Are you being pursued by a stingray?

Avete uno stingray alle calcagna?

Questa volta potreste essere al sicuro solo quando vi trovate molto lontano da tutto

Sono stati avvistati stingray (In inglese significa razza, non confondetelo con il pesce!) in svariate località degne di nota, quali Londra, Washington e Amburgo tanto per fare qualche esempio, e non è chiaro chi stia spiando le attività online delle persone.

Gli stingray sono falsi ripetitori di telecomunicazioni. Si introducono nel bel mezzo di uno scambio di informazioni, inducono con l’inganno il telefono a inoltrare il messaggio attraverso di loro e solo allora trasmettono l’informazione a un ripetitore ufficiale nelle vicinanze. E mentre reindirizzano questa comunicazione, identificano il telefono e la posizione, leggono i messaggi di testo e intercettano tutta la conversazione.

Se questa attività venisse svolta da pirati informatici, la chiameremmo attacco man in the middle. Ma dal momento che questi dispositivi sono di solito gestiti da agenzie di sicurezza del governo e funzionano di norma – ma non sempre – in modo legale e con l’approvazione del tribunale, non lo faremo.

Quanto volete che sia invadente il vostro IMSI catcher?

Questi dispositivi sono comunemente chiamati “stingray”, dal nome di uno dei marchi più diffusi sul mercato. Sono anche conosciuti come simulatori di ripetitori (CSS, cioè cell-site simulator) o IMSI catcher. IMSI è la sigla di International Mobile Subscriber Identity (“identità internazionale di utente di telefonia mobile”). È un numero unico che si trova sulla scheda SIM di ogni telefono cellulare e viene utilizzato dalla rete di telecomunicazione per identificare il dispositivo mentre dirige la chiamata verso i ripetitori più vicini e verso la destinazione finale.

Are you being pursued by a stingray? - in-post
Dispositivo stingray pronto per l’uso mobile

Gli IMSI catcher sono disponibili in due versioni di base: passivi e attivi. I dispositivi passivi registrano principalmente il traffico in corso e non tentano di decrittografarne o alterarne il contenuto. Quelli attivi possono fare molto, molto di più, come bloccare determinati numeri, modificare il contenuto dei messaggi e trasferire il traffico telefonico su una rete non crittografata di livello inferiore, dove le conversazioni possono essere facilmente ascoltate.

Sì, probabilmente hanno il vostro numero

Gli IMSI catcher sono utilizzati in tutti gli Stati Uniti, in Gran Bretagna, in Irlanda e perfino in Germania, che vanta una grande attenzione alla privacy. Se vi siete mai avvicinati a una manifestazione di protesta o avete camminato nel centro di Washington, è probabile che la vostra presenza sia stata registrata da un IMSI catcher. Nella prima metà del 2017, tanto per fare un esempio, le autorità tedesche hanno impiegato gli IMSI catcher più di 50 volte, tra cui in occasione del vertice del G20 ad Amburgo.

Il vostro diritto alla privacy è stato appena spazzato via da uno stingray

Il grande problema degli IMSI catcher non è l’uso mirato che se ne fa contro i cattivi, ma l’intercettazione indiscriminata dei dati di chiunque si trovi nel loro raggio d’azione. Questo è soprattutto un problema che tocca le libertà civili negli Stati Uniti, dove il 4° emendamento della Costituzione include il diritto delle persone a non subire ricerche ingiustificate. Se ad esempio la polizia vuole perquisire la vostra casa o il vostro portafoglio, deve prima convincere il giudice che esiste un motivo plausibile per emettere un mandato. Nel caso degli IMSI catcher, invece, sembra che le autorità abbiano invertito questa procedura: prima raccolgono i dati e poi ottengono la giustificazione per una ricerca continua più dettagliata. In linea generale, le agenzie governative, perlomeno negli Stati Uniti e nel Regno Unito, tengono segreto l’uso che fanno degli IMSI catcher. La loro riluttanza a rivelare le fonti di informazione sulle attività o sulla posizione di un indagato ha portato all’archiviazione di alcuni casi da parte del tribunale.

Il silenzio sugli IMSI catcher è assordante in Europa, soprattutto dopo il trambusto sul GDPR e sulla privacy dei dati. Come dimostrato in Germania, questi dispositivi possono registrare con precisione i partecipanti a una manifestazione di protesta e la loro posizione. Mentre alle aziende possono essere imposte delle limitazioni alla loro capacità di raccogliere dati sui singoli individui, il governo sembra trovarsi in una posizione diversa.

Tutti (nelle forze di sicurezza) ne hanno uno

Considerato che questi dispositivi offrono l’opportunità di scovare i cattivi, i loro amici e la loro posizione precisa, la tecnologia degli IMSI catcher è diventata molto popolare tra le forze di sicurezza di tutto il mondo, anche tra alcune collegate a regimi oppressivi. E man mano che la tecnologia si è evoluta, è diventata più piccola e più portatile. Ciò che prima richiedeva un furgone con un’enorme antenna ora è diventato uno strumento che entra in una valigetta. La tecnologia ha persino preso il volo grazie alle autorità degli Stati Uniti, che hanno posizionato gli IMSI catcher in aerei e droni che raccolgono dati sulle aree urbane.

Sebbene si ritenga che l’uso degli IMSI catcher sia onnipresente, quasi nessuno ne parla in modo dettagliato. Grazie all’applicazione massiccia di accordi di non divulgazione tra Harris, il produttore dei sempre più diffusi dispositivi stingray, e i suoi clienti, è impossibile ottenere una stima accurata dei paesi in cui Harris commercializza questi apparecchi o conoscere il numero degli strumenti in uso o i nomi delle singole agenzie che li utilizzano.

La sorveglianza sta diventando più accessibile per i buoni e i cattivi?

Ormai tutti, buoni e cattivi, possono permettersi le più recenti tecnologie IMSI, e i costi sono in calo. Secondo le fonti ufficiali, un apparato di livello professionale completo di tutte le funzioni può costare oltre 100.000 euro. Per il mercato del fai da te, i costi stimati per la realizzazione di una versione di base sono di appena 1.200 euro. Le istruzioni per costruire alcuni dispositivi sono perfino pubblicate su Github. Inoltre, sono disponibili video su YouTube che spiegano come costruire il proprio strumento di raccolta dati IMSI passivo con meno di 10 euro.

L’impiego dei dispositivi rappresenta una questione legale a parte. In linea di massima, l’utilizzo di un dispositivo completo richiederebbe l’autorizzazione delle autorità, in quanto potenzialmente in grado di interferire con le reti di trasmissione telefonica. Ed è legale raccogliere e conservare passivamente i numeri IMSI? Ma poi, quanti hacker si preoccupano di chiedere l’autorizzazione?

Per il momento ancora nessun antidoto agli IMSI catcher

Smascherare l’uso degli IMSI catcher è difficile, ma possibile. La maggior parte delle tecnologie di rilevamento tenta di identificare le anomalie o i ripetitori che cambiano rete frequentemente. Proprio così, ci sono perfino rilevatori fa dai te da costruire da soli e app da installare sul proprio telefono Android, ma sono ancora in corso di lavorazione. Quindi nel frattempo, dimenticatevi che la vostra bella conversazione telefonica resti privata.

Questo articolo è disponibile anche in: IngleseTedescoFrancese

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.