Lawful Interception of Email services according to ETSI

di Giovanni Nazzaro

Legge n. 103 del 2017, art. 1 comma 8
La legge n. 103 del 2017 è entrata in vigore il 3 agosto 2017 ed ha delegato il Governo ad adottare decreti legislativi per riformare la disciplina delle intercettazioni. L’Art. 1 comma 88 ha previsto che entro il 31 dicembre 2017 fosse emanato il decreto interministeriale che apportasse una revisione alle voci di listino, da corrispondere agli operatori di telecomunicazioni, in precedenza delineate dal decreto del Ministro delle comunicazioni del 26 aprile 2001. Alla data di uscita del presente numero di rivista il decreto interministeriale non è stato pubblicato sulla Gazzetta Ufficiale, quindi si ipotizza che lo stesso sia stato emanato ma in forma secretata. In tale ipotesi, assumiamo anche che le nuove voci di listino si siano ispirate alle funzionalità tecniche definite dalle organizzazioni internazionali come ETSI, così come accade ormai già da molto tempo negli altri paesi europei. In accordo a queste ipotesi, oggi in Italia l’adozione degli standards ETSI per ogni tecnologia di comunicazione sarebbe obbligatoria, al pari dell’applicazione delle nuovi voci di listino. Vediamo quindi un esempio di adozione degli standards ETSI applicato alle comunicazioni email.

 


L’intercettazione legale delle chiamate telefoniche tradizionali è ad oggi implementata nelle reti con una modalità che potremmo definire di routine nella maggior parte dei paesi del mondo sviluppato, grazie alle funzionalità di intercettazione ormai già presenti all’interno delle diverse componenti di rete che gestiscono il traffico di segnalazione ed il contenuto stesso della comunicazione. Al contrario, l’intercettazione del traffico Internet ha molte complicazioni aggiuntive perché, ad esempio, per alcuni aspetti è necessario coinvolgere sia le infrastrutture degli Operatori di accesso (Access Provider , AP) a ciascuna estremità della comunicazione, sia le piattaforme dei Fornitori di servizi (Service Provider, SP), come la email. I servizi di posta elettronica più diffusi come Gmail, Outlook, iCloud, Yahoo, ecc., nonché i servizi di messaggistica istantanea come Microsoft Messenger e AOL Instant Messenger, vengono offerti da soggetti commerciali che vendono servizi e non hanno una propria rete per l’accesso ad Internet.
A seconda del grado di accessibilità alle componenti delle piattaforme applicative del Service Provider, l’intercettazione legale può avvenire tramite funzionalità intrinseche, definite dagli standards ETSI come Internal Intercepting Function (IIF), oppure tramite funzionalità esterne affidate a componenti aggiuntivi come le sonde. Quale che sia la scelta adottata, l’importante è che la modalità di presentazione dei risultati avvenga in conformità alle specifiche tecniche dell’ETSI.

 

1.    Servizi di posta elettronica
La posta elettronica è un servizio che offre la capacità di trasmettere o ricevere messaggi di testo su rete a commutazione di pacchetto. Le specifiche ETSI di riferimento per l’intercettazione del servizio email, su tutte la TS 102 232-2, fanno riferimento appunto a messaggi di tipo ARPANET, che è stata la prima rete di questo tipo al mondo. Una sua descrizione è tratta dalla specifica RFC 0822: “In questo contesto, i messaggi sono visti come dotati di una busta e di contenuti: la busta contiene tutte le informazioni necessarie per eseguire la trasmissione e la consegna, i contenuti compongono l’oggetto da consegnare al destinatario”.
Il servizio di posta elettronica, in generale, può essere suddiviso in due categorie: i servizi che consentono a un computer di trasferire un messaggio a un altro computer; e quei servizi che consentono agli utenti di gestire la loro casella di posta, come il download dei messaggi o l’eliminazione dei messaggi dalla casella di posta. Queste categorie di servizi di posta elettronica possono interessare le forze dell’ordine poiché entrambe possono essere utilizzate per comunicazioni da parte di criminali e terroristi. Anche la diffusione di spam e virus è una forma di attività criminale perpetrata attraverso il servizio di posta elettronica.

Lo schema dell’architettura di rete per l’erogazione del servizio email è descritta in figura (…continua su EDICOLeA) e prevede la possibilità di accesso al server di posta in modo diretto oppure tramite un server webmail appartenente allo stesso Service Provider o esterno.

 

2. Eventi di posta elettronica e attributi presenti negli IRI
Le informazioni contenute negli IRI inviati al LEMF, ovvero l’apparato ricevente il risultato dell’intercettazione presente negli uffici di Procura (LEA), dipendono dal tipo di ”evento” di comunicazione email e, a parità di evento, dal protocollo utilizzato. Un “evento di comunicazione email” è un modo per esprimere un punto di vista in un trasferimento di posta elettronica in cui il target (indirizzo di posta elettronica) è parte attiva.
Evento di invio: questo evento è rappresentato da un set di IRI e dai contenuti associati a un messaggio di posta elettronica inviato da un target. Ogni email inviata durante una sessione può essere considerata un evento di invio separato. Al momento ETSI non ha definito un IRI specifico per il tentativo di invio e nessuna indicazione è prevista sull’esito dell’invio. Gli errori di posta elettronica spesso si verificano in alcuni server da cui viene inviata l’email iniziale e la notifica di tale errore è facoltativa e difficile da correlare automaticamente quando si verifica.
Evento di ricezione: questo evento è rappresentato da un set di IRI e dal contenuto associato a un’email ricevuta da una cassetta postale di destinazione. Ogni email ricevuta durante una sessione tra un client email e un server email è considerata un evento di ricezione email separato.
Evento di download della posta elettronica: questo evento è rappresentato da un set di IRI e dal contenuto associato a un’e-mail scaricata da una cassetta postale di destinazione. Ogni email scaricata durante una sessione tra un client email e un server email è considerata un evento di download e-mail separato. Nel caso in cui l’utente non scarichi il contenuto completo dell’email, ad es. solo l’intestazione e alcune righe dell’e-mail, questo deve essere segnalato utilizzando l’evento “Download parziale “.
La tabella seguente (…continua su EDICOLeA) rappresenta gli attributi presenti negli IRI per le tre tipologie di evento sopra esaminate.

 

3. Caratteristiche del protocollo SMTP
IL protocollo SMTP può essere visto genericamente come mezzo per inviare email da un computer a un altro. Il servizio SMTP prevede due attori: il client SMTP e il server SMTP. Il client SMTP è l’iniziatore di tutte le azioni mentre il server SMTP ha l’ultima parola sulla validità di queste azioni. Il client SMTP avvia una connessione SMTP, accede al server e continua a inviare tutti i messaggi di posta elettronica previsti prima di uscire dalla sessione. E’ importante notare che una singola sessione SMTP può trasferire molti messaggi di posta elettronica al suo interno, ciascun messaggio potenzialmente proveniente da un diverso indirizzo di posta elettronica di origine. Secondo le specifiche tecniche l’accesso SMTP può non essere autenticato e verificato. Ecco perché nell’attributo “AAAInformation” la password non è presente in modo obbligatorio come invece la username. Inoltre, non esiste un’associazione naturale o garantita tra l’identità di accesso e una qualsiasi delle email inviate poiché è possibile inviare più email durante una sessione e ogni email inviata individualmente specifica il mittente con tutti i destinatari. L’indirizzo che accompagna l’azione SMTP MAIL FROM viene utilizzato per instradare le risposte all’e-mail. Questo indirizzo, pertanto, può essere falsificato senza alcuna perdita di funzionalità di invio. Il fatto che un indirizzo SMTP possa essere falsificato può essere segnalato usando la struttura ASN.1 “e-mail-Sender-Validity”. Quando l’utente deve autenticarsi prima di accedere al servizio, come accade nella quasi totalità dei casi, questo parametro assume il valore di “Validated” negli IRI.
Gli eventi previsti per il protocollo SMTP sono:
Login: un evento di avvenuto accesso SMTP oppure di errore di accesso SMTP è generato dopo che il client SMTP ha inviato il messaggio “hello” SMTP ed il server SMTP ha risposto con una risposta che indica il successo dell’operazione come definito in RFC 5321.
Invio: un evento di invio SMTP è generato dopo che il client SMTP ha inviato il comando DATA ed il server ha risposto con una risposta che indica l’invio. Al momento nessun evento è generato su un invio non andato a buon fine.
Ricezione: un evento di ricezione SMTP è generato dopo che il client SMTP ha inviato il comando DATA ed il server ha risposto con una risposta che indica un trasferimento riuscito. Questo evento non è codificato tramite IRI ma la differenza tra un evento di ricezione email e un evento di invio email, per SMTP, è sul piano semantico e può avere implicazioni legali.
La tabella accanto (…continua su EDICOLeA) mostra l’associazione tra eventi ed IRI.

 

4. Caratteristiche del protocollo POP3
Il protocollo POP3 consente di gestire la posta elettronica memorizzata su un server in modo semplificato, consultando il numero di messaggi memorizzati, la loro dimensione, ecc. La funzionalità principale del servizio POP3, così come viene utilizzata oggi, è la possibilità di scaricare messaggi email ed eliminarli dalla casella di posta.
Gli eventi previsti per il protocollo POP3 sono:
Login: un evento di avvenuto accesso POP3 oppure di errore di accesso POP3 è generato dopo che il client POP3 ha inviato la password o il messaggio APOP ed il server POP3 ha fornito una risposta positiva, come definito in RFC 1939.
Download: un evento di download POP3 è generato dopo che il client POP3 ha inviato il comando RETR ed il server ha risposto all’intero messaggio di posta elettronica che indica un download riuscito.
Download parziale: un evento di download parziale POP3 deve essere generato dopo che il client POP3 ha inviato il comando TOP ed il server ha risposto all’e-mail parziale che indica un download riuscito.
La tabella accanto (…continua su EDICOLeA) mostra l’associazione tra eventi ed IRI.

 

5. Caratteristiche del protocollo IMAP
La versione 4 del protocollo IMAP (IMAP4), così come definita in RFC 3501, estende le funzionalità di POP3 per creare, modificare ed eliminare le cartelle della casella di posta. Il comando APPEND fornisce anche una funzione “Invia”. Le connessioni IMAP4 consistono nello stabilire una connessione di rete del tipo client/server. Tutte le interazioni IMAP rilevanti per l’intercettazione devono essere rappresentate da uno o più record IRI. I dati completi di tutte le interazioni devono essere consegnati come contenuto della comunicazione.
La tabella accanto (…continua su EDICOLeA) illustra la mappatura dei comandi IMAP4 pertinenti all’intercettazione e gli eventi IRI corrispondenti, ognuno dei quali è inviato a LEA all’esecuzione di uno dei comandi indicati.

 

6. Intercettazione della WebMail
Un servizio di Webmail viene generalmente offerto come parte dei servizi del SP. Consente di accedere a un servizio di posta elettronica da qualsiasi computer abilitato a Internet tramite una pagina Web, utilizzando un browser. Il server Webmail è posizionato come un server di applicazioni che estrae i normali protocolli di posta elettronica per l’invio (SMTP) e la ricezione (POP3) di email dal client tramite un’applicazione Web. In genere il server Webmail accede agli stessi server SMTP e POP3 dell’infrastruttura del SP, come fanno gli utenti con i propri client di posta elettronica.
I messaggi HTTP scambiati tra l’applicazione Webmail e il browser non sono standardizzati, ovvero sono completamente dipendenti dall’applicazione e pertanto soggetti a modifiche potenzialmente non prevedibili. Inoltre, l’utente può utilizzare un’applicazione Webmail di un altro fornitore, con ovviamente un’altra implementazione e quindi scambiare altri messaggi HTTP. Pertanto, un approccio che cattura e interpreta un protocollo Webmail basato su HTTP implicherà problemi di implementazione e manutenibilità.
In alternativa all’implementazione del protocollo Webmail, i dispositivi di intercettazione SMTP e POP3 progettati per l’intercettazione possono essere utilizzati per intercettare anche l’attività di Webmail. Un problema con questo approccio è che l’indirizzo IP dal quale l’utente accede all’applicazione Webmail non può essere facilmente derivato dal traffico SMTP / POP3 catturato perché questo in genere conterrà l’indirizzo IP del server Webmail. Quindi, al fine di acquisire l’indirizzo IP dell’utente, sarà richiesta una correlazione aggiuntiva tra il traffico SMTP / POP3 catturato ed il traffico HTTP o i file di log del server web. ©

 

Exit mobile version