L’email non è sicura. Mito o realtà?

Mobile, Privacy, Sicurezza

Sappiamo tutti che l’email non è sicura, giusto? Uno strumento di cui è meglio non fidarsi per cose importanti, corretto? Sì, questa è l’opinione comune sulla sicurezza dell’email. Ma è corretto? L’email è veramente così insicura come si pensa? Vediamo di analizzare la questione un po’ più in profondità.

L’email è uno dei servizi ‘vecchia scuola’ che usiamo ancora oggi. È stata creata durante un’epoca in cui Internet era un ambiente sicuro e fidato, e il crimine informatico era solo fantascienza. E come è immaginabile, i protocolli base di scambio delle email erano privi di sicurezza quasi completamente. Quindi la mentalità diffusa che l’email sia insicura si fondava su solide certezze.

Ma i tempi stanno cambiando. Snowden ha mostrato che le agenzie di intelligence stanno realmente traendo grossi benefici da qualsiasi cosa trovino su Internet. E questo ha portato a uno dei più rapidi processi di cambiamento nella storia di Internet, lo sviluppo della crittografia. I trasferimenti di email hanno ancora problemi di sicurezza evidenti, ma stiamo usando protezione ad altri livelli. Quindi la questione se l’email è sicura non è più così semplice.

Ma prima di tutto dobbiamo definire cosa significa sicurezza. La gente tende a pensare in modo istintivo alla confidenzialita quando parliamo di sicurezza dell’email. Ciò significa che i messaggi inviati e ricevuti devono rimanere confidenziali e non a disposizione di sconosciuti. Questa è certamente una problematica centrale, ma non è l’unica. E dobbiamo ricordare che confidenzialita significa di più che solo proteggere il contenuto dei messaggi. I metadata, le informazioni circa le persone con cui comunichiamo e quando, devono essere importanti e sensibili così come i contenuti.

Altra problematica centrale è l’integrità. Posso fidarmi che un messaggio che ricevo sia corretto e inalterato? E specialmente per le email, posso fidarmi che il mittente sia veramente chi dice di essere? L’autenticazione del mittente, o la sua assenza, è attualmente la più grande problematica di integrità dell’email.

Quindi quanto è sicura l’email oggi? Prima partiamo dalla parte più semplice, l‘integrità. Nessun miglioramento su questo fronte. È ancora semplice contraffare il campo del mittente di un messaggio. Puoi facilmente far sembrare che provenga da qualsiasi indirizzo, e far sì che le risposte vengano inviate a una qualsiasi email tu voglia. Questo è ampiamente utilizzato dai truffatori e non esiste una cura oggigiorno. Dobbiamo solo imparare come convivere con questo ed essere sospettosi riguardo alle email che riceviamo.

Ma la confidenzialità? Qui abbiamo qualche significativo progresso. Gli attuali protocolli di trasferimento email, come POP, IMAP e SMTP, sono ancora fondamentalmente insicuri. Ma il traffico Internet viene sempre più inviato dentro “tunnel” crittografati. Protocolli come SSL e TLS abilitano i dispositivi su Internet a impostare connessioni crittografate e a scambiare dati in sicurezza. Le email che invii e ricevi sono sempre più trasferite dentro questi tunnel virtuali. Quasi tutte le connessioni tra il tuo dispositivo e il tuo server email sono già protette. E una larga porzione di traffico tra i server di posta è protetta anch’essa.

Quindi cosa significa questo in pratica? Dipende molto da chi sei tu e quali esigenze di sicurezza hai. Riassumiamo in alcuni semplici suggerimenti.

  • Mai fidarsi del mittente di un’email. È facile contraffare le email e le truffe di questo tipo sono molto comuni. I filtri per lo spam catturano qualche scam, ma non tutti. Quindi devi imparare a riconoscere le email di scam.
  • I server email sono piuttosto al sicuro dai criminali informatici. Ma tu rappresenti solitamente l’elemento più debole nella protezione delle tue email. I truffatori possono ottenere l’accesso alle tue email usando spyware sul tuo dispositivo o entrando nel tuo account email con la tua password. Accertati che i tuoi dispositivi siano sempre puliti, impara a riconoscere le email di phishing e usa password forti per i tuoi account email.
  • Le aziende che ricavano fatturato dal marketing vorranno eseguire una scansione della tua posta per cercare dati interessanti per profilarti. Questa può non rappresentare una minaccia diretta, ma questo genere di profilazione è inquietante a livello generale. E sì, Google e Gmail operano così.
  • Le autorità possono ottenere l’accesso al tuo traffico email dai service provider. Quanto facilmente, dipende dalla legislazione presente nel paese dove il server della tua posta risiede. Questo non è tuttavia un grosso problema in realtà per normali cittadini rispettosi della legge.
  • La sorveglianza di rete non è usata solo per combattere il crimine e il terrorismo. Se ne abusa ampiamente anche per altri scopi, come lo spionaggio industriale. Mai affidarsi all’email per segreti di stato o informazioni importanti di business.
  • L’email è un vettore comunemente usato per attacchi malware. Impara a essere sospettoso verso file allegati e link presenti nelle email.
  • Puoi usare add-on per crittografare il contenuto delle tue email. Sono molto sicuri se usati nel modo corretto, ma tipicamente lasciano i tuoi metadati aperti. Ulteriori sforzi di protezione, possono essere un’opzione per chi ha speciali esigenze di sicurezza. PGP e S/MIME sono buoni esempi.
  • Un altro approccio se hai bisogno di una sicurezza più forte è passare a un servizio di posta elettronica del tutto sicuro. Ci sono molte informazioni a riguardo in rete.

Possiamo concludere dicendo che l’affermazione che l’email non è sicura è un mito. Non è certamente un servizio da usare per informazioni riservate. Ma gli utenti privati non hanno così tanto da temere quando usano l’email, almeno non dal punto di vista della confidenzialità. Le tue email possono finire nelle mani sbagliate, ma sarà solo colpa tua se accade. Le perdite di dati potranno essere causate da un’infezione malware sul tuo dispositivo, una password debole o dall’abboccamento a un attacco di phishing. Non da una scarsa sicurezza dell’email stessa.

Puoi facilmente prendere decisioni consapevoli relativamente al tuo traffico email privato. E’ sempre bene essere a conoscenza delle problematiche di sicurezza e tenerle in considerazione quando si progettamo sistemi. Ma un’estrema sicurezza può essere in certi casi addirittura controproducente. Non puntare mai a una sicurezza totale: impara a conoscere le minacce e a implementare un livello di sicurezza adeguato.

Articolo tratto da “e-mail is insecure – fact or myth?” di Mikael Albrecht, Security Specialist dei Laboratori F-Secure.

0 Commenti

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Potrebbe anche interessarti

%d blogger hanno fatto clic su Mi Piace per questo: