Compero online un biglietto aereo e il biglietto non arriva: lo ha fermato un software che dovrebbe proteggermi dal
malware. Invece blocca la posta "buona". Il problema è nella… "sicurezza" dei responsabili della sicurezza.
Il malware arriva sui nostri computer da due vie principali: pagine web modificate dalla pirateria informatica e gli allegati in messaggi di posta elettronica. Ci sono diversi sistemi per bloccarlo. Uno di questi è un componente che sta registrando una notevole diffusione. Si tratta del "Sender Policy Framework" (SPF). Di che cosa si tratta?
Sender Policy Framework è un semplice sistema di validazione delle email progettato per individuare tentativi di
email spoofing (contraffazione di indirizzi, camuffamento di file nocivi). SPF fornisce un meccanismo che consente di verificare che la mail in arrivo da un determinato dominio provenga da un
host autorizzato dagli amministratori del dominio di partenza. La lista degli host autorizzati ad inviare email da un determinato dominio è pubblicata nei record del Domain Name System (DNS) del dominio stesso, come un semplice testo. Poiché lo spam e il phishing spesso usano indirizzi del mittente falsi, la pubblicazione e la verifica del record SPF è anche una tecnica anti-spam.
Dunque SPF è un sistema che migliora la "reputazione" di un server di posta per un certo dominio, indicando da quali host si devono accettare mail e permette di identificare mail con il mittente falsificato.
Alcuni malware, fra cui almeno una famiglia di ransomware (quelli che cifrano i dati dell'utente e chiedono un
riscatto per restituirli in chiaro), cercano di eludere i sistemi di difesa utilizzando come mittente della mail un indirizzo a volte fasullo, ma appartenente al dominio della vittima.
Una tecnica di frode che usa il mittente falso è quella, tristemente famosa, del messaggio ricevuto apparentemente dall'amministratore delegato di un'azienda, che chiede al dipendente di fare qualche cosa: generalmente anticipare dei pagamenti, o inviare documenti riservati, o cose simili. Purtroppo la mail è fasulla e non è mai stata inviata dall'amministratore delegato. Una tecnica insidiosa, perché spesso, se la richiesta arriva da molto in alto, non ci si fanno domande e si esegue quanto richiesto, cadendo facilmente nella frode.
In questi casi l'utilizzo del record SPF ferma completamente tutti i tentativi.
Tuttavia ci sono numerosi problemi nell'adozione del SPF in molti siti, anche di
importanti organizzazioni multinazionali, a causa di errori di sintassi o di errata configurazione.
Il meccanismo di controllo prevede che in caso di errore si possa o ignorare il record, far finta che non esista e accettare qualsiasi mail senza ulteriori controlli, oppure rifiutare tutte le mail provenienti da quel dominio. Alcuni dei software che fanno questo controllo, proprio in un'ottica di sicurezza, adottano la seconda soluzione, anche perché così è più facile scoprire l'errore. Il server di posta infatti risponde che la mail non può essere ricevuta per via di un problema nel record SPF del mittente e di solito scrive anche il motivo.
In Italia, purtroppo, sono molti i domini che hanno problemi con il record SPF, il cui controllo restituisce un errore anche quando la mail è inviata da un mittente autorizzato ed sarebbe quindi valida. Ma ancor più gravi sono le risposte che si ottengono quando si segnala il problema a chi di dovere.
"Il problema lo ha sicuramente lei, perché noi usiamo exchange con il cloud di Microsoft e quindi siamo a posto".
Oppure: "Sono basito, mandiamo tantissime mail tutti i giorni e solo quelle destinate a lei non arrivano, evidentemente lei ha un problema". O ancora: "Lei solo fa controlli di questo tipo, tutte le nostre mail arrivano, metta a posto i suoi sistemi". Oppure: "Non abbiamo errori e non saprei a chi segnalare una cosa del genere; sistemi lei la cosa dalla sua parte". I più gentili si limitano a non rispondere alle segnalazioni. A me è capitato diverse volte di chiedere di essere richiamato da un tecnico, ma poi nessuno richiama. La correzione dell'errore richiederebbe
pochissimi minuti.
C'è anche un'importante compagnia aerea europea che ha il problema degli errori SPF. Nonostante sia stato loro segnalato mediante mail, a voce al telefono, più di una volta nell'ultimo anno e mezzo, non hanno inoltrato la segnalazione al loro reparto informatico e l'errore non è stato corretto.
Quando provate a comprare un biglietto aereo e il biglietto non vi arriva, l'operatore della compagnia vi dice al telefono: "A volte le mail non arrivano, ha una mail alternativa, ad esempio su Google che la fa arrivare sempre?".
Questa non è una soluzione. Si possono adottare configurazioni dei sistemi per cui le email vengano inviate solo ai server del proprio dominio, o a pochi gateway sicuri. Così i record SPF potrebbero essere tutti più semplici e quindi con
meno errori.
Bisogna smetterla di fare le cose senza un progetto e senza una seria revisione, ma semplicemente aggiungendo pezzi su pezzi a sistemi esistenti. Certo, fare progetti richiede tempo e preparazione, non si può improvvisare.
Ma soprattutto è deprimente vedere con quale "sicurezza" certe persone non si degnano di spendere
cinque minuti per fare o far fare un controllo, e in altrettanti pochi minuti sistemare un problema una volta per tutte. Preferiscono accusare di incompetenza chi segnala un problema, senza capire che così facendo fanno perdere tempo ai dipendenti/colleghi e quindi contribuiscono a mantenere alti i costi interni, piuttosto che correggere un errore.
* Ingegnere, consulente in sicurezza informatica
- email: security [AT] gelpi.it
|