Mytech

Email in pericolo, ecco come renderle sicure

Una falla permetteva a chiunque di autenticare gli account Gmail, Microsoft e Yahoo. Accorgimenti per proteggersi

Anche PayPal, Amazon e Twitter nel DKIM-gate Credits: gerlos, Flickr

Il DomainKeys Indentified Mail, meglio conosciuto come DKIM, è un metodo di sicurezza con il quale un dominio (e relativo nome utente) viene associato all'email, come se fosse una firma autentica di quello che è stato scritto e spedito.

Associata alla firma digitale, il DKIM è il metodo migliore con cui verificare se un messaggio di posta elettronica è legittimo o meno, cioè inviato realmente da quella persona. La verifica incrociata di server, indirizzi e messaggio, consente di validare l’email inviata che, se non verificata, viene messa nello spam o "posta indesiderata".

Questo metodo dovrebbe funzionare sempre, eliminando così la probabilità che arrivino agli utenti email truffa, soprattutto da indirizzi importanti come quelli di istituti bancari o postali. Il condizionale che abbiamo utilizzato è d’obbligo visto che è stato scoperto che i principali fornitori di servizi mail, quali Google, Microsoft e Yahoo hanno tappato, solo di recente, una pericolosa falla nel sistema DKIM.

Il buco riguardava l’utilizzo dei codici DKIM solo in maniera parziale.

Per fare un esempio è come avere a casa una porta di ingresso con doppia serratura ma, invece di utilizzarle entrambe, limitarsi a chiuderne solo una. Tecnicamente il sistema DKIM prevede che i fornitori di servizi email utilizzino una chiave di cifratura almeno a 1.024 bit. Un matematico statunitense ha invece scoperto che le aziende più importanti utilizzano il DKIM solo con chiavi da 512 bit, al massimo 768. Tra questi non solo i tre colossi sopra citati ma anche PayPal, Amazon, eBay, Twitter, LinkedIn ed Apple. Lo statunitense Zachary Harris ha capito il problema quando ha ricevuto una mail con dominio Google. Facendo un po’ di indagini ha capito che il vero mittente aveva utilizzato la falla nel DKIM per verificare indirizzo , server e messaggio. Scoperto l’inghippo il matematico ha inviato una mail alla vera Google per mettere a conoscenza gli sviluppatori del problema. Per farlo ha utilizzato un metodo molto calzante: ha bucato egli stesso il sistema DKIM inviando il messaggio a Larry Page con firma Sergey Brin e viceversa, portando la prova concreta della sua affermazione.

Sembrerebbe che i criminali informatici abbiano imparato ad utilizzare diversi metodi per ingannare l’utente. I problemi non sarebbero legati solo all'utilizzo di password deboli o facilmente individuabili, ma anche a falle esistenti a monte, a insaputa dei navigatori. Le aziende hanno risolto il problema ma non è detto che anche altre lo abbiano fatto.

Allora come fare a proteggersi? Il suggerimento migliore è sempre lo stesso: non cliccare su link inseriti direttamente nei messaggi di posta elettronica, soprattutto se arrivano da indirizzi e persone che non conoscete personalmente. Il ventaglio di truffe inviate per email è davvero ampio: si va da quelli che puntano su comunicazioni finanziarie fino a quelle sui social network, passando per offerte commerciali e scontri promozionali.

Soprattutto gli istituti bancari ci tengono a far sapere, periodicamente, che dai loro uffici non partono mai comunicazioni dirette ai clienti dove suggeriscono di accedere ai conti online per verificare accrediti, addebiti o movimenti strani. In caso di verifiche sono gli stessi operatori a contattare gli utenti, preventivamente via telefono e solo dopo tramite email, ma sempre per comunicazioni già effettuate con altri mezzi, anche tramite posta cartacea.

Già seguire questa precauzione può servire a dimezzare la percentuale di email fasulle e obsolete che si ricevono ogni giorno. Resta il problema dell’ingresso di un criminale informatico nel vostro account, magari per spiare le conversazioni fatte con amici, colleghi e familiari, per capire i punti deboli e gli interessi, utilizzabili per la frode telematica. Se molti fornitori di servizi email hanno introdotto modalità più sicure per accedere alla propria casella di posta (come la doppia verifica di Gmail) è sempre utile tenere presente alcuni accorgimenti per evitare un ingresso fin troppo facile agli estranei.

Ad esempio si può cercare di rendere praticamente impossibile l’individuazione della propria password e relativa domanda di sicurezza (molto utilizzata per cercare di intrufolarsi nell'altrui account). Sul versante password bisogna evitare le classiche sequenze numeriche, anno di nascita e codice fiscale (qui la lista delle più utilizzate ); se l’hacker dovesse entrare perché avete utilizzato una data importante per voi, che riguarda i vostri dati sensibili, prenderebbe due piccioni con una fava, avendo accesso non solo all'account ma anche a dati personali importanti.

Per quanto riguarda la risposta alla domanda segreta è un buon metodo quello di inserire una frase che non è direttamente collegabile alla domanda o che lo sia solo per voi. Se inserite “Qual è il tuo album preferito” potreste digitare la vostra canzone preferita, oppure invece del “nome del gatto” mettere quello del cane o di un altro animale domestico in vostro possesso.

Sembrano metodi vecchi e non validi, ma spesso sono proprio questi a impedire un primo accesso agli estranei. Un altro suggerimento, sia per la digitazione della password che per la risposta alla domanda segreta, è quello di utilizzare i numeri al posto delle vocali nelle frasi scelte. Così “casa mia” diventa “c4s4 m14” oppure “dove lavoro” si può scrivere “d0v3 l4v0r0”. Insomma siate creativi, unici e non prevedibili. Le stesse qualità che deve avere chi vuole fregarvi.

Seguimi su Twitter: @Connessioni

© Riproduzione Riservata

Commenti