aiuto su problema riguardante la sicurezza

sollazzo · 27-01-2010, 12:26

buon giorno a tutti.

E' il mio primo messaggio, e spero comunque che mi possiate dare una mano, in quanto non ho idea di come affrontare questo problema.

Premetto che non sono un grande esperto di linux, ma lavoro su mac os e quindi un po' di "unix" lo conosco.

Vi spiego brevemente il problema:

sto sviluppando un plugin per thunderbird per effettuare una third party call. Il plugin in questione, permette di selezionare un numero da cui far partire la chiamata (per esempio il mio numero di cellulare), e un destinatario (per esempio il numero di telefono presente all'interno di una mail). Selezionati i numeri di telefono, premo un pulsante e parte la chiamata.
Per effettuare la chiamata, mi servo di un server linux con installato asterisk. In pratica quello che succede è:

- seleziono i numero di telefono e premo invio
- viene spedita una mail (in automatico) ad un indirizzo di posta (per comodità l'indirizzo da ora in avanti lo chiamerò [email protected]), contenente i due numeri di telefono
- sul server linux, ho configurato fetchmail affinché faccia polling tramite pop3 ogni 5 secondi
- ogni 5 secondi, se ricevo una mail, viene lanciato uno script da me creato che estrae i numeri di telefono dalla mail e crea uno specifico file con estensione .call che asterisk processa per effettuare la chiamata
- viene effettuata la chiamata

Senza entrare nei dettagli del plugin e delle varie configurazioni di asterisk, il problema che devo affrontare è di "sicurezza". Per come è stato sviluppato il tutto, il punto cruciale del sistema è l'invio e la ricezione della mail.
Al momento non viene eseguito nessun controllo sulla mail: di conseguenza, basta che viene spedita una mail all'indirizzo [email protected] contenente due numeri di telefono, e il server in automatico effettuerà tutte le operazioni descritte sopra.

Di conseguenza, un possibile "malintenzionato" che viene a conoscenza di tutto questo, può effettuare chiamate gratis, semplicemente spedendo una mail a quell'indirizzo contenente due numeri di telefono.

Domanda: com'è possibile fare in modo che il server processi solo determinate mail? Per esempio solo da utenti autorizzati a poter effettuare chiamate?

Sono in alto mare, non so come procedere. Qualsiasi suggerimento o aiuto è ben accetto.

Ho parlato col mio Prof che mi sta seguendo, e mi aveva consigliato di effettuare una qualche autorizzazione utilizzando un sistema di One Time Password, ma sinceramente non ho idea di come poter fare una cosa del genere.

Spero mi possiate dare dei suggerimenti su come ovviare a questo problema di sicurezza, che a questo punto per il lavoro che sto svolgendo diventa cruciale.

Vi auguro una buona giornata.

Alessandro

Gimli[2BV!2B] · 27-01-2010, 21:56

Usare una mail (comunicazione asincrona, dai tempi assolutamente incerti ed insicura) per scatenare una chiamata (comunicazione sincrona) lo trovo abbastanza forzato...

Mi sembra di capire che l'unico canale di comunicazione tra client e server è la mail pop3, previsto solo nella direzione dal client al server, vero?

Una one-time-password necessita o di una grandezza condivisa (esempio tempo sincronizzato), o di più comunicazioni tra client e server (challenge-response), o di una sequenza certa di password (sempre necessaria sincronizzazione o ulteriori comunicazioni) oppure di un canale privato "sicuro".
Pensando alla situazione, escludendo la possibilità di sincronizzazione affidabile e di un canale "sicuro", rimarrebbero solo strade che necessitano più comunicazioni in entrambe le direzioni; farle via mail lo considererei abbastanza traballante.
Insomma, basandomi sulle mie modeste conoscenze riguardo alle one-time-password, non riesco ad immaginare come poterle utilizzare in questa situazione.

La prima cosa che mi è venuta in mente è una criptazione asimmetrica standard con chiavi pubbliche e private, classico metodo di codifica/autenticazione di mail.
In questo caso ogni client dovrebbe usare una chiave "pubblica" per codificare il messaggio, che bisognerebbe usare con accortezza per mascherarne la presenza ed il valore.
Il plugin dovrebbe lanciare la codifica in qualche modo.
Il server dovrebbe decodificare il messaggio.
Se un malintenzionato dovesse riuscire ad estrarre la chiave potrebbe usarla immediatamente per inviare messaggi validi.

Altro concetto altrettanto comune in ambito e-mail, più semplice, è l'utilizzo di una semplice firma SHA1 (o più sicura) da accodare al messaggio in chiaro.
Una cosa del tipo HASH( (indirizzo e-mail mittente) + messaggio + password codificata nel programma + data).
Una volta ricevuta la mail si ricalcolerebbe l'hash nello stesso modo e, in caso di corrispondenza, si potrebbe affermare

che non si tratta del corpo di una mail valida inviata con un altro indirizzo
che il messaggio non è stato modificato e non è danneggiato
che è stato mandato entro un certo periodo di tempo (valutare quanto potrebbero essere de-sincronizzati i client rispetto al server e la massima finestra di validità del messaggio, inserendo solo la data, oppure arrotondando a 2 ore o a 6...)
che il mittente era a conoscenza della password.

Naturalmente se un malintenzionato dovesse trovare la password e capire i dati utilizzati nell'hash ed il loro ordine riuscirebbe tranquillamente a scatenare telefonate. La password dovrebbe essere nascosta e non semplice da trovare disassemblando il software.

Il non plus ultra sarebbe unire entrambi i metodi...

27-01-2010, 12:26	#1
sollazzo Junior Member Iscritto dal: May 2006 Messaggi: 3	aiuto su problema riguardante la sicurezza buon giorno a tutti. E' il mio primo messaggio, e spero comunque che mi possiate dare una mano, in quanto non ho idea di come affrontare questo problema. Premetto che non sono un grande esperto di linux, ma lavoro su mac os e quindi un po' di "unix" lo conosco. Vi spiego brevemente il problema: sto sviluppando un plugin per thunderbird per effettuare una third party call. Il plugin in questione, permette di selezionare un numero da cui far partire la chiamata (per esempio il mio numero di cellulare), e un destinatario (per esempio il numero di telefono presente all'interno di una mail). Selezionati i numeri di telefono, premo un pulsante e parte la chiamata. Per effettuare la chiamata, mi servo di un server linux con installato asterisk. In pratica quello che succede è: - seleziono i numero di telefono e premo invio - viene spedita una mail (in automatico) ad un indirizzo di posta (per comodità l'indirizzo da ora in avanti lo chiamerò [email protected]), contenente i due numeri di telefono - sul server linux, ho configurato fetchmail affinché faccia polling tramite pop3 ogni 5 secondi - ogni 5 secondi, se ricevo una mail, viene lanciato uno script da me creato che estrae i numeri di telefono dalla mail e crea uno specifico file con estensione .call che asterisk processa per effettuare la chiamata - viene effettuata la chiamata Senza entrare nei dettagli del plugin e delle varie configurazioni di asterisk, il problema che devo affrontare è di "sicurezza". Per come è stato sviluppato il tutto, il punto cruciale del sistema è l'invio e la ricezione della mail. Al momento non viene eseguito nessun controllo sulla mail: di conseguenza, basta che viene spedita una mail all'indirizzo [email protected] contenente due numeri di telefono, e il server in automatico effettuerà tutte le operazioni descritte sopra. Di conseguenza, un possibile "malintenzionato" che viene a conoscenza di tutto questo, può effettuare chiamate gratis, semplicemente spedendo una mail a quell'indirizzo contenente due numeri di telefono. Domanda: com'è possibile fare in modo che il server processi solo determinate mail? Per esempio solo da utenti autorizzati a poter effettuare chiamate? Sono in alto mare, non so come procedere. Qualsiasi suggerimento o aiuto è ben accetto. Ho parlato col mio Prof che mi sta seguendo, e mi aveva consigliato di effettuare una qualche autorizzazione utilizzando un sistema di One Time Password, ma sinceramente non ho idea di come poter fare una cosa del genere. Spero mi possiate dare dei suggerimenti su come ovviare a questo problema di sicurezza, che a questo punto per il lavoro che sto svolgendo diventa cruciale. Vi auguro una buona giornata. Alessandro

27-01-2010, 21:56	#2
Gimli[2BV!2B] Senior Member Iscritto dal: Feb 2006 Città: Parma Messaggi: 3010	Usare una mail (comunicazione asincrona, dai tempi assolutamente incerti ed insicura) per scatenare una chiamata (comunicazione sincrona) lo trovo abbastanza forzato... Mi sembra di capire che l'unico canale di comunicazione tra client e server è la mail pop3, previsto solo nella direzione dal client al server, vero? Una one-time-password necessita o di una grandezza condivisa (esempio tempo sincronizzato), o di più comunicazioni tra client e server (challenge-response), o di una sequenza certa di password (sempre necessaria sincronizzazione o ulteriori comunicazioni) oppure di un canale privato "sicuro". Pensando alla situazione, escludendo la possibilità di sincronizzazione affidabile e di un canale "sicuro", rimarrebbero solo strade che necessitano più comunicazioni in entrambe le direzioni; farle via mail lo considererei abbastanza traballante. Insomma, basandomi sulle mie modeste conoscenze riguardo alle one-time-password, non riesco ad immaginare come poterle utilizzare in questa situazione. La prima cosa che mi è venuta in mente è una criptazione asimmetrica standard con chiavi pubbliche e private, classico metodo di codifica/autenticazione di mail. In questo caso ogni client dovrebbe usare una chiave "pubblica" per codificare il messaggio, che bisognerebbe usare con accortezza per mascherarne la presenza ed il valore. Il plugin dovrebbe lanciare la codifica in qualche modo. Il server dovrebbe decodificare il messaggio. Se un malintenzionato dovesse riuscire ad estrarre la chiave potrebbe usarla immediatamente per inviare messaggi validi. Altro concetto altrettanto comune in ambito e-mail, più semplice, è l'utilizzo di una semplice firma SHA1 (o più sicura) da accodare al messaggio in chiaro. Una cosa del tipo HASH( (indirizzo e-mail mittente) + messaggio + password codificata nel programma + data). Una volta ricevuta la mail si ricalcolerebbe l'hash nello stesso modo e, in caso di corrispondenza, si potrebbe affermare che non si tratta del corpo di una mail valida inviata con un altro indirizzo che il messaggio non è stato modificato e non è danneggiato che è stato mandato entro un certo periodo di tempo (valutare quanto potrebbero essere de-sincronizzati i client rispetto al server e la massima finestra di validità del messaggio, inserendo solo la data, oppure arrotondando a 2 ore o a 6...) che il mittente era a conoscenza della password. Naturalmente se un malintenzionato dovesse trovare la password e capire i dati utilizzati nell'hash ed il loro ordine riuscirebbe tranquillamente a scatenare telefonate. La password dovrebbe essere nascosta e non semplice da trovare disassemblando il software. Il non plus ultra sarebbe unire entrambi i metodi... __________________ ~Breve riferimento ai comandi GNU/Linux (ormai non molto breve...)

Strumenti
Mostra una versione stampabile Invia questa pagina per email