LA GUIDA PRATICA

Sicurezza delle e-mail: vulnerabilità strutturali e soluzioni pratiche

La sicurezza delle e-mail è una problematica spesso sottovalutata: lo dimostra il fatto che tutti noi continuiamo ad usare la posta elettronica senza pensare che si tratta di uno degli strumenti più antiquati e vulnerabili della rete. Ecco le vulnerabilità strutturale e le possibili soluzioni pratiche

21 Feb 2020
C
Marco Crociani

Company security Governance - Lead Auditor 27001 Member of AIPSI (Italian Chapter of ISSA)


La sicurezza delle e-mail viene spetto sottovalutata o, ancora peggio, trascurata. Eppure, tra gli strumenti di comunicazione e scambio di informazioni in uso, la posta elettronica ha un ruolo principe sia in termini di usabilità che di funzioni accessorie che si sono sviluppate.

A queste funzioni si associano le modalità d’utilizzo che sono state variamente adottate, che oltre alla insicurezza intrinseca dello strumento l’hanno resa una delle maggiori minacce alla sicurezza delle informazioni sia aziendali sia personali.

Sicurezza delle e-mail: il protocollo SMTP

L’e-mail non è che una delle molte modalità di utilizzo di Internet. È stata una delle prime, creata alla nascita di Internet, e proprio in questo risiede la sua intrinseca debolezza. La sua invenzione risale infatti al 1971, quando Ray Tomlinson installò su ARPAnet un sistema in grado di scambiare messaggi fra alcune università americane e inviò la prima e-mail.

Successivamente, nel 1982, fu creato il protocollo SMTP (Simple Mail Transfer Protocol), ancora oggi universalmente utilizzato: tutte le e-mail spedite su Internet vengono trasferite usando questo protocollo in uscita.

SMTP rappresenta l’esempio più evidente di come uno strumento creato quasi per gioco, quindi senza particolare attenzione alla sicurezza, oggi gestisce e controlla tutte le attività della nostra società. Quando fu inventata l’e-mail, questa fu pensata come “strumento collaborativo”.

La sicurezza non era un requisito ritenuto importante, le caratteristiche originali dell’e-mail erano:

  • nessuna autenticazione del mittente;
  • nessuna riservatezza del contenuto;
  • nessuna verifica di integrità lungo il percorso;
  • nessuna protezione contro messaggi indesiderati.

Il protocollo SMTP è uno dei più vecchi di Internet ed è volutamente mantenuto semplice, visto che un server SMTP deve poter gestire decine di connessioni al secondo. Questa semplicità si traduce in vulnerabilità, perché le due informazioni identificative che il server mittente passa al destinatario (il nome del mittente e l’indirizzo e-mail a cui il messaggio è diretto) non vengono verificate e possono essere quindi facilmente falsificate.

Inoltre, l’e-mail può essere intercettata e letta da un malintenzionato: il cosiddetto “Man in the middle” che si frappone tra mittente e destinatario. Infatti, nella maggior parte dei casi, le e-mail vengono trasmesse non criptate, come se fossero state scritte su una cartolina (che tutti possono leggere).

Per la natura di “store and forward del protocollo”, mediamente un messaggio e-mail, suddiviso in pacchetti IP, tra un mittente e un destinatario viene registrato mediamente una quarantina di volte nel percorso, su altrettanti server (nodi) distribuiti nella rete.

Se ci si posiziona su di un nodo, con un software di packet inspection, ormai reperibile a basso costo se non addirittura gratuitamente, è possibile, senza eccessive conoscenza del protocollo di rete, poter leggere il contenuto dei messaggi e-mail che vi transitano.

In genere si dà per assodato che i messaggi che transitano vengano rapidamente cancellati, ma la rete è grande, ci sono tanti operatori, non si ha alcuna conoscenza di quando e come questi messaggi verranno cancellati, né tantomeno da chi.

Gli amministratori di questi nodi, in Europa sono soggetti a varie norme di tutela previste negli ambiti della privacy e della sicurezza delle comunicazioni. In Italia, un provvedimento del garante riguarda espressamente gli amministratori di sistema: ne richiede l’identificazione, la nomina e la corrispondente attribuzione di responsabilità. Ma nel resto del mondo? La natura transnazionale delle rete e del protocollo non mi sembra che assicurino che i pacchetti in transito rimangano nei confini fisici delle varie giurisdizioni.

Non si deve nemmeno escludere la possibilità che i pacchetti vengano intercettati direttamente dai cavi dati di collegamento senza accedere ai nodi: tuttavia, questo tipo di attività, per l’impegno tecnico organizzativo necessario, ritengo sia effettuabile ad agenzie governative o militari e più difficilmente alla portata di attori al di fuori di questi ambiti.

Tra le molte limitazioni del protocollo SMTP c’è quella di non essere in grado di gestire l’autenticazione del mittente. Questo è probabilmente la vulnerabilità più grave, perché viene sfruttata da chi usa l’e-mail come strumento di attacco per fare phishing.

È infatti possibile – e anche abbastanza facile – inviare e-mail falsificando il mittente. In altre parole: si può spedire un’e-mail facendo apparire come mittente l’indirizzo corrispondente ad un altro account. Questo anche senza avere accesso diretto la server che gestisce l’account falsificato, non è necessario conoscere le credenziali della casella di posta che si usa.

Sicurezza delle e-mail: modalità di utilizzo

Dopo questa breve illustrazione di alcune caratteristiche tecniche delle vulnerabilità del servizio di posta SMTP, vorrei elencare delle modalità di utilizzo dei servizi di e-mail, che ho potuto constatare direttamente, che aggiungono altri elementi alla discussione.

Sono solo esempi e sicuramente non è completo: perché alla fantasia non si possono porre limiti, ma ritengo che sia sufficiente per poter sollevare qualche perplessità sui rischi che l’uso dell’e-mail comporta e far pensare di considerare strumenti di comunicazione alternativi soprattutto nell’ambito della collaboration.

Raggruppo le modalità d’uso in due categorie: utilizzi soft e utilizzi tecnici. Per utilizzi soft intendo quelli non direttamente connessi allo strumento, ma correlati a essi, che hanno risvolti comportamentali ad essa associata; mentre quelli tecnici sono invece propri nell’utilizzo di caratteristiche tecniche.

Utilizzi soft

L’indirizzo di e-mail identifica, associa, le persone all’interno di una organizzazione. Rafforza l’autorevolezza della persona come parte della organizzazione. Inoltre, un indirizzo di posta legato al dominio dell’organizzazione può essere utile per verificare lo stato di appartenenza della persona: se cessa il rapporto con l’organizzazione, l’indirizzo non dovrebbe essere più valido (con i dovuti distinguo, e solo nel caso l’organizzazione si ricordi di attuare le disabilitazioni) e il mittente riceve un messaggio di errore per mancata presenza del destinatario.

Alcune organizzazioni, per evitare problemi di ordine giuslavoristico, prevedono nelle loro policies, che le naming convention dei collaboratori, non dipendenti, abbiano indirizzi e-mail che ne identifichino, per mezzo di suffissi (ad esempio: cons o ext che indicano un rapporto indiretto), il tipo di relazione (di non dipendenza con l’organizzazione).

In molti ambienti l’e-mail viene usata per ottenere delle autorizzazioni di vario genere: dagli accessi a risorse; a permessi di ingresso a siti; a trasferte o approvazioni di spesa, come pure accordi; pagamenti.

Nel caso in cui, poi, un’autorizzazione dovesse essere ottenuta con il concorso di più soggetti, se non è supportata almeno da un processo operativo può diventare fonte di confusioni o contrasti.

Il processo autorizzativo, a seconda dei casi e dei livelli di fiducia e delle modalità organizzative adottate, può avvenire secondo due modalità:

  • in modo diretto per approvazione esplicita;
  • in modo indiretto che prevede la notifica e la approvazione implicita, se non viene esplicitamente negata (singolare ma l’ho vista utilizzata).
WHITEPAPER
La guida per scegliere il miglior antivirus gratuito per il tuo PC
Personal Computing
Privacy

Tra le aberrazioni comportamentali legate all’e-mail c’è la pretesa che, per via del fatto che la comunicazione sia immediata, il ricevente la legga con la stessa immediatezza con cui il mittente ha premuto il tasto Invio.

Si verificano le situazioni sconcertanti che saranno capitate spesso, non solo a me, di ricevere telefonate di sollecito di risposta ad e-mail appena trasmesse mentre si è impegnati a fare tutt’altro: se è veramente urgente si poteva usare il telefono. Senza contare che il servizio e-mail potrebbe, per qualche motivo, essere interrotto per cui ad un invio corretto ed accettato potrebbe non corrispondere l’effettivo recapito nei tempi “supposti/pretesi”.

Non si tiene conto che, poiché tutti comunicano con tutti, e con estrema facilità, non è possibile avere il controllo della distribuzione di un messaggio: mentre è possibile definire quali sono i destinatari non è possibile, per il mittente sapere, se il messaggio è stato re-inoltrato ad altri da parte di uno dei destinatari e nemmeno a chi.

Nel caso di comunicazioni delicate o espressamente riservate tra un limitato numero di soggetti, nulla nel protocollo ne impedisce la ritrasmissione della comunicazione a terzi non voluti.

L’indirizzo e-mail rende facile confondere la persona con il ruolo aziendale, o di fare confusione tra i ruoli.

Questo fenomeno riguarda, per esempio, le comunicazioni di informazioni di rilevanza aziendale, che richiedono una risposta, una conferma o un commento che potrebbero essere indirizzate:

  • a persone che non avrebbero autorità ad intervenire nel tema in discussione, se non addirittura non l’hanno mai avuta;
  • a destinatari, identificati nominalmente, che, per vari motivi (cambio mansione, cessazione di una specifica attività ecc.), non sono più interessati o non coprono più il ruolo.

Questo fenomeno potrebbe anche provocare delle perdite di informazioni importanti o inutili ritardi. A me è successo di inviare delle e-mail, che richiedevano una risposta autorevole da parte del destinatario, ad una persona che nel contempo, ed a mia insaputa, aveva cambiato mansione. Ho scoperto successivamente che non essendo più interessato e aziendalmente non più autorevole sull’argomento, invece di restituirle al mittente, notificandomi il cambiamento di ruolo, o (almeno) inoltrarle al nuovo destinatario che l’aveva rimpiazzato nel ruolo, le cancellava.

È importante, poi, soffermarsi seppur brevemente sul fenomeno del soft spam: fortunatamente, l’avvento delle piattaforme social ha ridotto la prassi di scambio di informazioni di carattere personale spostandole dai servizi e-mail ai servizi smart, ma non ha impedito il vizio di usare indebitamente il rispondere “a tutti” (reply to all) nei casi in cui un mittente chiede una risposta personale ad una platea abbastanza vasta di destinatari, creando una moltiplicazione di messaggi inutili.

Senza contare il fastidioso fenomeno delle “catene di Sant’Antonio”: il fenomeno, anche se drasticamente ridotto, rimane pur sempre un rischio incombente.

Scrivere è un lavoro, ma lo è anche leggere. Per discriminare se quello che ricevo è di interesse o meno, un minimo di lavoro deve essere fatto, a scapito di altri, ed in questi casi è un lavoro inutile.

Utilizzi tecnici

L’e-mail è uno strumento che permette di scambiare file e documenti, sia all’interno che da e verso l’esterno della organizzazione.

Permette di comunicare contemporaneamente la stessa informazione a molti destinatari, sia per mezzo di mailing list che inserendoli direttamente, distinguendo i destinatari tra quelli per competenza (To), quelli per conoscenza (CC) e per conoscenza nascosta (CCN).

Se usata con giudizio permette di tenere traccia dello sviluppo delle “conversazioni” (risposte ed interventi) in ordine cronologico; ma, a volte, e soprattutto nel caso vi siano molti attori nello scambio di comunicazioni, è facile che si verifichino delle moltiplicazioni incontrollate di diverse versioni degli stessi documenti dovuti ai differenti tempi di risposta dei vari attori.

Si generano onerose attività di riallineamento e di sintesi: un’attività nelle intenzioni apparentemente semplice assume gli aspetti di una bolgia infernale.

Si deve anche ricordare che le mailing list devono essere manutenute per tenere conto di eventuali modifiche organizzative.

Non sempre è chiaro all’interno delle organizzazioni l’etichetta da utilizzare nelle modalità di comunicazione, per esempio sui criteri per identificare i tipi di destinatari (a chi in ‘To:’ a chi in ‘CC:’ e per quali ragioni) ed il tipo di risposta che ci si aspetta a seconda della modalità di inoltro.

Altra questione tecnica è legata al fatto che le mailbox sono il maggior Repository di informazioni non strutturate. La sempre maggiore disponibilità di spazio di archiviazione delle caselle di posta elettronica permette di usare la mailbox come archivio dei messaggi, raggruppando secondo il criterio più comodo per l’utilizzatore, permettendo di effettuare rapidamente ricerche. A cui si aggiunge che si radica l’abitudine che, nel dubbio, non si effettua la cancellazione di alcun messaggio: tanto c’è spazio.

Si verificano anche degli sfasamenti e mancati recapiti dati daI fatto che i diversi gestori dei server di posta hanno diverse politiche di allocazione e gestione degli spazi per le singole caselle e nella dimensione massima dei messaggi mail, e quindi dei corrispondenti allegati: accade così che vi sono e-mail che non possono essere trasmesse o ricevute a causa delle diverse configurazioni.

I servizi di e-mail presenti sui server forniscono anche altri vantaggi:

  • è possibile tenere delle agende e fissare appuntamenti;
  • così come prenotare risorse, come le sale riunioni o altro.

Si tratta di un prezioso archivio di informazioni, anche personali: si registrano i periodi di assenza, nella rubrica associata vengono memorizzate informazioni come ruoli, numeri telefonici e via dicendo.

Riassumendo, alle “comodità” date dalla facilità di utilizzo dello strumento, si contrappongono degli svantaggi pratici:

  • tutti comunicano con tutti: in mancanza di un’etichetta di comportamento le caselle di posta sono ingolfate da mail inutili, i cui contenuti potrebbero essere eccedenti a quelli che servono che, nel dubbio, non vengono cancellate mai;
  • leggere un’e-mail è un lavoro che necessita di tempo;
  • le caselle di e-mail possono essere oggetto di spam;
  • l’autenticazione all’accesso ad una mailbox è spesso autorizzata per mezzo di solo una password;
  • il diffondersi sempre di più di possibilità di accesso ai server di posta anche da postazioni remote, dai dispositivi smart o via web mail da qualsiasi pc più o meno sicuri.

Sicurezza delle e-mail: vulnerabilità e soluzioni

Quindi, a fronte di indubbi vantaggi, anche supportati da una facilità di utilizzo, l’uso della mail ha provocato delle aberrazioni sulle modalità lavorative. Un utilizzo non consapevole la rende la maggiore fonte di rischi per la sicurezza di una organizzazione: le statistiche mostrano come sia ormai uno dei maggiori veicoli di accesso ed intrusione nella infrastrutture. Dai virus, ai malware, allo spam, alle mail di phishing, attività di social engineering e via dicendo.

Per cercare di ridurre le vulnerabilità date dagli aspetti tecnici si sono sviluppate delle tecnologie di protezione che di fatto sono sovrastrutture che:

  • hanno un costo di adozione;
  • hanno un costo operativo di gestione;
  • richiedono (assorbono) risorse computazionali (mi è successo, ma erano altri tempi ed è un caso estremo, che un antivirus su di un pc non più giovanissimo, occupava il 50% della memoria e del tempo di CPU);
  • sono additivi: un antivirus non protegge dallo spam, devo usare qualcosa d’altro e così via.

Per esempio, antivirus, antispam (anche se personalmente, pur svolgendo egregiamente il loro ruolo, ho delle riserve sulla liceità dell’uso di questo sistemi di filtro che in alcuni casi potrebbe avere effetti eccessivamente censori facendo perdere comunicazioni importanti).

Per il controllo di e-mail illegittime, l’adozione del protocollo DMARC per la verifica del dominio del mittente può ridurre questi casi.

Per il controllo della distribuzione ci si deve dotare di sistemi di Data Loss Prevention.

Vi sono ulteriori sistemi di verifica degli allegati come il file type verification, per ridurre i rischi provenienti da eventuali payload nocivi.

L’e-mail, inoltre, per come concepita non è in grado di garantire la riservatezza del messaggio: anche in questo caso si devono adottare strumenti e meccanismi di cifratura che si sovrappongono all’infrastruttura, con il problema che deve anche essere adottata e condivisa da tutti i partecipanti interessati. Ad esempio, il problema della gestione delle chiavi di cifratura, la loro distribuzione, custodia e rinnovo periodico. Però questo entra in conflitto con i controlli di Data Loss Prevention.

Alcuni operatori di e-mail, soprattutto in cloud, stanno iniziando a fornire servizi di Multi factor Authentication (MFA) per rafforzare la sicurezza degli accessi alle caselle, ed in alcuni casi generano allarmi anche quando gli accessi provengono da postazioni inusuali, questi casi richiedono per le opportune verifiche l’uso di servizi di comunicazione diversi, vuoi che sia un altro indirizzo mail o un messaggio SMS su di un numero di telefono comunicato in precedenza.

In Italia si è poi aggiunto il meccanismo della PEC che, se da una parte risolve il problema della certezza della avvenuta consegna ed integrità di una messaggio, non aggiunge nulla alla necessità di confidenzialità dello stesso, e, per contro, ha generato un ulteriore incremento delle caselle mail che si devono gestire, con l’handicap aggiuntivo di avere valore e significato solo in Italia (nemmeno all’interno di tutta l’unione europea).

Conclusioni

Quindi, mescolando le criticità intrinseche del protocollo mail con le aberrazioni date da un errato utilizzo si rende evidente che, per quanto ampiamente ed universalmente utilizzato il servizio di e-mail sia una pessima scelta che mette a repentaglio la sicurezza delle informazioni di una organizzazione.

L’e-mail è, malgrado tutto, uno strumento ampiamente usato e necessario che deve essere ridimensionata nel suo utilizzo. Per ridurre gli impatti negativi in termini di costi diretti (gestione di infrastrutture sempre più sofisticate) e indiretti dati dalla attività personale che ciascuno deve dedicare per discriminare tra tutte le e-mail che vengono ricevute quelle realmente significative da quelle di priorità inferiore, si possono mettere in campo strategie di comunicazione alternative.

Proviamo, quindi, ad analizzare alcune possibili soluzioni.

Innanzitutto, è opportuno utilizzare un’etichetta comportamentale ed un’educazione all’uso della mail (training ed awareness) per:

  • ridurre il numero di destinatari (limitare ad un numero controllabile ed efficace i partecipanti ad una iterazione);
  • norme sull’utilizzo dei campi “To” “Cc” E “CCn”;
  • distinguere tra indirizzi di mail funzionali e-mail personale, anche se nel caso di mail funzionali condivise tra gruppi di persone: dover gestire i messaggi tra più utenti è un problema per evitare sovrapposizioni o lacune quando più persone leggono lo stesso messaggio ed alcuni messaggi rimangono orfani e non letti da nessuno;
  • a supporto delle attività deve essere condotta una campagna di awareness sulla gestione della sicurezza delle informazioni, sulla classificazione e sui criteri di divulgazione ammessi, tale da rendere ciascuno sempre più consapevole della rilevanza delle proprie attività e dei problemi che potrebbero essere causati da un loro uso e divulgazione impropria;
  • tenere le caselle postali vuote: sarebbe l’ottimo ma, per quanto siano filtrate le mail per ridurre lo spam il numero di mail da trattare quotidianamente è tale che a volte non basterebbe il tempo lavoro per smaltirle tutte e cancellare almeno quelle inutili.

È inoltre importante adottare la MFA, non solo per l’accesso ai servizi ma, dove possibile, a tutti gli accessi aziendali.

Così come importante è anche l’utilizzo di strumenti di cifratura e firma a protezione della confidenzialità e dell’attendibilità di un messaggio.

Tra le alternative possibili, per ridurre la mole di mail, è opportuno considerare dei metodi di lavoro diversi. Non è per nulla di una scelta semplice perché richiede che si tenga conto che, trattandosi di mezzi di comunicazione tra più soggetti, è necessario che tutti quelli coinvolti siano messi nelle condizioni di capirne l’utilità, accettarne l’adozione e quindi essere opportunamente formati ed assistiti.

Inoltre, deve essere di ampia applicazione: l’esperienza dice che se gli strumenti non sono soggetti ad un uso frequente è altamente probabile che diventino rapidamente desueti, non utilizzati, e quando necessari non rapidamente fruibili e quindi si corre il rischio di tornare alla “cara e vecchia mail”.

Sono ormai disponibili nei vari ambienti aziendali, e non solo, strumenti di collaboration, la loro adozione deve essere sollecitata e guidata e non lasciata alla buona volontà del singolo. Deve essere definito un programma di adozione come parte della strategia di utilizzo degli strumenti di produttività di una organizzazione.

Richiede uno sforzo di analisi e censimento dei flussi informativi formali (data flow) in uso nella organizzazione. È altresì vero, ed e un possibile rischio, che, in una realtà sempre più liquida e le organizzazioni sempre più destrutturate, è un cammino da percorrere al limite tra la eccessiva rigidità e l’anarchia dei comportamenti in cui, alla fine, non ci si raccapezza più e invece che risolvere il problema lo si è ingarbugliato ulteriormente.

Nel caso dell’e-mail, però, adottare strumenti di collaboration permette per esempio di mantenere controllate le evoluzioni dei documenti in progress, senza creare una moltiplicazione di versioni e file allegati alle mail e replicati in ogni casella personale, questa opzione la vedo come una via percorribile e necessaria.

A supporto per l’ulteriore riduzione dell’utilizzo della mail si possono anche considerare l’adozione di strumenti alternativi:

  • workflow per gestione di workflow di gestione documentali: in questo ambito constato che alcuni strumenti di CRM si stanno evolvendo verso la capacità di fornire questo tipo di servizio in aggiunta alla gestione della relazione con i clienti integrandosi, o affiancandosi a
  • strumenti di trouble ticketing per la gestione di segnalazioni, richieste di interventi o processi di gestione autorizzazioni. L’uso di sistemi di trouble ticketing permette anche di percorrere i vari passaggi di una informazione. Una opportuna implementazione di disaccoppiamento con i sistemi di mail possono garantire che tutte le mail in ingresso (specialmente nel caso di mail funzionali) diventino ticket e vengano gestite conseguentemente.

Definire e mantenere processi di Data Loss Prevention per controllare (o impedire) il trasferimento di mail e contenuti in modo incontrollato.

Quanto sopra è solo un esempio delle strategie che possono essere adottate per ridurre lo smodato uso delle mail nei processi aziendali confinandolo il più possibile alla relazione con l’esterno e per ridurre i rischi di sicurezza che ogni singola mail si porta potenzialmente dentro.

Non tutti gli obiettivi possono essere raggiunti e soprattutto poiché richiedono delle importanti modifiche organizzative si deve definire un percorso di scelta ed adozione che tenga conto di almeno due fattori, non indifferenti:

  1. la diffusione, disponibilità’ nel tempo e nelle varie piattaforme tecnologiche degli strumenti che ne permettono la fruizione; per esempio devono essere disponibili versioni per tutti gli ambienti in cui si accetta di lavorare (le app sia per Android che per iOS, eseguibili per ambienti Windows e Unix ecc.);
  2. la disponibilità al cambiamento del personale coinvolto per evitare che alla prima difficoltà ci sia un ritorno “ai vecchi sistemi” o che per eccesso di innovazione ci siano tentativi di andare più avanti con tecnologie ancora più all’avanguardia ma non allineate con l’evoluzione della organizzazione.
WHITEPAPER
Storage: aumentare prestazioni, scalabilità ed efficienza a costi contenuti
Storage
Cloud storage

In conclusione: se da una parte l’e-mail è uno strumento praticamente indispensabile è anche vero che non sempre sia quello più idoneo. Non potendone fare a meno, almeno si abbia la consapevolezza dei difetti che si porta dietro.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4