Home
Come sono protetti i miei messaggi di posta elettronica?

08 Ottobre 1999

Come sono protetti i miei messaggi di posta elettronica?

di

Molto spesso si sente parlare di insicurezza in Rete, di persone che acquistano online con carta di credito e si ritrovano "derubati"; di messaggi di posta elettronica insicuri letti da terzi. Perché tutto ciò accade?

La prima cosa da fare, per affrontare questo tema, è spiegare come funziona la posta elettronica, e disquisire poi sulle policy di sicurezza adottate o meno dai singoli fornitori Internet (ISP).

Le e-mail si basano sui protocolli SMTP e POP3: questi protocolli sono degli standard a livello mondiale, definiti in svariate ISO, replicate nelle RFC (riferimenti tecnici) e adottati da ogni nodo Internet esistente.

Quando invio un’e-mail, il mio client di posta elettronica (Netscape, Microsoft Outlook, Eudora, etc.) non fa altro che effettuare un Telnet alla porta 25 (porta della mail) della macchina mail-server. Invia poi una serie di comandi testuali, i quali non svolgono altro che le funzioni classiche di un programma di posta elettronica (invia messaggio, ricevi messaggi, etc.).
I primi comandi testuali che invia sono l’identificativo, vale a dire il nostro nome utente e la nostra password. In questo modo il server mail sa che siamo noi a richiedere la nostra posta, verifica la compatibilità utente/password e la inoltra al nostro client di posta elettronica.

Il server mail del nostro provider non è quindi altro che un ufficio postale, il quale mantiene in giacenza i messaggi che riceviamo, sino a quando noi non decidiamo di prelevarli.
Se si vuole parlare di sicurezza applicata alle comunicazioni e-mail, siano due i punti da affrontare: l’invio della password e la sicurezza del server mail.

L’invio della password

Come ho appena spiegato, quando clickiamo sul classico “Get Mail” del nostro software di posta elettronica, lo stesso invia al server di posta i nostri dati, utente e password.
Il primo pericolo nella privacy delle comunicazioni via e-mail sta proprio qua: la password, così come il nome utente, viene inviata in chiaro. Questo vuole dire che non è criptata, bensì viene inviata attraverso la rete Internet dal mio PC al server di posta elettronica esattamente così com’è. Il risultato, molto ovvio, è che se qualcuno mi sta “sniffando” (ovverosia, spia i miei pacchetti Tcp/IP e li logga), intercetta la password, se la segna e, chiaramente, può avere accesso alle mie e-mail, o inviarne a mio nome.

La sicurezza “a monte”

Credo sia chiaro a tutti che se un concetto ha delle falle a monte, qualunque cosa si faccia per tappare suddette falle sarà inutile, dato che all’origine del problema vi sono degli errori di base.
Il vero problema della sicurezza, che essa riguardi la posta elettronica o il commercio elettronico, è sempre a monte. Non serve a nulla effettuare transazioni di e-commerce “sicure”, criptate con SSL o HTTPS, se il server che custodisce le informazioni (ordini, data-base, carte di credito, utenti per l’accesso a sezioni riservate…) è insicuro.

Ora, parlare di sicurezza dei sistemi di rete in questo spazio mi sembra fuori luogo: è però importante spiegare che la vera sicurezza si ottiene aggiornando continuamente il sistema, testandolo, essendo consapevoli di quanto si fa, monitorando di continuo il traffico utenza e gli accessi.

Strumenti quali sessioni Telnet in criptato (SSL o SSH), client di mail con supporto per criptazione e client ftp in criptato, abbattono di molto il rischio di hacking: questo perché, anche se un intruso entra nel nostro sistema, non potrà sniffare nulla di importante, non otterrà le password privilegiate di sistema e non potrà intercettare le password di mail dei nostri utenti.
Rimane chiaramente il secondo lato del problema, vale a dire la sicurezza del sistema operativo stesso, i bug, gli exploit tramite i quali si può violare un sistema server, sia esso UNIX o Microsoft.

Molto spesso i primi responsabili dell’insicurezza nelle comunicazioni e-mail sono – oltre lo standard effettivo che risulta, ad oggi, insicuro ed obsoleto sotto alcuni punti di vista – gli Internet Service Provider, i quali non si curano della sicurezza del proprio sistema, non pianificano e non investono nel loro budget la spesa per la figura di un Security Manager.

Io, utente finale, non devo preoccuparmi della sicurezza del mio server di posta elettronica: devo semplicemente poter scaricare la mail e poterla inviare: allo stato attuale quasi nessun utente è a conoscenza della sicurezza del proprio ISP e cosa fa l’ISP per garantirci un minimo di privacy.

Una probabile, ma molto lontana, svolta la si avrà quando i comuni italiani inizieranno l’esperimento di certificato elettronico unico al cittadino: in quel caso ci si baserà su sistemi di validazione e certificazione incrociati e, probabilmente, si passerà anche per le normali comunicazioni via e-mail all’utilizzo di sistemi di criptazione standard.

Nel frattempo, a chi vuole avere la certezza della privacy, e la vuole totale, consiglio una buona lettura/studio sugli anonymous remailer, ad oggi il solo sistema che garantisce completamente l’anonimato e irrintracciabilità del nostro messaggio di posta elettronica.

L'autore

  • Raoul Chiesa
    Raoul Chiesa ha cominciato a fare hacking nel 1986. Arrestato nel 1995 per la violazione di alcuni importanti sistemi informatici, non ha per questo smesso di interessarsi a questo mondo, riuscendo a trasformare la sua passione in una professione. Hacker da sempre etico, oggi è un punto di riferimento e un’autorità in materia di sicurezza informatica. È membro dell’ISECOM e del Capitolo Italiano di OWASP, oltre a essere socio fondatore e membro del Direttivo tecnico-scientifico del CLUSIT (Associazione Italiana per la Sicurezza Informatica).

Vuoi rimanere aggiornato?
Iscriviti alla nostra newletter

Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo

Gli argomenti che mi interessano:
Iscrivendomi dichiaro di aver preso visione dell’Informativa fornita ai sensi dell'art. 13 e 14 del Regolamento Europeo EU 679/2016.