consentire lo scambio di file e allegati è necessario implementare un sistema di gestione e condivisione di oggetti tra gli utenti interni all'Ente e tra i dipendenti e i cittadini. • Per soddisfare eventuali future esigenze, è necessario che il nuovo sistema consenta la realizzazione e l'implementazione di nuove funzionalità attraverso plug-in o estensioni del software. 3.3.3 Gestione centralizzata La soluzione scelta deve poter essere gestita centralmente da un'interfaccia intuitiva. In particolare deve consentire: • Una visione e una gestione centralizzata dei domini. • La definizione e la gestione delle utenze e di tutte le caratteristiche ad esse collegate, quali password e password policy (ove necessario), identità e dimensionamento per ogni singola casella. • La configurazione di tutte le funzionalità previste dalla soluzione. • La definizione e la gestione dei protocolli offerti. • La configurazione di liste di distribuzione e alias. • Il monitoraggio di tutti i filtri di sicurezza implementati. • La configurazione dei filtri di sicurezza. • La gestione e l'implementazione di Whitelist o Blacklist a livello globale.
  • 59. 59 • Il monitoraggio delle risorse consumate dal server utilizzato per i servizi collaborativi e di quelle consumate dal server di filtro. • La verifica e la notifica delle versioni e degli aggiornamenti disponibili. 3.3.4 Contenimento di costi e risorse Non sono stati individuati limiti di spesa esatti e non sono stati definiti limiti computazionali. Comunque la soluzione di posta non deve essere particolarmente dispendiosa e non deve utilizzare eccessive risorse del Data Center dell'Unione. In particolare è necessario prediligere software di tipo Open Source, soprattutto per favorire il riuso della soluzione. Inoltre, al fine di evitare sprechi di spazio disco è necessario utilizzare software che supportino la deduplica dei dati. Infine deve essere possibile espandere il sistema con facilità e senza ulteriori costi (fatto salvo per le risorse computazionali), per garantire la possibilità di aggiungere nuovi Enti soci alla Collaboration Suite. 3.3.5 Dispositivi mobili Per garantire totale fruibilità da parte dei dipendenti dell'Ente, deve essere sostenuta ampia compatibilità con i dispositivi mobili. In particolare devono essere almeno garantiti i protocolli IMAP4 e SMTP autenticato per consentire la configurazione della posta elettronica su tali dispositivi. Per facilitare la configurazione dei dispositivi sarebbe preferibile una soluzione che renda disponibili protocolli più complessi quali ActiveSync. La soluzione può anche prevedere un design di tipo responsive per permettere l'accesso direttamente alla propria interfaccia web.
  • 60. 60 4 Collaboration Suite per la PA: Analisi e Implementazione A seguito delle necessità espresse dall'Ente è stata realizzata ed implementata nella prima metà del 2013 una soluzione di Collaboration Suite per soddisfarne i requisiti. La seguente analisi ha due scopi: • Mostrare ogni dettaglio implementativo e i componenti utilizzati. • Mostrare che i risultati ottenuti soddisfano appieno i requisiti. Il primo aspetto riguarda l'architettura utilizzata per la realizzazione della soluzione, da cui emergono i flussi dei protocolli applicativi. Figura 11: Schema di rete della piattaforma installata.
  • 61. 61 La soluzione è composta da due categorie di server: • Un server di frontiera denominato “Mailrelay” dedito all'interfacciamento tra il servizio di posta dell'Ente e il mondo esterno. Questo server è posizionato nella rete DMZ, direttamente accessibile da Internet e di fatto isolato dalla rete interna; consente a terzi di consegnare i messaggi per i destinatari appartenenti ai domini dell'Ente e consente agli utenti interni di inviare posta verso l'esterno, inoltre applica ai messaggi in ingresso e in uscita tutti i controlli di sicurezza che sono stati individuati per garantire affidabilità alla posta elettronica. Rappresenta inoltre il punto di ingresso che permette agli utenti di accedere agli strumenti di collaborazione, sia fuori che dentro la rete aziendale. La soluzione prevede un singolo server, individuato nelle zone DNS come campo MX dei domini cui appartiene; in futuro questo server può essere affiancato da altri per ridondanza o bilanciamento, senza stravolgere i flussi implementati, ma effettuando una semplice modifica alla zona DNS. • Un server posizionato nella rete interna, denominato “Mailserver”, il quale implementa la soluzione di Collaboration Suite. Questo server contiene le caselle degli utenti e si interfaccia sia con i servizi di directory, sia con il database locale per garantire loro l'accesso e gestirne le politiche. Non è previsto alcun flusso di accesso, sia esso di interrogazione, di gestione o operativo, diretto verso questa macchina, Gli strumenti adottati per la soluzione sono tutti open source, per garantire il riuso. I software sono stati scelti anche in base a criteri di supporto e manutenzione, infatti per la maggior parte di essi vi è la possibilità di sottoscrivere contratti di assistenza con la casa produttrice, oppure, vi è una vasta comunità di utilizzatori con una continua condivisione delle esperienze di gestione; in questo modo è possibile garantire tempi di attività elevati e aggiornamenti costanti per adeguare la soluzione alle necessità future.
  • 62. 62 4.1 Descrizione dei flussi implementati Per garantire un buon livello di sicurezza il primo obiettivo è quello di individuare i flussi implementati al fine di conoscere le possibili comunicazioni e per evitare di consentire connessioni inusuali o rischiose. Pubblicazione delle risorse verso Internet Il firewall isola la rete DMZ da quella interna e gestisce le configurazioni di port forwarding che consentono la pubblicazione dei servizi verso l'esterno. I servizi sono fruibili dall'esterno attraverso una serie di port forwarding che realizzano tunnel tra un indirizzo IP pubblico del pool di cui l'Ente è assegnatario e il server Mailrelay. In particolare sono esposti i protocolli SMTP (porta 25), SMTPS (porta 465), POP3 (porta 110), POP3S (porta 995), IMAP4 (porta 143), IMAP4S (porta 995), HTTPS (porta 443). Tutte queste regole sono utilizzate per consentire l'accesso sia agli utenti che provengono dalla rete interna che a quelli provenienti dalla rete esterna. In particolare per consentire l'accesso alle risorse, identificandole con lo stesso nome sia dalle reti interne, sia da quelle esterne, sono possibili due configurazioni: • “Split DNS” per referenziare in due modi diversi lo stesso dominio, ma questo ha lo svantaggio di dover gestire una doppia configurazione. • “Nat reflection” che consente agli utenti che provengono dall'interfaccia “interna” del firewall di potersi collegare a indirizzi IP configurati sull'interfaccia pubblica. Il Nat reflection è stato scelto perché consente di gestire le zone DNS senza complicarne la manutenzione. Accesso alla rete interna Affinché lo scambio di messaggi avvenga correttamente il server di frontiera Mailrelay deve poter accedere a specifiche porte del server interno Mailserver.