Procedure operative di sicurezza di un sistema informatizzato in un dipartimento servizi Corso aggiornamento ASUR10 La post@elettronica e-mail 2 00 AN corso_sicurezza_asur10 @ www.divini.net Cos’è la posta elettronica I principi fondamentali dell’email sono simili a quelli della posta ordinaria: si può inviare della posta all’indirizzo di qualcuno e, di conseguenza, riceverne al proprio. Uno dei servizi di maggior successo offerti dalla rete 3 00 AN corso_sicurezza_asur10 @ www.divini.net Vantaggi dell’e-mail 1. Velocità 2. Risparmio in denaro 3. Inviare messaggi identici a diversi destinatari, in un colpo solo!!!! 4. Invio di dati: files (immagini, filmati, mp3, documenti in qualunque formato, programmi) 4 00 AN corso_sicurezza_asur10 @ www.divini.net Indirizzo e casella postale Condizione indispensabile per lo scambio di un messaggio attraverso la posta elettronica è: mittente e destinatario dispongano di un proprio 'indirizzo' (e-mail address) L'indirizzo è di norma assegnato dal fornitore di connettività, e corrisponde a una sorta di casella postale che è in genere ospitata dal sistema informatico: in sostanza, uno spazio sul suo disco rigido, nel quale i messaggi che ci sono indirizzati vengono depositati automaticamente 5 00 AN corso_sicurezza_asur10 @ www.divini.net Account di posta elettronica Profilo utente che corrisponde a un indirizzo e ad una casella di posta elettronica. Tutti i dati per la creazione di un profilo utente sono impostati presso un provider, che fornirà : Indirizzo e-mail; User id (identificativo utente); Password; Server di invio e ricezione 6 00 AN corso_sicurezza_asur10 @ www.divini.net Indirizzo di posta elettronica [email protected] Identificativo utente “at” = “presso” Identificativo host 7 00 AN corso_sicurezza_asur10 @ www.divini.net Posta elettronica Tre componenti principali : User agent Server di posta Simple Mail Transfer Protocol: SMTP User Agent “Lettore di posta” Composizione e lettura di messaggi di posta Es., Eudora, Outlook, Thunderbird I messaggi in ingresso/uscita memorizzati sul server 8 00 AN coda messaggi in uscita user mailbox user agent mail server SMTP SMTP mail server user agent SMTP user agent mail server user agent user agent user agent corso_sicurezza_asur10 @ www.divini.net Posta elettronica: mail server Posta elettronica: mail server Mailbox contenente messaggi (non ancora letti) per l’utente Coda di messaggi in uscita (non ancora spediti) coda messaggi in uscita user agent mail server SMTP Protocol smtp tra i mail SMTP server per il recapito dei SMTP messaggi mail client: il server server che invia il messaggio user agent “server”: server user che riceve il messaggio agent 9 00 AN user mailbox user agent mail server corso_sicurezza_asur10 @ www.divini.net user agent user agent Protocolli di accesso alla posta user agent alice SMTP SMTP mail server del mittente POP3 o IMAP user agent mail server del ricevente SMTP: consegna al/memorizzazione nel server di posta del ricevente Protocollo di accesso: recupero della posta dal server locale POP: Post Office Protocol [RFC 1939] Autenticazione (agent <-->server) e scaricamento IMAP: Internet Mail Access Protocol [RFC 1730] Più possibilità (più complesso) Manipolazione dei messaggi memorizzati sul server HTTP: Hotmail , Yahoo! Mail, ecc. 10 00 AN corso_sicurezza_asur10 @ www.divini.net bob Recapito di un messaggio di posta elettronica Alice compone un messaggio e lo inoltra al suo Mail Server Mail Server dispone il messaggio nella coda di messaggi in uscita Mail Server di Alice apre una connessione smtp con il Mail Server di Bob ed inoltra il messaggio Se il contatto fallisce, l’invio è ripetuto ogni trenta minuti Se l’invio fallisce per diversi giorni, mail di notifica inviato ad Alice 11 00 AN Mail Server di Bob riceve il messaggio dal Mail Server di Alice e lo salva nella Mailbox di Bob Bob accede la propria Mailbox specificando Username e Password Messaggi possono essere trasferiti dalla Mailbox all’host da cui Bob ha acceduto la Mailbox e/o lasciati sul server Bob legge il messaggio di Alice corso_sicurezza_asur10 @ www.divini.net Scenario: Alice e Bob 1) Alice invia una e-mail a [email protected] 2) Messsaggio è inserito nella coda del mail server 3) SMTP (lato cliente) apre una connessione TCP con il mail server di Bob 1 user agent 12 00 AN 2 mail server 3 4) SMTP (lato cliente) trasmette il messaggio di Alice sulla connessione TCP 5) Il mailserver di Bob memorizza il messaggio nella mailbox di Bob 6) Bob legge il messaggio tramite il suo user agent (usando POP3 o IMAP) mail server 4 5 6 user agent corso_sicurezza_asur10 @ www.divini.net Formato dei messaggi smtp: protocollo per lo scambio di messaggi di posta RFC 822: standard per il formato dei messaggi inviati: header, es., To: From: Subject: Diversi dai comandi smtp! body Il “messaggio” vero e proprio, solo caratteri ASCII 13 00 AN header body corso_sicurezza_asur10 @ www.divini.net Linea vuota Formato: estensioni multimediali Formato: estensioni multimediali MIME: multipupose internet mail extension, RFC 2045, 2056. Dati Multimediali e di specifiche applicazioni Righe addizionali dell‘ header specificano il tipo del contenuto MIME Versione MIME Metodo di codifica Tipo di dato multimediale, sottotipo, dichiarazione di parametri Dati codificati 14 00 AN From: [email protected] To: [email protected] Subject: Picture of yummy crepe. MIME-Version: 1.0 Content-Transfer-Encoding: base64 Content-Type: image/jpeg base64 encoded data ..... ......................... ......base64 encoded data corso_sicurezza_asur10 @ www.divini.net Tipi MIME/Content-Type: type/subtype; parameters Text Esempi di sottotipi: plain, html Image Esempi di sottotipi: jpeg, gif Audio Esempi di sottotipi : basic (8-bit mu-law encoded) 15 00 AN Video Esempi di sottotipi: mpeg, quicktime Application Dati che devono essere processati da un’ applicazione prima di essere “visibili” Esempi di sottotipi: msword, octet-stream corso_sicurezza_asur10 @ www.divini.net Protocollo POP3 Scarica ed elimina: 1. User Agent elimina la posta dalla Mailbox dopo averla scaricata 2. Un utente disperde la posta sui diversi host da cui accede la Mailbox 3. User Agent permette di creare cartelle, spostare messaggi, effettuare ricerce nei messaggi 16 00 AN Scarica e conserva 1. User Agent conserva la posta sulla Mailbox 2. Utente può leggere i messaggi da macchine diverse 3. POP3 stateless, non permette di strutturare i messaggi in directory corso_sicurezza_asur10 @ www.divini.net Protocollo IMAP Permette di gestire cartelle di posta remote come se fossero locali IMAP deve mantenere una gerarchia di caretelle per ogni utente Permette allo User Agent di scaricare solo parti del messaggio: Intestazione Solo intestazione file alleggati. … Messaggi di dimensione piccola per utenti a banda limitata 17 00 AN Stati: Non-authenticated: utente deve fornire username e password per la connessione Authenticated State: utente deve specificare una cartella prima di eseguire comandi che influiscono sul messaggio Selected State: utente può dare comandi che influiscono sul messaggio, e.g. elimina, salva, sposta Logout State: sessione terminata corso_sicurezza_asur10 @ www.divini.net topolino POP3 topolinia.net paperino Da: [email protected] A: [email protected] Oggetto: saluti! SMTP paperopoli.net 18 00 AN corso_sicurezza_asur10 @ www.divini.net Problemi con l’e-mail: spam Invio di posta elettronica indesiderata, annunci pubblicitari o catene di S. Antonio, ad un gran numero di utenti contemporaneamente SPAM = carne in scatola. Che c’entra? (Spam -> Spiced Ham) della Hormel Foods Corporation entrato a far parte del folklore 19 00 AN corso_sicurezza_asur10 @ www.divini.net Spam, spam, spam 20 00 AN corso_sicurezza_asur10 @ www.divini.net Lo spamming Direttiva UE 58 del 12/7/2002: L'uso di sistemi di (…) posta elettronica a fini di commercializzazione diretta è consentito soltanto nei confronti degli abbonati che abbiano espresso preliminarmente il loro consenso 21 00 AN corso_sicurezza_asur10 @ www.divini.net Phishing “Pescare” informazioni riservate dalla rete Internet una tecnica di ingegneria sociale utilizzata per ottenere informazioni personali e riservate con la finalità del furto di identità mediante l’utilizzo di messaggi di posta elettronica fasulli 22 00 AN corso_sicurezza_asur10 @ www.divini.net Il Phishing: come funziona L’utente riceve una email ingannevole che lo invita a collegarsi ad un sito pirata L’utente rivela informazioni personali, ovvero dati sensibili (numero di conto corrente, carta di credito, nome utente, passord…) Il phisher commette reati con le informazioni ottenute 23 00 AN corso_sicurezza_asur10 @ www.divini.net L’INDIRIZZO E’ FALSO IMMAGINE EMAIL PHISHING C’E’ UN LINK: DOVE COLLEGA? ERRORE ORTOGRAFICO? IL MESSAGGIO NON E’ ORIGINALE 24 00 AN corso_sicurezza_asur10 @ www.divini.net Metodologia di attacco Il phisher spedisce un messaggio e-mail che simula nella grafica e nel contenuto quella di una banca (o di un’altra istituzione) L’email contiene avvisi di particolari situazioni verosimili che ingannano l’utente e lo inducono a ritenere il messaggio attendibile. L’email invita il destinatario a seguire un link presente nel messaggio 25 00 AN corso_sicurezza_asur10 @ www.divini.net IMMAGINE SITO BANCA I DATI INSERITI VENGONO TRGASMESSI ALTROVE LA GRAFICA DEL SITO PIRATA APPARE IDENTICA AL SITO REALE 26 00 AN corso_sicurezza_asur10 @ www.divini.net Metodologia di attacco Il link fornito non collega al sito reale, ma ad una copia speculare del sito Attraverso questo sito truffa il phisher registra le informazioni personali dell’utente Il phisher utilizza le informazioni rubate per reati economici e finanziari 27 00 AN corso_sicurezza_asur10 @ www.divini.net IMMAGINE DATABASE IL PHISHER ACCEDE AI DATI RUBATI 28 00 AN corso_sicurezza_asur10 @ www.divini.net Come difendersi (lato utente) Diffidare delle comunicazioni bancarie che avvengono attraverso la rete Internet. Le banche non chiedono di visitare il loro sito Internet via email, ma possono utilizzare la posta elettronica per fornire informazioni Tutte le comunicazioni sensibili su nuovi servizi, codici segreti… sono trasmesse dalle banche attraverso la posta cartacea o la filiale 29 00 AN corso_sicurezza_asur10 @ www.divini.net Vedi Poste italiane www.poste.it/online/phishing.shtml www.poste.it/online/phishing_video.shtml 30 00 AN corso_sicurezza_asur10 @ www.divini.net Vedi banche: UniCredit 6 regole d'oro Suggerimenti per proteggere la vostra privacy ed evitare le frodi da spamming 31 00 AN corso_sicurezza_asur10 @ www.divini.net