Lo diciamo subito: non c’è una falla nella sicurezza dello Stato.
Come sempre, la verità sta nel mezzo.
Cybersecurity Italia ha raccolto i commenti dell’informatico Andrea Mavilla, che ha falsificato – non clonato (poi spiegheremo la grande differenza) – l’email di Giorgia Meloni, quella della Camera dei Deputati @camera.it. Poi ha ascoltato altri esperti di cybersicurezza e di informatica forense per provare a unire tutti i punti della vicenda pubblicata da fanpage con l’obiettivo di fornire un’informazione tecnica, chiara e esaustiva ai lettori.
Clonata l’email di Giorgia Meloni? No, è stata falsificata
Primo punto. Non è stata clonata l’email della Premier Giorgia Meloni, qui si sta parlando della falsificazione dell’email, tecnicamente, di email spoofing o impersonificazione del mittente. Con la clonazione, invece, si avrebbe avuto la possibilità di essere “dentro” l’indirizzo email e leggere tutti i messaggi ricevuti e inviati. Non è questo il caso.
Andrea Mavilla, nel replicare con successo l’email meloni_g@camera.it, ha mostrato e dimostrato (e tuttora ce n’è ancora bisogno, nonostante l’email spoofing sia conosciuto dagli esperti dalla metà degli anni ’90) che è possibile far recapitare il messaggio, inviato da un server esterno e malevolo, da un sender che è diverso rispetto al nome e al dominio del mittente. Arriva l’email da meloni_g@camera.it, ma non è stata la Premier ad inviarla!
“Ho dimostrato la vulnerabilità di alcuni provider e ho usato anche Microsoft per inviare queste email. È sufficiente implementare i protocolli SPF, DKIM, DMARC con policy reject per evitare di ricevere questo tipo di email”, ha detto Mavilla a Cybersecurity Italia.
Questi tipi di messaggi possono essere esche per truffe informatiche e per impossessarsi di informazioni sensibili. Ma solo se il destinatario fornisce questi dati cliccando su link presenti nel corpo dell’email o digitati su altri siti web, visualizzati dopo il clic. Quindi, poi siamo di fronte al tradizionale phishing contro cui mettere in campo le principali buone pratiche, come non fornire mai dati sensibili e finanziari via email.
Infine, rispondendo alla mail “impersonata”, il messaggio arriva al vero mittente, non al truffatore, a meno che non inserisca un campo “reply-to” che devia la risposta verso altro indirizzo, mostrandolo, però, a chi sta rispondendo.
Falsificazione dell’email di Meloni, i commenti degli esperti
Ma se la richiesta viene dalla Premier o da altri indirizzi email istituzionali, come quelli dei parlamentari di Camera e Senato?
La risposta è tecnica, molto. Ma è la chiave per capire bene la vicenda, che può aver destato preoccupazione in molti lettori non esperti del settore.
La dimostrazione effettuata da Andrea Mavilla, e che quindi può fare qualsiasi criminale informatico, può avere successo solo se i domini dei mittenti non forniscono le informazioni previste dai protocolli di sicurezza standard a livello internazionale (come SPF, DKIM e DMARC) e i domini dei destinatari non utilizzano queste informazioni per validare la posta elettronica in ingresso attraverso i propri sistemi anti-spam.
“Questi protocolli”, ci ha spiegato l’esperto di cyber-sicurezza Emanuele De Lucia, “venivano implementati saltuariamente fino a qualche anno fa”. “Ora, i domini email governativi, aziendali e dei grandi provider di posta sono, generalmente, protetti da questi protocolli“, ha aggiunto, “e sono questi sistemi di controllo che mirano, esattamente, ad identificare i messaggi inviati con la tecnica dell’email spoofing, bloccandoli o ‘marcandoli’ come fraudolenti prima che possano raggiungere la casella di posta del destinatario”.
Quanto riferito da De Lucia è stato dimostrato anche dall’esperto di informatica forense Paolo Dal Checco: “Ho generato la stessa identica mail di spoofing inserendo come mittente l’indirizzo meloni_g@camera.it e l’ho inviata a due miei indirizzi, Google Workspace e Microsoft MS365”.
“Posso confermare”, ha scritto Dal Checco, “che i miei due account non mostrano in inbox la mail ‘clonata’ e neanche è finita nello spam: è stata cancellata dai server”.
“Tanto che”, ha aggiunto, “per scoprire che fine ha fatto ho dovuto accedere alle console di reporting Google Email Log Search” e Microsoft Message Trace, verificando come si vede nelle due immagini che essendo fallite le verifiche DMARC, SPF e DKIM il messaggio è stato rifiutato”.
Come mettere in sicurezza l’email, la guida di ACN con il framework di autenticazione
Ad agosto scorso, l’Agenzia per la Cybersicurezza Nazionale ha pubblicato questa guida in cui mostra come implementare il framework di autenticazione basato sui 3 protocolli standard: SPF, DKIM e DMARC.
DMARC (Domain-based Message Authentication, Reporting & Conformance) è un protocollo che consente ai proprietari di un dominio di specificare come i server destinatari devono trattare i messaggi che falliscono i controlli SPF e DKIM. Se configurato correttamente, DMARC riduce drasticamente la possibilità che e-mail fraudolente vengano recapitate con successo.
DMARC si basa sull’integrazione di due tecnologie fondamentali:
SPF (Sender Policy Framework) verifica, tramite l’interrogazione di un record DNS, che il server di invio della email sia autorizzato a farlo per conto del dominio.
DKIM (DomainKeys Identified Mail) firma digitalmente i messaggi tramite crittografia asimmetrica. Il destinatario può verificarne l’autenticità tramite la chiave pubblica reperibile in uno specifico record DNS del dominio mittente.
L’integrazione di SPF e DKIM protegge il dominio da usi non autorizzati. Se i controlli falliscono, il server ricevente può applicare le policy definite dal dominio mittente (none, quarantine, reject) e inviare report diagnostici.
La prima campagna massiva di email spoofing risale quantomeno al 1995 (il caso America Online AOL): non c’è una falla nella sicurezza dello Stato
Per uscire, per un attimo, dal tecnicismo, è chiaro che non c’è una falla nella sicurezza dello Stato. Né una vulnerabilità sistemica. Qui si sta sfruttando una caratteristica del protocollo SMTP di invio delle email e per curare questa “falla” oggi occorre, necessariamente, mettere i “cerotti”, che sono i protocolli SPF, DKIM e DMARC e impostare il dominio con la configurazione “p=reject”, come indicato da Mavilla, Dal Checco e De Lucia.
L’email spoofing e le altre tecniche di phishing
L’email spoofing, ovvero la falsificazione esatta dell’indirizzo email di un’organizzazione ottenuta tramite impersonificazione del mittente, oggi infatti non rappresenta più la minaccia principale per le infrastrutture governative e aziendali. La sua efficacia è stata drasticamente ridotta dall’adozione di protocolli di autenticazione come SPF, DKIM e DMARC, che permettono ai server di posta di verificare e bloccare i messaggi non autorizzati. Per questo motivo, le tattiche di phishing si sono evolute. Anziché tentare uno spoofing diretto, oggi gli attaccanti preferiscono registrare domini “lookalike”, ovvero molto simili a quelli originali (es. governo.site invece di governo.it), e spesso li abbinano allo spoofing del nome visualizzato per aumentare l’inganno. Senza considerare ulteriori filtri applicati da eventuali Secure Email Gateways (SEG), un’email inviata da un dominio lookalike ha buone probabilità di superare i controlli di autenticazione di base, spiega De Lucia. Questo accade perché l’attaccante, avendo la piena proprietà del dominio malevolo, può configurare correttamente i record SPF per autorizzare i propri server di invio e le chiavi DKIM per firmare crittograficamente i messaggi. Di conseguenza, dal punto di vista tecnico del server ricevente, l’email risulta autentica per il dominio da cui dichiara di provenire. L’autenticazione ha successo, e l’email viene consegnata.
In conclusione, cosa insegna la vicenda
In conclusione, cosa insegna la dimostrazione di Andrea Mavilla? Occorre sempre alzare le difese cyber e non darle mai per scontato. E affidarsi, quotidianamente, agli esperti di cybersecurity, perché la cybersicurezza si costruisce, giorno dopo giorno, insieme con una responsabilità collettiva.
Per approfondire:
