Due miliardi di schede SIM hackerate, un vero incubo

Secondo indiscrezioni, l’NSA sarebbe riuscita a entrare nella rete del più grande fornitore mondiale di schede SIM e a rubare le chiavi crittografiche di milioni di dispositivi.

SIM Gemalto

Da aggiungere alla lista delle rivelazioni di Snowden sulla NSA ci potrebbe essere una notizia sconvolgente: l’Agenzia di Sicurezza Nazionale statunitense e il suo corrispettivo britannico (GCHQ) avrebbero compromesso le reti di Gemalto e rubato le chiavi crittografiche che proteggerebbero milioni (se non miliardi) di schede SIM.

Un’operazione di questa portata metterebbe in discussione l’integrità dell’intero sistema di comunicazione via cellulare. Non solo le nostre comunicazioni sarebbero sotto controllo, ma potrebbero essere compromesse con un click.

Se non avete idea di cosa sia Gemalto, vi possiamo dire che si tratta di un’azienda produttrice di schede SIM su scala mondiale. Anzi, è la maggiore produttrice al mondo, almeno da quanto dice the Economist.

Secondo l’articolo su The Intercept, dove sono apparse per la prima volta queste indiscrezioni, Gemalto produce circa 2 miliardi di schede SIM ogni anno. Per dare un quadro più generale, la popolazione mondiale è di 7,125 miliardi di persone e si calcola che i dispositivi mobili sarebbero 7,19 miliardi. Tra i clienti di Gemalto ci sono grandi aziende come Sprint, AT&T, Verizon, T-Mobile e altre 450 compagnie molto importanti. Gemalto è attiva in 85 paesi e con  40 fabbriche in tutto il mondo.

SIM è l’acronimo di “Subscribers Identification Mobile”. Una scheda SIM è formata da un piccolo circuito integrato che viene inserito nel dispositivo mobile. Essa contiene il codice IMSI (International Mobile Subscriber Identity) con la corrispettiva chiave di accesso critpata. Questa chiave di accesso, assieme al numero,  identificano univocamente un telefono. È come l’accoppiata username-password ma su hardware per cui non può essere modificata.

Se in possesso dell’elenco di queste chiavi, un hacker potrebbe controllare le comunicazioni di dati e a voce di qualsiasi dispositivo con una scheda SIM compresa in questo elenco. Se tali indiscrezioni risultassero vere, vorrebbe dire che NSA e GCHQ potrebbero monitorare una grande quantità di dati (e di chiamate) in tutto il mondo senza dover richiedere un mandato o l’approvazione da parte di un tribunale.

Non se ne parla molto sui media esterni al settore, ma si tratta di una notizia davvero preoccupante. I metadata rivelano i movimenti di una persona, con chi ha avuto contatti e, per esteso, chi è davvero. Un attacco di grandi proporzioni alle schede SIM o ai protocolli crittografici consente di visualizzare (in plain text) le comunicazioni tra due persone. Se alcune informazioni (come la geolocalizzazione e le interazioni tra dispositivi) possono essere interpretate in vari modi, il plain text lascia poco spazio all’immaginazione: il contenuto di una conversazione è tutto lì e disponibile immediatamente, senza bisogno di interpretazioni.
In un documento confidenziale che sarebbe stato rubato da un ex lavoratore della NSA e reso pubblico da The Intercept, l’NSA rivela: “abbiamo impiantato vari dispositivi [Gemalto] e crediamo di avere l’intera rete a disposizione…”

Il problema non riguarda solo la privacy e le comunicazioni via cellulare. Esistono delle conseguenze anche a livello economico, e per due motivi. Chris Soghoia (membro dello staff tecnico dell’American Civil Liberties Union) e Matthew Green (crittografo della John Hopkins), nell’articolo su The Intercept fanno notare che le schede SIM non sono state progettare per proteggere le comunicazioni tra le persone, bensì per facilitare il processo di fatturazione dei costi per le comunicazioni e per evitare che gli utenti potessero truffare il proprio operatore telefonico. In alcune zone del mondo si fa ancora affidamento alle reti cellulari di seconda generazione e si usano le schede SIM per trasferimenti di denaro e per il pagamento di beni e servizi come con M-Pesa.

L’attacco a Gemalto comprometterebbe l’integrità di un sistema di comunicazione globale che si basa sui dispositivi mobili e sulle SIM che essi contengono.

Nn si tratta di una questione economica solo per i paesi in via di sviluppo: Gemalto è la maggiore casa produttrice di microchip di carte di credito con codice PIN o EMV, il principale metodo di pagamento in Europa e anch’esse potrebbero essere compromesse. Da quanto leggiamo su The Intercept, i chip di Gemalto vengono anche impiegati nei passaporti elettronici, carte di identità e sono fondamentali in alcune auto di lusso, come BMW e Audi. Se avete una carta di credito con chip e codice Pin di Visa, Mastercard, American Express, JP Morgan Chase o Barclays, esiste la probabilità che il chip sia stato prodotto da Gemalto e che la sua chiave crittografica sia stata compromessa in qualche modo.

Nonostante le indiscrezioni e i documenti segreti, Gemalto ha smentito fermamente.

“Non abbiamo trovato nessuna falla nel sistema di produzione delle nostre SIM né in altre parti del sistema di sicurezza che salvaguarda altri nostri prodotti come carte di credito, carte di identità o passaporti elettronici. Ogni settore è isolato l’uno dall’altro e non ci sono collegamenti con reti esterne”, ha specificato l’azienda in un comunicato.

La compagnia ha però ammesso che in passato ci sono stati vari tentativi di attacchi hacker dei quali sarebbero responsabili NSA e GCHQ.

Un altro aspetto preoccupante di questa e altre rivelazioni di Snowden è che il documento confidenziale risale al 2010. Quindi, non solo questo sistema è attivo da ormai cinque anni, ma è una tecnica di spionaggio ormai datata, cinque anni nel settore dell’informatica sono un’eternità. Chissà nel frattempo come sono avanzate queste tecniche.

Oltre ai problemi di privacy individuale e collettiva che suppone avere una scheda SIM compromessa, se la documentazione fornita da Snowden dovesse essere vera, si tratterebbe di un vero e proprio incubo dal punto di vista delle relazioni internazionali. Ricordate l’episodio di due mesi fa, l’attacco da parte della Corea del Nord alla Sony Pictures Enternainment che ha raggiunto i contorni di una vera e propria crisi diplomatica? Ebbene, quell’attacco ha portato come bottino un paio di copioni di film e qualche email. Un attacco a Gemalto potrebbe, invece, compromettere l’integrità di un sistema di comunicazione globale che si basa sui dispositivi mobili e sulle SIM che essi contengono.

Consigli