SINTESI TEORICA SUL FUNZIONAMENTO DEI SISTEMI DI SICUREZZA DELLE RETI GSM

Le specifiche tecniche delle reti GSM sono state implementate anni fa dal GSM Consortium sulla base di due priorità:

• Un sistema standard a livello mondiale.

• Un sistema particolarmente sicuro, soprattutto per difendersi dalla clonazione degli apparati (tecnica illegale molto diffusa fra i vecchi terminali ETACS).

Il sistema GSM si compone essenzialmente di 4 sottosistemi:

• MOBILE STATION (MS o terminale): Di fatto è un ricetrasmettitore UHF full duplex con duplexer incorporato.

• BASE STATION SUBSYSTEM (BSS o "ponte"): E' composta a sua volta di due elementi strutturali: la BTS (Base Transceiver Station) che si occupa di stabilire un contatto radio full duplex con il terminale GSM, e la BSC (Base Station Controller) che interagisce con la rete cellulare e con le altre BTS in zona.

• NETWORK SUBSYSTEM (NS o nodo di commutazione): Funziona come nodo di commutazione per una determinata zona, provvedendo altresì all'impostazione delle chiamate e alle procedure di autenticazione.

• OPERATION AND SUPPORT SUBSYSTEM (OSS o "centrale"): E' la struttura tecnica che gestisce in maniera centralizzata e computerizzata tutto il network GSM di un determinato operatore di telefonia mobile.

Esistono vari ostacoli: innanzitutto i segnali radio non sono "in chiaro", cioè non sono comprensibili all'orecchio umano, ma si presentano criptati con chiavi diverse per ogni abbonato e vengono trasmessi compattati in pacchetti digitali (burst); L'orecchio umano può percepire solo una sorta di "ronzio" privo di ogni comprensibilità. Con questa tecnica di trasmissione, un singolo canale radio può ospitare contemporaneamente numerose conversazioni.

Gli algoritmi di codifica utilizzati dal sistema sono essenzialmente 3:

• L'algoritmo A3 (protegge il codice di identificazione dell'abbonato ed è memorizzato nella SIM card);

• L'algoritmo A8 (algoritmo a 128 bit che include la "chiave personale di autenticazione" o "chiave di partenza", è memorizzato nella SIM card ed è utilizzato anche per la generazione delle "chiavi temporanee" a 64 bit dette "chiavi di sessione"); Sebbene a 128 bit, l'algoritmo A8 è considerato tutt'altro che sicuro.

• L'algoritmo "stream cipher" A5/AX (algoritmo a 64 bit custodito nell'hardware del terminale e nella BTS o "ponte"); anche questo algoritmo sembra essere stato "indebolito" forse artificialmente.

Tali algoritmi interagiscono fra di loro sulla base di una chiave di partenza fissa protetta dall'algoritmo A8 a 128 bit (chiave personale di autenticazione memorizzata nella SIM card) e generano automaticamente altri elementi variabili ad ogni chiamata e ad ogni accesso alla rete (random). Queste iterazioni sono strutturate in maniera tale le credenziali di identificazione non vengano mai trasmessi sul canale radio (tecnica di "challenge response"), fatta eccezione per l'IMSI ma solo limitatamente ad un istante (vedi sotto); La chiave "di partenza", che fa capo all'algoritmo a 128 bit, interagisce ogni volta con il network al fine di consentire da parte dello stesso la generazione casuale della seconda chiave (questa volta temporanea, cioè che varia ad ogni chiamata) detta "chiave di sessione" (64 bit). La "chiave di sessione" generata dal network giunge dal network fino alla BTS (ponte) ma non viene mai trasmessa via radio .

Quindi per poter intercettare una conversazione specifica si rende necessario di volta in volta un intero pacchetto di parametri, (fissi e variabili) presenti sia sulla SIM card sia nel network dell'operatore. Alcune chiavi di questi algoritmi di criptazione sono variabili. Il sistema GSM protegge anche l'invio in rete della IMSI (International Mobile Subscriber Identification, forse l'unico codice fisso in grado di identificare in maniera univoca un utente e utile perlomeno alla sua localizzazione fisica), sostituendolo temporaneamente ad ogni chiamata con un codice casuale e variabile detto "TMSI" (codice di identificazione provvisoria). Tale codice viene scritto in una sezione rescrivibile della SIM e varia ad ogni accesso alla rete. In questo modo si è "mascherato" (oltrechè ovviamente criptato) anche l'unico codice fisso che per un breve istante (e inevitabilmente) deve essere trasmesso via radio, cioè l'IMSI.

In sintesi il sistema è tutt'altro che semplice da attaccare, FORSE TROPPO SICURO PER "QUALCUNO" CHE NON HA GRADITO QUESTA BLINDATURA (vedi oltre).

INTERCETTARE I GSM

L'argomento "intercettazione GSM" e' molto dibattuto, e più volte si sono succeduti annunci relativi all'avvenuta scoperta di un sistema pratico e utile per ottenere la chiave di decodifica dell'algoritmo "stream cipher" A5/AX, considerato la base di partenza per ottenere (assieme alla disponibilità di tutti i parametri memorizzati nella SIM card, prima fra tutti la chiave personale di autenticazione) l'intercettazione di una comunicazione GSM "real time" relativa ad un utente specifico; poi, puntualmente, la smentita. Secondo uno dei massimi esperti di criptazione digitale, l'inglese Anderson, siamo prossimi ad ottenere un sistema relativamente facile e rapido per decodificare i pacchetti "burst" nelle tratte terminali dei network GSM (comunicazione fra ponte radio terrestre, o "BTS", e terminale GSM). Tali proclami però sono essenzialmente teorici ed accademici, in quanto la potenza di calcolo resa necessaria dagli algoritmi di codifica è comunque a disposizione solo delle grosse strutture governative e scientifiche.

Il "segreto" relativo all'algoritmo A5/AX sarebbe relativamente semplice, a dispetto della complessità d'insieme dell'argomento: si e' sempre ritenuto che il codice A5/AX fosse basato su una chiave composta da 64 bit, mentre ora sembra ormai certo che gli ultimi 10 bit di dati sono sempre pari a "0". La differenza, apparentemente insignificante, comporta invece un vantaggio tangibile per gli "addetti ai lavori": una chiave a 64 bit, completamente sconosciuta, richiede ANNI di elaborazione di un computer molto potente per essere ricercata. Sono infatti una cifra stellare le combinazioni matematiche possibili. Invece un codice "indebolito artificialmente" da una sequenza fissa, a parità di potenza di elaborazione, "solo" poche ore. Questo però è un vantaggio essenzialmente teorico e, probabilmente, risultati in tal senso sono solo a vantaggio delle "intelligence" dei paesi più evoluti. Servono tempi molto più ridotti e sistemi molto più semplici per operare efficaci intercettazioni "real time" con potenze di calcolo standard, quindi siamo comunque lontani dal risultato pratico.

L'altro codice di criptazione A8 che protegge il "perno fisso" del sistema ("chiave personale di autenticazione" residente nella SIM) è stato dimostrato essere altrettanto attaccabile, a dispetto dei 128 bit che sembrano essere sinonimo di massima sicurezza. Basterebbe disporre fisicamente per qualche ora della SIM card, di un lettore "smart card" e un PC equipaggiato con un programma apposito. I tempi per carpire questo fondamentale codice non superano le 20 ore di elaborazione con un comune PC equipaggiato con processore Pentium 600.

Secondo altri esperti di crittografia, proseguire sulla strada della semplice ricerca dei codici di criptazione ("brute force attack") sarebbe tempo perso, poichè le potenze di calcolo dei comuni elaboratori sono ancora estremamente limitate per questo uso specifico e le componenti "variabili" del sistema di criptazione troppo difficili da attaccare "real time". Occorre mettere a punto un "metodo", cioè una iterazione di parametri di diversa tipologia e origine. C'e' chi sta cercando di trovare il "bug" (letteralmente errore) nella complessa architettura delle reti GSM, mediante l'identificazione di un "hole" (varco) che si ritiene debba esistere.

Da Israele a fine 99 è giunto l'ultimo misterioso annuncio riguardo alla possibilità di intercettare i GSM. Secondo alcuni ricercatori sarebbe addirittura sufficiente uno scanner, interfacciato ad un potente computer. L'apparente semplicità ha fatto presagire per la prima volta la scoperta di un "bug" nei network GSM. Poi non si è saputo più nulla e la notizia si è persa nel silenzio. Cosa c'era di fondato? 

AGGIRARE L'OSTACOLO

C'e' però chi ha pensato di aggirare l'ostacolo. La Gcom Technology (reperibile su internet per chi fosse interessato) ha costruito in pratica sorta di ponte radio GSM portatile. Questa stazione, sostituendosi in maniera forzata al ponte ufficiale del gestore, consente di decodificare il segnale radio (ovviamente dopo che è avvenuto l'interfacciamento con la centrale del gestore tramite un ponte radio BTS reale altrimenti, come già detto, ogni forma di decriptazione "stand alone" è a tutt'oggi considerata impossibile poichè non potrebbero essere acquisite le chiavi di decodifica). In pratica il sistema Gcom, dopo avere acquisito i dati dell'utente come farebbe una qualsiasi stazione radio terrestre, si presenta al ponte radio più vicino come il cellulare GSM che stà effettuando la chiamata, e al cellulare GSM come il ponte radio terrestre (BTS). Ma la montagna ha partorito il topolino. Innanzitutto bisogna essere molto vicini al cellulare sotto controllo (poche decine di metri, quindi esclusa ogni forma di intercettazione in movimento), poi il sistema è complesso da mettere a punto ed eccessivamente costoso.

IL GIALLO: CHI HA VOLUTO L'INDEBOLIMENTO DEL CODICE DI CRIPTAZIONE A5 E PERCHE'?

Esistono varie versioni del codice base A5 (vedi sopra). Un gruppo di ricercatori dell'Università della California ha sollevato sensazione comunicando di avere scoperto un improvviso indebolimento (probabilmente "pilotato") del codice A5. Le sottoversioni in uso nei paesi occidentali sembrerebbero essere sicure a tal punto da essere sistematicamente inattaccabili da parte di soggetti dotati di computer di media potenza (privati e aziende), ma "l'indebolimento" (vedi sopra) consentirebbe invece la decodifica in tempo quasi reale da parte dei potentissimi elaboratori in dotazione ad esempio alla CIA Americana e alla NSA (National Security Agency degli USA). La tecnica di spionaggio adottata sarebbe relativamente "semplice": verrebbero registrati in maniera digitale i pacchetti di dati trasmessi via radio e pertinenti un determinato utente (mediante una piccola apparecchiatura portatile e nelle immediate vicinanze), dopodichè la "conversazione digitale" verrebbe decodificata con comodo, probabilmente nel giro di poche ore. Quindi qualcuno ha voluto che la sicurezza dell'algoritmo A5 venisse ridotta in maniera contenuta, e tale algoritmo costituirebbe un valido ostacolo ormai solo per i privati e comunque per ogni forma di intercettazione "real time" (senza disporre anche della "chiave fissa di autenticazione").

Allora quali sono le strategie più comuni per intercettare le conversazioni che avvengono tramite un cellulare GSM, escludendo investimenti in potentissimi computers e in tecnologie ad alto livello?

1) Sembra che venga ancora fatto ricorso alle cimici, collocate nei luoghi ove ragionevolmente si ritiene che il soggetto sorvegliato effettuerà la sua conversazione (casa - auto, ecc.). Non vi sono certezze, ma ragionevoli possibilità di intercettazione. Ovviamente l'ascolto è "simplex" cioè si ascolta solo uno dei due interlocutori. Questo però è spesso più che sufficiente a carpire l'oggetto della conversazione o verificare un sospetto.

2) BATTERIE DEI CELLULARI: La crescente miniaturizzazione degli apparecchi ha reso difficile farci entrare anche oggetti assolutamente minuscoli. Ora anche le batterie sono divenute estremamente compatte, tali da consentire questa operazione con successo solo in alcuni casi, a meno che non si sia disposti a investire le cifre ingenti che alcuni moduli SMD super miniaturizzati richiedono. L'operazione è praticabile, ma con i limiti di portata rappresentati dalla potenza del modulo microtrasmittente, che deve essere alimentato dalla stessa batteria che alimenta in cellulare (parliamo di circa 100 metri reali). 

3) Se riuscire ad intercettare la conversazione GSM risulta estremamente complesso nella tratta radio tra terminale GSM e BTS, altrettanto non si può dire (teoricamente) per il percorso tra stazione radio base e centrale dell'operatore. In questo caso infatti i segnali sono trasmessi in chiaro tanto per i trasferimenti effettuati con linee cablate terrestri quanto per quelli realizzati con sistemi a microonde PTP. Dopo la BTS infatti le conversazioni vengono trasferite all'interno del Network come qualsiasi altra conversazione telefonica. Un attacco al cavo telefonico in uscita dalla BTS potrebbe essere praticabile. Eventuali "derivazioni" non verrebbero scoperte subito e in questo modo lo "spione" potrebbe impadronirsi della "chiave variabile di sessione a 64 bit" (uno dei codici criptati sopra citati). Con questa chiave (che ripetiamo viene generata "random" dall'iterazione di tre algoritmi differenti e non viene trasmessa via radio, ma via cavo fino alla BTS si!) anche l'intercettazione "real time" della tratta via radio potrebbe essere possibile. Ma anche in questo caso parliamo comunque di problemi tecnici, pratici (ma anche logistici!) veramente non banali.

Ovviamente esiste poi il problema legale. Manomettere un impianto di telefonia mobile è passibile di denuncia penale, oltreche di richiesta risarcimento danni da parte dell'operatore.

COME GLI ORGANI INVESTIGATIVI UFFICIALI INTERCETTANO I GSM?

E' certo e provato che le conversazioni tramite GSM "sotto controllo" vengono regolarmente intercettate dagli organi inquirenti ufficiali previo decreto della Magistratura. 

L'unica sorgente di intercettazione sicura ed affidabile è in mano all'operatore GSM, che gestisce in maniera centralizzata tutto il traffico. L'operatore GSM può disporre in maniera relativamente semplice dei seguenti dati:

Principalmente (ma non solo):

a) Se il cellulare è acceso.

b) Dove si trova il cellulare acceso, con un approssimazione di poche centinaia di metri.

c) Numeri chiamati e numeri dei chiamanti in ordine cronologico, corredati di orari, durata delle chiamate, zona nella quale sono state effettuate o ricevute le chiamate.

d) Ascolto e registrazione delle chiamate in corso (ovviamente senza nessun problema "crittografico" in quanto ciò concerne solo la tratta via etere e quindi i segnali giungono in centrale già in "chiaro").

e) Intestatario dell'utenza se abbonato. Se non abbonato (es. schede prepagate) riteniamo sia possibile anche l'accesso in appositi archivi, sempre partendo dai database dell'operatore. 

Es."intestatario del conto corrente sul quale è stata addebitata l'ultima ricarica mediante bancomat", ecc.