Premio forum pa sanita 2021 asl roma 1 medicina legale - template word
Collaboration Suite: realizzazione di una piattaforma open source per la Pubblica Amministrazione
1. Corso di Laurea in
Sicurezza dei Sistemi e delle Reti Informatiche
Collaboration Suite: realizzazione di una
piattaforma open source per la
Pubblica Amministrazione
RELATORE
Prof. Ernesto DAMIANI
TESI DI LAUREA DI
Pierluigi CONTI
Matricola 775292
Anno Accademico 2013/2014
3. 3
Indice generale
Introduzione............................................................................................................5
Scopo........................................................................................................................7
Organizzazione.......................................................................................................8
1 Componenti, storia ed evoluzione della Posta Elettronica..............................9
1.1 Funzionamento............................................................................................10
1.2 I protocolli in dettaglio: gli standard della Posta Elettronica......................11
1.2.1 Lo standard RFC 5322: IMF................................................................12
1.2.2 Gli standard MIME..............................................................................13
1.2.3 Lo standard RFC 5321: SMTP............................................................14
1.2.4 Lo standard RFC 1939: POP3.............................................................16
1.2.5 Lo standard RFC 3501: IMAP4...........................................................17
1.3 Evoluzione della Posta Elettronica..............................................................18
1.3.1 QWERTYUIOP...................................................................................19
1.3.2 Email verso la standardizzazione.........................................................20
1.3.3 RFC 821, 2821, 5321 le evoluzioni dello standard SMTP..................20
1.4 Evoluzione dei client di Posta Elettronica...................................................22
2 Minacce alla Posta Elettronica.........................................................................25
2.1 Spam, un problema che ha origine con il protocollo SMTP.......................26
2.1.1 Spam: Meccanismi per contrastarlo.....................................................28
2.2 Phishing.......................................................................................................31
2.2.1 Phishing: Meccanismi per contrastarlo................................................32
2.3 Malware.......................................................................................................33
2.3.1 Malware: Meccanismi per contrastarli................................................34
2.4 Attacchi alle Caselle Mail............................................................................35
2.4.1 Attacchi alle Caselle: Meccanismi per contrastarli..............................36
2.5 Attacchi alla disponibilità del servizio........................................................38
2.5.1 Attacchi alla disponibilità del servizio: Meccanismi per contrastarli..39
2.6 Confidenzialità, Integrità, Autenticazione, Non-Ripudio............................39
2.7 Varie tecniche di protezione........................................................................41
4. 4
2.8 Analisi dei sistemi di sicurezza....................................................................45
3 Collaboration Suite per la PA: Requisiti.........................................................49
3.1 Unione di Comuni Valdarno e Valdisieve: Infrastruttura informatica.........50
3.2 Problemi della piattaforma precedente........................................................51
3.3 Requisiti.......................................................................................................55
3.3.1 Sicurezza..............................................................................................55
3.3.2 Collaboration Suite: Funzionalità........................................................57
3.3.3 Gestione centralizzata..........................................................................58
3.3.4 Contenimento di costi e risorse............................................................59
3.3.5 Dispositivi mobili................................................................................59
4 Collaboration Suite per la PA: Analisi e Implementazione...........................60
4.1 Descrizione dei flussi implementati............................................................62
4.2 Mailserver....................................................................................................64
4.2.1 Software disponibili.............................................................................65
4.2.2 Zimbra..................................................................................................67
4.3 Mailrelay......................................................................................................74
4.3.1 Sicurezza dei flussi SMTP...................................................................75
4.3.2 Sicurezza dei flussi di interrogazione..................................................82
4.3.3 Gestione e Monitoraggio.....................................................................83
4.4 Risultati........................................................................................................84
Conclusioni............................................................................................................91
Indice delle Figure................................................................................................93
Bibliografia...........................................................................................................94
5. 5
Introduzione
La posta elettronica rappresenta uno degli strumenti di comunicazione
asincroni più diffusi. La semplicità e la velocità che la caratterizzano fanno sì che
ogni giorno miliardi di messaggi siano scambiati tra gli utenti di tutto il mondo.
Il protocollo di comunicazione che sta alla base della posta elettronica è
estremamente potente e flessibile, consente di inviare messaggi a più persone
contemporaneamente, di inviare documenti o messaggi multimediali, e in
generale, di scambiare contenuto codificato attraverso standard avanzati
polifunzionali.
Tale protocollo si chiama SMTP (Simple Mail Transfer Protocol) ed è utilizzato
per la trasmissione dei messaggi; altri protocolli, tra cui i più diffusi sono POP3 e
IMAP4 sono invece utilizzati per l'accesso alle caselle di posta.
Negli ultimi anni l'utilizzo della posta elettronica è aumentato enormemente: molti
sono i servizi che risultano essere legati a questo strumento, come le
comunicazioni che avvengono mediante PEC, la quale rende un messaggio
legalmente valido secondo la legislazione Italiana e garantisce autenticazione,
integrità, confidenzialità e non-ripudio.
Questa notevole diffusione ha reso necessaria l'integrazione della posta elettronica
con altri servizi estremamente importanti: spesso alla posta sono funzionalmente
legati servizi di chat, conferenza (che costituisce insieme alla chat una forma di
comunicazione sincrona), gestione appuntamenti, attività, rubriche, archiviazione
e condivisione file; a questi servizi viene affiancato un sistema di condivisione tra
utenti per garantire la collaborazione.
Non di meno la diffusione di dispositivi mobili sempre più evoluti ha fortemente
influenzato il processo di integrazione tra gli account di posta elettronica e i
servizi di collaborazione in generale.
Quindi la posta elettronica non è più un semplice mezzo di comunicazione
asincrona; può piuttosto essere considerata come una serie di servizi collaborativi
sincroni e asincroni legati tra loro, acceduti da client eterogenei.
6. 6
Essa presenta però grossi problemi dovuti all'identificazione del mittente e del
destinatario, al controllo di integrità del messaggio, alla garanzia della
confidenzialità, al non-ripudio di trasmissione e, soprattutto, agli attacchi di spam
e truffe.
Mediante l'uso di applicazioni, di tecniche crittografiche e di estensioni del
protocollo è comunque possibile garantire autenticazione, confidenzialità,
integrità, e, mediante l'uso di tecniche avanzate come la PEC, (Posta Elettronica
Certificata) è anche possibile garantire il non-ripudio.
Lo spam e le truffe in genere rappresentano invece un grosso problema a cui non è
possibile porre un rimedio definitivo, ma solo mitigarne gli effetti negativi.
La posta elettronica e le sue applicazioni sono comunque uno degli strumenti più
utilizzati dagli utenti privati, dalle aziende e dalle pubbliche amministrazioni.
7. 7
Scopo
La presente tesi ha lo scopo di illustrare il funzionamento della posta
elettronica, dei protocolli di trasmissione e di consultazione, le modalità di
implementazione, le evoluzioni strutturali, infrastrutturali e di analizzare le
problematiche connesse all'utilizzo di tale strumento.
A seguito di tale disamina verrà analizzata una soluzione completamente open
source di Collaboration Suite installata presso una Pubblica Amministrazione
locale, al fine di mostrare come sia possibile realizzare implementazioni enterprise
utilizzando software che si basano su modalità di distribuzione alternative a quelle
commerciali.
Un software di Collaboration Suite è costituito da una collezione di strumenti di
collaborazione che consentono agli utilizzatori non solo di consultare la posta
elettronica, ma anche di gestire contatti, calendari, appuntamenti, note, di
utilizzare chat e di condividere i contenuti.
La piattaforma discussa rispetta vari obiettivi posti dall'Ente che vanno dal
contenimento dei costi e delle risorse al mantenimento di elevati standard di
sicurezza, dall'adozione dei più avanzati strumenti di collaborazione alla piena
flessibilità del sistema.
Le soluzioni presenti sul mercato, sia di tipo open source sia di tipo proprietario
sono molte, così come notevoli sono le soluzioni che possono essere adottate per
prevenire i problemi legati agli attacchi ai servizi offerti dal sistema.
Con il presente documento si vogliono quindi presentare alcuni tra i maggiori
software disponibili e dettagliare i motivi che hanno portato alla scelta dei
componenti sui quali si basa la soluzione.
Infine si intende analizzare l'infrastruttura di rete [1] posta a supporto della totale
realizzazione; infrastruttura che ha l'obiettivo di garantire stabilità, scalabilità e
sicurezza al sistema.
8. 8
Organizzazione
La tesi può essere suddivisa in due parti logiche: una prima parte in cui sono
illustrati in generale i protocolli della posta elettronica, le infrastrutture di
supporto e le relative problematiche; una seconda parte in cui sono analizzate
alcune tra le più importanti soluzioni presenti sul mercato, e in cui è discussa la
realizzazione implementata presso l'Ente in esame, i requisiti che deve soddisfare
le modalità secondo cui sono stati soddisfatti.
Nel dettaglio è così strutturata:
Prima parte
1. Componenti, storia ed evoluzione della Posta Elettronica - Vengono
presentati gli attori che prendono parte allo scambio dei messaggi e i
protocolli utilizzati per l'invio, la ricezione e la consultazione delle email.
Vengono inoltre presentate le evoluzioni più importanti che riguardano la
posta elettronica, sia per quanto concerne i protocolli, sia per quanto
concerne le funzionalità per i client.
2. Minacce alla Posta Elettronica - Analisi delle principali minacce dello
scambio di messaggi e valutazione delle possibili contromisure.
Seconda parte
3. Collaboration Suite per la PA: Requisiti - Descrizione dettagliata dei
requisiti individuati per l'Ente in esame e relativa motivazione.
4. Collaboration Suite per la PA: Analisi e implementazione – Descrizione
dettagliata della soluzione implementata e analisi dei risultati ottenuti.
9. 9
1 Componenti, storia ed evoluzione della
Posta Elettronica
I messaggi di posta elettronica scambiati quotidianamente fra milioni di
utenti, a prescindere dal percorso che devono compiere, e dal numero o dal tipo di
controlli ai quali sono sottoposti, seguono sempre lo stesso processo di
trasmissione [2] che, fin dalle origini del protocollo, si basa su:
• Mittente, un attore attivo che può essere macchina o uomo.
• Destinatario, un attore passivo che può essere macchina o casella
personale di un utente.
• Infrastruttura di scambio, un mezzo di trasmissione che può essere più o
meno intelligente.
In particolare i primi due hanno a disposizione un particolare software noto come
MUA (Mail User Agent) che costituisce formalmente il client a disposizione degli
utenti per ricevere, leggere, scrivere o inviare email.
Tale software è realizzato per essere conforme e per supportare almeno gli
standard base della posta elettronica: SMTP per dialogare con gli MTA, POP3 e
IMAP4 per accedere alla casella.
Il mezzo di trasmissione è invece dotato di un software (o una collezione di
software) noto come MTA (Mail Transfer Agent) che consente il passaggio dei
messaggi ed effettua la consegna al MUA del destinatario. La grande suddivisione
dei domini, l'implementazione di tecniche avanzate di sicurezza e di nuove
funzionalità che ne arricchiscono i contenuti, così come le necessità di alta
disponibilità del servizio, implicano che il concetto di MTA sia estremamente
vasto; esso infatti non rappresenta un unico server o una coppia di server (per
supportare ad esempio lo scambio tra domini distinti), spesso il messaggio effettua
numerosi salti attraverso molti MTA (relay) prima di giungere a destinazione.
10. 10
Come mostrato nella Figura 1 i protocolli [2] coinvolti negli scambi prevedono
comunicazioni bidirezionali per supportare invio, ricezione e inoltro.
In particolare i MUA hanno due tipi di comunicazioni: quella basata su SMTP,
utilizzata per inviare messaggi al server MTA e quella basata su POP3 o IMAP4
per prelevarli dal server MTA di riferimento del dominio.
I server MTA invece utilizzano la comunicazione SMTP per inoltrare la posta ad
MTA successivi.
1.1 Funzionamento
La spedizione si svolge in vari momenti, in cui sono eseguite diverse operazioni.
La prima fase è quella di composizione del messaggio, durante la quale l'utente
utilizza il MUA che può avere editor più o meno ricchi; l'eventuale salvataggio del
messaggio avviene sul disco locale della macchina su cui viene composto.
La seconda fase coincide con l'invio da parte del mittente: selezionando il
comando preposto a tale funzione l'utente attiva la comunicazione che utilizza il
protocollo SMTP verso il proprio server di uscita, “MTA 1”; la memorizzazione
del messaggio avviene nella coda di uscita sul disco del server “MTA 1”, in cui
rimane in attesa di essere processato dal demone di spedizione.
Figura 1: Schema degli scambi.
11. 11
Successivamente il server “MTA 1”, se la mail è destinata a domini diversi ed
esterni rispetto a quelli per i quali esso rappresenta il campo MX1
, ottiene il Mail
Exchanger del dominio di destinazione attraverso una risoluzione DNS; il server
“MTA 1” quindi contatta mediante il protocollo SMTP il server “MTA 2” del
destinatario ottenuto dalla fase precedente e consegna il messaggio.
Se in questa fase dovessero esserci errori di trasmissione o qualora il server “MTA
2” non dovesse essere raggiungibile è previsto dallo standard RFC, che regola il
protocollo SMTP [3], che il messaggio sia mantenuto nella coda del server
mittente per poter effettuare tentativi successivi.
Infine il server “MTA 2” che ha ricevuto il messaggio lo memorizza nella casella
del destinatario, se esiste, altrimenti lo manda indietro con un errore specifico.
La ricezione prevede una connessione dal MUA del destinatario verso il server
MTA del proprio dominio di appartenenza, tale connessione può avvenire con due
protocolli: POP3 o IMAP4; in questa fase il messaggio viene scaricato e
memorizzato sul disco locale del client che esegue il MUA.
1.2 I protocolli in dettaglio: gli standard della Posta
Elettronica
I protocolli elencati in precedenza e lo stesso formato dei messaggi sono
regolamentati da standard specifici.
In particolare il formato dei messaggi è regolamentato da RFC 5322 [4] (e
revisioni successive) che sostituisce il precedente RFC 822 [5]; il protocollo
SMTP è regolamentato da RFC 5321 [3] che sostituisce i precedenti RFC 2821 [6]
e RFC 821 [7]; il protocollo IMAP4 è regolamentato da RFC 3501 [8]; il
protocollo POP3 è regolamentato da RFC 1939 [9].
1 I campi MX (Mail Exchanger) sono risorse del DNS che indicano server autorizzati ad accettare
messaggi mail per conto del dominio di destinazione.
12. 12
1.2.1 Lo standard RFC 5322: IMF
Secondo le specifiche di RFC 5322 [4] il formato dei messaggi Internet (IMF) che
riguarda i messaggi di testo inviati tramite posta elettronica, si basa su due sezioni
fondamentali: una prima sezione detta “busta” contenente tutte le informazioni
utili alla consegna del messaggio; una seconda sezione detta “contenuto” in cui
sono memorizzati sia l'oggetto sia il corpo del messaggio.
I messaggi sono composti da linee di caratteri codificati con la tabella ASCII a 7
bit: la sezione “header” è separata da quella opzionale “body” con una linea vuota.
Header può contenere informazioni di origine e di destinazione del messaggio, di
identificazione, di informazione e di tracciamento. I campi più importanti sono:
• To, contenente il destinatario (oppure i destinatari).
• From, contenente il mittente.
• CC/BCC, contenente una lista di destinatari in copia/copia nascosta.
• Subject, contenente l'oggetto.
13. 13
1.2.2 Gli standard MIME
Gli standard MIME (Multipurpose Internet Mail Extensions) consentono agli
utenti di scambiare messaggi con contenuti che utilizzano set di caratteri diversi
dalla tabella ASCII 7 bit.
L'utilità tipica di tali standard è quella di consentire agli utenti di allegare ai
messaggi file multimediali, di aggregare diversi messaggi tra loro e di utilizzare
protocolli crittografici o di firma digitale.
L'elaborazione MIME è demandata ai client degli utenti, quindi il protocollo
SMTP non interpreta il contenuto della mail in transito.
Un documento MIME contiene una intestazione composta dai seguenti campi:
• MIME Version, identifica la versione dello standard usato nel messaggio.
• Content-Transfer-Encoding, indica una codifica a cui è stato sottoposto il
corpo del messaggio e le operazioni di decodifica che devono essere
applicate per ottenere l'originale. Possono essere usate codifiche di tipo 7
bit, 8 bit, base64, binary e le recenti codifiche private ( X- ) che
consentono di definire codifiche non standard.
• Content-Type, indica il tipo e il sottotipo dei contenuti nel messaggio così
da consentire al software MUA di interpretare i dati.
• Content-Description, campo opzionale che descrive il contenuto del
messaggio.
• Content-ID, campo opzionale che identifica univocamente il messaggio.
Figura 3: Esempio di un contenuto Content Type.
14. 14
1.2.3 Lo standard RFC 5321: SMTP
SMTP [3] è il protocollo principale della posta elettronica il cui compito è quello
di trasferire i messaggi.
La struttura di SMTP [10] è di tipo client-server: un server di posta può svolgere
funzioni di client quando invia messaggi e funzioni di server quando li riceve.
Un server SMTP può essere il destinatario finale o un relay: una connessione può
seguire un unico percorso che parte dal server MTA del mittente e termina nel
server MTA del destinatario oppure può effettuare un certo numero di salti
attraverso relay intermedi.
Tali relay possono avere semplici funzioni di inoltro oppure funzioni particolari
come il controllo della posta o il routing dei messaggi.
La trasmissione, che avviene con protocollo TCP e che utilizza come porta di
comunicazione standard la 25 per le comunicazioni in chiaro oppure la porta di
comunicazione 465 per quelle cifrate, si svolge in più fasi:
• Una prima fase di handshake in cui il client e il server stabiliscono la
comunicazione, il comando utilizzato in questa fase è EHLO.
• Una seconda fase di identificazione del mittente, in cui viene utilizzato il
comando MAIL FROM; tale comando comunica al server che sta
iniziando una nuova connessione ed ha l'effetto di azzerare tutti gli stati
precedenti per la medesima sessione.
• Una terza fase in cui viene indicato l'indirizzo del destinatario, il comando
utilizzato è RCPT TO che può essere ripetuto più volte; in questa fase
vengono effettuati dal server MTA ricevente controlli sul mittente e sul
destinatario; ad esempio sul destinatario viene verificata l'esistenza e la
disponibilità della mailbox, mentre sul mittente viene verificata l'esistenza
del dominio dichiarato.
• Una quarta fase di invio del messaggio, in cui viene utilizzato il comando
DATA che consente di scrivere il messaggio; il carattere “.” è usato per
terminare l'inserimento del messaggio e iniziare il processo di consegna.
15. 15
Il protocollo SMTP è stato oggetto di molte variazioni, infatti sono stati redatti
molti documenti RFC a riguardo, e in particolare sono state indicate alcune
estensioni del protocollo.
Alcune delle più importanti estensioni sono le seguenti:
• EHLO, rappresenta il comando HELO esteso; sia i server che i client
devono garantire una retro-compatibilità con il comando HELO.
• Estensioni MIME, consentono di trasmettere messaggi con contenuti che
utilizzano set di caratteri diversi dalla tabella ASCII 7 bit.
• SMTP-AUTH, consente ad un client di autenticarsi con il server SMTP;
attraverso tale implementazione è possibile consentire ad utenti che si
collegano al server SMTP da indirizzi IP non noti, di autenticarsi e di
poterlo utilizzare come server di invio.
• STARTTLS, consente ad una connessione in chiaro di evolvere in una
connessione cifrata senza dover cambiare porta.
Un aspetto molto importante riguarda le strategie di spedizione, è necessario che il
client SMTP implementi una coda per memorizzare i messaggi in uscita, per poter
tentare nuovamente l'invio in caso di errore.
Da questa particolarità si evince che tutti i server che possono svolgere funzioni di
client SMTP devono implementare una coda locale per storicizzare i messaggi che
vengono trasmessi.
Figura 4: Esempio di una spedizione.
16. 16
1.2.4 Lo standard RFC 1939: POP3
Il Post Office Protocol [9] (POP) è un protocollo estremamente semplice e diffuso
che consente ad un client di scaricare sul proprio MUA i messaggi dal server
POP3 [10] di riferimento per il dominio.
Il servizio usa una connessione TCP sulla porta 110 e la sessione POP si basa su
tre stati distinti:
• Autorizzazione, dopo che la connessione è stata stabilita il server presenta
al client un messaggio di benvenuto; il client può ora identificarsi con il
proprio username e la propria password.
• Transazione, dopo che il client si è identificato con successo è possibile
scaricare la posta o eseguire comandi per gestire i messaggi, come
contrassegnarli per la cancellazione, rimuovere il contrassegno, oppure
ottenere informazioni sulle statistiche.
• Aggiornamento, dopo che il client ha impartito il comando “quit” il server
POP3 provvede ad eliminare tutti i messaggi che erano stati contrassegnati
per la cancellazione.
I MUA possono interagire con i server POP3 in modalità “download and delete”
ovvero il messaggio viene prima scaricato, quindi viene eliminato dal server,
oppure in modalità “download and keep” ovvero viene conservata sul server una
copia del messaggio scaricato.
Figura 5: Esempio di una comunicazione POP3.
17. 17
1.2.5 Lo standard RFC 3501: IMAP4
Internet Message Access Protocol [8] (IMAP) è un protocollo che consente agli
utenti di scaricare sul proprio client i messaggi dal server IMAP4 [10] di
riferimento.
Il servizio usa una connessione TCP sulla porta 143 e, pur condividendo lo scopo
finale con il protocollo POP3, vi sono tra loro molte differenze:
• Operatività online: il client che si collega al server IMAP4 rimane sempre
connesso, mentre con POP3 si collega per scaricare nuovi messaggi e poi
si scollega immediatamente.
• Accesso parziale ai contenuti multimediali: IMAP4 consente agli utenti di
accedere parzialmente alle informazioni di tipo MIME che sono
memorizzate nei messaggi, questo permette di scaricare una piccola
porzione del messaggio per poterne avere un'anteprima.
• Accesso simultaneo alla casella IMAP: il protocollo prevede meccanismi
per gestire la concorrenza tra utenze connesse simultaneamente alla stessa
casella.
• Ricerche: è possibile richiedere al server un elenco di messaggi che
soddisfano determinati criteri di ricerca.
Il vantaggio principale di IMAP4 rispetto a POP3 è dovuto alla “operatività
online”, che consente ad un utente di poter cambiare postazione senza dover
trasportare i messaggi da una postazione all'altra o senza dover scaricare
nuovamente tutti i messaggi.
Una sessione IMAP4 consiste di comandi inviati dal client al server terminati dal
carattere CRLF (invio), identificati da un tag specifico (ad esempio A00001),
diverso per ogni comando impartito.
Inoltre, per gestire la concorrenza, ad ogni messaggio possono essere assegnati
uno o più flag che ne indicano lo stato:
Seen → il messaggio è stato letto.
18. 18
Answered → è stata inviata una risposta.
Flagged → è stato impostato un flag di “urgente” sul messaggio.
Deleted → il messaggio è stato contrassegnato per la cancellazione.
Draft → il messaggio è una bozza.
Recent → il messaggio è appena giunto nella casella di posta.
Una sessione IMAP4 può attraversare quattro stati:
• Non autenticato: quando il client si collega alla porta del servizio la prima
volta senza immettere username e password.
• Autenticato: dopo lo stato precedente l'utente si può autenticare con le
proprie credenziali e la connessione passa allo stato Autenticato.
• Selezionato: un utente la cui connessione è in stato Autenticato, può
selezionare una casella e la connessione passa allo stato Selezionato.
• Disconnesso: quando l'utente chiude la connessione.
1.3 Evoluzione della Posta Elettronica
I protocolli che governano l'invio e la ricezione dei messaggi di posta, in
particolare quello SMTP, sono alcuni dei pilastri su cui si basa la rete Internet
moderna.
Figura 6: Esempio di una comunicazione IMAP4.
19. 19
Sono passati molti decenni dalla realizzazione e la standardizzazione di SMTP e,
pur mantenendo le caratteristiche iniziali, il concetto di email si è evoluto e sta
cambiando notevolmente.
1.3.1 QWERTYUIOP
QWERTYUIOP [11], o un testo casuale molto simile, rappresenta il primo
messaggio che Ray Tomlinson ha inviato nel 1971 come messaggio di prova da
una macchina ad un'altra, transitando attraverso la rete ARPANET.
Le caratteristiche più significative di questo evento sono l'invio di un messaggio
da una macchina ad un'altra attraverso ARPANET, e l'utilizzo di un carattere che è
divenuto ormai un simbolo fondamentale, il carattere “AT” (@).
Tomlinson ha scelto tale carattere proprio per indicare che l'utente si trova su un
altro server anziché essere locale alla macchina; tale regola vale ancora oggi per i
comuni indirizzi email.
20. 20
1.3.2 Email verso la standardizzazione
Sebbene la rete ARPANET fosse destinata all'utilizzo da parte di pochi
privilegiati, la mail si è presto evoluta; già alla fine degli anni '70 la maggior parte
del traffico della rete ARPANET era costituito da email.
Successivamente con l'avvento di Internet e grazie alla realizzazione di software
in grado di scaricare i messaggi dal server e di poterli inviare in tempi successivi
alla loro scrittura consentendone l'interazione in modalità offline, la posta
elettronica si è diffusa in tutto il mondo conquistando prima milioni, poi miliardi
di utilizzatori e diventando il pilastro di una rivoluzione che è in atto ancora oggi.
1.3.3 RFC 821, 2821, 5321 le evoluzioni dello standard
SMTP
Nel 1982 Jonathan Postel ha pubblicato il primo standard riguardante il protocollo
di trasmissione della posta elettronica, noto come RFC 821.
Mentre nel 2001 e successivamente nel 2008 sono stati rilasciati i due standard
successivi: il 2821 e il 5321, rispettivamente.
Con tali standard sono state introdotte molte modifiche, soprattutto nella
definizione dei dettagli della comunicazione.
SMTP Sez. 2
Per quanto concerne la sezione 2 che riguarda il modello SMTP, nella prima
versione dello standard era prevista una semplice definizione dello schema SMTP,
mentre con gli standard successivi sono state introdotte alcune estensioni, come il
comando EHLO (che rappresenta HELO avanzato), o come parametri aggiuntivi
per i comandi MAIL e RCPT.
Con gli standard recenti sono stati inoltre meglio definiti i concetti di “busta” e di
“contenuto”, ed è stato introdotto il ruolo del MUA.
21. 21
SMTP Sez. 3
Tra il primo RFC e gli altri due vi sono alcune differenze importanti.
La prima riguarda i comandi “VRFY” ed “EXPN”, in quanto nello standard RFC
821 non risultano obbligatori, mentre lo sono negli RFC successivi.
Inoltre con le nuove versioni è stata definita un'altra categoria di server
denominata Gateway SMTP, utilizzati per connettere due o più sistemi di posta
diversi (che usano protocolli diversi).
Un'altra definizione riguardante gli Alias per le mailbox compare per la prima
volta nello standard RFC 2821 per poi essere maggiormente dettagliata nel 5321.
Infine, negli standard più recenti compare il protocollo Submission, RFC 4409
[12], un servizio realizzato per supportare le connessioni MUA-MTA per l'invio
della posta, che risponde sulla porta TCP 587.
Tra lo standard RFC 2821 e lo standard RFC 5321 vi è un'altra differenza: nel
secondo sono stati introdotti due aspetti molto interessanti per la sicurezza, i
concetti di SPF e DKIM.
SPF e DKIM sono importanti concetti che riguardano la sicurezza della
trasmissione SMTP, attraverso cui i server possono verificare che la sorgente da
cui proviene un messaggio sia effettivamente autorizzata alla spedizione per conto
del dominio specifico mediante semplici interrogazioni DNS.
SMTP Sez. 4
Rispetto alla prima versione dello standard, nelle altre due è previsto l'utilizzo di
una coda di trasmissione da parte di ogni client SMTP.
Lo scopo di tale coda è quello di memorizzare i messaggi in uscita, per poter
tentare nuovamente l'invio in caso di errore.
Inoltre sono state esplicate le strategie di trasmissione e di ritrasmissione.
SMTP Varie
Nelle recenti versioni sono state introdotte nuove funzionalità di debugging, di
gestione degli errori, di individuazione dei loop e di sicurezza che non erano
previste nella prima versione dello standard.
22. 22
Inoltre nella versione più recente definita dallo standard RFC 5321, vi è una nota
di sicurezza riguardante i bounce messages2
; tali messaggi non devono essere
inviati perché possono amplificare la posta indesiderata.
1.4 Evoluzione dei client di Posta Elettronica
I client di posta (MUA) rappresentano l'interfaccia tra i server POP3, IMAP4,
SMTP e gli utenti.
Infatti gli utenti che compongono il messaggio sul MUA e che successivamente
selezionano il comando “invia”, scatenano l'evento, ad essi totalmente trasparente,
che prevede una conversione del messaggio e l'invio dello stesso attraverso una
connessione SMTP verso il server MTA.
Anche scaricando la posta, gli utenti scatenano un evento, ad essi totalmente
trasparente, di connessione verso la casella postale che è tipicamente contenuta su
un MTA (che nello specifico assolve funzioni di MDA3
) al fine di consentire al
MUA di prelevare i messaggi attraverso l'uso del protocollo POP3 o del protocollo
IMAP4.
Il MUA è considerato un importante nodo del processo di mailing, in quanto è il
componente software con cui gli utenti interagiscono direttamente; per questo
gran parte dell'evoluzione dei software dedicati allo scambio dei messaggi si
concentra sui MUA.
All'inizio i client erano composti solo dalla parte di connessione che prevedeva il
supporto ai protocolli POP3, IMAP4, SMTP e da un semplice editor.
I MUA si sono presto evoluti accorpando funzioni avanzate, dalla gestione dei
contatti, ai calendari, dalla gestione delle note a quella degli appuntamenti.
Si sono anche evoluti gli editor che sono diventati sempre più ricchi, con
correttori di testo, editor HTML, etc.
2 Un messaggio di Bounce è un messaggio di rimbalzo, contenente codice identificativo del tipo di
bounce e motivazione.
3 Un MDA (Mail Delivery Agent) è un particolare software che accetta i messaggi delle email e li
distribuisce alle varie caselle di destinazione.
23. 23
La maggior parte dei MUA recenti sono stati arricchiti con la possibilità di essere
integrati con software anti-malware per contrastare gli attacchi che si sono
recentemente diffusi nella rete.
Anche gli aspetti di integrità e confidenzialità son stati curati, è infatti possibile
implementare gli standard più diffusi in materia, ad esempio integrando script per
PGP o per S/MIME.
Infine molti dei programmi client di posta elettronica supportano integrazioni con
software di terze parti, mediante plug-in.
Nell'ultimo decennio un protocollo in particolare ha avuto un enorme sviluppo, il
protocollo HTTP.
Tale sviluppo si deve a moltissimi fattori, uno tra i più incisivi è costituito dalla
sua enorme “reachability4
”, questo perché è sufficiente un comune browser, e
perché tale protocollo è filtrato o inibito in pochissime reti.
Un altro fattore molto interessante di HTTP risiede nella forte espandibilità che
ruota attorno ai linguaggi, in quanto è possibile utilizzare linguaggi di
programmazione o di scripting per implementare con semplicità nuove funzioni.
I protocolli della posta elettronica sono tra i primi che sono stati adattati per poter
interagire con una sessione HTTP.
Le webmail infatti esistono ormai da decenni e sono di uso estremamente comune.
Anche quest'ultime hanno avuto una vasta evoluzione, le primissime sono quelle
scritte nel 1995 in linguaggio CGI-BIN per Lotus, ma si sono presto sviluppate
webmail di grandi provider di servizi come quelle di AOL, IOL, Yahoo, Hotmail,
che hanno semplificato l'utilizzo della posta e hanno contribuito alla diffusione del
servizio, consentendo agli utenti di utilizzarlo da diverse postazioni.
L'avvento di Gmail la cui forza, oltre che nella sicurezza e nella altissima
disponibilità del servizio, risiede in un enorme lavoro di integrazione tra mail e
servizi correlati (quali chat, plug-in, office systems, etc) ha rafforzato
ulteriormente questo trend.
4 Per reachability è da intendere la possibilità per il protocollo di essere raggiunto dalle postazioni
Internet.
24. 24
Per questo una soluzione moderna di gestione della posta deve prevedere
un'interfaccia web estremamente accattivante e ricca di funzioni, perché l'utenza
che oggi utilizza tali software è fortemente abituata ad utilizzare uno strumento
che le consente di effettuare molte operazioni collaborative concentrate in un
unico punto, e che fonde sia il concetto di comunicazione asincrona, sia quello di
comunicazione sincrona.
Un ultimo aspetto riguardante le evoluzioni dei client deriva dalla grande
diffusione dei dispositivi mobili.
Anche in questo caso il protocollo della posta è stato uno dei pionieri della
transizione dai client tradizionali a quelli mobili.
Per questo la webmail deve essere scritta opportunamente in un linguaggio
moderno (Responsive web design5
) che consenta ad esempio la facile transizione
grafica da un PC ad un tablet o ad uno smartphone, in modo tale da garantire,
almeno attraverso il canale HTTP, un accesso immediato ai servizi di posta da
qualsiasi dispositivo.
Per essere pienamente apprezzabile tale sistema dovrebbe anche supportare
metodi avanzati di integrazione con i dispositivi, ad esempio mediante l'adozione
di “app6
” scritte ad hoc per i Sistemi Operativi mobili.
Una valida alternativa alla “app” potrebbe essere la scelta di utilizzare un
protocollo specifico di sincronizzazione tra il sistema di posta e le “app” preposte
a tale funzione già presenti sui dispositivi; tipicamente il protocollo più ricco per
tale sincronizzazione è rappresentato da “ActiveSync” di Microsoft, il quale è
preferibile ai classici IMAP4+CalDAV7
perché è più semplice e veloce da
configurare.
5 Responsive web design è una tecnica di realizzazione dei siti Internet in grado di adattarsi
dinamicamente alle impostazioni visive del dispositivo dal quale vengono visualizzati.
6 Il termine app deriva dalla abbreviazione della parola “applicazione”; per app si intende una
variante delle applicazioni informatiche scritte appositamente per dispositivi mobili.
7 CalDAV è un servizio Internet che consente di sincronizzare le agende remote.
25. 25
2 Minacce alla Posta Elettronica
L'enorme diffusione del servizio di posta elettronica rappresenta allo stesso
tempo il suo maggior punto di forza e la sua più grande debolezza, in quanto gli
utenti malintenzionati possono sfruttarla massivamente al fine di portare a
compimento numerosi tipi di attacchi e frodi informatiche.
Questo evidenzia la criticità del servizio e la profonda necessità di proteggere i
server di posta al fine di rendere lo scambio di messaggi sicuro e di garantirne una
piena fruibilità.
Spesso, parlando di mail security, ci si riferisce solo a problemi legati allo spam o
ai virus, ma in realtà, esistono numerosi tipi di attacco molto più pericolosi.
Per la maggior parte delle minacce analizzate in questa tesi non esiste ad oggi una
soluzione definitiva [13]; una ragionevole sicurezza dello scambio di messaggi
attraverso la posta elettronica può essere ottenuta attraverso un processo molto
complesso basato su scelte e compromessi.
I filtri alle minacce possono essere applicati direttamente sui MUA, mediante
l'utilizzo di plug-in e software addizionali sui client; questo però comporta una
possibile disomogeneità delle regole di sicurezza, un incremento delle risorse di
calcolo necessarie sui client e minor controllo sul sistema in generale.
Un'altra modalità di filtro è quella implementata sui server MTA attraverso l'uso di
tecniche di analisi, di regole di implementazione e di software polifunzionali;
questo comporta l'adozione di server specifici per l'applicazione dei filtri e di
un'infrastruttura adeguata, ma consente di avere maggior controllo e omogeneità
sulle regole.
Una terza modalità si basa sull'utilizzo di servizi esterni di sicurezza; la posta
viene ricevuta da tali sistemi che non risiedono all'interno della rete dell'ente o
dell'azienda, viene quindi bonificata e inoltrata ai sistemi di posta interni.
Tale modalità offre gli stessi vantaggi offerti dai filtri applicati sui server MTA
spostando la gestione dei sistemi a terzi, ma prevede dei costi di abbonamento.
26. 26
In particolare le ultime due modalità sono interessanti laddove si abbia a che fare
con una vasta eterogeneità di MUA che renderebbe estremamente ardua e costosa
l'applicazione e la gestione della prima modalità.
2.1 Spam, un problema che ha origine con il protocollo
SMTP
Si ritiene che lo spam abbia origine nel 1978 ad opera della DEC, la quale inviò a
tutti i destinatari ARPANET della costa ovest degli Stati Uniti una mail
pubblicitaria per promuovere un nuovo prodotto.
Da allora lo spam ha fatto balzi da gigante ed è diventato un problema di scala
mondiale per il quale è ancora oggi molto difficile trovare una soluzione definitiva
e condivisa.
Qual è il significato di spam e a cosa serve [14]?
Spam deriva da uno sketch di Monty Python in cui tale parola veniva utilizzata
insistentemente da una cameriera per pubblicizzare un fantomatico ingrediente
con qualsiasi pietanza, denominato spam.
Questo particolare richiama molto da vicino il concetto moderno di spam, il cui
intento è quello di pubblicizzare insistentemente un prodotto mediante l'invio di
messaggi massivi a molti destinatari.
Lo spam nell'accezione moderna indica appunto tutto quanto concerne l'invio di
messaggi indesiderati e si concentra su Internet in generale, sia nei messaggi di
posta che nelle chat, sia nei social network, che nei forum.
Quindi lo scopo dello spam è quello di raggiungere il maggior numero di utenti,
senza il loro consenso, con messaggi commerciali attraverso l'uso di software che
consentono di effettuare massmailing.
Si può dividere in due tipologie principali:
27. 27
• UBE (Unsolicited Bulk Email); appartengono a questa categoria tutti quei
messaggi chiamati “Hoax” o “Urban legend” che costituiscono di fatto le
così dette “catene di Sant'Antonio”, ovvero email non commerciali inviate
a grandi masse di destinatari. Spesso l'obiettivo di queste email è quello di
diffondere messaggi fasulli o virus.
• UCE (Unsolicited Commercial Email); appartengono a questa categoria
tutti quei messaggi aventi scopi commerciali e pubblicitari inviati a grandi
masse di destinatari. L'obiettivo di queste mail è quello di promuovere
campagne o prodotti commerciali.
Vi sono molti metodi utilizzati dagli spammer per perseguire i propri obiettivi; tali
metodi possono essere sfruttati a causa della natura del protocollo SMTP, la quale
non prevede una effettiva identificazione del mittente e del server di partenza.
Uno spammer può ad esempio utilizzare open relay8
, spambot, macchine
compromesse da virus o cavalli di troia per inviare moltissime mail durante una
campagna di spam.
Inoltre è molto semplice per gli spammer generare la lista dei destinatari; infatti è
possibile acquistare pacchetti di indirizzi di posta elettronica presso opportuni
venditori su Internet, i quali possono ottenerli attraverso varie tecniche di
scansione sulla rete, di rilevazione su siti web, forum, etc.
Lo spam non costituisce un vero e proprio pericolo per gli utenti di Internet perché
la maggioranza dei messaggi indesiderati ha solo scopi commerciali, però
l'enorme diffusione del fenomeno comporta comunque notevoli inconvenienti:
• La maggior parte del traffico email è rappresentato da posta indesiderata,
vi è quindi un enorme spreco di banda Internet a livello globale.
• La grande quantità di messaggi di spam risiede sul disco del server che
ospita caselle di posta, vi è quindi un grande spreco di spazio disco.
• Una campagna di spam si basa su spedizioni massive, questo potrebbe
causare la saturazione del server che gestisce la posta generando
interruzioni del servizio.
8 Un open relay è un server SMTP mal configurato che consente a chiunque di inviare email verso
altri domini.
28. 28
• Il contenuto dei messaggi di spam è spesso violento o indecoroso.
• La difficoltà per gli utenti nell'utilizzare le caselle di posta e il tempo
necessario alla selezione dei messaggi desiderati rispetto a quelli
indesiderati.
Secondo il documento “Annual Security Report 2015” di Cisco [15] nel 2014 il
problema dello spam è aumentato enormemente, superando duecento miliardi di
mail di spam al giorno.
D'altra parte è anche emerso che i migliori sistemi antispam riescono a bloccare
oltre il 99% di email indesiderate.
2.1.1 Spam: Meccanismi per contrastarlo
Il problema dello spam è in costante evoluzione; le tipologie di spam e le relative
modalità di trasmissione e di composizione di un messaggio indesiderato sono
moltissime, tutto questo rende impossibile individuare un metodo univoco per
risolvere definitivamente tale fenomeno.
Piuttosto è opportuno individuare una ricetta per mitigarne gli effetti, composta da
soluzioni, spesso condivise tra i soggetti che partecipano allo scambio di
messaggi.
Tale ricetta può essere composta da molti strumenti, installati arbitrariamente in
ogni implementazione del sistema di mail security, classificabili secondo le
seguenti categorie.
DNSBL
Le liste DNSBL (DNS-based Blackhole List, dette anche RBL) costituiscono
insiemi di indirizzi IP scritti in uno specifico formato, interrogabili attraverso la
rete Internet.
29. 29
Lo scopo di tali insiemi è quello di fornire un meccanismo di protezione basato
sul riconoscimento dell'indirizzo IP sorgente mediante l'utilizzo di interrogazioni
DNS.
Possono essere utilizzate da qualsiasi servizio in grado di implementare un client
di tipo RBL, attraverso cui viene verificato l'indirizzo IP sorgente prima di
determinare se concedere o meno l'accesso; sono principalmente impiegate nei
sistemi di controllo dei server di posta elettronica.
L'interrogazione DNS ad una RBL viene eseguita mediante i seguenti passi:
1. Il server isola l'indirizzo IP sorgente e lo inverte (ad esempio 82.193.30.8
diventa 8.30.193.82).
2. All'indirizzo IP appena ottenuto pospone il dominio della RBL.
3. Esegue un'interrogazione per l'hostname ottenuto9
.
4. Se l'hostname precedente è contenuto nella lista RBL il server ottiene un
indirizzo IP, altrimenti riceve una risposta NXDOMAIN10
.
5. Nel caso in cui l'hostname sia contenuto nella lista è possibile eseguire una
seconda interrogazione di tipo TXT per ottenere informazioni riguardanti
la motivazione.
Il server che implementa tali controlli può quindi applicare delle regole di
prevenzione in base alle politiche di sicurezza stabilite (ad esempio può bloccare
il mittente o può assegnare alla mail un punteggio che concorre al computo finale
per la valutazione della bontà del messaggio).
Le liste RBL possono essere classificate in base al metodo di rimozione (è
automatico dopo un certo tempo di permanenza o è necessario farne richiesta
specifica?), al tempo di permanenza di un indirizzo IP (se il contenuto della lista
viene rimosso automaticamente, qual è il tempo medio di permanenza?), al
metodo di inserimento di un indirizzo IP (l'inserimento avviene previa
segnalazione o in modo automatico attraverso l'utilizzo di honeypot?).
9 In particolare esegue un'interrogazione di tipo “A”, attraverso cui ricerca un indirizzo IP
partendo da un hostname.
10 Dominio non trovato.
30. 30
L'utilizzo delle liste RBL va valutato con cura in quanto esse sono gestite da terzi,
dei quali non è sempre noto il fine; inoltre nell'insieme degli indirizzi IP spesso
sono inclusi range DHCP di classi di indirizzi dial-up solo a scopo preventivo.
Per questo è opportuno ponderarne l'utilizzo e prediligere l'applicazione di un
punteggio nel caso in cui l'indirizzo IP del mittente sia presente nella lista,
piuttosto che bloccare il client preventivamente; oppure è necessario prediligere
l'utilizzo di poche liste fidate o gestite da enti senza scopo di lucro.
Filtri antispam
Molti software utilizzati dai relay si basano su filtri antispam che mediante varie
classi di regole, possono stabilire se un messaggio è spam o meno.
Tipicamente i filtri più avanzati analizzano il messaggio e la sua intestazione al
fine di valutarne la bontà, attribuendo un punteggio in base alle regole violate.
Vi sono tre classi di filtri:
• Filtri statici, largamente usati in passato, che si basano su liste di parole o
espressioni regolari che l'amministratore di sicurezza indica come “termini
non permessi”. A seguito della presenza di tali parole all'interno di un
messaggio il filtro può bloccare l'intera mail. Lo svantaggio di questi filtri
è dovuto alla gestione e all'aggiornamento delle parole non permesse.
• Filtri euristici, che analizzano il contenuto della mail e le relative
intestazioni al fine di individuare modelli o schemi di realizzazione del
messaggio che violano determinate regole stabilite dall'amministratore del
sistema. Queste regole possono riguardare tutte le caratteristiche relative al
corpo e all'intestazione del messaggio. Lo svantaggio di questi filtri è
dovuto alla loro incapacità di eseguire analisi predittive.
• Filtri statistici che utilizzano tecniche avanzate, come i filtri Bayesiani.
Questi filtri si basano sul teorema di Bayes e fanno uso di metodi statistici
basati su raccolte di email per predire se un messaggio è spam o meno. Lo
svantaggio di questi filtri è dovuto alla gestione della collezione dei dati
statistici relativi ai messaggi in quanto può assumere dimensioni anche
molto significative, per questo è opportuno utilizzare un database.
31. 31
I filtri che tipicamente sono utilizzati dai software antispam sono sia quelli
euristici, sia quelli statistici.
Reti collaborative
Una terza tecnica di protezione contro lo spam si basa sulle reti collaborative, cioè
reti composte da un insieme di client e di server su cui sono memorizzati gli hash
che rappresentano univocamente un messaggio o parte di esso.
Ogni volta che un server di posta riceve un messaggio ne calcola l'hash e richiede
ai server della rete collaborativa la probabilità che tale mail sia spam o meno.
Tale probabilità è calcolata in base al numero di server che hanno segnalato la
ricezione di tale valore hash; maggiore è il numero, maggiore è la probabilità che
il messaggio sia spam.
I server di posta che filtrano con successo lo spam, utilizzano tecniche miste che
coinvolgono controlli RBL, filtri euristici e filtri statistici, reti collaborative e altre
tecniche che sono utilizzate non solo per contrastare lo spam ma anche le altre
minacce analizzate in questa tesi. Tali tecniche sono trattate successivamente
come metodi di contrasto ad altre minacce.
2.2 Phishing
Il Phishing [14] è una particolare frode informatica attraverso cui un
malintenzionato cerca di perseguire l'obiettivo di farsi comunicare dalla vittima
dati finanziari, personali o codici di accesso.
Sebbene il phishing possa avvenire attraverso vari mezzi di comunicazione, quello
maggiormente colpito è la posta elettronica.
Il malintenzionato utilizza tecniche di social engineering11
mediante l'invio
massivo di email aventi contenuti e link che imitano messaggi legittimi di
fornitori di servizi attraverso cui richiede di fornire informazioni personali.
11 Social engineering è lo studio del comportamento individuale al fine di carpire informazioni
quali codici di accesso, dati personali, dati finanziari.
32. 32
L'attacco phishing si svolge nel seguente modo:
1. L'utente malintenzionato, dopo aver predisposto una pagina del tutto
simile a quella proposta dal fornitore di servizi, invia una mail massiva
contenente del testo in cui viene richiesto l'accesso a tale pagina.
Tipicamente tale accesso è realizzato attraverso l'uso di link fittizi che
corrispondo a URL simili a quelli legittimi.
2. La vittima, selezionando tale link e inserendo i dati richiesti,
inconsapevolmente li fornisce al malintenzionato, il quale li può utilizzare
per compiere operazioni a titolo dell'utente legittimo, acquistando ad
esempio servizi o trasferendo somme di denaro.
Vi sono casi particolari di phishing in cui il malintenzionato ha l'obiettivo di
indurre l'utente a selezionare un link che lo condurrà su una pagina malevola
contenente virus o worm.
In questo modo il malintenzionato può infettare molte macchine attraverso l'uso
del phishing.
Secondo il “McAfee Threats Report” [16] nel 2014 vi sono stati oltre 200.000
nuovi URL di phishing ogni mese.
2.2.1 Phishing: Meccanismi per contrastarlo
Un meccanismo preventivo per contrastare tale fenomeno è quello della
formazione dell'utente.
Basandosi sul social engineering tale tecnica è particolarmente efficace laddove vi
siano utenti inconsapevoli dei rischi e del tutto impreparati a fronteggiare il
problema.
Comunque è possibile implementare alcuni controlli di sicurezza che consentono
di limitare le mail contenenti phishing.
33. 33
Tipicamente è possibile utilizzare regole specifiche nel filtro euristico dei software
antispam per rilevare e segnalare una possibile frode.
Un'altra tecnica si basa su software che utilizzano particolari database di firme per
scansionare il messaggio, individuare e segnalare l'eventuale presenza di link che
puntano ad URL pericolosi all'interno della mail.
2.3 Malware
Un malware è un software avente lo scopo di causare danni ad un computer, ai
dati in esso contenuti o ad un sistema informatico.
Il significato di malware deriva dalle parole malicious software, cioè, codice
maligno.
La diffusione dei malware è sempre in aumento e i vettori principali di diffusione
di tali software sono i servizi più diffusi e utilizzati nella rete Internet, tra cui
spicca in particolare la posta elettronica.
Vi sono molte categorie di malware; quelle più importanti e pericolose sono:
• Virus, sono porzioni di codice che si diffondono all'interno di altri file; si
riproducono facendo copie di sé stessi.
• Worm, sono simili ai virus, cioè sono porzioni di codice in grado di
replicarsi autonomamente, ma non hanno bisogno di legarsi ad altri
eseguibili.
• Trojan, le cui funzionalità malevole sono nascoste all'interno di programmi
apparentemente utili.
• Spyware, che raccolgono le informazioni dell'attività di un utente e le
trasmettono su Internet a società che le utilizzano per trarne profitto (ad
esempio attraverso pubblicità mirata).
• Rabbit, sono particolari software che si replicano all'interno del sistema
con grandissima velocità saturandone le risorse.
34. 34
Questo elenco comprende solo una parte delle tipologie di codice maligno che
possono attaccare un computer o una rete informatica; alcuni di essi, come i
worm, prediligono la replica automatica attraverso vettori a grande diffusione
come le email; altri utilizzano qualsiasi vettore di trasmissione, quindi anche la
mail.
Tutti i software che sono classificati come malware possono costituire un pericolo
non solo per il computer che li esegue, ma per l'intera rete informatica che lo
ospita, e per i dati contenuti da tutte le macchine ad essa collegate.
2.3.1 Malware: Meccanismi per contrastarli
I moderni software antivirus si basano su database di firme che contengono tutte
le categorie di malware, consentendo di prevenire molti attacchi.
Contro questi attacchi la miglior difesa [10] è la prevenzione, che può essere
ottenuta bloccando l'ingresso a tutto il codice malevolo e cercando di evitare che
si possa diffondere all'interno della rete informatica.
Per poter bloccare il codice malevolo è quindi necessario controllare le mail in
ingresso perché costituiscono uno dei principali vettori di diffusione.
Tale compito è svolto egregiamente dai software antivirus integrati con i
programmi di mail security.
Due sono le tecniche che consentono ad un amministratore di sistema di avere
successo nel contrastare i malware:
• Bloccare le estensioni che sono tipicamente utilizzate da software
malevoli. Mediante opportune regole il relay su cui è configurato il
sistema di sicurezza, può bloccare tipologie note di file, impedendone la
diffusione a prescindere dalla bontà del file in questione. Regole avanzate
possono prevedere anche il blocco di archivi di file protetti da password,
in quanto il software antivirus sarebbe impossibilitato ad aprirli.
35. 35
• Utilizzare due programmi antivirus diversi. Eseguire in cascata due
antivirus, realizzati da due società aventi scopi diversi; ad esempio uno
commerciale e uno di tipo open source. Questo garantisce l'applicazione di
database di firme di più ampio respiro, aumentando la probabilità di
rilevare attacchi meno noti o diffusi.
I file che sono stati rilevati come infetti dai sistemi di sicurezza possono essere
eliminati oppure possono essere messi in quarantena per consentire agli utenti di
accedervi qualora venga trovato un metodo di disinfezione.
2.4 Attacchi alle Caselle Mail
Le caselle di posta costituiscono per un sistema mail il bene più prezioso.
Esse infatti contengono la posta degli utenti, per questo vanno salvaguardate
contro attacchi che possono comportare furto di informazioni o di identità oppure
perdita di dati.
I problemi principali che riguardano le caselle di posta degli utenti sono due:
• Perdita di informazioni, molte possono essere le cause della perdita delle
caselle di posta. Il server che ospita le caselle si può danneggiare, oppure
un malware può corrompere i file in esso contenuto, oppure un utente può
inavvertitamente cancellare la propria casella postale o parte di essa.
• Attacco alle informazioni, esistono molti tipi di servizi che espongono le
caselle, o che vi devono accedere direttamente, e nessun software è esente
da errori di programmazione. Tali errori costituiscono bug che possono
essere sfruttati per connessioni indesiderate, attraverso cui un utente
malintenzionato può guadagnare un accesso illegittimo alle informazioni.
Un altro problema può derivare dalla particolare infrastruttura di rete
progettata per i servizi aziendali.
36. 36
Per quanto riguarda la posta elettronica, ad esempio, moltissime
installazioni prevedono che i servizi SMTP, POP3, IMAP4 e HTTP siano
direttamente connessi ai dati aziendali, e installati in una rete accessibile
da Internet. Questo tipo di architettura espone direttamente le caselle
postali degli utenti ad Internet perché non vi è alcuna rete che renda tale
accesso indiretto. Infine un ultimo problema può derivare dagli utenti
stessi, i quali tendono ad utilizzare password spesso ripetitive e molto
semplici che consentono ad utenti malintenzionati di accedere con facilità
alla casella di posta con attacchi brute force12
.
2.4.1 Attacchi alle Caselle: Meccanismi per contrastarli
Per contrastare la perdita di informazioni, la tecnica più efficace consiste nel
mettere il dato al sicuro. Il meccanismo che concretamente consente di conservare
in modo appropriato il dato è il backup.
Infatti, pur adottando tecniche di ridondanza fisica, Access Control List sugli
oggetti, controllo all'accesso e altri mezzi per aumentare la sicurezza del dato, le
informazioni non sono mai completamente al sicuro.
I sistemi e le informazioni in essi contenute sono costantemente esposte a pericoli
di vario genere, per questo è necessario individuare un'opportuna strategia di
backup per tutelare i dati.
Caratteristiche che il backup deve avere:
• Frequenza di backup, il salvataggio deve essere effettuato con una
frequenza tale da consentire il ripristino del dato più recente possibile, per
diminuire la perdita di informazioni.
• Retention Policy, i salvataggi devono essere mantenuti per un periodo
sufficiente che soddisfi le necessità di storicità delle informazioni imposte
dalla direzione aziendale.
12 Brute force è un metodo che consente di trovare i codici di accesso ad un sistema, tentando tutte
le possibili combinazioni.
37. 37
• Sicurezza del backup, come le macchine che offrono il servizio di posta,
anche i dispositivi di destinazione dei salvataggi possono essere sottoposti
a malfunzionamenti; è quindi opportuno prevedere una politica di
esportazione periodica dei backup per sopperire a eventuali situazioni di
disastro, ad esempio attraverso l'uso di nastri.
• Tipologia di backup, per ridurre lo spazio occupato e il tempo utile ad
eseguire il salvataggio dei dati è necessario utilizzare un backup completo
affiancato ad un backup di tipo incrementale o differenziale.
Per contrastare l'attacco alle informazioni è necessario adottare una serie di
accorgimenti.
Password policy
L'utilizzo di password semplici consente agli utenti malintenzionati di ottenere
con facilità un accesso indebito al sistema con tecniche di brute force o password
guessing.
Per questo è molto importante utilizzare una password policy robusta che
imponga all'utente di scegliere password sicure, non banali e che lo obblighi a
cambiarle con una certa cadenza temporale, senza utilizzare nuovamente i codici
già scelti.
Patch management
I software spesso contengono bug di realizzazione che possono compromettere la
stabilità del servizio e spesso possono concedere accessi indesiderati.
Per questo le funzioni di patch management dovrebbero essere implementate per
tutti i servizi cui l'azienda o l'ente fanno riferimento.
In particolare i software che espongono servizi verso Internet dovrebbero
prevedere una politica di approvazione e applicazione continua delle patch per
consentire un aggiornamento costante del sistema in modo da poter prevenire gli
attacchi noti.
38. 38
Infrastruttura di rete
Spesso l'applicazione delle patch non è sufficiente a tutelare i servizi dagli
attacchi, per questo è necessario implementare un'infrastruttura di rete che
consenta di mettere in totale sicurezza i dati aziendali.
In particolare è opportuno rendere, ove possibile, l'accesso ai dati indiretto.
I software moderni consentono l'accesso indiretto ai server che ospitano le
informazioni mediante l'uso di tecniche come il reverse proxy.
In particolare per la posta elettronica è possibile implementare reverse proxy per i
servizi di POP3, IMAP4 e per HTTP usato dalla webmail.
Per quanto riguarda il protocollo SMTP, è possibile sfruttare le funzioni di relay
per implementare uno (o più) server SMTP di frontiera per ricevere la posta
dall'esterno, bonificarla e inoltrarla verso i server interni che contengono le caselle
degli utenti.
Un'implementazione che rispetti queste norme di sicurezza tipicamente si basa su
una rete DMZ che è direttamente accessibile da Internet, utilizzata per consentire
gli accessi dall'esterno verso i servizi di posta.
Tali servizi accedono alle caselle interne per conto dell'utente che ne fa richiesta,
consentendo un accesso indiretto alle informazioni.
Quindi l'accesso alle caselle è mitigato dal server relay posto nella DMZ, i dati
degli utenti rimangono sempre al sicuro nella rete LAN perché non vengono mai
acceduti direttamente dall'esterno; anche l'eventuale compromissione dei servizi
esposti sulla rete pubblica non consentirebbe l'accesso diretto alle informazioni.
2.5 Attacchi alla disponibilità del servizio
L'alta disponibilità della posta elettronica è estremamente importante in quanto
molti utenti la utilizzano quotidianamente.
Anche molti servizi si basano sulla mail per inviare comunicazioni, rapporti,
allarmi, questo ne aumenta la criticità e l'importanza.
39. 39
Vi è una categoria di attacchi che mina la disponibilità dei servizi: gli attacchi di
tipo DoS e DDoS.
Questi attacchi hanno l'obiettivo di colpire il funzionamento dei servizi attraverso
un gran numero di richieste, saturando le risorse e limitandone la disponibilità.
2.5.1 Attacchi alla disponibilità del servizio: Meccanismi
per contrastarli
Il protocollo SMTP ha un grosso vantaggio in quanto la ricerca dei server MTA
dedicati alla ricezione della posta avviene attraverso l'analisi dei campi MX
mediante un'interrogazione DNS.
Nella definizione della zona DNS è possibile impostare un numero arbitrario di
record MX e di attribuire loro un peso mediante un numero di preferenza.
Durante la fase di invio il server MTA del mittente ottiene l'elenco dei record MX
per il dominio di destinazione; tale server quindi può scegliere arbitrariamente, o
in base alla preferenza del record MX, a quale MX inoltrare la mail.
In caso di errore la mail in uscita viene trattenuta nella coda, quando il server
effettua il successivo tentativo di spedizione, può scegliere un altro record MX.
Questo consente quindi di introdurre una sorta di alta affidabilità e di
bilanciamento nel protocollo SMTP, garantendo sia la protezione contro attacchi
che minano la disponibilità del servizio SMTP, sia la possibilità di spegnere un
server per manutenzione.
2.6 Confidenzialità, Integrità, Autenticazione, Non-
Ripudio
I sistemi mail non hanno un metodo nativo che garantisca confidenzialità,
integrità, autenticazione e non-ripudio.
40. 40
Tali paradigmi possono essere implementati attraverso varie tecniche che
costituiscono integrazioni del protocollo oppure varianti del protocollo.
Per quanto riguarda le integrazioni è possibile utilizzare:
• PGP (Pretty Good Privacy) che è diventato uno standard denominato
OpenPGP e consente di implementare confidenzialità, integrità e
autenticazione attraverso l'uso della crittografia. Infatti attraverso tecniche
crittografiche simmetriche e asimmetriche gli utenti che comunicano
possono garantire la propria identità firmando il messaggio attraverso l'uso
delle coppie di chiavi pubbliche e private. Possono inoltre garantire
confidenzialità cifrando il messaggio con una chiave di sessione, a sua
volta cifrata con la crittografia asimmetrica. Infine possono garantire
l'integrità calcolando l'hash del messaggio e generando la firma digitale.
• S/MIME offre le stesse garanzie di PGP ma anziché usare un sistema di
“web of trust” per la distribuzione delle chiavi pubbliche usa una
Certification Authority.
Per quanto riguarda le varianti del protocollo è possibile utilizzare la Posta
Elettronica Certificata (PEC).
La PEC è una variante della posta elettronica tradizionale, disciplinata dalla legge
italiana, che ha l'obiettivo di dare ai messaggi la stessa validità delle
raccomandate, garantendo il paradigma del non-ripudio.
Quando il mittente invia un messaggio, il suo gestore della PEC gli spedisce una
ricevuta di ritorno avente valore legale circa la sua trasmissione.
Anche il gestore della PEC del destinatario, una volta ricevuto il messaggio,
spedisce al mittente una ricevuta di ritorno avente valore legale circa la sua
consegna.
Queste due mail costituiscono per il mittente un documento digitale che attesta,
attraverso l'indicazione di data e ora, l'avvenuta trasmissione e consegna del
messaggio; in questo modo è implementato per il destinatario il paradigma del
non-ripudio, secondo cui egli non può negare di aver ricevuto la mail.
41. 41
Anche il destinatario riceve, insieme al messaggio, un file che attesta che la mail è
stata inviata dal mittente con data e ora; questo garantisce il non-ripudio anche da
parte del mittente.
Tale mezzo di comunicazione è attualmente l'unico utilizzabile per le
comunicazioni tra imprese e Pubblica Amministrazione.
I vantaggi offerti dalla PEC sono:
• Implementazione della validità legale dei messaggi elettronici.
• Tracciabilità delle mail.
• Certezza della consegna.
• Possibilità di inviare qualsiasi formato elettronico.
• Riduzione dei costi.
Lo svantaggio principale è dovuto al fatto che la PEC è uno standard italiano, non
riconosciuto come standard internazionale.
2.7 Varie tecniche di protezione
Vi sono molte altre tecniche che consentono di affinare i controlli che i filtri di
sicurezza effettuano sulla posta.
Greylisting
Questo metodo si basa sul concetto di coda previsto dallo standard RFC del
protocollo SMTP: se un MTA non riesce ad inviare un messaggio ad un server
destinatario, deve utilizzare una coda per memorizzarlo e tentare nuovamente
l'invio; il messaggio deve essere mantenuto in coda per un numero ragionevole di
giorni prima di poter essere eliminato in caso di fallimento prolungato.
I messaggi malevoli sono generalmente inviati attraverso macchine compromesse
sulle quali non può essere implementato un sistema di code né nella memoria
RAM né sul disco; tipicamente i messaggi spediti attraverso questi vettori
vengono inviati una sola volta e non sono previsti ulteriori tentativi.
42. 42
Quindi attraverso le Greylist i server utilizzano una particolare lista “grigia” in cui
vengono poste le informazioni del mittente e del destinatario, in attesa che scada
un certo periodo di tempo; successivamente tali informazioni sono poste in una
“Whitelist” e i messaggi relativi possono essere consegnati senza ulteriori attese.
Il server MTA che implementa un sistema di Greylisting tiene traccia di una
tripletta contenente indirizzo di posta del mittente, indirizzo di posta del
destinatario, indirizzo IP del mittente; ad ogni mail in arrivo il server verifica se la
tripletta relativa allo specifico messaggio è già presente nel database, in caso
positivo la mail può entrare, in caso negativo viene bloccata con un messaggio di
errore di tipo 4XX e viene popolato il database con la tripletta relativa.
Il successivo tentativo di spedizione della stessa mail da parte del server mittente
ha successo se tra il primo e il secondo invio è trascorso un tempo sufficiente per
coprire il periodo di grey13
.
Questa tecnica offre la possibilità di effettuare una selezione preventiva dei
messaggi, consentendo di bloccare molte mail malevole che sono inviate da client
impropri, e di risparmiare tempo di calcolo necessario ai sistemi di sicurezza che,
generalmente sono molto onerosi e consumano molte risorse.
SPF
Sender Policy Framework consente di dichiarare nel DNS, mediante un record di
tipo SPF o TXT, i server che sono autorizzati a spedire posta per il dominio.
L'utilizzo di SPF può essere totale, ovvero un server può bloccare definitivamente
una mail in ingresso proveniente da un indirizzo IP che non compare nel record
SPF del dominio, oppure parziale, ovvero la mancanza dell'indirizzo IP del server
mittente nel record SPF può aumentare le probabilità che il messaggio sia
malevolo, mentre la presenza può diminuirne le probabilità.
La verifica del campo SPF può essere implementata nativamente o mediante plug-
in nei server di posta e la scelta di adottare o meno tale controllo di sicurezza è
totalmente arbitraria.
13 Il periodo di Grey è un periodo durante il quale la tripletta fa parte della “lista grigia”; il
messaggio relativo non può essere consegnato fino a che tale periodo non è terminato.
43. 43
Molti amministratori attribuiscono ancora oggi ad SPF un'importanza minore,
questo ne penalizza le potenzialità perché la sua efficacia dipende dalla cardinalità
dei domini che lo adottano.
DKIM
Domain Keys Identified Mail è un protocollo basato sulla crittografia e
sull'utilizzo del DNS; ha l'obiettivo di risolvere i problemi legati all'autenticità del
mittente e all'integrità del messaggio.
Il funzionamento di DKIM si basa sull'inserimento della chiave pubblica per il
dominio in un record di tipo TXT nel DNS e sull'aggiunta della DKIM-Signature
alla mail.
La DKIM-Signature contiene molti campi, quelli più importanti riguardano
l'indicazione del dominio e l'hash cifrato.
Il destinatario che riceve un messaggio con firma DKIM preleva il nome del
dominio e lo utilizza per effettuare una ricerca DNS al fine di individuarne la
chiave pubblica; quest'ultima viene quindi utilizzata per decifrare l'hash, il quale
indica il valore univoco che contraddistingue il messaggio.
Il destinatario può quindi calcolare nuovamente l'hash del messaggio per poterlo
verificare con quello ottenuto dall'operazione precedente.
Se i due hash corrispondono allora il mittente è autentico e la mail è integra.
Il protocollo DKIM è ancora poco diffuso, molti domini si limitano ad
implementarne la verifica ma non applicano la firma ai messaggi.
DMARC
Domain-based Message Authentication, Reporting and Conformance è
un'estensione dei meccanismi di controllo SPF e DKIM.
Questo protocollo consente agli amministratori di specificare, sempre mediante un
record di tipo TXT nella zona DNS del dominio, quale azione deve essere
intrapresa dai server di posta qualora ricevano una mail il cui campo “From”
faccia riferimento allo specifico dominio, ma il messaggio non abbia passato il
controllo SPF o DKIM.
44. 44
Attraverso questa modalità gli amministratori possono rafforzare le verifiche
DKIM e SPF determinando quale valore i server che ricevono mail dal dominio di
competenza debbano attribuire a tali controlli.
Formazione degli utenti
I sistemi di protezione non sono infallibili, in particolare, considerando l'ingente
quantità di messaggi che ogni giorno sono processati da un sistema di posta, la
mole di minacce in grado di eludere le misure di sicurezza può essere
significativa.
Per questo è necessario formare gli utilizzatori della posta elettronica al fine di
informarli sulle principali tipologie di minacce per evitare che gli attacchi non
rilevati dal sistema di protezione costituiscano pericoli gravi per l'intera rete.
Certificati SSL
Un metodo per evitare intercettazioni, furti di informazioni, furti di messaggi o di
credenziali di accesso è quello di rendere sicuro il canale di comunicazione tra gli
utenti e il sistema di posta.
Questo compito può essere assolto attraverso l'uso della crittografia, con i
certificati SSL.
Tutti i browser e i MUA sono in grado di riconoscere la veridicità e la validità di
un certificato SSL, per questo è molto importante proteggere i protocolli con un
certificato valido e riconosciuto da una Certification Authority.
Anche in questo caso la formazione degli utenti è fondamentale, in quanto è
necessario che essi sappiano riconoscere quando un certificato non è valido
rispetto a quanto dichiarato dal server o quando un certificato non è ufficiale o
generato da una Certification Authority riconosciuta, in modo da evitare accessi
indebiti al sistema di posta, attacchi phishing, etc.
Reputazione
La reputazione di un server o di un dominio è di fondamentale importanza rispetto
ai controlli di sicurezza analizzati, in particolare rispetto alle liste DNSBL.
45. 45
Per questo è importante evitare di diffondere messaggi impropri o di essere vettori
di attacchi: è molto facile ottenere una pessima valutazione o una cattiva
reputazione.
Un server che ha una cattiva reputazione può incontrare molte difficoltà nell'invio
della posta; questo può determinare gravi disservizi.
Senza adeguati controlli un MTA può effettuare attacchi a terzi, ad esempio un
utente malevolo può utilizzare le credenziali di un utente legittimo ottenute
illecitamente, per inviare spam o virus; oppure il server può essere configurato in
modo errato ed essere un open relay; oppure una macchina del dominio può essere
infetta da un virus e può utilizzare la posta per attaccare macchine esterne.
Quindi è opportuno configurare adeguatamente i server relay per evitare che utenti
esterni al dominio possano utilizzarli per inviare posta verso terzi (bloccare quindi
le impostazioni di tipo open relay), applicare delle regole in uscita per bloccare
massmailing dalle macchine interne e applicare i comuni filtri anche alle mail in
uscita.
Infine è opportuno che il sistema di protezione abbia un accurato meccanismo di
controllo dello stato al fine di consentire agli amministratori di verificarne i
rapporti di funzionamento per poter agire prontamente sulle regole, affinandone i
controlli e per poter prevenire comportamenti inattesi del servizio di posta.
2.8 Analisi dei sistemi di sicurezza
I sistemi di sicurezza che sono utilizzati per bonificare le email intraprendono
moltissime azioni e possono essere estremamente invasivi.
Infatti tali sistemi possono applicare “tag” alle mail per segnalarne la possibile
pericolosità, possono bloccare i messaggi e renderli inaccessibili agli utenti o
possono metterli in uno stato di quarantena.
Inoltre, effettuando molti controlli, possono rallentare notevolmente la
trasmissione dei messaggi aumentando i tempi di consegna e utilizzando molte
risorse di una rete.
46. 46
Per questo è molto importante valutare e classificare i sistemi di sicurezza, rispetto
ai risultati e rispetto ai tempi di latenza che derivano dal loro utilizzo.
Rispetto ai risultati ottenuti è necessario introdurre due concetti particolarmente
importanti, tali concetti hanno una grande utilità nella maggior parte delle
tecniche usate per contrastare le minacce alla posta elettronica.
Infatti l'obiettivo finale di tali tecniche è quello di filtrare tutti i messaggi il cui
contenuto è considerato indesiderato14
, quindi risulta estremamente importante
poter verificare il corretto funzionamento dei metodi di sicurezza utilizzati,
valutandone i risultati ottenuti.
I concetti in questione sono:
• Falso positivo: quando una mail è risultata indesiderata secondo i controlli
di sicurezza cui è stata sottoposta, ma in realtà è “pulita” (può essere stata
interpretata come spam senza effettivamente esserlo, oppure il sistema
antivirus può aver individuato nel suo contenuto un virus, ma in realtà il
contenuto ne è esente, o può essere stato rilevato un attacco phishing che
non costituisce una minaccia).
• Falso negativo: quando una mail è risultata “pulita” secondo i controlli di
sicurezza, ma in realtà contiene delle minacce (ad esempio se i controlli di
sicurezza non rilevano un virus, un attacco phishing, oppure non
individuano spam all'interno di un messaggio che può essere classificato
come spam).
Un buon sistema che filtra le minacce alla posta deve mantenere bassi entrambi i
valori; un numero alto di falsi negativi corrisponde ad un sistema che non è in
grado di rilevare minacce concrete insite nei messaggi, quindi gli utenti ricevono
molto spam, molti virus, o tanti attacchi di tipo phishing.
Un numero alto di falsi positivi corrisponde ad un sistema che segnala come
indesiderata molta posta che in realtà dovrebbe essere considerata buona; questo
indica che gli utenti perdono mail che potrebbero essere importanti.
14 Una mail può essere considerata “buona” se non è spam, non contiene phishing, non contiene
virus, è stata legittimamente prodotta dal mittente.
47. 47
I sistemi di sicurezza sono prevalentemente valutati rispetto al numero di minacce
che non riescono a bloccare sul totale delle mail che costituiscono un pericolo
concreto (quindi sul numero di falsi negativi); è comunque importante evitare di
mantenere un numero alto di falsi positivi (utilizzando ad esempio filtri molto
aggressivi) perché altrimenti potrebbero venir bloccate molte mail lecite,
provocando un disservizio alla fruibilità della posta da parte degli utenti.
Il bilanciamento tra il numero di falsi positivi e falsi negativi è puramente
arbitrario e dipende dalle politiche di sicurezza previste dall'ente o dall'azienda cui
il sistema di protezione deve garantirne l'affidabilità; quindi è spesso frutto di
scelte e compromessi tra le necessità dell'azienda e le necessità degli
amministratori della sicurezza.
Rispetto ai tempi di latenza risulta molto importante valutare sia le risorse che
sono necessarie ai sistemi di sicurezza per svolgere i propri compiti, sia il tempo
che tali scansioni richiedono, perché esso costituirà un overhead rispetto ai
normali tempi di consegna dei messaggi.
Anche in questo caso risulta necessario un bilanciamento tra i risultati che si
intende ottenere e le penalizzazioni che possono derivare dall'utilizzo di un
sistema troppo oneroso.
Tale bilanciamento è opportuno perché l'overhead che deriva dall'applicazione dei
filtri può risultare esiguo se applicato ad un numero ristretto di messaggi, ma se
applicato a una grande mole di informazioni può aumentare esponenzialmente e
può quindi inficiare negativamente sulla fruibilità del servizio.
Spesso la scelta e le modalità di applicazione di un processo di sicurezza sono
frutto di una contrattazione tra la direzione aziendale e gli amministratori della
sicurezza.
Infine, dato che alcuni dei controlli effettuati dai sistemi di bonifica dei messaggi
si possono affidare a terzi (ad esempio a liste DNSBL o a software antivirus) è
molto importante accertarsi dell'affidabilità di tali servizi perché il peso derivante
dalle regole di controllo basate su di essi può compromettere l'intero
funzionamento del sistema.
48. 48
L'utilizzo dei sistemi esterni dovrebbe quindi costituire solo una parte dei controlli
applicati ai messaggi, sia per limitarne il peso nella valutazione finale, sia per
limitare i tempi di latenza derivanti dalla loro esecuzione.
L'esperienza di grandi provider di servizi e il successo di sistemi di posta quali
Gmail, che ha fatto della sicurezza dei messaggi il fulcro della propria offerta,
deve essere d'esempio per ogni ente o azienda che intenda utilizzare un sistema di
posta elettronica.
Un buon sistema collaborativo non può prescindere da un buon sistema di
sicurezza.
49. 49
3 Collaboration Suite per la PA: Requisiti
La Comunità Montana “Montagna Fiorentina” è un Ente che comprende
sette importanti Comuni compresi tra la Valle della Sieve e il Valdarno.
Fanno parte di tale Unione i Comuni di:
• Londa
• Pelago
• Pontassieve
• Reggello
• Rignano sull'Arno
• Rufina
• San Godenzo
L'Unione copre una superficie di oltre 500 KM2
con oltre 55000 abitanti.
50. 50
3.1 Unione di Comuni Valdarno e Valdisieve:
Infrastruttura informatica
Lo scopo dell'Unione è quello di gestire una pluralità di funzioni e servizi
complessivi di competenza dei Comuni che ne fanno parte.
Tra i principali servizi spiccano quelli relativi alla gestione delle risorse
informatiche.
Infatti ai Comuni che ne fanno parte è affidata una gestione parziale dei servizi
informativi locali, mentre spetta all'Unione la gestione di funzioni informatiche
centralizzate e comuni a tutti gli Enti medesimi.
Servizi quali la gestione del S.I.T (Sistema Informativo Territoriale), la gestione
informatizzata del SUAP (Sportello Unico Attività Produttive), la gestione
informatizzata dell'Albo Pretorio, la modulistica digitale, il Sistema
Documentario, la posta elettronica o il sito istituzionale sono accentrati presso il
CED dell'Unione.
La gestione del parco macchine, delle utenze e di alcuni servizi istituzionali locali
è invece demandata ad ogni singolo Ente.
Ogni sede è dotata di un proprio dominio ed è collegata all'Unione attraverso una
VPN per integrare in modo sicuro i servizi della Comunità Montana.
Per quanto concerne la posta, oltre a quella relativa alla Comunità Montana, sono
gestite dalle macchine dell'Ente le caselle postali dei Comuni di Londa, Pelago,
Reggello, Rignano sull'Arno, Rufina, San Godenzo, mentre è previsto per il
Comune di Pontassieve un piano di integrazione futuro.
Tali Enti contano un totale di oltre 400 caselle di posta, 200 alias e 50 liste di
distribuzione, gestite da un unico punto di amministrazione.
I domini serviti dal sistema di posta sono in totale 11 di cui 4 sono alias.
Oltre alla posta elettronica tradizionale è previsto l'utilizzo della Posta Elettronica
Certificata per espletare le funzioni dello Sportello Unico delle Attività Produttive
e per tutte le comunicazioni ufficiali che coinvolgono Enti, cittadini e imprese.
51. 51
Figura 9: tutte le sedi che fanno parte della Comunità Montana sono interconnesse
alla sede operativa dell'Ente mediante una VPN di tipo IPSEC.
3.2 Problemi della piattaforma precedente
La piattaforma su cui era implementata la gestione della posta elettronica per tutti
i Comuni appartenenti alla Comunità Montana soffriva di numerosi problemi di
sicurezza e carenze di funzionalità.
Figura 9: Schema delle reti interconnesse dell'Unione di Comuni.
52. 52
Posizionamento del server
Il primo problema era dovuto alla topologia di rete utilizzata per la soluzione, in
quanto sia le funzioni di sicurezza, sia le funzioni di fruizione della posta erano
implementate su un unico server.
In particolare il server che gestiva la soluzione, e con esso tutte le caselle postali
degli utenti, era posizionato nella rete DMZ; questo posizionamento consentiva ad
utenti malintenzionati di ottenere direttamente l'accesso alle caselle di posta, a
seguito di un attacco.
Infatti, a seguito di attacchi che hanno consentito a terzi di ottenere accessi illeciti
alla macchina, alcune caselle di posta sono state effettivamente compromesse.
Anche le configurazioni del server sono state alterate indebitamente, con lo scopo
di creare condizioni favorevoli agli spammer.
Inoltre il posizionamento delle caselle in una rete facilmente accessibile da
Internet ha consentito ad utenti malintenzionati di installare software quali sniffer
per potersi impadronire delle password dei legittimi utilizzatori della posta.
Spesso tali password consentivano l'accesso ad altri software dell'Ente, quindi la
compromissione del server di posta ha costituito gravi rischi per l'intera rete.
Infine, utilizzando un unico server per i servizi di posta e quelli di sicurezza, era
particolarmente difficile eseguire operazioni di manutenzione, in quanto, lo
spegnimento dello stesso fermava tutti i servizi installati, rendendo impossibile
l'utilizzo temporaneo di una coda per memorizzare i messaggi in transito.
Controlli inadeguati
Le regole di sicurezza previste non erano sufficienti a limitare in modo adeguato
gli attacchi e le mail indesiderate.
Tali regole si basavano prevalentemente su filtri euristici datati, su un antivirus e
su filtri statistici di tipo Bayesiano, configurati per gestire ogni casella con un
database distinto anziché utilizzarne uno centrale per il dominio.
Queste misure di sicurezza sono risultate più volte inefficienti in quanto gli utenti
sono stati spesso vittime di vaste campagne di spam.
53. 53
La carenza di tali sistemi di sicurezza non era dovuta solo alla scarsa
manutenzione dei filtri (causata principalmente dalla mancanza di aggiornamenti
pianificati) ma anche alla particolare configurazione del filtro Bayesiano poiché
esso era suddiviso per ogni casella di posta e non centralizzato per l'intero sistema.
Quindi il filtro statistico che veniva applicato non sfruttava appieno le potenzialità
di analisi.
Infine non era prevista una funzione, estremamente importante contro lo spam, di
autoapprendimento attraverso la segnalazione della posta indesiderata che non è
stata classificata come tale (falsi negativi).
Il sistema di sicurezza era perciò totalmente inadeguato e molte mail contenenti
spam, virus, phishing e altri attacchi riuscivano ad entrare quotidianamente nel
sistema.
Gestione delle utenze
La gestione degli utenti era locale al server e non era prevista alcuna password
policy. Molti utenti utilizzavano password semplici da indovinare, per questo i
relativi account erano spesso violati ed erano utilizzati per lanciare campagne di
spam verso altri domini. Non erano neanche previsti tempi di scadenza per
obbligare gli utenti a cambiare le password.
Infine non era previsto alcun meccanismo di integrazione con i sistemi di
directory presenti nei Comuni appartenenti alla Comunità Montana.
Tali caratteristiche hanno reso il server di posta della Comunità particolarmente
debole agli attacchi contro le utenze.
Scarsa reputazione
A causa dei molti problemi di sicurezza evidenziati in precedenza il server di
posta era spesso utilizzato come vettore di attacchi, campagne di spam e
diffusione di virus.
Infatti le utenze potevano essere violate attraverso attacchi brute force a causa
della mancanza di password policy, oppure potevano essere sfruttate attraverso i
MUA installati su macchine che erano state infettate da virus o trojan.
54. 54
I domini degli Enti erano spesso catalogati come vettori di attacchi, per questo
erano inseriti in blacklist (DNSBL); la posta inviata veniva bloccata da tutti i
destinatari che implementavano controlli basati sulle medesime blacklist.
Questo causava notevoli disservizi e l'eliminazione dalle blacklist era sempre più
onerosa e complessa.
Funzionalità collaborative assenti
Il server di posta installato in precedenza non era dotato di funzionalità
collaborative.
Infatti non erano presenti chat intradominio o trasversali tra i domini; non erano
presenti calendari e non era possibile gestire note e appuntamenti.
Mancava inoltre un'applicazione che consentisse la gestione e la condivisione di
file e allegati.
La rubrica era presente ma non poteva essere condivisa tra utenti e tra domini.
Questo rendeva la soluzione poco flessibile e non adatta alle necessità aziendali.
Limitata disponibilità per i dispositivi mobili
L'unica possibilità di collegare dispositivi mobili al sistema di posta era attraverso
l'uso di protocolli POP3 o IMAP4.
La soluzione quindi non poteva offrire ai dispositivi mobili la possibilità di
utilizzare i calendari o di consultare la rubrica e la configurazione dei client stessi
era piuttosto macchinosa.
Inoltre la webmail disponibile non era di tipo responsive15
per cui la consultazione
della posta su dispositivo mobile attraverso il protocollo HTTP era limitata.
Gestione e configurazione non centralizzata
I componenti utilizzati per filtrare la posta non erano gestibili attraverso alcuna
interfaccia centralizzata, per cui la manutenzione delle regole era molto complessa
e onerosa.
15 Il design responsive consente di realizzare siti in grado di adattarsi in modo automatico al
dispositivo.
55. 55
Inoltre la soluzione non era dotata di strumenti per il controllo e la reportistica,
quindi era impossibile valutare il funzionamento dei filtri o il livello di sicurezza.
Anche per la gestione delle caselle non era prevista alcuna interfaccia, quindi
l'aggiunta o la modifica di un utente richiedeva l'accesso alla macchina e
l'interazione con la linea di comando del sistema operativo.
La gestione del server risultava quindi molto complessa.
3.3 Requisiti
In seguito a quanto emerso dalle problematiche e dalle limitazioni cui era affetto il
sistema precedente, l'Ente Unione di Comuni Valdarno e Valdisieve ha individuato
per la realizzazione del nuovo sistema di Collaboration Suite i seguenti requisiti.
3.3.1 Sicurezza
La sicurezza della posta elettronica è sempre stata un grosso problema per l'Ente,
per questo il nuovo sistema deve:
• Garantire un tasso di falsi negativi inferiore al 5% per limitare le mail
spazzatura.
• Bloccare spam, attacchi provenienti da malware e attacchi phishing.
• Mantenere un tasso di falsi positivi inferiore al 0,1% per non provocare
troppo disservizio agli utenti.
• Prevedere metodi per prevenire la cattiva reputazione dei server di posta,
al fine di evitare che i domini finiscano nelle blacklist.
• Integrare metodi per consentire l'identificazione del mittente, la
confidenzialità e l'integrità.
• Prevedere un metodo di gestione e applicazione automatica delle patch.
56. 56
• Utilizzare metodi modulari per il controllo della mail, in modo da garantire
la possibilità di aggiornare le tecniche di protezione contro nuovi attacchi.
• Sfruttare gli utenti già configurati nei vari domini (Active Directory)
presenti in tutti i Comuni appartenenti all'Unione, al fine di centralizzare
gli accessi e di consentirne una gestione semplificata. Tale
implementazione garantisce inoltre la possibilità di utilizzare le password
policy già implementate. Deve comunque prevedere la possibilità di
mantenere un database locale di utenti, garantendo password policy,
password rotation e tecniche per prevenire attacchi brute force.
• Preservare le informazioni utilizzando backup di tipo full affiancati a
backup incrementali. Le informazioni devono essere salvate con un livello
di granularità pari alla singola mailbox e allo stesso modo devono poter
essere ripristinate. Oltre alle caselle di posta è necessario salvare anche le
informazioni accessorie, come i calendari, le rubriche, etc.
• Preservare le caselle e il server di posta, garantendo loro un accesso
indiretto, utilizzando l'infrastruttura di rete già presente presso la Server
Farm dell'Unione.
Figura 10: Infrastruttura di rete dell'Unione
di Comuni Valdarno e Valdisieve.
57. 57
Figura 10: la rete dell'Unione è composta da due segmenti separati, quello che
comprende la rete interna (LAN) e quello che comprende la rete direttamente
accessibile dagli utenti Internet (DMZ).
Per la nuova realizzazione è necessario sfruttare tale infrastruttura di rete per poter
suddividere il server di Collaboration Suite da quello di frontiera.
In particolare è necessario posizionare le caselle all'interno della rete LAN
proteggendole dagli accessi diretti utilizzando la rete DMZ per collocare un server
di frontiera che garantisca l'accesso indiretto ai protocolli fondamentali,
configurati sul server di Collaboration Suite.
3.3.2 Collaboration Suite: Funzionalità
Uno degli obiettivi principali della nuova implementazione deve essere quello di
ammodernare il sistema di comunicazione tra gli utenti dei Comuni associati
all'Ente.
Quindi la nuova implementazione deve prevedere tutte le funzionalità tipiche di
una Collaboration Suite:
• Al fine di consentire uno scambio di messaggi in modalità sincrona e di
preservare lo spazio e le risorse dei server di memorizzazione e di gestione
dei messaggi di posta, è necessario prevedere un sistema di chat che
consenta agli utenti di tutti i Comuni di dialogare tra loro in tempo reale
ma che non permetta loro di comunicare con utenti esterni.
• La gestione dei contatti dell'Ente e di tutti i Comuni deve poter essere
completamente demandata al nuovo sistema di posta, il quale deve quindi
prevedere una gestione estremamente granulare delle rubriche. In
particolare deve garantire la possibilità di definire rubriche condivise per
ogni Comune, rubriche condivise e centralizzate per l'Unione, una o più
rubriche per ogni utente e la possibilità di condividere le stesse tra gli
utilizzatori.
58. 58
• Per facilitare la collaborazione tra gli utenti deve essere prevista la
possibilità di definire e condividere eventi, attività e note, fruibili da tutta
la rete dell'Unione.
• L'amministrazione dei calendari e degli appuntamenti di ogni utente,
Comune e della Comunità Montana stessa, deve essere implementata nel
sistema di posta, il quale deve prevedere una gestione centralizzata,
integrata e condivisibile tra ogni soggetto.
• Al fine di consentire lo scambio di file e allegati è necessario
implementare un sistema di gestione e condivisione di oggetti tra gli utenti
interni all'Ente e tra i dipendenti e i cittadini.
• Per soddisfare eventuali future esigenze, è necessario che il nuovo sistema
consenta la realizzazione e l'implementazione di nuove funzionalità
attraverso plug-in o estensioni del software.
3.3.3 Gestione centralizzata
La soluzione scelta deve poter essere gestita centralmente da un'interfaccia
intuitiva.
In particolare deve consentire:
• Una visione e una gestione centralizzata dei domini.
• La definizione e la gestione delle utenze e di tutte le caratteristiche ad esse
collegate, quali password e password policy (ove necessario), identità e
dimensionamento per ogni singola casella.
• La configurazione di tutte le funzionalità previste dalla soluzione.
• La definizione e la gestione dei protocolli offerti.
• La configurazione di liste di distribuzione e alias.
• Il monitoraggio di tutti i filtri di sicurezza implementati.
• La configurazione dei filtri di sicurezza.
• La gestione e l'implementazione di Whitelist o Blacklist a livello globale.
59. 59
• Il monitoraggio delle risorse consumate dal server utilizzato per i servizi
collaborativi e di quelle consumate dal server di filtro.
• La verifica e la notifica delle versioni e degli aggiornamenti disponibili.
3.3.4 Contenimento di costi e risorse
Non sono stati individuati limiti di spesa esatti e non sono stati definiti limiti
computazionali.
Comunque la soluzione di posta non deve essere particolarmente dispendiosa e
non deve utilizzare eccessive risorse del Data Center dell'Unione.
In particolare è necessario prediligere software di tipo Open Source, soprattutto
per favorire il riuso della soluzione.
Inoltre, al fine di evitare sprechi di spazio disco è necessario utilizzare software
che supportino la deduplica dei dati.
Infine deve essere possibile espandere il sistema con facilità e senza ulteriori costi
(fatto salvo per le risorse computazionali), per garantire la possibilità di
aggiungere nuovi Enti soci alla Collaboration Suite.
3.3.5 Dispositivi mobili
Per garantire totale fruibilità da parte dei dipendenti dell'Ente, deve essere
sostenuta ampia compatibilità con i dispositivi mobili.
In particolare devono essere almeno garantiti i protocolli IMAP4 e SMTP
autenticato per consentire la configurazione della posta elettronica su tali
dispositivi.
Per facilitare la configurazione dei dispositivi sarebbe preferibile una soluzione
che renda disponibili protocolli più complessi quali ActiveSync.
La soluzione può anche prevedere un design di tipo responsive per permettere
l'accesso direttamente alla propria interfaccia web.
60. 60
4 Collaboration Suite per la PA:
Analisi e Implementazione
A seguito delle necessità espresse dall'Ente è stata realizzata ed
implementata nella prima metà del 2013 una soluzione di Collaboration Suite per
soddisfarne i requisiti.
La seguente analisi ha due scopi:
• Mostrare ogni dettaglio implementativo e i componenti utilizzati.
• Mostrare che i risultati ottenuti soddisfano appieno i requisiti.
Il primo aspetto riguarda l'architettura utilizzata per la realizzazione della
soluzione, da cui emergono i flussi dei protocolli applicativi.
Figura 11: Schema di rete della piattaforma installata.
61. 61
La soluzione è composta da due categorie di server:
• Un server di frontiera denominato “Mailrelay” dedito all'interfacciamento
tra il servizio di posta dell'Ente e il mondo esterno. Questo server è
posizionato nella rete DMZ, direttamente accessibile da Internet e di fatto
isolato dalla rete interna; consente a terzi di consegnare i messaggi per i
destinatari appartenenti ai domini dell'Ente e consente agli utenti interni di
inviare posta verso l'esterno, inoltre applica ai messaggi in ingresso e in
uscita tutti i controlli di sicurezza che sono stati individuati per garantire
affidabilità alla posta elettronica. Rappresenta inoltre il punto di ingresso
che permette agli utenti di accedere agli strumenti di collaborazione, sia
fuori che dentro la rete aziendale. La soluzione prevede un singolo server,
individuato nelle zone DNS come campo MX dei domini cui appartiene;
in futuro questo server può essere affiancato da altri per ridondanza o
bilanciamento, senza stravolgere i flussi implementati, ma effettuando una
semplice modifica alla zona DNS.
• Un server posizionato nella rete interna, denominato “Mailserver”, il quale
implementa la soluzione di Collaboration Suite. Questo server contiene le
caselle degli utenti e si interfaccia sia con i servizi di directory, sia con il
database locale per garantire loro l'accesso e gestirne le politiche. Non è
previsto alcun flusso di accesso, sia esso di interrogazione, di gestione o
operativo, diretto verso questa macchina,
Gli strumenti adottati per la soluzione sono tutti open source, per garantire il
riuso.
I software sono stati scelti anche in base a criteri di supporto e manutenzione,
infatti per la maggior parte di essi vi è la possibilità di sottoscrivere contratti di
assistenza con la casa produttrice, oppure, vi è una vasta comunità di utilizzatori
con una continua condivisione delle esperienze di gestione; in questo modo è
possibile garantire tempi di attività elevati e aggiornamenti costanti per adeguare
la soluzione alle necessità future.
62. 62
4.1 Descrizione dei flussi implementati
Per garantire un buon livello di sicurezza il primo obiettivo è quello di individuare
i flussi implementati al fine di conoscere le possibili comunicazioni e per evitare
di consentire connessioni inusuali o rischiose.
Pubblicazione delle risorse verso Internet
Il firewall isola la rete DMZ da quella interna e gestisce le configurazioni di port
forwarding che consentono la pubblicazione dei servizi verso l'esterno.
I servizi sono fruibili dall'esterno attraverso una serie di port forwarding che
realizzano tunnel tra un indirizzo IP pubblico del pool di cui l'Ente è assegnatario
e il server Mailrelay. In particolare sono esposti i protocolli SMTP (porta 25),
SMTPS (porta 465), POP3 (porta 110), POP3S (porta 995), IMAP4 (porta 143),
IMAP4S (porta 995), HTTPS (porta 443).
Tutte queste regole sono utilizzate per consentire l'accesso sia agli utenti che
provengono dalla rete interna che a quelli provenienti dalla rete esterna.
In particolare per consentire l'accesso alle risorse, identificandole con lo stesso
nome sia dalle reti interne, sia da quelle esterne, sono possibili due configurazioni:
• “Split DNS” per referenziare in due modi diversi lo stesso dominio, ma
questo ha lo svantaggio di dover gestire una doppia configurazione.
• “Nat reflection” che consente agli utenti che provengono dall'interfaccia
“interna” del firewall di potersi collegare a indirizzi IP configurati
sull'interfaccia pubblica.
Il Nat reflection è stato scelto perché consente di gestire le zone DNS senza
complicarne la manutenzione.
Accesso alla rete interna
Affinché lo scambio di messaggi avvenga correttamente il server di frontiera
Mailrelay deve poter accedere a specifiche porte del server interno Mailserver.