InTiLinuX | Sicurezza nella posta elettronica : Vulnerabilità del sistema

Navigation

« Sicurezza nella posta elettronica : Fenomeno PGP

PGP: un passato difficile »

febbraio 19th, 2008

Sicurezza nella posta elettronica : Vulnerabilità del sistema

Aggiornato al : mar 1, 2008

L’enorme diffusione del servizio di posta elettronica ha inevitabilmente frenato ogni tentativo di revisione completa dei protocolli di comunicazione, privi di alcun meccanismo nativo di sicurezza, al fine di garantire segretezza e autenticazione
nella comunicazione dei messaggi.
Rivisitando lo scenario precedente (invio di un messaggio di posta) è possibile analizzare alcuni aspetti deboli dell’architettura di posta elettronica.

Autenticazione non garantita dagli MTA

Un server SMTP è nativamente configurato come ‘open relay’, cioè non esegue nessuna autenticazione sul mittente e può consentire ad un eventuale utente malintenzionato (non registrato a quel server) di inviare false email.
In questo caso, nell’apposito campo mittente non comparir`a l’indirizzo email del vero autore del messaggio, ma uno scelto appositamente per ingannare il destinatario.

MTA non fidati

In teoria qualsiasi utente può installare sulla propria macchina un server SMTP e configurarlo secondo le proprie esigenze. Lo scambio di messaggi tra un MTA sorgente e uno destinatario non prevede alcuna autenticazione.

SMTP non cifrato

Lo scambio di messaggi tra MUA e MTA e tra due MTA avviene in chiaro, non è previsto infatti alcun meccanismo di cifratura. In questo caso un eventuale attaccante può, intercettando una comunicazione SMTP, osservare e modificare il contenuto dei messaggi.

Limitazioni dell’RFC 822

Un messaggio di posta può contenere solo caratteri ASCII a 7bit; questo rappresenta un grosso limite per il contenuto di un messaggio di posta. Esistono ad esempio molte lingue che adottano caratteri speciali o addirittura ideogrammi che non sono compatibili con il set di caratteri ASCII. Questo limite si riflette anche sulla possibilità di inserire file binari nel corpo del
messaggio, come: immagini, file audio, video, programmi, etc…
Per problemi di compatibilità, non è stato possibile introdurre dei nuovi protocolli che si adattessero alle esigenze moderne di sicurezza digitale. Tuttavia, nell’ultimo decennio, sono state proposte diverse soluzioni per limitare il fenomeno
del mail spamming e del phishing.
Per quanto riguarda il protocollo SMTP, sono state introdotte delle estensioni che implementano dei meccanismi in grado di autenticare il client prima di accettarne i messaggi (ESMPT [1], SMPT-Auth [2], SMTP+TLS [3]).
La ricerca di nuove soluzioni si è orientata anche verso gli MTA, in modo da renderli un po’ più intelligenti, mettendoli in condizione di riconoscere a priori eventuali tentivi di spam.
Si è pensato di raccogliere informazioni su MTA dai quali proveniva spam, inserendo in un’apposita ‘black list’ tutti i loro indirizzi IP. Combinando queste informazioni con i DNS, sono nate le prime DNSBL , dei veri e propri DNS ai quali gli MTA si rivolgono prima di accettare email da un eventuale MTA sconosciuto.
Per superare i limiti del formato RFC 822, è stato introdotto MIME (Multipurpose Internet Mail Extensions), uno standard Internet che ne estende le funzionalità, tra le quali: la trasmissione di file binari nel corpo del messaggio (immagini,video, suoni, programmi, etc…), la trasmissione di caratteri internazionali nel testo e il superamento dei limiti imposti dallo standard 822 sulla dimensione massima di un messaggio.
Queste contromisure hanno permesso sicuramente di limitare in parte l’abuso del sistema di posta elettronica, ma risultano comunque insufficienti per chi utilizza la propria casella di posta per scambiare informazioni sensibili e richiede al
proprio MTA un servizio sicuro che garantisca sopratutto segretezza nelle comunicazioni.
Un grosso apporto, in termini di sicurezza, al sistema di posta elettronica è stato dato da PGP (Pretty Good Privacy), una suite software che combina le migliori tecniche di cifratura esistenti per garantire quei servizi di sicurezza richiesti da
una buona fetta di utenti su Internet.

<--Precedente

Successivo –>

Autore : Dtmdvd

Bibliografia:

[1] ESMTP. RFC – 1869.
[2] SMTP-Auth. RFC – 2554.
[3] SMTP+TLS. RFC – 2487.

Questo articolo è stato pubblicato il martedì, febbraio 19th, 2008 alle 14:06 Nella categoria Sicurezza. Se vuoi, puoi aggiungere un commento, o trackback dal tuo sito.

By IntiLinux

DISCUSSIONS

DaniRevi Says:
febbraio 24th, 2008 at 22:30
Ciao!

Oggi ho lanciato un’iniziativa sul mio blog che vorrei segnalarti. Ho deciso di regalare ad un mio fortunato lettore il famoso computer da 200 euro con gOS preinstallato!

Ho deciso di utilizzare i guadagni del mio primo anno di blog per autofinanziare il contest. Per partecipare all’estrazione è infatti necessario avere un blog o un sito nel quale segnalare l’iniziativa:
http://www.danirevi.it/contest.....puter.html

Che dici sei dei nostri? L’estrazione sarà in diretta via webcam tra 14 giorni (già mi vergogno ehehe).

A presto e complimenti per il blog che seguo spesso!

Daniele

Rispondi

Leave a Reply

Recently Posted

Ultimi Commenti:

Anonymous

giammarco

checco

giammarco

StefAno

fulvio

Paolo Giuggioloni

Maurizio

Sponsor

Un post a caso

Blog Amici

IN RILIEVO

Più Commentati del mese