Che materia stai cercando?

Sicurezza della Posta Elettronica - Appunti Appunti scolastici Premium

Descrizione sintetica del concetto di sicurezza della posta elettronica: come funziona, i rischi, gli attacchi più comuni e i sistemi per prevenire l'intrusione di terze parti, per la facoltà di informatica, università Milano Bicocca, corso di Sicurezza informatica del professor Ferretti.

Esame di Sicurezza informatica docente Prof. C. Ferretti

Anteprima

ESTRATTO DOCUMENTO

Sicurezza della Posta Elettronica

1. Introduzione

Oggi giorno uno dei mezzi più conosciuti e diffusi per la comunicazione è quello della posta

elettronica. Questo servizio è nato, come tutti i sistemi di comunicazione umana, con l’intento

di semplificare il sistema di comunicare in tutto il mondo, renderlo più efficiente e produttivo,

libero e semplice da usare. D’altra parte, anche la posta elettronica è divenuta oggetto di

un’infinità di usi illeciti ai quali si è dovuto porre rimedio. Si sente comunemente parlare di

spam, di sniffing, e, in tutte queste attività illecite, la posta elettronica è il mezzo in cui, in

parte, queste attività vengono compiute.

2. Il sistema di posta elettronica

L’e-mail (Electronic Mail) è un servizio internet grazie al quale ogni utente può inviare e

ricevere messaggi. Ciascun utente può possedere una o più caselle di posta elettronica, sulle

quali riceve messaggi che vengono conservati. A ciascuna casella sono associati uno o più

indirizzi di posta elettronica; questi hanno la forma nomeutente@dominio, dove nomeutente è

un nome scelto dall'utente o dall'amministratore del server, che identifica in maniera univoca

un utente (o un gruppo di utenti), e dominio è il nome del server DNS, che si occupa dell’invio e

della ricezione dei messaggi.

I componenti fondamentali del sistema di posta elettronica sono:

- i client (detti Mail User Agent), utilizzati per accedere ad una casella di posta elettronica

e per inviare messaggi;

- i server, che svolgono due funzioni fondamentali: immagazzinare i messaggi per uno o

più utenti, e ricevere i messaggi in arrivo ed in partenza e smistarli.

L’SMTP (Simple Mail Transfer Protocol) è il protocollo standard per la trasmissione via internet

di e-mail. È un protocollo relativamente semplice, in forma testuale, nel quale vengono

specificati, verificata la loro esistenza, uno o più destinatari di un messaggio, per poi in seguito

inviarlo. SMTP è un protocollo che permette soltanto di inviare messaggi di posta, ma non di

richiederli ad un server: per fare questo il client di posta deve usare altri protocolli, quali il POP3

(Post Office Protocol) e l'IMAP (Internet Message Access Protocol). 1

3. E-mail sicure

Lo standard di sicurezza ISO stabilisce che affinché il sistema di posta elettronica sia sicuro,

deve possedere i seguenti requisiti:

- riservatezza, ovvero la protezione della privacy

- integrità, cioè la certezza che i messaggi non siano modificati durante il trasporto

- disponibilità, risorse e servizi devono essere protetti da interruzioni non autorizzate

- autenticità, cioè il destinatario deve poter verificare l’identità del mittente

- non ripudio, ovvero il mittente di un messaggio non può negare di averlo inviato.

Purtroppo nella realtà la posta elettronica non risponde a questi requisiti, in quanto:

- i messaggi sono trasmessi in chiaro

- il messaggio può essere modificato durante il percorso

- nessuno può assicurare che un messaggio venga effettivamente ricevuto dal

destinatario

- la falsificazione del mittente è alla portata di chiunque

- è difficile poter dimostrare che un messaggio sia stato effettivamente inviato da quel

mittente.

Cominciamo ad esaminare i rischi sulla sicurezza a partire dalla richiesta più importante: la

riservatezza. 2

4. Intercettazione di una e-mail

La posta elettronica è soggetta agli stessi rischi di intercettazione come accade per altri

spostamenti nella rete: nel momento in cui un’e-mail transita in rete può essere aperta e

dunque letta da ogni intercettatore. 1

Lo sniffing è un’operazione di intercettazione passiva dei dati che viaggiano attraverso una

rete di comunicazione. Tale attività può essere svolta per scopi legittimi (ad esempio

l’individuazione di problemi di connessione) ma anche per scopi illeciti (intercettazione di

password o altri dati sensibili). I prodotti software utilizzati per eseguire queste attività vengono

detti sniffer (talora posizionati illecitamente su un sistema di proprietà di un utente

inconsapevole) ed oltre ad intercettare e memorizzare il traffico offrono funzionalità di analisi

del traffico stesso, in modo del tutto trasparente.

Il modo più semplice per ottenere l’importante requisito della riservatezza durante l’invio di

e-mail è l’utilizzo di programmi di crittografia. L’algoritmo di cifratura con chiave simmetrica

(come DES o AES) è il più semplice, ma si scontra con la fondamentale difficoltà di distribuire la

chiave simmetrica in modo che solo mittente e destinatario ne abbiano una copia. Così,

consideriamo un approccio alternativo: la crittografia a chiave pubblica, usando per esempio

RSA. Purtroppo, la cifratura a chiave pubblica è relativamente inefficiente, in modo particolare

per messaggi molto lunghi (come le e-mail che contengono allegati, immagini, audio e video).

Il PGP (Pretty Good Privacy) e l’S/MIME (Secure/Multipurpose Internet Mail Extensions) sono i

due sistemi di sicurezza per la posta elettronica attualmente specificati come standard dal

National Institute of Standards and Technology (NIST), e sono anche disponibili per i più diffusi

software di gestione delle e-mail come Outlook, Outlook Express, Eudora, Netscape

Communicator e altri ancora. Questi prodotti proteggono le e-mail dalle workstation client

attraverso mail agents e fino alla workstation del destinatario. Questo tipo di protezione viene

considerata end-to-end ovvero dal mittente al destinatario.

PGP è un programma di crittografia a chiave pubblica che utilizza RSA, IDEA e MD5 per firmare

e crittografare i messaggi. S/MIME è molto simile a PGP, offre gli stessi servizi, ma adotta

formati diversi ed incompatibili. Diversamente da PGP che usa una gestione “utente-centrica”

2

delle chiavi pubbliche (il cosiddetto web of trust), l’S/MIME necessita di certificati che per

essere validi devono essere “firmati” da una Certification Authority (CA), che compie diverse

operazioni di autenticazione e validazione del richiedente fino al rilascio di un certificato

digitale. L’uso dei certificati permette anche il riconoscimento del mittente (autenticità).

5. Alterazione di una e-mail

Una delle proprietà di sicurezza che desideriamo avere all’interno di un sistema informatico, è

quella che riguarda l’integrità dei messaggi che vengono scambiati. Questo perché, nonostante

i messaggi vengano crittografati, e dunque resi illeggibili a persone terze, è sempre possibile

che un attaccante intercetti un messaggio e ne modifichi in maniera casuale i bit,

compromettendolo irreversibilmente. È chiaro che se chi riceve il messaggio che è stato

1 Attacco passivo: l’intruso accede al contenuto di un messaggio, senza alterarlo. Viceversa, se

l’intruso altera un messaggio o invia un messaggio spacciandosi per un altro mittente, si parla

di attacco attivo.

2 Certificato digitale: documento elettronico che associa l’identità di una persona ad una chiave pubblica. Viene

emesso da un’autorità di certificazione riconosciuta secondo standard internazionali, e viene firmato con la chiave

privata dell’autorità. Gli enti che fanno da autorità devono sottostare a regole rigidissime per quanto riguarda la

gestione dei dati personali, pertanto si possono considerare sicuri. 3


PAGINE

7

PESO

239.04 KB

AUTORE

loreld06

PUBBLICATO

+1 anno fa


DETTAGLI
Corso di laurea: Corso di laurea in informatica
SSD:
A.A.: 2011-2012

I contenuti di questa pagina costituiscono rielaborazioni personali del Publisher loreld06 di informazioni apprese con la frequenza delle lezioni di Sicurezza informatica e studio autonomo di eventuali libri di riferimento in preparazione dell'esame finale o della tesi. Non devono intendersi come materiale ufficiale dell'università Milano Bicocca - Unimib o del prof Ferretti Claudio.

Acquista con carta o conto PayPal

Scarica il file tutte le volte che vuoi

Paga con un conto PayPal per usufruire della garanzia Soddisfatto o rimborsato

Recensioni
Ti è piaciuto questo appunto? Valutalo!

Altri appunti di Corso di laurea in informatica

Algoritmi e ricerca operativa - Appunti
Appunto
Paradigmi Concorrenti - Appunti
Appunto
Algoritmi e Strutture Dati con domande riassuntive
Appunto
Appunti logica proposizionale e predicativa
Appunto