Quali sono le opzioni per proteggere la posta elettronica?

19/ott/2022 | Jindřich Zechmeister

Nella prima puntata della nostra mini-serie sulla sicurezza dei messaggi elettronici scoprirai i motivi per cui è necessario provvedere alla sicurezza delle e-mail. Sapevi che un'e-mail è come una cartolina che può essere letta da chiunque vi abbia accesso? Se non ci credi, continua a leggere: le statistiche sui tassi di abuso delle e-mail ti convinceranno di sicuro.

Utilizziamo quotidianamente tecnologie di 50 anni fa

Il principio della posta elettronica, così come l'idea originale del web, risalgono a molto tempo fa. La prima e-mail è stata inviata già 51 anni fa e sarebbe difficile trovare una tecnologia altrettanto "popolare" e duratura (si pensi a Internet in dial-up, ai floppy disk o al VHS).

La posta elettronica continua a essere il canale di comunicazione più utilizzato, disponibile per tutti e talmente facile da poter essere usato da chiunque. Nel 2022, tuttavia, continuiamo ancora a utilizzare una tecnologia di mezzo secolo fa (con parziali miglioramenti, ovviamente) i cui autori non avevano certamente previsto che l'avremmo utilizzata nelle modalità attuali. Per esempio, agli albori della "posta elettronica", gli utenti non conoscevano affatto lo spam, ovvero la posta indesiderata! Oggi si stupirebbero se sapessero che inviamo i messaggi in HTML, con allegati di grandi dimensioni, e che possiamo addirittura crittografarli.

Tuttavia, per la facilità d'uso della posta elettronica paghiamo con una sicurezza pari a zero. È bene ricordare che la posta elettronica non si pone affatto il problema dell'identità degli interlocutori che possono presentarsi con qualsiasi nome. Si tratta di un'imperfezione che cerchiamo di risolvere già da decenni.

esempio di un utente fraudolento
Quel che inserirai nel campo del mittente...
esempio di un utente fraudolento
visualizzato al destinatario.

L'e-mail è come una cartolina che può essere letta da tutti

Gli ideatori della posta elettronica non avevano previsto che sarebbe diventata un corriere in possesso di informazioni segrete, e solo la sua ulteriore evoluzione e modernizzazione sotto forma di protocollo S/MIME ne hanno reso possibile la protezione. Tuttavia, la sicurezza rimane ancora supplementare e deve essere gestita dall'utente tramite il suo agente di posta.

Un altro problema importante della posta elettronica è la protezione delle informazioni durante la trasmissione; questo aspetto non è stato considerato nell'atto di progettazione e non può essere risolto dallo standard MIME per la posta elettronica su Internet. Puoi immaginare un messaggio elettronico come una cartolina che viaggia per il mondo e può essere letta da chiunque la incroci. Lo scopo della posta elettronica è quello di trasmettere informazioni, e non di proteggerle e nasconderle agli altri utenti.

Mentre viaggiano su Internet, le e-mail possono essere protette da lettori indesiderati con la crittografia che avviene tra i server che inoltrano il messaggio elettronico. Tuttavia, non è mai garantito che i server di posta comunichino tra di loro in modo criptato: non puoi che supporre che lo facciano. La crittografia durante la trasmissione non risolve però il problema della sicurezza del messaggio che "giace" sul server del destinatario o nel tuo computer. Una persona non autorizzata può sempre leggerlo perché il messaggio è stato memorizzato come un semplice testo.

Se vuoi crittografarlo ed essere sicuro che sia stato crittografato, allora devi "prendere in mano la situazione" e utilizzare, al fine di proteggere i tuoi messaggi elettronici, il protocollo S/MIME che consente, oltre ad apporre la firma ai messaggi, anche di crittografarli e preservare i segreti del destinatario. Nella terza puntata della nostra serie scoprirai come procedere.

Perché dovremmo proteggere le comunicazioni via e-mail?

Immagino che le informazioni riportate sopra ti abbiano preoccupato. C'è da chiedersi fino a che punto ti abbiano preoccupato e se siano state sufficienti per motivarti a proteggere la tua posta elettronica. In caso contrario, ti propongo alcuni dati statistici tratti da sondaggi apertamente disponibili.

  • L'incredibile 99,9% di tutte le e-mail vengono inviate tramite il protocollo MIME che non consente l'autenticazione del mittente e non garantisce che il messaggio non sia stato alterato.
  • Il 90% delle aziende non utilizzano le tecnologie disponibili (DKIM, SPF e DMARC) per proteggere le loro e-mail commerciali.
  • Secondo l'FBI, i danni causati dall'uso improprio delle e-mail hanno raggiunto l'incredibile ammontare di 43 miliardi di dollari negli ultimi cinque anni.

Lo scambio di messaggi privati di solito non è di natura sensibile e raramente sarebbe di interesse per un aggressore che è sicuramente più interessato a truffare un soggetto all'interno di un'azienda cui è possibile sottrarre più denaro.

Uno scenario molto frequente e diffuso è quello di attaccare dipendenti specifici di un'azienda utilizzando il nome di un loro collega o superiore. La maggior parte degli utenti considerano sicuri i messaggi elettronici provenienti dai colleghi e hanno paura di non dare seguito a un'e-mail contenente un'istruzione da parte dell'amministratore delegato. Pertanto basta che un aggressore monitori e legga le e-mail aziendali per un periodo (tipicamente per alcuni mesi), e riuscirà a indirizzare il suo attacco con precisione.

È incredibile quanto sia facile inviare un messaggio elettronico con un nome di mittente falso. Inviando un'e-mail, puoi utilizzare qualsiasi nome impostato come mittente, quindi un attacco di questo tipo è piuttosto banale e può essere compiuto anche da un bambino. L'aggressore non ha nemmeno bisogno di accedere al dominio aziendale o alla casella di posta elettronica aziendale. I client di posta accettano questo tipo di messaggio e visualizzano il nome impostato del mittente poiché non è loro compito verificare se il messaggio sia stato effettivamente inviato dal mittente dichiarato.

Continua con la seconda puntata

Nella prossima puntata di questa serie scoprirai come tu (o i tuoi amministratori IT) puoi proteggere i tuoi indirizzi di posta elettronica e il dominio del mittente dagli spammer e dai truffatori che cercano di spacciarsi per te.


Ing. Jindřich Zechmeister
Specialista per i certificati SSL di sicurezza
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz