Codice GSM: violata la cifratura

Probabilmente per dimostrare la vulnerabilità oramai intrinseca dei sistemi di protezione della rete GSM, Karsten Nohl, ricercatore ed ingegnere tedesco, ha annunciato di essere riuscito ad aggirare il codice che è alla base della sicurezza nelle trasmissioni cellulari. L’annuncio è stato rilasciato in occasione della ventiseiesima edizione dell'evento di Berlino Chaos Communication Congress, dedicato proprio alla sicurezza informatica e delle telecomunicazioni. Uno degli aspetti più importanti della vicenda consiste nell’aver impiegato tecniche assolutamente legali, quindi, alla portata di un numero considerevole di utenti.

Si ricordi che l’attuale algoritmo di crittografia impiegato sulla rete GSM è denominato A5/1 ed è un sistema a 64 bit che, tranne per qualche modifica di modesta entità, è rimasto nella sostanza piuttosto simile alla implementazione che risale al 1988. Infatti, la specifica A5/3 che prevedrebbe un sistema di protezione a 128 bit, quindi molto più robusto, non ha mai subito una vera e propria implementazione.

Di anni ne sono passati molti da allora e la mancanza di aggiornamenti importanti ha portato, inevitabilmente, a superare le difese della rete, considerando anche gli strumenti tecnologici oggi a disposizione. Questo ha come conseguenza che potrebbe diventare piuttosto semplice ascoltare altrui telefonate o intercettare SMS.

Se si considera che la rete GMS viene utilizzata, allo stato attuale delle cose, da circa 3 miliardi di utenti sparsi in oltre  200 paesi in tutto il mondo, si comprende come diventi necessario un intervento importante degli addetti ai lavori. Tra l’altro, sebbene, evidentemente, il gruppo di lavoro di Nohl abbia operato con intento accademico, tuttavia la pubblicazione su Internet dei dati ottenuti insieme una raccolta di codici binari, potrebbe portare a continue forzature della rete. Questa scelta è stata alla base di pesanti critiche al lavoro del gruppo da parte della GSM Association.

Stan Schatt, Vice President & Practice Director dei Servizi sanitari e di sicurezza di ABI Research, ha commentato: “Potenzialmente questa notizia potrebbe avere un impatto così profondo nel settore della telefonia cellulare, così come l’hack della crittografia WEP ha avuto sul settore wireless LAN”. Schatt ha proseguito: "... la gente deve temere il furto di preziose informazioni sui conti bancari e sulle vicende personali. La nostra ricerca dimostra che i lavoratori parlano di informazioni aziendali sensibili sui loro telefoni cellulari. Se non si reagirà, è probabile che si inizino a sentire storie di informazioni sensibili compromesse, segreti industriali trapelati, informazioni personali di natura finanziaria rubate, ecc. Potremmo anche assistere all’aumento di ricatti ed estorsioni”.

Lo stesso gruppo di lavoro di Nohl ha definito l’hack piuttosto semplice da effettuare e con strumenti facilmente reperibili. Se questo fosse confermato e se le informazioni su come effettuarlo si diffondessero davvero, potrebbero esserci seri problemi di sicurezza per le informazioni sensibili.

• « Google Nexus One: a gennaio per 530 dollari
• EeePC 1005PE: video unbox »