Procedure operative di sicurezza
di un sistema informatizzato
in un dipartimento servizi
Corso aggiornamento ASUR10
La post@elettronica
e-mail
2
00 AN
corso_sicurezza_asur10 @ www.divini.net
Cos’è la posta elettronica
I principi fondamentali dell’email sono simili a
quelli della posta ordinaria:
si può inviare della posta all’indirizzo di qualcuno
e, di conseguenza, riceverne al proprio.
Uno dei servizi di maggior successo offerti dalla
rete
3
00 AN
corso_sicurezza_asur10 @ www.divini.net
Vantaggi dell’e-mail
1. Velocità
2. Risparmio in denaro
3. Inviare messaggi identici a diversi
destinatari, in un colpo solo!!!!
4. Invio di dati: files
(immagini, filmati, mp3, documenti in
qualunque formato, programmi)
4
00 AN
corso_sicurezza_asur10 @ www.divini.net
Indirizzo e casella postale
Condizione indispensabile per lo scambio di un
messaggio attraverso la posta elettronica è:
mittente e destinatario dispongano di un
proprio 'indirizzo' (e-mail address)
L'indirizzo è di norma assegnato dal fornitore di
connettività, e corrisponde a una sorta di
casella postale che è in genere ospitata dal
sistema informatico: in sostanza, uno spazio
sul suo disco rigido, nel quale i messaggi che
ci sono indirizzati vengono depositati
automaticamente
5
00 AN
corso_sicurezza_asur10 @ www.divini.net
Account di posta elettronica
Profilo utente che corrisponde a un indirizzo e
ad una casella di posta elettronica.
Tutti i dati per la creazione di un profilo utente
sono impostati presso un provider, che
fornirà :
 Indirizzo e-mail;
 User id (identificativo utente);
 Password;
 Server di invio e ricezione
6
00 AN
corso_sicurezza_asur10 @ www.divini.net
Indirizzo di posta elettronica
[email protected]
Identificativo
utente
“at” = “presso”
Identificativo host
7
00 AN
corso_sicurezza_asur10 @ www.divini.net
Posta elettronica
Tre componenti principali :
User agent
Server di posta
Simple Mail Transfer Protocol:
SMTP
User Agent
“Lettore di posta”
Composizione e lettura
di messaggi di posta
Es., Eudora, Outlook,
Thunderbird
I messaggi in ingresso/uscita
memorizzati sul server
8
00 AN
coda
messaggi in uscita
user mailbox
user
agent
mail
server
SMTP
SMTP
mail
server
user
agent
SMTP
user
agent
mail
server
user
agent
user
agent
user
agent
corso_sicurezza_asur10 @ www.divini.net
Posta elettronica: mail server
Posta elettronica: mail server
Mailbox contenente messaggi
(non ancora letti) per l’utente
Coda di messaggi in uscita
(non ancora spediti)
coda
messaggi in uscita
user
agent
mail
server
SMTP
Protocol smtp tra i mail
SMTP
server per il recapito dei
SMTP
messaggi
mail
 client: il server
server
che invia il messaggio
user
agent
 “server”: server
user
che riceve il messaggio
agent
9
00 AN
user mailbox
user
agent
mail
server
corso_sicurezza_asur10 @ www.divini.net
user
agent
user
agent
Protocolli di accesso alla posta
user
agent
alice
SMTP
SMTP
mail server
del mittente
POP3 o
IMAP
user
agent
mail server
del ricevente
SMTP: consegna al/memorizzazione nel server di posta del ricevente
Protocollo di accesso: recupero della posta dal server locale
POP: Post Office Protocol [RFC 1939]
Autenticazione (agent <-->server) e scaricamento
IMAP: Internet Mail Access Protocol [RFC 1730]
Più possibilità (più complesso)
Manipolazione dei messaggi memorizzati sul server
HTTP: Hotmail , Yahoo! Mail, ecc.
10
00 AN
corso_sicurezza_asur10 @ www.divini.net
bob
Recapito di un messaggio di posta
elettronica
Alice compone un messaggio
e lo inoltra al suo Mail
Server
Mail Server dispone il
messaggio nella coda di
messaggi in uscita
Mail Server di Alice apre una
connessione smtp con il
Mail Server di Bob ed
inoltra il messaggio
Se il contatto fallisce, l’invio è
ripetuto ogni trenta minuti
Se l’invio fallisce per diversi
giorni, mail di notifica
inviato ad Alice
11
00 AN
Mail Server di Bob riceve il
messaggio dal Mail
Server di Alice e lo
salva nella Mailbox di
Bob
Bob accede la propria
Mailbox specificando
Username e Password
Messaggi possono essere
trasferiti dalla Mailbox
all’host da cui Bob ha
acceduto la Mailbox e/o
lasciati sul server
Bob legge il messaggio di
Alice
corso_sicurezza_asur10 @ www.divini.net
Scenario: Alice e Bob
1) Alice invia una e-mail a
[email protected]
2) Messsaggio è inserito
nella coda del mail
server
3) SMTP (lato cliente) apre
una connessione TCP
con il mail server di Bob
1
user
agent
12
00 AN
2
mail
server
3
4) SMTP (lato cliente)
trasmette il messaggio
di Alice sulla
connessione TCP
5) Il mailserver di Bob
memorizza il messaggio
nella mailbox di Bob
6) Bob legge il messaggio
tramite il suo user
agent (usando POP3 o
IMAP)
mail
server
4
5
6
user
agent
corso_sicurezza_asur10 @ www.divini.net
Formato dei messaggi
smtp: protocollo per lo scambio di
messaggi di posta
RFC 822: standard per il formato dei
messaggi inviati:
header, es.,
 To:
 From:
 Subject:
Diversi dai comandi smtp!
body
 Il “messaggio” vero e proprio,
solo caratteri ASCII
13
00 AN
header
body
corso_sicurezza_asur10 @ www.divini.net
Linea
vuota
Formato: estensioni multimediali
Formato: estensioni multimediali
MIME: multipupose internet mail extension, RFC 2045, 2056.
Dati Multimediali e di specifiche applicazioni
Righe addizionali dell‘ header specificano il tipo del contenuto
MIME
Versione MIME
Metodo di
codifica
Tipo di dato multimediale,
sottotipo, dichiarazione
di parametri
Dati codificati
14
00 AN
From: [email protected]
To: [email protected]
Subject: Picture of yummy crepe.
MIME-Version: 1.0
Content-Transfer-Encoding: base64
Content-Type: image/jpeg
base64 encoded data .....
.........................
......base64 encoded data
corso_sicurezza_asur10 @ www.divini.net
Tipi MIME/Content-Type:
type/subtype; parameters
Text
Esempi di sottotipi:
plain, html
Image
Esempi di sottotipi:
jpeg, gif
Audio
Esempi di sottotipi : basic
(8-bit mu-law encoded)
15
00 AN
Video
Esempi di sottotipi:
mpeg, quicktime
Application
Dati che devono essere
processati da un’
applicazione prima di
essere “visibili”
Esempi di sottotipi:
msword, octet-stream
corso_sicurezza_asur10 @ www.divini.net
Protocollo POP3
Scarica ed elimina:
1. User Agent elimina la
posta dalla Mailbox
dopo averla scaricata
2. Un utente disperde la
posta sui diversi host
da cui accede la
Mailbox
3. User Agent permette di
creare cartelle,
spostare messaggi,
effettuare ricerce nei
messaggi
16
00 AN
Scarica e conserva
1. User Agent
conserva la posta
sulla Mailbox
2. Utente può leggere i
messaggi da
macchine diverse
3. POP3 stateless, non
permette di
strutturare i
messaggi in
directory
corso_sicurezza_asur10 @ www.divini.net
Protocollo IMAP
Permette di gestire cartelle di
posta remote come se
fossero locali
IMAP deve mantenere una
gerarchia di caretelle per
ogni utente
Permette allo User Agent di
scaricare solo parti del
messaggio:
 Intestazione
 Solo intestazione file
alleggati. …
 Messaggi di dimensione
piccola per utenti a
banda limitata
17
00 AN
Stati:
 Non-authenticated: utente
deve fornire username e
password per la connessione
 Authenticated State: utente
deve specificare una cartella
prima di eseguire comandi
che influiscono sul messaggio
 Selected State: utente può
dare comandi che influiscono
sul messaggio, e.g. elimina,
salva, sposta
 Logout State: sessione
terminata
corso_sicurezza_asur10 @ www.divini.net
topolino
POP3
topolinia.net
paperino
Da: [email protected]
A: [email protected]
Oggetto: saluti!
SMTP
paperopoli.net
18
00 AN
corso_sicurezza_asur10 @ www.divini.net
Problemi con l’e-mail: spam
Invio di posta
elettronica indesiderata,
annunci pubblicitari o
catene di S. Antonio, ad
un gran numero di
utenti
contemporaneamente
SPAM = carne in
scatola. Che c’entra?
(Spam -> Spiced Ham) della Hormel Foods Corporation
entrato a far parte del folklore
19
00 AN
corso_sicurezza_asur10 @ www.divini.net
Spam, spam, spam
20
00 AN
corso_sicurezza_asur10 @ www.divini.net
Lo spamming
Direttiva UE 58 del 12/7/2002: L'uso di sistemi di (…) posta
elettronica a fini di commercializzazione diretta è consentito
soltanto nei confronti degli abbonati che abbiano espresso
preliminarmente il loro consenso
21
00 AN
corso_sicurezza_asur10 @ www.divini.net
Phishing
“Pescare” informazioni
riservate dalla rete
Internet
una tecnica di ingegneria
sociale utilizzata per
ottenere informazioni
personali e riservate con
la finalità del furto di
identità mediante
l’utilizzo di messaggi di
posta elettronica fasulli
22
00 AN
corso_sicurezza_asur10 @ www.divini.net
Il Phishing: come funziona
L’utente riceve una email ingannevole che lo
invita a collegarsi ad un sito pirata
L’utente rivela informazioni personali, ovvero
dati sensibili (numero di conto corrente,
carta di credito, nome utente, passord…)
Il phisher commette reati con le informazioni
ottenute
23
00 AN
corso_sicurezza_asur10 @ www.divini.net
L’INDIRIZZO E’ FALSO
IMMAGINE EMAIL PHISHING
C’E’ UN LINK: DOVE COLLEGA?
ERRORE ORTOGRAFICO?
IL MESSAGGIO NON E’ ORIGINALE
24
00 AN
corso_sicurezza_asur10 @ www.divini.net
Metodologia di attacco
Il phisher spedisce un messaggio e-mail
che simula nella grafica e nel contenuto
quella di una banca (o di un’altra
istituzione)
L’email contiene avvisi di particolari
situazioni verosimili che ingannano
l’utente e lo inducono a ritenere il
messaggio attendibile.
L’email invita il destinatario a seguire un link
presente nel messaggio
25
00 AN
corso_sicurezza_asur10 @ www.divini.net
IMMAGINE SITO BANCA
I DATI INSERITI VENGONO
TRGASMESSI ALTROVE
LA GRAFICA DEL SITO PIRATA
APPARE IDENTICA AL SITO REALE
26
00 AN
corso_sicurezza_asur10 @ www.divini.net
Metodologia di attacco
Il link fornito non collega al sito reale, ma
ad una copia speculare del sito
Attraverso questo sito truffa il phisher
registra le informazioni personali dell’utente
Il phisher utilizza le informazioni rubate per
reati economici e finanziari
27
00 AN
corso_sicurezza_asur10 @ www.divini.net
IMMAGINE DATABASE
IL PHISHER ACCEDE AI DATI RUBATI
28
00 AN
corso_sicurezza_asur10 @ www.divini.net
Come difendersi (lato utente)
Diffidare delle comunicazioni bancarie
che avvengono attraverso la rete Internet.
Le banche non chiedono di visitare il loro
sito Internet via email, ma possono
utilizzare la posta elettronica per fornire
informazioni
Tutte le comunicazioni sensibili su nuovi
servizi, codici segreti… sono trasmesse dalle
banche attraverso la posta cartacea o la
filiale
29
00 AN
corso_sicurezza_asur10 @ www.divini.net
Vedi Poste italiane
www.poste.it/online/phishing.shtml
www.poste.it/online/phishing_video.shtml
30
00 AN
corso_sicurezza_asur10 @ www.divini.net
Vedi banche: UniCredit
6 regole d'oro
Suggerimenti per proteggere la vostra privacy ed
evitare le frodi da spamming
31
00 AN
corso_sicurezza_asur10 @ www.divini.net