The email Files: Blocklisting, la sottile arte di farsi del male da soli

Nel post precedente ho iniziato a dissertare della gestione della posta elettronica soffermandosi sul problema annoso delle safelist (allowlist, whitelist o come preferite chiamarle).

Non sarebbe una trattazione esaustiva se non affrontassi il duale delle safelist, le blocklist.

Se ricordiamo la genesi della safelist questa è legata ai uno dei due problemi legati ai filtri di sicurezza che qui riporto per completezza:

1) il filtro non blocca qualcosa che dovrebbe bloccare (ci si riferisce a questa evenienza come falso negativo)
The email Files

2) il filtro blocca qualcosa che non andrebbe bloccato (ci si riferisce a questa evenienza come falso positivo)
The email Files

Ora nel primo capitolo mi sono soffermato sul secondo punto come origine delle safelist, adesso come seconda uscita mi sembra opportuno di occuparmi del primo punto che dà origine al fenomeno delle “blocklist” .

Il problema che vogliamo indirizzare è quello del “falso negativo” che soffre di problematiche affini a quello del falso positivo di cui abbiamo parlato nel post precedente.

Certo un falso negativo può avere un effetto psicologico devastante sul ipreparato ricettore di tale oggetto:

Immaginiamoci la scena di sgomento quando un utente riceve una mail la cui sola presenza è origine di panico e terrore tremebondo. Immaginiamoci la giusta ira di coloro che a fronte dei potenti mezzi messi a disposizione dalla tecnica comunque riceve qualcosa che, nelle migliori ipotesi, non dovrebbe arrivare in casella.

Come proteggersi? possiamo fare qualcosa? Riusciamo a sopperire a tali tremebonde evenienze?

è difficile, ma per fortuna l’universo ci ha fornito uno strumento dai poteri quasi magici per affrontare il problema: le blocklist

Blocklist: cosa è

Il significato di una blocklist è quello di creare una serie di regole che bloccano le email basandosi sull’indirizzo del mittente.

Credo sia chiaro ai più che questo approccio ha senso solo se il mittente manda solo ed esclusivamente messaggi malevoli.

Questa evenienza è estremamente rara se consideriamo le email malevole: difficilmente un threat actor registra un dominio ed usa email dedicate in maniera statica.

Certo sarebbe bello se i cattivi fossero così gentili da usarci la cortesia di mandare messaggi malevoli usando email del tipo spam@evilactor.org ma, credeteci o meno, così non è.

Allora cosa finisce dentro una blocklist?

Email scappate ai filtri con basso profilo di pericolosità e media persistenza quali:

Email di spam
Email di marketing che l’utente si dimentica di aver sottoscritto

Questo tipo di messaggio è tipicamente segnalato dall’utente che, come è noto, ha poca dimestichezza o comprensione di cosa sia in realtà una email o la sua pericolosità.

Per evitare di generare errori queste blocklist andrebbero portate, esattamente come le safelist, il più vicino all’utente. In altre parole, gli utenti dovrebbero poter gestire in maniera autonoma (e solo per le mail a loro indirizzate ovviamente) questo livello di blocco.

Email scappate ai filtri con alto profilo di pericolosità ma bassissima o one shot persistenza quali

spoofing illegale di email o domini legittimi scappati
email provenienti da account legittimi ma compromessi

Purtroppo, la seconda categoria di email finisce molto raramente nelle blocklist ed il motivo sembra essere legato al fatto che riconoscere tali email non è facile nemmeno per un occhio semi esperto, figuriamoci un utente standard.

Ma anche nel caso queste fossero riconosciute è difficile che tali mittenti rimangano compromessi a lungo. I criminali tendo a cercare di aggirare blocchi elementari, ed il protocollo SMTP offre moltissime opzioni in merito.

Occorre quindi, onde evitare di bloccare email buone con quelle “sospette” o “malevole, una manutenzione attenta e continua di questo tipo di filtro.

Questo comporta in genere l’uso di quarantene (meglio se amministrative nel caso si sospettino attacchi pericolosi) che permettano eventualmente il rilascio del messaggio una volta verificato che non sia pericoloso.

Si ritorna ancora una volta al concetto, di difficile comprensione, che tutti i sistemi richiedono una opportuna manutenzione e monitoraggio.

Blocklist e Content Filtering

Lavorare con le sole email mittenti è di solito difficilmente scalabile ed efficace. In particolare al di furi di spam o newsletter, spesso ci si accorge che il tasso di errore da questo tipo di filtro è molto alto.

Per ovviare al problema, spesso alle blocklist tradizionali si aggiunge da parte di molti amministratori l’uso di content filtering più o meno avanzati.

L’uso del content filtering è più un problema di compliance che di “email security”, ma spesso questa tecnologia si presta ad un uso “improprio”.

A differenza di una blocklist che “ragiona” principalmente in termini di indirizzo o dominio di posta elettronica, e quasi per nulla sui contenuti del messaggio una blocklist che usa tecniche di content filtering fa riferimento, principalmente, a contenuti del messaggio: parole, URL, frasi…

Insomma la idea di base è:

non voglio ricevere email che contengano la parola “Cippirimerlo” quindi scrivo una regola del tipo:

se ne corpo della email o nell'oggetto appare la parola "Cippirimerlo" allora blocco la email.

Il ragionamento è evidententemente limpido e lineare. Certo occorre che “Cippirimerlo” sia usato solo in email malevoli e non in transazioni comunicative legittime (ok! ok! chi usa oggi come oggi “Cippirimerlo” se non un Hacker?).

Ma perché mai un attore malevolo dovrebbe imitare comunicazioni legittime, così rischia che la vittima non si accorga che è un attacco…

come? questo è lo scopo? aaaahhhhh

Cosa può andare storto?

Il problema delle blocklist anche in questa forma è analogo a quello delle safelist, nel senso che l’assunzione alla base è che un filtro statico possa indirizzare in maniera efficace ed efficiente un sistema dinamico come la posta elettronica.

Non voglio dire che questo non sia vero, ma solo che se fosse vero perché investire in sistemi di email security quando basta una semplice lista statica?

Diciamo che nel caso delle blocklist il problema risiede spesso nella gestione amministrativa dei sistemi di posta. Ho visto cose che voi umani … er..no ho visto però filtri estremamente complessi che utilizzano strutture che richiedono un livello di competenza elevato:

regular expressions
operatori booleani
orazioni e abluzioni
…

Purtroppo, questa profusione di esternazione tecnologica rimanda sempre al problema della staticità di questi filtri e della loro rapida obsolescenza.

Esattamente come nel caso delle safelist, infatti, le blocklist soffrono del problema che il filtro applicato ha senso solo nella finestra temporale in cui l’eventuale attacco viene erogato, dopo quel tempo il risultato è di rischiare di bloccare con il filtro email invece legittime.

é infatti impensabile, proprio come si diceva prima per le email mittente, che un attore malevolo utilizzi sempre la stessa esatta struttura di messaggio, sempre la stessa URL e via dicendo.

Anzi proprio per questi motivi la possibilità di catturare in maniera errata messaggi legittimi è estremamente alta.

Il workaround per evitare di incorrere in problemi in questo caso è di

modificare il filtro
cancellarlo
creare una safelist
…

Lascio ai più immaginare quale sia la soluzione meno indicata e vieppiù una delle più usate.

Blocklisting che fare:

cerchiamo di riassumere un po di indicazioni rapide che quindi possano aiutarci a gestire in maniera efficace le Blocklist

meno è meglio

Esiste un acronimo inglese che dovrebbe sempre guidare le nostre scelte: KISS (Keep It Simple Stupid.) e questo vale anche nella gestione di safelist e blocklist. Intendiamoci in questo caso la semplicità è legata, in primis, alla minimizzazione di queste liste in quanto più sono grandi maggiore è l’effetto negativo che possono avere sul sistema.

In particolare, gli elementi in blocklist se fanno riferimento ad email vanno considerati in funzione della loro pericolosità:

le email a bassa pericolosità (spam, marketing) possono essere bloccate, ma data la loro natura tali blocchi è opportuno che siano gestiti direttamente dall’utente finale in una sua lista personale alfine di minimizzare interferenze verso altri utenti.

le email invece di natura più pericolosa vanno gestite e monitorate con attenzione: è opportuno creare blocchi amministrativi e quarantene ma che siano monitorate costantemente per rilasciare le email legittime, i filtri di blocco dovrebbero essere rimossi non appena l’attacco si esaurisce.

Riportare al vendor del security gateway tutti gli incidenti

Per quanto possa sembrare tedioso aprire un ticket in caso di falso positivo e falso negativo è il sistema migliore per indirizzare e minimizzare certe problematiche.

E sia chiaro, l’apertura del ticket richiede anche il poter fornire un campione della mail completo di intestazioni. Senza questo la analisi diventaestremamente difficile.

Vorrei però che fosse chiaro che l’apertura di un incidente non sempre porta alla risoluzione desiderata, richiedere di categorizzare come email malevola una email che malevola non è non porta solitamente a generazione di un blocco generalizzato, contestualmente la modifica fatta da un vendor non può influire su filtri statici quali blocklist o safelist. L’apertura di un incidente, quindi, è solo una componente di un processo che deve comprendere la periodica revisione dei filtri statici quali safe e block list.

Non confidare ciecamente dei feedback degli utenti

Come per il whitelisting il blocklisting è tanto più efficace quanto i feedback degli utenti sono contestualizzati, analizzati e controllati. Il fatto che il megadirettoregalattico al cubo richieda un blocco o un safe non significa né che abbia ragione né che debba essere fatto. La sicurezza è una cosa che trascende le strutture gerarchiche proprio perché è al servizio del business.

Pianificare bene significa risparmiare tempo e risorse

Regole chiare, processi testati, analisi e verifiche cicliche servono anche nella gestione della posta elettronica.

Ragionare in anticipo su come gestire livelli di filtro associati alle varie tipologie di utenza, come gestire safe e blocklist dovrebbe essere parte integrante del disegno di un processo di gestione corretto ed efficace. Lavorare in perenne emergenza, aggiungendo e non manutenendo questi semplici aspetti rende i sistemi di posta estremamente vulnerabili.

E non esiste tecnologia che possa dare risultati se usata non correttamente.

Safelist e blocklist sono aspetti relativamente semplici e quindi sono un ottimo modo per far capire che “semplice” non vuol dire che non sia richiesta comprensione del fenomeno.

Nei prossimi post affronterò altri aspetti più complessi, ma mi sto chiedendo, quanti sanno come funziona la posta elettronica in realtà? Va a finire che negli email files mi toccherà anche cercare di spiegare almeno in maniera base come è fatto un messaggio di posta elettronica e come viene distribuito, altrimenti un sacco di cose mi sa che non si capiscono.

(se vi interessa qualcosa di specifico chiedete e vi sarà dato)

Ma del resto sono anni che sostengo che sapere qualcosa sui sistemi che usiamo non è proprio una cosa cattiva.

alla prossima