{"id":34335,"date":"2013-09-26T20:03:29","date_gmt":"2013-09-26T20:03:29","guid":{"rendered":"http:\/\/www.alground.com\/site\/?p=34335"},"modified":"2017-06-09T14:14:20","modified_gmt":"2017-06-09T13:14:20","slug":"falla-sim-card","status":"publish","type":"post","link":"https:\/\/alground.com\/site\/falla-sim-card\/34335\/","title":{"rendered":"La falla nelle SIM Card che nessuno vuole risolvere"},"content":{"rendered":"

Tutti sanno di una falla nelle SIM Card<\/strong>\u00a0potenzialmente pericolosissima. Ma nessuno se ne cura.<\/p>\n

E purtroppo la sicurezza informatica non soffre solo quando un rischio viene scoperto e non si sa come risolverlo, ma anche quando non si vuole. E’ il caso della vulnerabilit\u00e0 individuata dal ricercatore sulla sicurezza tedesco Karsten Nohl<\/strong>, che ha esordito annunciando la sua pericolosa scoperta e che recentemente ha divulgato i dettagli.<\/p>\n

\"Karsten<\/a>
Karsten Nohl, il ricercatore tedesco che ha scoperto il bug<\/figcaption><\/figure>\n

Come funziona il bug delle SIM Card<\/strong> – L’attacco, sebbene necessiti di sufficienti conoscenze da parte del pirata informatico, si articola in due fasi molto semplici: nella prima, l’hacker invia un messaggio sms<\/strong> contenente delle particolari istruzioni ad un qualsiasi numero di telefono.<\/p>\n

Il codice dell\u2019SMS raggiunge il sistema operativo usato dalle SIM, JavaCard<\/strong><\/a> (che condivide con il pi\u00f9 noto Java solo qualche elemento) e in particolare “parla” con la scheda chiedendo quale sia la chiave per decifrare le informazioni sensibili, che sono ovviamente criptate.<\/p>\n

La brava SIM Card risponde, ed \u00e8 sufficiente l’invio di un secondo messaggino, stavolta con una serie di istruzioni leggermente pi\u00f9 lunghe di quelle che una normale schedina \u00e8 in grado di elaborare ed il gioco \u00e8 fatto: da remoto \u00e8 possibile installare un qualsiasi software<\/strong> a totale insaputa dell’utente e spiare da lontano gli sms spediti<\/strong>, rubare ogni tipo di dato<\/strong> contenuto in memoria e anche addebitare al conto telefonico<\/strong> ci\u00f2 che si preferisce.<\/p>\n

La portata del pericolo<\/strong> – Il problema \u00e8 potenzialmente enorme: la falla riguarda tutte le SIM Card che utilizzano un metodo di cifratura dei dati abbastanza anziano, il sistema DES, attualmente in uso nella met\u00e0 dei telefoni di tutto il mondo. Nell’esperimento condotto da Nohl su mille SIM, circa un quarto ha obbedito ai comandi e dunque, trasportando il tutto su scala mondiale, il bug riguarda circa 750 milioni di dispositivi<\/strong> in tutto il mondo, appartenenti in particolar modo a Gemalto<\/strong><\/a>, compagnia di Amsterdam leader mondiale nella produzione di schede SIM, la Telefonica<\/strong><\/a>, spagnola che ha recentemente assunto il controllo azionario di Telecom Italia, e la famosa (anche qui in Italia), Vodafone<\/strong><\/a>.<\/p>\n

L’indifferenza delle compagnie<\/strong> – Le vulnerabilit\u00e0 si scoprono da sempre e da sempre esiste un gioco delle parti fra il ricercatore e l’azienda: il bug pu\u00f2 essere comunicato segretamente, previa ricompensa sottobanco o assunzione, bench\u00e9 questa operazione sia stata resa pubblica e recentemente sdoganata da Facebook, oppure pu\u00f2 essere comunicata a tutti, costringendo l’azienda interessata a salvare gli utenti e se stessa tramite aggiornamenti.<\/p>\n

In questo caso il problema \u00e8 stato comunicato da Nohl in maniera del tutto pacifica ai principali gestori, ma la risposta: “Emb\u00e8, non ce ne frega pi\u00f9 di tanto”<\/em>, non \u00e8 una frase ad effetto per dare colore all’articolo, ma la letterale reazione dei team di sicurezza.<\/p>\n

\""Non<\/a>
“Non ci importa pi\u00f9 di tanto”, la risposta delle compagnie alla segnalazione<\/figcaption><\/figure>\n

La gi\u00e0 citata Gemalto ha precisato che i software eseguiti sui cellulari sono tutti certificati e la falla, essendo al limite del puro virtuosismo tecnico, non rappresenta in realt\u00e0 un pericolo. Telefonica e Vodafone hanno invece replicato, precisando che il sistema di cifratura utilizzato finora regge da tanto “ma da tanto, tanto!”.<\/p>\n

La soluzione quando sar\u00e0 troppo tardi<\/strong> – La certezza delle aziende interpellate non convince Nohl che \u00e8 arrivato ad ipotizzare che la falla possa trattarsi di una via di accesso nascosta<\/strong> che le compagnie tengono volutamente aperta per motivi di spionaggio, ma si tratta di una ipotesi. Pi\u00f9 concreta \u00e8 invece l’osservazione dei fatti.<\/p>\n

Una falla in un sistema tanto piccolo quanto delicato \u00e8 potenzialmente devastante ma anche ben pi\u00f9 concreta di quanto si pensi. Nel 2010, un bug nei circuiti della carte di credito che non furono in grado di elaborare il passaggio fra l’anno 2009 e il successivo, imped\u00ec a 30 milioni di tedeschi<\/strong> di ritirare i soldi dai bancomat<\/a><\/strong>, e questa falla, simile a quella che \u00e8 stata ora definita “poco importante”, cost\u00f2 alla Gemalto 320 milioni di euro<\/strong> di danni.<\/p>\n

Il problema pi\u00f9 grave non sta nella falla in s\u00e9, ma nel fatto che laddove pu\u00f2 esserci un guadagno i pirati informatici si inseriscono, e i telefonini sono le vittime del nuovo millennio, ma ancora pi\u00f9 precisamente, la vulnerabilit\u00e0 sta nella assoluta volont\u00e0 di non muoversi in tempo, la quale porter\u00e0 ad adoperarsi per una soluzione quando il problema arriver\u00e0… e sar\u00e0 grave<\/strong>.<\/p>\n","protected":false},"excerpt":{"rendered":"

Tutti sanno di una falla nelle SIM Card\u00a0potenzialmente pericolosissima. Ma nessuno se ne cura. E purtroppo la sicurezza informatica non soffre solo quando un rischio viene scoperto e non si sa come risolverlo, ma anche quando non si vuole. E’ il caso della vulnerabilit\u00e0 individuata dal ricercatore sulla sicurezza tedesco Karsten Nohl, che ha esordito […]<\/p>\n","protected":false},"author":10,"featured_media":34550,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"pmpro_default_level":"","footnotes":""},"categories":[1413],"tags":[],"class_list":{"0":"post-34335","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-attualita","8":"pmpro-has-access"},"aioseo_notices":[],"jetpack_featured_media_url":"https:\/\/alground.com\/site\/wp-content\/uploads\/2013\/09\/sim_a_rischio.jpg","wps_subtitle":"","_links":{"self":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/34335","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/users\/10"}],"replies":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/comments?post=34335"}],"version-history":[{"count":0,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/34335\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media\/34550"}],"wp:attachment":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media?parent=34335"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/categories?post=34335"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/tags?post=34335"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}