Utilizzare protocolli di comunicazione sicuri per evitare di essere spiati

Spesso, quando si utilizzano connessioni Wi-Fi, si scambiano dati su un canale insicuro. In molti casi, infatti, le reti Wi-Fi pubbliche o quelle messe a disposizione da alcuni provider, non dispongono di sufficienti misure di sicurezza.

In contesti simili, si dovrebbe – come regola generale – evitare l’utilizzo dei protocolli di comunicazione riportati in rosso mentre sarebbe bene preferire i protocolli “sicuri” evidenziati in verde.

Protocolli insicuri	Protocolli sicuri
HTTP	HTTP abbinato ad SSL
POP (porta TCP:110)	POP + SSL (porta TCP:995)
IMAP (TCP:143)	IMAP + SSL (TCP:993)
SMTP (TCP:25)	SMTP + SSL (TCP:465)
FTP	FTPS o SFTP
Telnet	SSH (non basato su SSL ma concettualmente similare)
PPTP VPN	PPTP su SSTP VPN
ICQ	Clienti di messaggistica istantanea configurato per l’uso di SSL Skype (uso di PKI proprietario) Uso di SSL-VPN, L2TP (impiego di certificati digitali lato server e lato client), IPSEC (certificati digitali lato server e lato client oppure utilizzo di chiavi scambiate inizialmente), tunneling SSH VPN.

Per l’utilizzo dei protocolli di comunicazione “sicuri”, è necessario utilizzare – lato server – solo certificati digitali firmati e riconosciuti da parte di autorità come VeriSign, Entrust, GeoTrust, GoDaddy. L’uso di certificati creati autonomamente oppure già scaduti è assolutamente sconsigliabile in quanto induce negli utenti una pratica pericolosa ovvero ignorare i messaggi d’allerta restituiti, ad esempio, dal browser.

Per attivare l’impiego della crittografia durante le comunicazioni tra client e server, nel caso della consultazione e dell’invio della posta elettronica, è sufficiente spuntare la casella che permette l’uso di SSL e specificare delle porte differenti per la posta in arrivo (POP3) e per quella in uscita (SMTP) rispetto alle impostazioni standard.
Nella figura sottostante sono riportate le opzioni accessibili dalla finestra Strumenti, Account, Impostazioni avanzate di Outlook Express/Windows Mail.

La finestra di Mozilla Thunderbird per la configurazione dei parametri server per la consultazione della posta in arrivo:

La possibilità di usare SSL per la ricezione e l’invio della posta elettronica, dipende dalla configurazione del server e-mail del provider Internet utilizzato.
Il servizio GMail di Google supporta entrambe le modalità. E’ però criticabile il fatto che, per l’accesso al servizio webmail e per la sua gestione, venga impiegato in modo predefinito il protocollo http e non https. Emblematica la dimostrazione pubblica tenuta da un famoso ricercatore di sicurezza che ha fatto notare come, non accedendo a GMail via https, un utente malintenzionato – collegato, ad esempio, allo stesso access point – possa assumere l’identità di un’altra persona divenendo in grado di leggere le sue e-mail, carpire dati personali memorizzati sui server di Google, inviare posta elettronica a suo nome.
E’ interessante far notare come digitando https://mail.google.com (sostituendo, quindi, manualmente, “https” ad “http”), tutte le comunicazioni tra client e server (e viceversa) che riguardano la gestione della webmail di Google vengano invece cifrate utilizzando SSL. Si tratta di un problema comune a molte realtà: la stragrande maggioranza degli utenti, così, si trova ad utilizzare modalità di connessione insicure.

Anziché consultare la posta elettronica via web, ricordiamo che Google GMail può essere utilizzato anche con qualsiasi client di posta. In questo caso, è indispensabile utilizzare una connessione SSL.
Le istruzioni per scaricare ed inviare la posta GMail da un normale client di posta, sono consultabili facendo riferimento a questa pagina.

Ad oggi i servizi che non supportano ancora HTTPS sono molti: tra questi citiamo Microsoft Hotmail, Yahoo Mail, MySpace, Facebook, Google Maps, Google Blogspot, Google Video, Youtube. Da apprezzare invece il vendor Salesforce che di default adotta https dando la possibilità aggiuntiva ai propri clienti di bloccare completamente le connessioni non-SSL.

Per cifrare il contenuto delle e-mail, invece, è possibile ricorrere all’uso di un certificato personale. Emesso – spesso gratuitamente – da un’autorità preposta, il certificato consente all’utente di codificare e firmare digitalmente i propri messaggi di posta elettronica garantendo in questo modo riservatezza, confidenzialità, autenticità, integrità e non ripudio delle comunicazioni trasmesse.
Segnaliamo due società che mettono a disposizione, gratuitamente, certificati digitali da utilizzare per la posta elettronica:
– Globaltrust
– Thawte
Tutti i client che supportano il formato S/MIME sono in grado di gestire i certificati digitali. MIME è l’acronimo di Multipurpose Internet Mail Extensions e fissa uno standard per il formato di un messaggio di posta elettronica. Ogni messaggio inviato attraverso un server SMTP è considerabile come in formato MIME. Le varie parti di un’e-mail ed, in particolare, le indicazioni MIME inserite al suo interno, specificano, ad esempio, il formato con cui viene inviato il messaggio (solo testo o html), la codifica utilizzata, eventuali allegati e così via. S/MIME (Secure Multipurpose Internet Mail Extensions) è uno standard per la crittografia a chiave pubblica e per la firma dei messaggi di posta elettronica che si inserisce all’interno delle specifiche di MIME.
S/MIME, originariamente sviluppato da RSA Security, fornisce la possibilità di autenticare, verificare l’integrità, garantire il non ripudio (utilizzando la firma digitale) e proteggere il messaggio (utilizzando la crittografia) trasmesso in Rete.