Novità Tuta

Spiegazione dei recenti attacchi DDoS e del perché non utilizziamo terze parti per la mitigazione.

La protezione dagli attacchi DDoS è parte integrante delle nostre pratiche ingegneristiche e progettiamo i nostri sistemi in modo da ridurre al minimo le superfici di attacco.

Tuta was attacked by multiple DDoS attacks.

In Tuta stiamo costruendo un'alternativa alle offerte delle grandi aziende tecnologiche, orientata alla privacy, in modo che tutti possano proteggere i propri dati online inviando e-mail crittografate e condividendo eventi crittografati con Tuta Mail e Tuta Calendar. Questo porta il nostro servizio in primo piano rispetto a tutti i tipi di avversari. Di conseguenza, Tuta subisce regolarmente attacchi DDoS. Mentre la maggior parte delle volte riusciamo a respingere questi attacchi senza che ve ne accorgiate, all'inizio di dicembre gli avversari hanno cambiato i loro vettori di attacco, il che ha portato a diversi downtime durante la prima settimana di dicembre. Ora abbiamo migliorato enormemente i nostri metodi di protezione DDoS e i nostri sistemi sono in grado di respingere questi attacchi. Ora vorremmo spiegare cosa è successo e come abbiamo mitigato gli attacchi.

Perché dobbiamo mitigare gli attacchi da soli

Anche se collaboriamo con i partner per mitigare gli attacchi che si concentrano sulla larghezza di banda, come gli attacchi di riflessione su larga scala, lo facciamo in modo da mantenere il pieno controllo dei dati dei nostri utenti. Questo è diverso - e molto più rispettoso della privacy - rispetto a ciò che fa la maggior parte dei nostri concorrenti:

Mitigare gli attacchi DDoS è molto più facile se permettiamo a terzi di decriptare e ispezionare il nostro traffico sui loro server in un cosiddetto centro di scrubbing. In alternativa, alcuni dei nostri concorrenti inviano il traffico decrittografato a dispositivi di terze parti closed source (black box). Ma entrambi i metodi comportano la perdita del controllo sui dati dei clienti.

Per noi di Tuta questa non è un’opzione: Voi vi fidate di noi per mantenere la riservatezza dei vostri dati, ed è per questo che dobbiamo respingere gli attacchi DDoS senza l’aiuto di dispositivi di terze parti. Stiamo parlando di dati molto sensibili, come indirizzi IP e token di accesso, che consentirebbero a terzi di impersonare gli utenti e persino di cancellarne i dati. Inoltre, permetterebbe alle terze parti di tenere traccia delle assegnazioni dagli indirizzi IP agli id degli utenti - in altre parole: le terze parti saprebbero quale indirizzo IP appartiene a quale indirizzo e-mail.

Pertanto, poiché noi di Tuta diamo priorità alla privacy degli utenti in ogni circostanza, l’utilizzo di dispositivi di terze parti non è possibile.

Cosa è successo

Noi di Tuta attenuiamo gli attacchi DDoS per conto nostro, al fine di proteggere al meglio i dati dei nostri utenti. Ma il mantenimento di questo elevato livello di riservatezza e sicurezza ha un costo. Dobbiamo mitigare gli attacchi DDoS da soli e investire una quantità sostanziale del nostro tempo di progettazione disponibile nell’implementazione di mitigazioni contro gli attacchi DDoS. Veniamo attaccati molto spesso e di solito i nostri utenti non si accorgono che siamo stati attaccati, perché riusciamo a mitigare quasi tutti gli attacchi con tempi di inattività pari a zero.

All’inizio di dicembre la situazione era diversa. Complessivamente abbiamo subito un downtime di 2,5 ore distribuito su cinque giorni. Il downtime più lungo è stato di 80 minuti. Siamo molto dispiaciuti per questo inconveniente. Siamo consapevoli che questo non è accettabile, quindi durante questi cinque giorni non ci siamo concentrati solo sulla mitigazione degli attacchi, ma anche sul miglioramento delle nostre misure di mitigazione.

Abbiamo scoperto che due settimane fa è stato introdotto un bug. Questo bug era la causa per cui le mitigazioni automatiche non funzionavano così bene come prima ed è stato subito risolto. Abbiamo anche migliorato drasticamente altre due mitigazioni contro gli attacchi DDoS provenienti da botnet su larga scala. Lo abbiamo fatto in modo da rilevare e bloccare queste reti bot in pochi secondi. In effetti, noi stessi non ci siamo nemmeno accorti delle ultime due ondate di attacchi ai nostri server, perché le mitigazioni hanno funzionato così bene che anche il carico dei server si è mantenuto in un range del tutto normale. Ciò significa che anche voi, i nostri utenti, non avete notato questi attacchi. È così che dovrebbe essere e siamo molto felici di questo risultato!

Con tutti questi miglioramenti, ora disponiamo di ottime misure e blocchiamo tutti i tipi di attacchi, dalla riflessione volumetrica agli attacchi di botnet distribuite.

Questo significa che Tuta non è più vulnerabile agli attacchi DDoS? Purtroppo la risposta è no. Vogliamo essere completamente onesti: Ci impegniamo molto non solo per costruire il servizio di posta elettronica e calendario più sicuro con una crittografia a prova di quantum, ma investiamo anche molto nel mantenimento di un’architettura a conoscenza zero e nella proprietà del nostro intero stack tecnologico. Infatti, mantenendo il pieno controllo sui nostri server, sulla nostra infrastruttura e sul software che utilizziamo, possiamo proteggere al meglio i vostri dati e la vostra privacy, compreso il vostro indirizzo IP. Come spiegato, questo rende le cose più difficili per noi, ma la protezione dei dati molto migliore per voi. Sebbene i nostri sistemi siano ora in grado di respingere ogni tipo di attacco, è sempre possibile che in futuro qualche aggressore proponga nuovi vettori di attacco.

Ma anche in questo caso, sappiamo di essere in grado di migliorare le nostre mitigazioni in modo rapido e adeguato.

Un grande ringraziamento alla comunità

Noi di Tuta siamo molto grati al nostro eccellente team che si occupa di mitigare gli attacchi DDoS. E siamo ancora più grati alla nostra eccellente comunità che ci sostiene e lo dice anche su Reddit.

Come sempre, dobbiamo dirlo: Non saremmo qui senza di voi e il vostro supporto significa molto per noi! Insieme al vostro sostegno, ne usciremo ancora più forti di prima! 💪💪💪

❤️ Grazie mille! Se volete dimostrarci un po’ di affetto in questi momenti difficili, sentitevi liberi di fare una donazione o di aggiornare il vostro account. ❤️

Anche se qualcuno non vuole che usiate un’e-mail sicura e privata, continueremo a lottare per il vostro diritto alla privacy.

Tuta Team Tuta Team Il team Tuta vi ringrazia per il vostro sostegno in questi tempi difficili.

Vogliamo anche rispondere alle domande più frequenti che ci vengono poste tramite i social media e le e-mail:

I miei dati sono sicuri?

Sì, tutti i dati di Tuta sono criptati in modo sicuro e non possono essere consultati da nessuno, nemmeno da noi.

Cosa è successo alle mie e-mail durante il DDoS?

Le e-mail ricevute durante gli attacchi DDoS sono state messe in coda e consegnate successivamente.

Qualcuno ha violato Tuta?

No, gli aggressori non hanno mai violato i server di Tuta né hanno avuto accesso ai dati memorizzati sui nostri server. Nessun dato è stato violato.

Devo cambiare la mia password?

No, non è necessario cambiare la password. Tuta memorizza gli hash delle password. È impossibile ricavare la password reale da questo hash. Pertanto, nessuno può conoscere la vostra password, nemmeno noi di Tuta. Per proteggere la password, utilizziamo Argon2.

Disponibilità offline

È possibile accedere a Tuta Mail e a Tuta Calendar quando si è offline, se si è iscritti a uno dei nostri piani a pagamento, all’interno delle app mobili di Tuta per Android e iOS e dei client desktop per Linux, Windows e macOS. Abbiamo anche in programma di abilitare l’accesso in scrittura quando si è offline, in modo da poter redigere messaggi da inviare in un secondo momento quando non si ha accesso a Internet. Poiché stiamo pianificando la nostra roadmap per il 2025, l’accesso in scrittura offline sarà sicuramente una priorità.

Illustration of a phone with Tuta logo on its screen, next to the phone is an enlarged shield with a check mark in it symbolizing the high level of security due to Tuta's encryption.