The email Files: Edizione Speciale- la email ai tempi della guerra.

Non è un bel momento in generale per il mondo, e questo numero degli “The email files” avrei preferito non doverlo scrivere.

Ma occorre essere concreti, e così ho deciso di scrivere un numero dedicato al minimo di igiene che occorre implementare per la mail in caso di guerra, o operazione militare speciale.

Non mi interessa da che parte state, le valutazioni qui espresse sono generali, la sicurezza informatica ha le sue ragioni che sono indipendenti da fedi, credi o appartenenze. Spero quindi che leggiate queste note per quello che sono, semplicemente alcuni consigli per gestire con maggiore sicurezza il media di comunicazione più diffuso ed usato.

Un minimo di contesto.

Mentre nei media mainstream per lungo tempo si è sollevata la leggenda dell’hacker solitario, con cappuccio, merendine, e schermo verde, il mondo reale è abbastanza diverso.

La realtà che muove la sicurezza informatica è molto più complessa, l’hacker solitario è una immagine romanzata e poco credibile. Questo, intendiamoci, non vuol dire che non possano esserci individui particolarmente dotati che lavorano in maniera solitaria, ma che la maggior parte del contesto in cui si muovono i rischi informatici è molto più legato a gruppi organizzati che a tali soggetti.

Soprattutto in termini di cybercrime e cyberwarfare la presenza di gruppi organizzati è una nozione consolidata tra chi si occupa di questi ambiti.

Le considerazioni che seguiranno fanno riferimento principalmente alla mail, ma per larga parte sono estendibili ad altri ambiti.

Il motivo di questa edizione speciale è, di per sé, evidente: siamo, al di là delle sottigliezze linguistiche, di fronte ad uno stato di guerra e questo comporta una escalation di alcune dinamiche che vanno considerate e gestite.

Rischiamo qualcosa?

Dovrei dire che le norme di sicurezza minime andrebbero implementate sempre, a prescindere dalle crisi geopolitiche. Ma sono cosciente che chi non si è mai preoccupato della sicurezza delle proprie informazioni e dei propri dati, che non capisce il valore sotteso agli asset digitali, che non ha idea di dove risieda ed in cosa consista la propria proprietà intellettuale possa trovare difficoltà a reagire di fronte all’alzarsi della paura di attacchi che, proprio in quanto non compresi, suonano ancora più spaventosi.

Allora cerchiamo di fare un poco di chiarezza:

La posta è ancora il primo vettore di comunicazione in campo entreprise, ed uno dei vettori più diffusi a livello personale. è anche uno degli obiettivi spesso usati per sviluppare attacchi sia in ambito aziendale che personale.

Le motivazioni sono diverse, ma al lato tecnico si sovrappone il lato umano. Le email sono lette da esseri umani e quindi la vulnerabilità umana è uno dei bersagli di attacco.

Se lo sfruttamento di tali vulnerabilità in campo criminale assolve a funzioni prettamente di guadagno economico, in tempo di guerra si aggiungono problematiche legate alla disinformazione, spionaggio e anche cyber-warfare.

In particolare va osservato come la commistione tra attività di cyber warfare e criminali portate avanti da alcuni attori possa spostare, a parità di tecnologia usata, obiettivi e quindi danni. Se un obiettivo economico, tipico del cybercrime, è legato all’acquisizione di soldi ma non alla distruzione della vittima (anzi meglio se si può tornare a batter cassa), uno di warfare può essere invece orientato all’annullamento delle capacità operative del bersaglio.

Tutto questo non è compatibile con la favoletta dell’Hacker, ma è compatibile con una realtà molto più complessa.

Anche limitandosi alle notizie apparse recentemente la cosa dovrebbe oramai essere entrata nella comprensione dei più. Qualcuno avrà sentito delle affermazioni del gruppo di cyber-criminali “conti” che ha dichiarato la sua adesione alle azioni russe, mentre il collettivo “anonymous” si è schierato a favore della resistenza in Ucraina.

Ora “conti” è una organizzazione che è dedita da anni ad attività di criminalità informatica (principalmente attacchi ransomware) di cui si sapeva ci fossero legami con l’intelligence Russa, ma fin ad ora non c’era stata una dichiarazione esplicita in tal senso da parte di “conti”.

“Anonymous” invece è un collettivo di “Hacktivisti” che ha avuto momenti di notorietà nei mainstream anche le attività solte in occidente. All’interno della galassia “Anonymous”, decentrata e non organizzata in termini assoluti, è nota da tempo anche la presenza di gruppi con legami al mondo occidentale, sia stati che organizzazioni “private”.

La realtà è che la commistione tra gruppi di hacktivism, spesso dediti al defacing, ddos e data exfiltration, cybercriminali, principalmente dediti ad attività di criminalità informatica tipo gli attacchi ransomware, e gruppi dediti al cyber warfare orientati spesso a spionaggio o danneggiamento delle infrastrutture (stuxnet ricorda qualcosa?) è nota da anni, non è certo una novità delle ultime 2 settimane. Addirittura per alcuni stati, come la corea del nord, tale commistione funge anche come meccanismo di approvvigionamento di valuta per finanziare strutture interne.

la situazione è quindi simile a quella descritta nell’immagine sottostante.

Insomma dalla narrazione del singolo hacker alla realtà corre una certa differenza. diciamo che una definizione delle attività correnti sarebbe più correttamente quella descritta sotto:

che rappresenta in maniera più fedele quello che accade negli ultimi anni.

La posta ai tempi della guerra.

Ma come ci aiutano queste informazioni nel gestire la posta?

Andiamo per gradi, cosi ci capiamo.

Il mondo descritto sopra è così da qualche anno, quindi, per quando sia difficile da credere, le cose da implementare non variano molto da una situazione di guerra ad una di pace per la posta. Quello che cambia, principalmente, è la esposizione al rischio che aumenta dal lato cyber warfare. questo significa che a fronte, come si era detto prima, di attacchi che usano tecnologie analoghe a quelle di tempo di pace, l’obiettivo potrebbe diventare non quello economico ma quello di fermare o distruggere le capacità operative della vittima.

Ovviamente non tutti hanno gli stessi rischi, ci sono obiettivi più esposti ed alcuni meno esposti. Ma considerando che le tecniche in uso sono analoghe a quelle normalmente usate alcune osservazioni vanno fatte.

Social Engineering

Dal phishing alla BEC c’è da aspettarsi che il numero di attacchi sia crescente, e che i temi relativi alla guerra, ai profughi, alle conseguenze economiche della crisi corrente, ed anche alle polemiche politiche sarà in rialzo.

Le aziende che hanno attività nei teatri di scontro potrebbero vedere anche un aumento della pressione di attacchi sulla supply chain.

Una differenza rispetto le operazioni normali, è che la commistione tra cybercrime e cyber-warfare potrebbe spingere l’attaccante a utilizzare la vittima come testa di ponte per effettuare l’attacco verso una terza parte.

Per quello che riguarda le infrastrutture critiche, ricordo che stiamo parlando ancora della posta elettronica, ci potrebbe essere invece lo sviluppo di un attacco lasciato quiescente. Questi target sono spesso obiettivo degli attori di cyber-warfare, il cui modus operandi è spesso esteso su tempistiche diverse rispetto alle attività di cybercrime.

Account Takeover

Essendo la posta un meccanismo che si basa, alla ricezione, principalmente sulla fiducia di riconoscimento del ricevente nei confronti del mittente, le attività di account takeover sono estremamente efficienti perché permettono di aumentare il livello di fiducia sui contenuti perché provenienti da una fonte “credibile”.

Ricevere un messaggio da un mittente noto è infatti un meccanismo molto facile per creare un vincolo di fiducia.

Malware ed altre schifezze

Ebbene sì, il malware continua ad arrivare e ad essere utilizzato. Niente di nuovo sotto il sole, ma il rischio di un aumento anche da questo punto di vista è realistico. Il malware può essere deliverato in diversi modi:

• tramite attachment
• tramite file associato ad una URL
• tramite codice malevolo su una landing page
• …

e via dicendo.

Occorre quindi avere un poco di attenzione.

Cosa fare?

In realtà siamo in un clima di Business As Usual con un livello di rischio più alto. Il che significa che le cose che si sarebbe dovuto fare in tempi normali, adesso diventa ancora più impellente implementarle in maniera corretta.

vediamo di dare qualche indicazione:

1. occorre avere un sistema di protezione della posta avanzato, che sia in grado di offrire analisi su social engineering (esempio phishing, BEC) , malware, e che offra capacità di sandboxing contro il malware
   1. antivirus aggiornato
   2. malware detection in modalità aggressiva
   3. Protezione su URL attiva sia in modalità preventiva ma anche e soprattutto “at click time” per contenuti compromessi post delivery
   4. meglio avere accesso a sistemi di Threat intelligence per monitorare, almeno, che tipo di threat actor sta attaccandovi.
2. approccio cautelativo sulla gestione dei file
   1. Non far passare gli eseguibili MAI
   2. fare scansione di tutto, limitare le eccezioni al minimo indispensabile
   3. nel dubbio metti in quarantena
   4. quello che non si può scansionare (file criptati, zip con password, file danneggiati) non va consegnato direttamente all’utente ma esploso in maniera protetta
3. Usate un approccio restrittivo sui protocolli di email authentication:
   1. Onorate le policy DMARC “reject” e “quarantine”
   2. Quarantenare gli SPF hard fail
   3. Quarantenare errori DKIM
4. Marcate le email provenienti dall’esterno in maniera che siano riconoscibili
   1. aggiungete una nota ad inizio email (nessuno legge fino alla fine) che evidenzi le email provenienti dall’esterno
   2. se non si possono creare note almeno cambiate il subject\oggetto
5. Verificate se serva una regola Anti-spoofing per bloccare almeno per i domini di cui siete sicuri non vengano generate email al di fuori dei vostri mailserver
6. Vietate lo scambio di posta per lavoro da parte di domini di email pubbliche (ex gmail, libero) a meno che non sia strettamente necessario
7. Verificate su canali di comunicazione alternativi (una telefonata vi salva la vita) tutte le richieste “inusuali” tipo cambio IBAN, solleciti pagamenti, comunicazione credenziali
8. Utilizzate sistemi di remediation automatica, nessun sistema è perfetto, non considerare la remediation vuol dire non ragionare in termini di sicurezza.
9. Formate gli utenti ed alzate il loro livello di attenzione.
10. Limitate al massimo le safelist, riducendole in numero e in termini di utenti cui le applicate. Se possibile non fate safelist che coinvolgono tutti gli utenti, leggetevi “the email files” sul safelisting

Insomma diciamocelo, non sono regole fuori dal mondo. A parte il riferimento alla threat intelligence il resto dovrebbe essere BAU (non nel senso del cane ma di Business as Usual).

Niente panico ma un minimo di norme di sopravvivenza, che in realtà funzionano anche in tempo di pace.

Buona serata

Antonio

(Mia personale) lettera aperta alla Agenzia per la Cybersicurezza Nazionale

Published on February 22, 2022

 Spett Agenzia per la Cybersicurezza Nazionale, Gentilissimo Prof  Roberto Baldoni:

Mentre leggiamo gli sviluppi futuri della appena nata Agenzia per la Cybersicurezza Nazionale, noi che lavoriamo in questo settore da anni siamo presi da due fuochi contrapposti:

• da un lato la speranza che finalmente in Italia cambi qualcosa in merito all’approccio sulle questioni inerenti la sicurezza informatica
• dall’altro il timore che si replicheranno meccanismi ormai consolidati e verticistici che hanno portato spesso ad una adesione formale ma non sostanziale alle esigenze del paese in merito a tale sicurezza.

Intendiamoci, le colpe non sono interamente da afferire ai governi e le amministrazioni passate. Deficienze culturali e scarsa competenza sui temi della digitalizzazione sono piaghe non solo della PA ma di tutto il comparto produttivo italiano, che soffre, fatte le dovute eccezioni, di una arretratezza digitale strutturale.

Se davvero vogliamo avere successo in un percorso in cui la digitalizzazione diventi davvero digitalizzazione e non mera aggiunta di componenti digitali, spesso mal progettati, su processi analogici, se davvero vogliamo davvero introdurre l’accountability (che non vuol dire attribuzione delle colpe, ma “responsabilità” nel senso più alto: decisionale e di indirizzo), se realmente vogliamo che la sicurezza dell’informazione diventi una componente chiave nello sviluppo nel nostro substrato industriale e della pubblica amministrazione occorre mettere i piedi per terra ed affrontare la realtà.

La disproporzione tra il “percepito” e la “realtà” in cui l’Italia si trova in termini di coscienza e conoscenza digitale è molto elevata. E questo è legato a diversi aspetti prima citati, ma anche ad un approccio che è sempre stato legato ad una adesione “formale” e non “sostanziale” alle esigenze del paese.

Non si tratta delle solite lamentele di un gruppo di “nerd” slegati dalla realtà. Si tratta di problematiche concrete, che hanno anche colpito le capacità del sistema paese di competere da pari in un mondo ove l’informatica è oramai una conditio sine qua non.

Una incapacità di vedere che ci ha portati ad essere il terzo paese in termini di attacchi ransomware, mentre la consapevolezza digitale è ai livelli più bassi d’europa.

Gli stipendi e le possibilità di carriera sono solo uno degli aspetti per cui molti hanno dovuto o voluto trasferirsi all’estero.

La mancanza della percezione del “valore” della sicurezza informatica e della competenza ed esperienza richiesti è uno degli elementi, ma la mancanza di un mercato che punti sulla qualità ed il riconoscimento della importanza di tali competenze è un’altro fattore non trascurabile.

E su questi non si lavora solo in termini di “stipendio”. Già in passato si fecero tentativi, in altri settori, di far rientrare i cervelli con scarsi risultati. Questi rientrano solo se oltre al lancio momentaneo di programmi di corto respiro che possano fingere da “specchietto delle allodole” esiste una concreta volontà di creare un ambiente adatto alla loro permanenza.

Un ambiente che favorirebbe anche la crecita interna delle competenze che servono.

Mentre aspettiamo che arrivi il 2023 con il personale assunto dalla Agenzia, perchè questa sia di utilità reale e fattiva, e che possa incidere in maniera positiva sulle esigenze oramai non rimandabili del sistema paese occorre realizzare che non sono 300 esperti che rientrano o vengono assunti che potranno cambiare le cose.

Il paese, e la sicurezza informatica, non ha bisogno solo di Penetration Tester o Ethical Hackers, che pur essendo elementi importanti nel discorso della sicurezza informatica non ne coprono completamente tutti gli aspetti. Abbiamo bisogno di manager competenti, di strutture apicali che comprendano e sappiano valutare i rischi informatici con una prospettiva che tenga conto delle loro esigenze di business e delle necessità del paese.

Ma occorre anche capire che la creazione di queste risorse richiede tempi e attività che non possono venire da un approccio apicale che dia, in maniera astratta, indicazioni che poi non possono essere calate nella realtà.

Occorre immergersi nella realtà del paese e capirne quale sia il concreto livello di comprensione, maturità, competenza e necessità.

Non ho dubbi che, data la provenienza del dott. Baldoni, esistano già forti legami, ad esempio, col mondo universitario, ma questo non basta.

In questo senso il coinvolgimento delle associazioni di categoria in un virtuoso rapporto di scambio di informazioni che, da un lato, delinei le esigenze e dall’altro le difficoltà, sarebbe da auspicarsi come tavolo permanente di confronto.

E, altresì, sarebbe necessario aprire tavoli diretti con i vendor che fanno digitalizzazione e sicurezza al duplice scopo di avere un quadro chiaro di quali siano le esigenze da parte del paese in termini di sicurezza da trasmettere ai vendor, e quale sia il percepito dei vendor in merito a tali esigenze contestualizzati alle tecnologie correnti, trend di sviluppo, e, perchè no, anche suggerimenti ed esperienze.

Infine ci sono coloro che da anni lavorano alla sicurezza informatica anche qui in Italia, e che hanno maturato una esperienza ed una visione chiara di quali siano i limiti e le esigenze da indirizzare nel paese che potrebbero fornire ai 300 giovani e forti, all’agenzia ed al paese intero un supporto di comptenze ed esperienze che fin troppo è stato, se non trascurato, non valutato pienamente. Penso a persone che lavorano nei molteplici aspetti della sicurezza e che hanno competenze sui vari domini, ivi compresa compliance o aspetti di informatica legale.

In questo senso mi viene facile nominare #clusit, #aipsi, #aipsa ma anche altre associazioni che sul territorio da anni cercano di portare consapevolezza e conoscenza, penso ancora a ruota libera a eventi di valore assoluto come #HackIngBo.

Spett. Agenzia, se vogliamo che il vostro sia un esercizio non teorico ma un concreto supporto al paese occorre allora aprirsi sin da subito al paese stesso, e se è vero che vi sono risorse preziose che sono all’estero, è anche vero che non ascoltare i territori e le loro esigenze è un approccio che non può portare altro che alla compliance di carta e non alla reale e feconda collaborazione che sola può indirizzare le problematiche culturali e di conoscenza che in questo momento pongono il nostro paese in una non soddisfacente posizione in termini di sicurezza informatica.

Forse 300 persone, tra cui neolaureati, potranno mettere in moto il motore della agenzia, ma questa non inciderà nel paese se nel paese non porrà radici, ascolto e comprensione.

cordialmente

Antonio Ieranò

PS: grazie per chi ha avuto la voglia, la pazienza ed il tempo di leggere. In questo caso i commenti sono ben voluti, che è ora di rimboccarsi le maniche e mettere in moto il cambiamento.

The email Files: La posta secondo la posta

Dopo aver parlato per un po di posta elettronica discorrendo di “safe” e “block” list incomincio a rendermi conto che forse un passo indietro si rende necessario, e quindi mi pongo la domanda: ma tu sai come funziona la posta?

La risposta varia generalmente in funzione di chi riceve la domanda e, nella maggior parte dei casi, è sbagliata.

Questo basso livello di comprensione di come funziona la posta elettronica è in realtà una delle ragioni del suo successo. Mandare email è facile per un utente qualsiasi, persino per un manager IT, non c’è molto apparentemente da capire.

Purtroppo, non capire come funziona un sistema apre la porta anche ad errori gestionali, incomprensioni, aspettative errate, mostruosità da DPO e amenità associate.

Ora per capire un minimo come funziona la posta ho deciso di partire dal livello di comprensione di un utente medio, per poi passare dalla visione di un IT manager per finire al è punto di vista della posta medesima.

Introduciamo quindi i primi soggetti che ci introdurranno nel dorato mondo della posta elettronica.

Siccome vorrei che la lettura di questo articolo fosse accessibile ai più, proprio per venire incontro alle nuove esigenze linguistiche, analogamente all’uso di safe e bloc list ho deciso di rendere aperto il mondo dei nostri test non definendo nessun orientamento di sorta.

Per cui i nostri generici soggetti saranno Ann* e Ug*

Siccome confesso di avere problemi di dizione quando occorre citare i soggetti, eviterò di nominarli se non in qualche riferimento obbligatorio che mi rifiuterò di leggere ad alta voce. (ROTFL)

La posta secondo gli utenti

Immaginiamo ora che i nostri due tester (il vantaggio di uso di un termine inglese qui è puramente linguistico) siano usi mandarsi reciprocamente dei messaggi di posta elettronica.

Entrambi i soggetti usano probabilmente un programma per la posta elettronica (ad esempio Microsoft outlook) o una interfaccia web (Gmail, Microsoft OWA, Libero scegliete voi). Probabilmente non sono in grado di distinguere il fatto che è una app, un software o una interfaccia web sempre di client parliamo, ma si sa, queste sono cose da tecnici.

Di quale sia il contorno ed il contesto della posta ai nostri due utenti importa molto poco.

A loro è stato insegnato che per mandare un messaggio di posta occorrono 3 cose:

1. dire a chi si manda la posta con un indirizzo del tipo nome@unarobadopo.xx
2. mettere un oggetto, insomma il titolo della email.
3. scrivere qualsiasi cosa, aggiungere testo immagini, file, cotechini e via dicendo

Tutto il resto è assimilabile alla magia ed alle categorie della magia si associano le percezioni ed aspettative relative, in particolare:

1. la posta è istantanea, come mando arriva
2. se leggo che il messaggio arriva da “pippo” deve essere “pippo” che la ha mandata
3. se c’è un allegato prima clicco e poi penso, che se “pippo” me lo manda un motivo ci sarà
4. se c’è un link ci clicco, del resto anche il web è magico (e le pagine sono pagine vere)

Questa percezione è estremamente radicata, del resto chi di noi conosce in dettaglio come funzionano gli SMS (ok non si usano più) o uazzap?

In compenso l’uso è così semplice che con la posta si mandano messaggi, appuntamenti, si gestiscono contenuti sensibili, si archiviano informazioni sensibili, personali, coperti da Proprietà Intellettuale e via dicendo.

Insomma, nella nostra posta viene raccolta la maggior parte delle informazioni che coprono la nostra vita lavorativa ed in parte privata e la gestiamo con la consapevolezza di chi utilizza uno strumento magico.

La posta secondo gli IT manager

Per fortuna gli IT manager hanno una visione della posta ben più complessa ed articolata. Introducono nella equazione il concetto di Mail Server.

Ora cosa sia un mail server non è comunque chiarissimo, è un oggetto che colleziona le caselle di posta degli utenti e che manda e riceve posta su internet.

I più tecnicamente savi hanno anche la percezione che tra il client di posta, outlook ad esempio, e il mail server (ad esempio Exchange) esista una comunicazione gestita da un protocollo con un nome esoterico, tipo MAPI nel caso di server di posta Microsoft. Non cito Office365 volutamente per non creare angosce emotive (dover citare Exchange online come componente va al di là della percezione di molti)

Intendiamoci, prima che si levi l’ondata di indignazione per aver osato citare un prodotto Microsoft esistono diversi protocolli che possono gestire la transazione client server, se nel mondo Microsoft MAPI va alla grande (fa tutto lui, anche la configurazione del client) in altri casi si devono usare cose più complesse tipo SMTP per l’outbound e IMAP o POP per l’inbound (se volete posso anche parlare di queste cose in un post futuro, chiedete e vi sarà dato).

Una delle maggiori differenze tra un utente standard ed un IT manager è la percezione, da parte di un IT manager, che il fatto che un messaggio sembri arrivare da un certo mittente perché presente nel campo “FROM: ” non è una garanzia.

Egli, ella, el* è consapevole che vi siano anche casi in cui può arrivare posta “pericolosa”. Una volta si chiamava SPAM, oggi si è scoperto che la posta è anche vettore di ben altri pericoli di cui, se volete, parleremo in seguito.

Dal punto di vista del funzionamento del sistema spesso la comprensione del mondo legato alla posta elettronica solitamente si ferma al mail server.

Già questo potrebbe dare adito a concetti interessanti in ottica gestionale, ad esempio:

1. quanto importanti sono i servizi di posta elettronica all’interno dei miei processi di business?
   1. uso la mail con i miei clienti?
   2. uso la mail con i miei fornitori?
   3. uso la mail per fini marketing?
   4. …
2. quale è la mia esposizione al rischio su questo canale?
3. quanti dati business critical sono contenuti nello store del mio mail server?
   1. quanta proprietà individuale è contenuta nel datastore del mail server?
   2. quante informazioni “critiche” per il business?
   3. …
4. come differenzio la gestione dei dati personali rispetto quelli aziendali contenuti nel mio mailserver?
5. Che impatti ci sono sul GDPR collegati alla gestione delle caselle di posta elettronica?

Ovviamente sono sicuro che queste ed altre osservazioni sono comuni in fase di disegno e manutenzione dei sistemi postali da parte del management.

Il problema è che dopo il mail server la percezione di cosa sia la posta elettronica ritorna a quella magica dell”utente finale.

La percezione di “istantaneità” ad esempio è comune, la idea di “non posso bloccare in nessun modo la posta” anche. Ma avendo una scarsa comprensione dei meccanismi che governano la posta difficilmente sono in grado di fare analisi coerenti.

La posta secondo la posta

Se dovessimo chiedere ai sistemi di posta elettronica cosa sia la posta elettronica probabilmente avremmo una descrizione un poco più complessa.

La visione che la posta ha di sé stessa sicuramente è più complessa.

Questa “complessità” copre quasi tutte le cose viste prima, da come sia formattata una e-mail a come sia gestita la distribuzione dei messaggi di posta.

Purtroppo, questa comprensione è fondamentale per poter gestire e securizzare correttamente i sistemi, quindi occorrerebbe capire almeno le basi.

La prima cosa che balza all’occhio è che il mondo della posta non si ferma al server di posta elettronica. tutti i sistemi di posta elettronica, infatti, hanno bisogno di una componente che formatti i messaggi in una modalità trasmissibile su internet.

Il protocollo utilizzato per trasportare la posta si chiama SMTP (Simple Mail Transfer Protocol) ed ha caratteristiche specifiche che vanno considerate su cui farò considerazione dopo.

La prima cosa importante da capire è che la gestione delle caselle di posta è cosa diversa dalle problematiche di invio e ricezione dal server stesso.

La trasmissione della posta verso l’esterno è, invece, gestita da connettori che utilizzano il protocollo SMTP.

Quando scriviamo una mail sul nostro client questo la formatta e invia al mail server, che si incarica della sua gestione (storage, distribuzione interna, distribuzione esterna). Se il messaggio deve essere mandato al di fuori del server di posta, questo incarica la componente di gateway SMTP per trasferire il messaggio verso la destinazione prevista.

I nodi SMTP possono essere molteplici e seguono una catena che arriva fino alla destinazione finale: il connettore SMTP del mail server che contiene la casella dell’utente cui è stato inviato il messaggio.

Per garantire questa transazione occorrono diversi elementi: la presenza sui DNS di elementi che consentano la “traduzione” del dominio di posta in un server (tipicamente gli MX record) protocolli accessori che permettano la identificazione dei mittenti (SPF o DMARK) o la firma di contenuti (DKIM), fino a sistemi di encryption (SMIME) ed altro.

La trasmissione di un’email è quindi una questione relativamente complessa. Relativamente significa che molti di questi elementi sono però “opzionali” ed alla fine il protocollo SMTP permette l’invio di un messaggio semplicemente inviando i comandi manualmente senza effettuare controllo alcuno di veridicità.

Come è fatto un messaggio di posta.

Iniziamo a capire come sia realmente fatto un messaggio di posta. L’email di posta che riceviamo ed apriamo in outlook è molto più complesso di quello che sembra.

Ma capire cosa sia realmente ci permette di capire quali possano essere le problematiche di gestione e sicurezza di un sistema di posta sia lato utente, che lato IT manager ed infine (ma si spera lo sappiano già) di coloro che si occupano di sicurezza informatica.

PS: L’e-mail nella immagine è indirizzata a me e ne autorizzo la visione, non sto violando quindi i miei diritti e la mia confidencialita.

Quello che dobbiamo capire è che tra quello che vediamo e quello che c’è in background ci sono delle differenze sensibili.

Quando apriamo un messaggio su outlook, webmail o client di vostra preferenza quello che vediamo è una rappresentazione delle informazioni contenute nel reale messaggio.

le prime cose che solitamente si notano sono:

chi manda il messaggio, rappresentato dal campo FROM: (Da:)

a chi è inviato il messaggio rappresentato dal campo TO: (A:)

l’oggetto del messaggio, solitamente del testo che dà indicazioni dei contenuti, ma oggi in grado anche di mostrare elementi grafici.

Il corpo del messaggio, che contiene immagini, link, colori.

Eventuali attachment (allegati) che espandono i contenuti dei messaggi di posta elettronica in formati di qualsiasi tipo.

La vera struttura del messaggio la possiamo vedere nella immagine seguente.

Se vediamo nel dettaglio cosa contenga questa roba complessa possiamo sentirci intimiditi, per la vostra tranquillità quindi evidenzierò le componenti che servono.

iniziamo da chi manda la email.

Nell’esempio di outlook vediamo un mittente, ma se guardiamo nella struttura reale della email vediamo che il mittente è

From: “=?UTF-8?B?UHJpbWEgQXNzaWN1cmF6aW9uaQ==?=” <support@offertemadeinitaly.it>

Come da aspettarci troviamo il campo TO: che in questo caso coincide con quello visibile su outlook.

To: antonio.ierano@ierano.it

interessante è notare che dopo il campo TO: troviamo il campo Reply-to:

Questo campo

Reply-To:

Serve a indicare in caso di risposta a chi deve essere mandata la risposta INDIPENDENTEMENTE da quanto contenuto nel campo FROM:

infine, abbiam il subject, l’oggetto.

Subject: =?UTF-8?B?UkMgYXV0byBhIHBhcnRpcmUgZGEg?=
 =?UTF-8?B?c29saSAxNDIgZXVyb3==?=

Come si vede è abbastanza diverso da quello che si vede nel messaggio aperto su outlook.

cosa significa questo?

Significa, semplicemente, che quello che si vede nelle intestazioni tecniche della e-mail non corrisponde a quello visibile.

In effetti le email hanno due intestazioni una tecnica in uso al protocollo SMTP ed una visibile rappresentata dal client di posta.

La relazione tra le due intestazioni è nulla, nel senso che le due sono indipendenti e non esiste nessun vincolo di relazione tra i campi equivalenti delle due intestazioni.

La intestazione tecnica, quindi, non è visibile a livello di client di posta, ma a che serve?

Gli header tecnici sono il frutto della conversazione che hanno i gateway SMTP di posta. Ne riporto in basso una versione semplificata.

I limiti ed i pregi dell’SMTP

Come scrivevo sopra la trasmissione tra i nodi di posta viene gestita dal protocollo SMTP che, prima di ogni invio, deve gestire un Handshake.

Lo scopo di questa transazione è quello di preparare la comunicazione tra mittente e destinatario e di fornire un responso in merito alla transazione stessa.

Tutte le informazioni trasferite sono in chiaro, il protocollo non esegue nessuna forma di encryption o offuscamento, né di controllo di veridicità delle informazioni trasmesse se non in maniera estremamente limitata.

La mancanza di controllo da parte del protocollo sulla veridicità dei dati trasmessi implica che tali controlli, opzionali, siano interamente in carico al nodo di destinazione.

La mancanza di verifica o certificazione del mittente consente la trasmissione di traffico da parte di qualunque sorgente, le specifiche di protocollo, infatti, non vincolano nessuna caratteristica specifica in carico al mittente.

Ogni voce dello scambio genera da parte del server di destinazione, un codice che identifica la corretta trasmissione della componente di informazione che serve a costruire la mail, o l’eventuale errore.

Una osservazione che dovrebbe destare l’interesse di chi vuole capire come funziona il meccanismo è che una mail viene considerata consegnata da parte del mittente solo se a sequito del QUIT ottiene un 250 come codice di risposta. Questo significa che una mail viene considerata “consegnata” dal mittente solo ed esclusivamente quanto l’intero flusso del messaggio viene accettato dal destinatario.

Tutto chiaro, peccato che…

• il mail from della sessione SMTP non è quello che legge l’utente  
• il dominio dichiarato in HELO\EHLO può non corrispondere al dominio visibile nel mail from dell’utente
• il protocollo non esegue nessun controllo di veridicità sui dati trasmessi dal mittente, questi sono eventualmente in carico a servizi opzionali del destinatario
• il protocollo non esegue nessun controllo sulla identità del mittente
• i comandi trasmessi in una sessione SMTP sono in chiaro
• la transazione SMTP può contenere campi ulteriori tra cui «reply to:» e cose del genere  
• dopo DATA si può mandare di tutto e di più, ivi compresi mittente e destinatario visibili nel client di posta  
• l’integrazione di Mime nel campo DATA consente di mandare formati non testuali, ecco come ci arrivano l’e-mail in HTML  
• l’HTML ci consente grafica, caratteri diversi, componenti di codice attivo non visibile…

Ok non ho spiegato tutto, ma lo scopo non è darvi il dettaglio ma fornire una base per poter postare in futuro osservazioni, indicazioni, suggerimenti analoghi a quelli fatti per “safe” o “block” list con un minimo di confidenza che se manca abbiate un riferimento per comprendere il quadro tecnico di cui si parla.

Tra gli argomenti che vorrei toccare prossimamente negli E-mail files ci sono:

• E-mail design for dummies: le 4 o 5 cose che devi assolutamente sapere
• I protocolli di autenticazione, da SPF a DMARC
• Cosa serve e come funziona un security gateway,
• Il caso per l’encryption: come, dove, cosa e perché
• Perché se temete che i servizi di reputation blocchino le e-mail non avete capito nulla di come funziona il protocollo SMTP né dei vincoli di legge sulla accettazione obbligatoria di messaggi di posta elettronica
• Perché se non capite la differenza tra E-mail gateway e server di posta non siete in gradi di fare nessuna considerazione in merito al GDPR (ma solo perché non potete fare valutazioni di rischio se non avete idea di cosa state valutando)
• Dal Phishing alla sicurezza

meditate gente meditate

Sicurezza ICT a Roma 16 Febbraio

Edizione particolare della mia newsletter aperiodica

Dopo quasi 2 anni finalmente riesco di nuovo a fare eventi non in remoto a Roma.

Se volete e se siete o passate a Roma magari ci si saluta di persona 😁.

📅 16 febbraio #SicurezzaICT22 🔒

a #Roma e in #livestreaming

Implementare sistemi di #security che non comunichino tra loro significa implementare silos che disperdono #dati e non consentono di inquadrare l’esposizione al #rischio.

Vieni a parlarne con Antonio Ieranò, Evangelist-Cyber Security Strategy di Proofpoint e gli altri ospiti dell’evento #phygital dedicato a #dataprotection, #privacy e #sicurezzaIT.

Scopri l’agenda completa della giornata ➡️ https://lnkd.in/dEzgPrJM

Ti aspettiamo in diretta!

#cybersecurity #intelligenzaartificiale #ransomware #business #compliance #cyberrisk #phygitalevent

Ciao

Meditate Gente Meditate

SMART LAND Novellara

“autonomia non vuol dire anarchia”

“Accountability, le cose non si cambiano se nessuno prende l’onere del cambio”

ed altro

Grazie ad Energia Media per la finestra

16 Febbraio 2022 alle 09:00

Sicurezza ICT: Back to the Future

https://www.soiel.it/eventi/2022/sicurezza-2022-roma/area-visitatori/agenda/

Utenti e fornitori a confronto per accrescere la security, la compliance e la continuità operativa nell’era digitale

Evento FISICO+WEBINAR

https://www.soiel.it/eventi/2022/sicurezza-2022-roma/area-visitatori/agenda/

Il mio speech:

14.50 Threat Intelligence: la sicurezza come sistema integrato
Oggi implementare sistemi di sicurezza che non comunichino tra loro significa implementare silos che disperdono informazioni preziose e non consentono di inquadrare l’esposizione al rischio nel suo complesso.
Proofpoint propone un approccio olistico e integrato in cui la risorsa da proteggere è l’utente, e capirne l’esposizione al rischio è fondamentale.
Antonio Ieranò, Evangelist-Cyber Security Strategy – Proofpoint Italy

Happy Lunar New Year 2022

World Economic Forum on cybersecurity

World Economic Forum Risk Report 2022 is exciting reading.

Being aware of the risk is necessary to address them and understand the landscape we live in.

It is also a great way to see how risk perception changes year by year.

Looking at the short-term global risk picture, we can see we have weather and climate; economic risks are not top of mind. We have “infectious diseases” to remind us that a pandemic can happen, and we have, some years now, “Cyber Security failure.”

Since I work in the Cyber Security field, I have had, as evident, immediate interest in the cyber security section.

https://www.weforum.org/reports/global-risks-report-2022/in-full/chapter-3-digital-dependencies-and-cyber-vulnerabilities

Data from the report are interesting, but I think that we should understand what those data tell us, so let me do some examples:

“95% of cybersecurity issues can be traced to human error“

the global risk report 2022

Means: Train people, put the correct processes in place, put proper technology in place with a people-centric approach to address the “human” factor. If 95% of cybersecurity issues are related somehow to human error, we have to consider human behavior into the equation. This means that the technologies and processes we put in place should tell us the risk related to our people. People make mistakes, are attacked, are exposed to stakes that can hit our assets. Without understanding this, we will not address the overall risk we face in cybersecurity.

What to do: We have to properly raise awareness and protect communication channels used by people because there will be where a skilled attacker will try his\her move. But in an ever-changing landscape, this is not easy nor enough. For example, we should continually update awareness programs according to people’s current risks and train people based on their risk exposure. This means that our security technology should understand the user risk exposure. This information should be available for the awareness program, and the other security implemented technologies.

At the same time, a security awareness program should be able to monitor the understanding and knowledge of the users and use this information as a parameter not only to deploy the training needs for the specific set of users correctly but also to report the user vulnerability in the user risk rating.

Addressing 95% of cyber security issues caused by humans requires understanding why humans fail and what drives them to make mistakes. This does not require a boolean approach but a complex construction of the context of the risks in a holistic way.

“Insider threats (intentional or accidental) represent 43% of all breaches”

the global risk report 2022

Means: the risks do not come only from outside; the problem can be internal, you have to monitor where data goes, and data do not move by itself; people move data. Again people are the key.

What to do: Data are not all the same, and handling data can be a problem if the data express critical information. Sensitive data, Private data, Intellectual Property, there are dozen of reasons we should protect what makes our digital world “digital.”

But data should be kept alive. Otherwise, they are useless, so people have to access, manage, modify data. But we have to do it correctly and securely. Data does not move; people move it. Data does not change; people change it. And when handling data, people can do a series of actions that, considered an atomic action, are legit. Users can read, modify, move, copy, and delete data.

So how to understand the threats? We should realize the danger not by a single indicator but by the sequence of action performed on the data. And we should be able to do it in a simple way. Simple means I do not have to die to do this check, and I have to understand what sequence of action is potentially dangerous.

“Malware increased by 358% in 2020, while ransomware increased by 435%,

the global risk report 2022

Means: where do malware and ransomware come from? How is it activated?

What to do: Where does malware come from? If 95% of the cybersecurity issues can be traced to humans, I would probably assume that humans are the primary targets used to trigger malware and ransomware. There is the exploitation of vulnerabilities, the use of backdoors, and other fine technicalities, but, according to the report, those address 100% – 95% = 5%. But again, how do humans get in touch with malware or ransomware? How do they trigger it? Email and browsing are probably the most used channel. This consideration per se should address our security spending, focusing on Prevention (trying to stop things from arriving at users), remediation, and, yes, once again, education.

“There is an undersupply of cyber professionals—a gap of more than 3 million worldwide.“

the global risk report 2022

Means: When planning technology deployment, be sure it is easy to manage, provide information that is easy to be understood, give you context. You probably will not have dozens of skilled specialists, so make your investment effective otherwise, you’ll waste your money and security.

What to do: The undersupply of cyber professionals is a plague we will bring with us for some years more. The problem is that a cyber security professional has experience, knowledge, flexibility, and commitment. All those things are expensive and require time to be developed. This means it is not easy to foresee a solution that will quickly fill the gap. We can train more people, but we need to wait until they get the correct experience, and we have to incentivize people to pursue a career that requires constant learning, critical thinking, stress, and passion.

We will not have unlimited plenty of people at our service easily; this means that we need to ease the load of the cyberpeople providing tools, technologies, and consoles, that will make their lives easier, not harder. The easiest way is to plan your security investments, focusing on integration, automation, and visibility. Context and Threat Intelligence should be the way to understand what is going on and focus on the most dangerous threats.

Reading reports is not just reading cold numbers but is a way to understand the actual landscape and the close calls to action.

Happy reading.

The email Files: Blocklisting, la sottile arte di farsi del male da soli

Nel post precedente ho iniziato a dissertare della gestione della posta elettronica soffermandosi sul problema annoso delle safelist (allowlist, whitelist o come preferite chiamarle).

Non sarebbe una trattazione esaustiva se non affrontassi il duale delle safelist, le blocklist.

Se ricordiamo la genesi della safelist questa è legata ai uno dei due problemi legati ai filtri di sicurezza che qui riporto per completezza:

1) il filtro non blocca qualcosa che dovrebbe bloccare (ci si riferisce a questa evenienza come falso negativo)

The email Files

2) il filtro blocca qualcosa che non andrebbe bloccato (ci si riferisce a questa evenienza come falso positivo)

The email Files

Ora nel primo capitolo mi sono soffermato sul secondo punto come origine delle safelist, adesso come seconda uscita mi sembra opportuno di occuparmi del primo punto che dà origine al fenomeno delle “blocklist” .

Il problema che vogliamo indirizzare è quello del “falso negativo” che soffre di problematiche affini a quello del falso positivo di cui abbiamo parlato nel post precedente.

Certo un falso negativo può avere un effetto psicologico devastante sul ipreparato ricettore di tale oggetto:

Immaginiamoci la scena di sgomento quando un utente riceve una mail la cui sola presenza è origine di panico e terrore tremebondo. Immaginiamoci la giusta ira di coloro che a fronte dei potenti mezzi messi a disposizione dalla tecnica comunque riceve qualcosa che, nelle migliori ipotesi, non dovrebbe arrivare in casella.

Come proteggersi? possiamo fare qualcosa? Riusciamo a sopperire a tali tremebonde evenienze?

è difficile, ma per fortuna l’universo ci ha fornito uno strumento dai poteri quasi magici per affrontare il problema: le blocklist

Blocklist: cosa è

Il significato di una blocklist è quello di creare una serie di regole che bloccano le email basandosi sull’indirizzo del mittente.

Credo sia chiaro ai più che questo approccio ha senso solo se il mittente manda solo ed esclusivamente messaggi malevoli.

Questa evenienza è estremamente rara se consideriamo le email malevole: difficilmente un threat actor registra un dominio ed usa email dedicate in maniera statica.

Certo sarebbe bello se i cattivi fossero così gentili da usarci la cortesia di mandare messaggi malevoli usando email del tipo spam@evilactor.org ma, credeteci o meno, così non è.

Allora cosa finisce dentro una blocklist?

Email scappate ai filtri con basso profilo di pericolosità e media persistenza quali:

• Email di spam
• Email di marketing che l’utente si dimentica di aver sottoscritto

Questo tipo di messaggio è tipicamente segnalato dall’utente che, come è noto, ha poca dimestichezza o comprensione di cosa sia in realtà una email o la sua pericolosità.

Per evitare di generare errori queste blocklist andrebbero portate, esattamente come le safelist, il più vicino all’utente. In altre parole, gli utenti dovrebbero poter gestire in maniera autonoma (e solo per le mail a loro indirizzate ovviamente) questo livello di blocco.

Email scappate ai filtri con alto profilo di pericolosità ma bassissima o one shot persistenza quali

• spoofing illegale di email o domini legittimi scappati
• email provenienti da account legittimi ma compromessi

Purtroppo, la seconda categoria di email finisce molto raramente nelle blocklist ed il motivo sembra essere legato al fatto che riconoscere tali email non è facile nemmeno per un occhio semi esperto, figuriamoci un utente standard.

Ma anche nel caso queste fossero riconosciute è difficile che tali mittenti rimangano compromessi a lungo. I criminali tendo a cercare di aggirare blocchi elementari, ed il protocollo SMTP offre moltissime opzioni in merito.

Occorre quindi, onde evitare di bloccare email buone con quelle “sospette” o “malevole, una manutenzione attenta e continua di questo tipo di filtro.

Questo comporta in genere l’uso di quarantene (meglio se amministrative nel caso si sospettino attacchi pericolosi) che permettano eventualmente il rilascio del messaggio una volta verificato che non sia pericoloso.

Si ritorna ancora una volta al concetto, di difficile comprensione, che tutti i sistemi richiedono una opportuna manutenzione e monitoraggio.

Blocklist e Content Filtering

Lavorare con le sole email mittenti è di solito difficilmente scalabile ed efficace. In particolare al di furi di spam o newsletter, spesso ci si accorge che il tasso di errore da questo tipo di filtro è molto alto.

Per ovviare al problema, spesso alle blocklist tradizionali si aggiunge da parte di molti amministratori l’uso di content filtering più o meno avanzati.

L’uso del content filtering è più un problema di compliance che di “email security”, ma spesso questa tecnologia si presta ad un uso “improprio”.

A differenza di una blocklist che “ragiona” principalmente in termini di indirizzo o dominio di posta elettronica, e quasi per nulla sui contenuti del messaggio una blocklist che usa tecniche di content filtering fa riferimento, principalmente, a contenuti del messaggio: parole, URL, frasi…

Insomma la idea di base è:

non voglio ricevere email che contengano la parola “Cippirimerlo” quindi scrivo una regola del tipo:

se ne corpo della email o nell'oggetto appare la parola "Cippirimerlo" allora blocco la email.

Il ragionamento è evidententemente limpido e lineare. Certo occorre che “Cippirimerlo” sia usato solo in email malevoli e non in transazioni comunicative legittime (ok! ok! chi usa oggi come oggi “Cippirimerlo” se non un Hacker?).

Ma perché mai un attore malevolo dovrebbe imitare comunicazioni legittime, così rischia che la vittima non si accorga che è un attacco…

come? questo è lo scopo? aaaahhhhh

Cosa può andare storto?

Il problema delle blocklist anche in questa forma è analogo a quello delle safelist, nel senso che l’assunzione alla base è che un filtro statico possa indirizzare in maniera efficace ed efficiente un sistema dinamico come la posta elettronica.

Non voglio dire che questo non sia vero, ma solo che se fosse vero perché investire in sistemi di email security quando basta una semplice lista statica?

Diciamo che nel caso delle blocklist il problema risiede spesso nella gestione amministrativa dei sistemi di posta. Ho visto cose che voi umani … er..no ho visto però filtri estremamente complessi che utilizzano strutture che richiedono un livello di competenza elevato:

• regular expressions
• operatori booleani
• orazioni e abluzioni
• …

Purtroppo, questa profusione di esternazione tecnologica rimanda sempre al problema della staticità di questi filtri e della loro rapida obsolescenza.

Esattamente come nel caso delle safelist, infatti, le blocklist soffrono del problema che il filtro applicato ha senso solo nella finestra temporale in cui l’eventuale attacco viene erogato, dopo quel tempo il risultato è di rischiare di bloccare con il filtro email invece legittime.

é infatti impensabile, proprio come si diceva prima per le email mittente, che un attore malevolo utilizzi sempre la stessa esatta struttura di messaggio, sempre la stessa URL e via dicendo.

Anzi proprio per questi motivi la possibilità di catturare in maniera errata messaggi legittimi è estremamente alta.

Il workaround per evitare di incorrere in problemi in questo caso è di

• modificare il filtro
• cancellarlo
• creare una safelist
• …

Lascio ai più immaginare quale sia la soluzione meno indicata e vieppiù una delle più usate.

Blocklisting che fare:

cerchiamo di riassumere un po di indicazioni rapide che quindi possano aiutarci a gestire in maniera efficace le Blocklist

meno è meglio

Esiste un acronimo inglese che dovrebbe sempre guidare le nostre scelte: KISS (Keep It Simple Stupid.) e questo vale anche nella gestione di safelist e blocklist. Intendiamoci in questo caso la semplicità è legata, in primis, alla minimizzazione di queste liste in quanto più sono grandi maggiore è l’effetto negativo che possono avere sul sistema.

In particolare, gli elementi in blocklist se fanno riferimento ad email vanno considerati in funzione della loro pericolosità:

le email a bassa pericolosità (spam, marketing) possono essere bloccate, ma data la loro natura tali blocchi è opportuno che siano gestiti direttamente dall’utente finale in una sua lista personale alfine di minimizzare interferenze verso altri utenti.

le email invece di natura più pericolosa vanno gestite e monitorate con attenzione: è opportuno creare blocchi amministrativi e quarantene ma che siano monitorate costantemente per rilasciare le email legittime, i filtri di blocco dovrebbero essere rimossi non appena l’attacco si esaurisce.

Riportare al vendor del security gateway tutti gli incidenti

Per quanto possa sembrare tedioso aprire un ticket in caso di falso positivo e falso negativo è il sistema migliore per indirizzare e minimizzare certe problematiche.

E sia chiaro, l’apertura del ticket richiede anche il poter fornire un campione della mail completo di intestazioni. Senza questo la analisi diventaestremamente difficile.

Vorrei però che fosse chiaro che l’apertura di un incidente non sempre porta alla risoluzione desiderata, richiedere di categorizzare come email malevola una email che malevola non è non porta solitamente a generazione di un blocco generalizzato, contestualmente la modifica fatta da un vendor non può influire su filtri statici quali blocklist o safelist. L’apertura di un incidente, quindi, è solo una componente di un processo che deve comprendere la periodica revisione dei filtri statici quali safe e block list.

Non confidare ciecamente dei feedback degli utenti

Come per il whitelisting il blocklisting è tanto più efficace quanto i feedback degli utenti sono contestualizzati, analizzati e controllati. Il fatto che il megadirettoregalattico al cubo richieda un blocco o un safe non significa né che abbia ragione né che debba essere fatto. La sicurezza è una cosa che trascende le strutture gerarchiche proprio perché è al servizio del business.

Pianificare bene significa risparmiare tempo e risorse

Regole chiare, processi testati, analisi e verifiche cicliche servono anche nella gestione della posta elettronica.

Ragionare in anticipo su come gestire livelli di filtro associati alle varie tipologie di utenza, come gestire safe e blocklist dovrebbe essere parte integrante del disegno di un processo di gestione corretto ed efficace. Lavorare in perenne emergenza, aggiungendo e non manutenendo questi semplici aspetti rende i sistemi di posta estremamente vulnerabili.

E non esiste tecnologia che possa dare risultati se usata non correttamente.

Safelist e blocklist sono aspetti relativamente semplici e quindi sono un ottimo modo per far capire che “semplice” non vuol dire che non sia richiesta comprensione del fenomeno.

Nei prossimi post affronterò altri aspetti più complessi, ma mi sto chiedendo, quanti sanno come funziona la posta elettronica in realtà? Va a finire che negli email files mi toccherà anche cercare di spiegare almeno in maniera base come è fatto un messaggio di posta elettronica e come viene distribuito, altrimenti un sacco di cose mi sa che non si capiscono.

(se vi interessa qualcosa di specifico chiedete e vi sarà dato)

Ma del resto sono anni che sostengo che sapere qualcosa sui sistemi che usiamo non è proprio una cosa cattiva.

alla prossima

Meditate gente meditate

Epiodio precedente:

The Email Files: Safelisting email? Poi non lamentarti

The email Files: Safelisting email? Poi non lamentarti!

Ok sotto il cappello degli email files inizierò a scrivere riflessioni semiserie (come mio solito) sugli errori ed orrori di gestione della posta elettronica.

L’idea nasce da anni di militanza nel settore, ove ho realizzato 3 cose fondamentali:

1. la maggior parte degli utilizzatori non sa cosa sia e come funzioni la posta elettronica
2. la maggior parte degli amministratori non sa cosa sia e come funzioni la posta elettronica
3. i “cattivi” hanno capito benissimo come funziona la posta elettronica ed approfittano dei punti 1 e 2 per farne uno dei veicoli più efficaci ed efficienti di attacco.

Cercherò quindi in funzione di quel che mi passa per la mente, in maniera aperiodica e non regolare di scrivere quello che mi viene.

Oggi parlo di un argomento banale, il safelist o allowlist (una volta detto whitelist prima delle purghe del politically correct estremo).

Safelist: che cosa è

Iniziamo a capire di cosa parliamo.

Tutti gli strumenti di posta moderni hanno una serie di filtri più o meno evoluti che servono ad evitare che messaggi malevoli e pericolosi vengano consegnati alla mailbox dell’utente.

I motivi validissimi di questo approccio sono legati al fatto che:

1. gli utenti difficilmente hanno gli strumenti cognitivi per distinguere cosa sia pericoloso e cosa no (altrimenti non ci sarebbe questo successo devastante dell’uso delle email come veicolo di attacco)
2. la mail per le sue specifiche caratteristiche (vedetevi cosa sia l’SMTP, cosa significhi protocollo in chiaro, cosa significhi protocollo asicrono, cosa significhi protocollo unreliable cosa significhi avere doppie intestazioni tecniche e visibili…)

Il problema è che questi filtri non sono perfetti e si può incorrere in 2 spiacevoli estremi:

1. il filtro non blocca qualcosa che dovrebbe bloccare (ci si riferisce a questa evenienza come falso negativo)
2. il filtro blocca qualcosa che non andrebbe bloccato (ci si riferisce a questa evenienza come falso positivo)

Il punto 2 è quello di cui andiamo a parlare or ora.

Per evitare che i filtri non blocchino quello che non andrebbe bloccato tutti i sistemi e soprattutto tutti gli utenti invocano un rimedio che è stato identificato nel Safelosting.

Il procedimento è semplicissimo, si tratta di dire al sistema di non applicare questi filtri a specifici flussi di email. Il riconoscimento di questi flussi è di solito legato a:

uno specifico indirizzo di posta elettronica esempio: sonobuono@lasciamipassare.com

un dominio di posta elettronica come, ad esempio: @laciamipassare.com

Quindi una safelist consiste un una serie di voci: domini di posta e\o indirizzi che non vengono analizzati dai filtri di protezione del sistema

La base di questo approccio procedurale è basato dall’assunto: “non so cosa faccio, non ne capisco la tecnicalità dietro ma mi permetto di saltare, in pura incoscienza, i filtri di sicurezza confidando nella mia sopravvalutazione di essere capace di riconoscere eventuali rischi.”

Non intendo dire, con questo, che il safelisting sia una attività inutile, ma che va usata, per la sua natura di saltare i filtri di sicurezza, in maniera oculata e responsabile.

Ora non nego che le persone del marketing, sales, HR, Management assortito non abbiano la giusta preoccupazione di non avere mail importanti bloccate, il discutibile è che siano loro, privi delle competenze specifiche, a dettare vincoli che minano alla base la sicurezza di uno dei primi veicoli di attacco utilizzati dai threat actor.

Discutibile è anche il fatto che vi siano aspettative sulla posta elettronica ben lontane dalla realtà dello strumento. Aspettative legate, appunto, alla non conoscenza dello strumento stesso.

Se non si conosce uno strumento non lo si usa correttamente ne si è in grado di capire e valutare gli eventuali rischi connessi.

A fronte di questo oggettivo scenario, quindi, si decide arbitrariamente di mettere in sospensione i filtri? Non proprio la mossa più lungimirante se si guarda la cosa dal punto di vista della sicurezza informatica.

Ma allora che fare?

Falso positivo: ma di cosa si tratta davvero?

Il primo punto è capire cosa sia davvero un falso positivo:

Il falso positivo si ha quando i filtri di protezione individuano erroneamente un messaggio “buono” come “malevolo”

Raramente questa identificazione ha a che fare con la reputazione del mittente o la struttura delle intestazioni, proprio perchè stiamo parlando di falsi positivi. Questo significa che con grande probabilità la ragione del blocco è legata al contenuto del messaggio. Questo contenuto è per sua natura variabile e, a meno che non vi siano dei pattern ripetuti che incappano per qualche motivo nei filtri in essere, difficilmente provoca blocchi ripetuti e frequenti.

Esistono eccezioni a queste considerazioni, spesso newsletter o email marketing sono “malformate” (spoofing mittente, struttura HTML, componenti attivi, similitudine con campagne di attacco in corso e via dicendo)

A fronte di un evento puntuale, peròil safelisting pone una soluzione “statica” che blocca l’analisi dei contenuti di quei flussi di email in maniera permanente, questo di fatto aumenta sensibimente l’esposizione al rischio.

Procedimenti come il safelisting o il blocklisting non possono quindi non considerare le condizioni al contorno e specifiche del singolo messaggio. Il che non significa che non abbiano uso e scopo, ma che vanno gestiti in maniera coerente con la loro natura.

Safelisting: che fare

siamo onesti, in un mondo ideale con utenti preparati, consapevoli e capaci di gestire il rischio, emettitori di posta che fanno le cose per bene sapendo come si deve gestire lo strumento, gestori di mailserver e gateway che utilizzano approcci sensati e coerenti il safelisting non sarebbe quasi in uso.

Ma il mondo non è cosi, anzi.

La poca conoscenza del mondo delle email è imbarazzante, cosi come la scarsa comprensione delle esigenze di sicurezza di questo canale comunicativo quindi le liste di abilitazione ci accompagneranno per lungo lungo tempo.

Ma cosa fare allora per limitarne i danni?

Ci sono alcuni processi da mettere in piedi per gestire il safelisting che possono aiutare a diminuire la superficie di rischio.

Diminuire le voci in whitelist al minimo

questo sembra ovvio ma è il primo elemento da considerare.

Metter in whitelist tuttte le richieste provenienti dalle varie voci incoscenti dell’azienda non ha senso. Prima di safelistare qualcosa occorrerebbe verificare che non sia un evento ripetitivo. Un atteggiamento sensato consite nel sbloccare la email eventualmente bloccata, NON fare nessun safelisting ma iniziare a monitorare il comportamento di quel flusso di posta e procedere all’evetuale safelist solo in seguito a ripetuti blocchi errati.

Non mettere in whitelist interi domini

Se il safelisting espone ad un maggiore rischio, è evidente che inserire un intero dominio in whtelist significa aumentare il rischio in funzione del numerodi email generabili per quel dominio. Si deve considerare quindi che un dominio aperto significa tanti potenziali vettori di rischio.

Non mettere MAI in safelist domini di email pubbliche

Lo so che nessuno lo farebbe mai, ma allora perchè mi capita di vedere in queste liste robe tipo “gmail.com”, “yahoo.com”, “libero.it” e via dicendo?

Le email consumer free sono un veicolo ideale per sviluppare in maniera semplici attacchi anche sofisticati, il solo richiedere di “liberare” un tale dominio è dimostrazione più che evidente che il richiedente non ha idea di cosa sia la posta elettronica ne come si usi. Non importa se è il figlio del direttore HR, il cognato del vicepresidente del marketing, o il cane dell’amministratore delegato. Semplicemente queste richieste devono essere negate fermamente senza se, senza ma e senza forse. In alternativa ci si fa dare una bella mail che impone il cambio da poter mostrare al soggetto al primo attacco ransomware dicendo: “te lo avevo detto ma tu…” 🙂

Se proprio devi fare safelist almeno limita i danni

Uno dei primi concetti che impari quando si parla di sicurezza è che minore è la superficie di esposizione minore il rischio. Essendo il safelisting una procedura che espone a rischio gli utenti è buona norma spostarla il più vicino al richiedente in maniera da ridurre la esposizione per gli altri utenti.

Mi spego: abilitare un mittente a bypassare i filtri per l’intero numero di utenti della azienda non ha molto senso se la richiesta proviene da una risorsa specifica. Molti sistemi oggigiorno consentono di creare policy specifiche per singoli utenti e gruppi di utenti ristretti. Una scelta opportuna è operare safelisting a questi livelli piuttosto che per tutta la organizzazione.

Ha senso spostare il safelisting quindi nella struttura più vicina al richiedente, utente o gruppo di utenti che sia.

Sopratutto in caso di gestioni estremamente statiche del safelist questo consente di controllare un minimo la superficie di rischio.

Un safelist NON è per sempre

Diciamocelo chiaro, non esistono motivi per tenere una lista che permetta l’ingresso di “la qualunque” per sempre in maniera immutabile. Già le considerazioni precedenti dovrebbero aver aperto un minimo di consapevolezza sul fatto che il safelisting non è una panacea dal punto di vista della sicurezza.

Per evitare che queste liste crescano a dismisura e calcifichino email e domini in maniera perenne è opportuno periodicamente procedere ad una revisione delle voci della lista.

Questo significa che dopo un certo periodo di tempo sarebbe opportuno eliminare le voci (in modalità FIFO, First In First Out). Difficilmente gli errori, se la piattaforma di filtering è gestita correttamente, si ripeteranno.

Sapere come usare i propri strumenti non è una brutta cosa.

Mi si conceda una ultima battuta.

Come tutti gli strumenti anche la posta elettronica ha le sue specificità che andrebbero conosciute da chiunque la utilizzi, la pessima idea di sapere come usarla e non avere bisogno di formazione è tanto stupida quanto, purtroppo, radicata.

E non si pensi che la cosa sia limitata ai soli utenti o al magnifico management, spesso anche chi si occupa di IT e persino di posta non ha le competenze corrette per gestire questo strumento al meglio.

Ne sia un esempio questa domanda:

quanti sanno cosa siano

• SPF
• DKIM
• DMARC

e quali siano vantaggi e debolezze di ogniuno di questi protocolli di autenticazione della posta?

Meditate gente Meditate

bye bye 55, e da domani 56

E sono 56 – I reached 56

Ok, lo ammetto, oggi è il mio ultimo giorno da 55enne, da domani si sblocca il livello 56.

Se tra le cose buone di questo traguardo è che lo ho raggiunto, vi è anche il fatto di non essere obbligato a fare sunti o valutazioni della vita sin qui trascorsa, queste cose le lascio ai cinquantenni che ancora si credono giovani 🙂

Tra le cose cattive c’è che da domani, nei selettori dell’età delle ricerche online, sono definitivamente in area senior (di solito il limite superiore è 55) e quindi da domani mi devo aspettare marketing dedicato a montascale, dentiere, pannoloni e via dicorrendo.

L’unica cosa che probabilmente non cambierà è il phishing e lo spam a sfondo dating, che comunque da una certa soddisfazione visto il mumero di gente che mi vuol regalare soldi e il numero di donne che mi cercano e che abitano qui vicino (e dire che non me ne sono mai accorto).

Che cosa è cambiato tra questo compleanno ed il precedente

Sebbene non debba fare valutazioni viene spontaneo fare distinzioni tra il me a 55 ed il prossimo me a 56. E devo dire che non ci vedo differenze di sorta, non almeno sostanziali.

Certo la psoriasi è sempre li con effetti anche fastidiosi (leggasi fimosi, cisti ed altre amenità), il mal di schiena aumenta e, stranamente, non divento più atletico neanche dopo intense sedute sul divano di fronte a qualche sport.

Arrivo quindi a questo fine 55 con qualche difficoltà. A parte il fisico che non regge più come una volta (da lanciatore di coriandoli professionsita adesso al massimo posso essere hobbista) adesso dovrei iniziare a fare attività fisica dedicata, come dare una occhiata ai cantieri con le braccia dietro la schiena.

Raccolgo le info e mi reparo per gli allenamenti.

Ad onor del vero devo anche dire che lo snooker in TV non è proprio il massimo per incrementare la forma fisica, ma almeno vedere AEW e WWE mi ricorda i bei tempi quando mi divertivo anche attivamente. Ovviamente sempre seduti sul divano.

Dal punto di vista sportivo i 55 mi hanno regalato l’europeo, 40 medaglie alle olimpiadi, non che io abbia meriti di sorta, ma almento alcuni pezzi li ho potuti vedere in 4K, il che dovrebbe darmi un plus sugli allenament no? 🙂

Per il resto non ci sono state grandi cose, e non ho proiezioni particolari per i miei 56. Non vedo un aumento ne di intelligenza da parte dell’umanità ne di un aumento di tolleranza mia a fronte di affermazioni deliranti di “coloro che sanno”:

cosa penso di voi, si anche di te!

• complottisti,
• novax,
• terrapiattisti,
• ditttaturasanitaristi,
• grenpassshoahisti,
• nomascherinisti,
• sinistristi,
• destristi,
• quellideipoterifortisti,
• quelli che lo dice quel premio nobel e quindisti,
• antiscientisti e scientisti,
• virologisti,
• allenatoristi,
• epidemiologisti da tv o social
• …

Un anno di pandemia, pandetua

La pandemia non ha aiutato la mia ricerca di relazioni sociali, ma devo dire che almento lo scorso 16 settembre ho festeggiato con #quellidelfascicolop il grido

se non sapete cosa si festeggi il 16 settembre non vi preoccupate, si tratta di una festa Messicana quindi non siete tenuti a saperlo, anche se il saperlo vi farebbe onore.

l’autore

Come tutti i momenti di crisi però la pandemia ha mostrato il peggio ed il meglio (ma sopratutto il peggio ma anche il meglio), delle persone.

1965 – Che annata ragazzi

Certo da immundi al vaccino che in(o)cula il chip che ci controlla via 5G di stupidate se ne sono sentite (e se ne sentono) in quantità paraindustriale, ma ho fatto voto di cercare di non intervenire quando leggo certi commenti, inutile cercare di dare senso storico, contesto o semplice matematica elementare.

E, chiariamoci, per uno come me che nella polemica ci sguazza come un paperottolo è stato uno sforzo notevole. Ma ogni tanto devo anche pensare a come gestire meglio le risorse limitae che possiedo, anche mentali.

Se devo farmi un augurio per il mio 56 anno, che non debba più leggere le cazzate stratosferiche legate al covid_19.

Ora non dico opinioni diverse, dico proprio le cazzate. Lo so chiedo troppo, ma sono un inguaribile sognatore.

Del resto questo anno di pandemia ha coinciso anche col ricovero di changuis in comunità, quindi ho avuto cose molto più serie di cui preoccuparmi.

Anzi visto che a settembre ci sarà il cambio a 18 anni, molte cose dovranno cambiare, e la cosa è semplicemente terrorizzante. vedremo i 56 cosa mi chiederanno di sopportare per supportare Changuis.

Per i curiosi si sono vaccinato (pfizer biontec) ed ho il greenpass, è stata una scelta consapevole dei rischi legati a questo vaccino che mi sono assunto liberamente con considerazioni che, permettetemelo, sono però mie e che mi tengo per me.

Lavoro ed Informatica

La fine di questi 55 sono costellati da momenti di pura ilarità nel campo della mia professione. Solo Agosto la PA ci ha donato la serie comica Magnum PA con i primi 3 episodi:

• le disavventure della regione lazio: i misteri di broken backup,
• le disavventure della regione lombardia: hot stuff,
• della regione toscana: siamo in pandemia prendersi un virus è normale

non vedo l’ora di vedere le prossime puntate. E poi dicono che occuparsi di sicurezza informatica è noioso.

Certo se dovessi tirare un resoconto dei miei 55 ho avuto, purtroppo, la triste conferma che la tendenza di aprire la bocca in maniera disgiunta dal cervello non siaccompagna solo ai temi citati prima ma anche in questo che, in teoria, dovrebbe essere “tennico”.

Purtroppo la situazione familiare mi ha limitato molto nelle attività, a parte le mie scivolate linkediniane ho purtroppo dovuto limitare il tempo a disposizione per scrivere, ma spero di riuscire a riprendere tra un po. del resto questo è un primo tentativo (non scrivevo sul mio blog da un sacco di tempo).

Cercherò di essere più presente, per me ovvio 🙂

Che faccio domani:

Non cercatemi non garantisco risposte, ho preso il giorno di ferie e mi concedo un ristorante con la mia signora. non offendetevi quindi se non rispondo. nNon condivido il ristorante in anticipo perchè non amo firmare autografi, la fama è una croce lo so!

Ma poi magari dirò se mi sono trovato bene al ristorante.

Ultime considerazioni

Di Afghanistan, Information Security probabilmente scriverò più avanti. Di vaccini, pandemia e green pass invece no, mi rifiuto. Da un lato perchè ho le mie opinioni ma non sono un esperto (lo ammetto non sono un tuttologo) dall’altro perchè nel 99% delle cose che ho letto trovo che l’approccio sia (da tutti i lati) esattamente quello che ritengo non si dovrebbe mai fare: dare valori morali preconcetti, usare un metodo antiscentifico, usare riferimenti e citazioni “ad cazzum” (“a mentula canis” per i latinisti) e non confrontarsi mai sulla realtà ma su pezzettini parziali. Esattamente come politica, geopolitica, information security

RIP Gino

Vorrei terminare con un pensiero per Gino Strada.

Non c’entra col mio prossimo compleanno, ma centra molto con rispetto ed ammirazione.

Esiste gente che parla, e gente che fa. Gino era uno che faceva, ma nella logica delle contrapposizioni ideologiche non si può dare onore.

Purtroppo al solito il mondo social è riuscito a dare il peggio di se, e se non posso certo aspettarmi che soggetti come Gasparri mostrino dispiacere (sarebbe stato quantomeno imbarazzante ed ipocrita), certe grida di ammirazione pelose bipartisan ora sono per lo meno curiose da soggetti che non hanno mai dismostrato affinità alcuna con il suo lavoro.

Mah sicuramente loro avranno ragione, visto che io ho sicuramente torto.

Un saluto a tutti e a presto