giovedì, Dicembre 26, 2024

La rete telefonica negli anni 90 e 2000 fu deliberatamente indebolita per spiarci

Una debolezza nell’algoritmo utilizzato per crittografare i dati del cellulare negli anni ’90 e 2000 ha permesso agli hacker di spiare parte del traffico Internet, secondo un nuovo documento di ricerca .

Il documento ha inviato onde d’urto attraverso la comunità della crittografia a causa di ciò che implica: i ricercatori ritengono che la probabilità matematica che la debolezza venga introdotta in caso di incidente sia estremamente bassa. Pertanto, ipotizzano che una debolezza sia stata intenzionalmente inserita nell’algoritmo. Dopo la pubblicazione del documento, il gruppo che ha progettato l’algoritmo ha confermato che era così.

I ricercatori di diverse università in Europa hanno scoperto che l’algoritmo di crittografia GEA-1, utilizzato nei telefoni cellulari quando l’industria ha adottato gli standard GPRS nelle reti 2G, è stato progettato intenzionalmente per includere una debolezza che almeno un esperto di crittografia vede come una backdoor. I ricercatori hanno affermato di aver ottenuto due algoritmi di crittografia, GEA-1 e GEA-2, che sono proprietari e quindi non pubblici, “da una fonte”. Quindi li hanno analizzati e si sono resi conto che erano vulnerabili agli attacchi che consentivano la decrittazione di tutto il traffico.

Durante il tentativo di decodificare l’algoritmo, i ricercatori hanno scritto che (per semplificare), hanno cercato di progettare un algoritmo di crittografia simile utilizzando un generatore di numeri casuali spesso utilizzato in crittografia e non si sono mai avvicinati alla creazione di uno schema di crittografia debole come quello in realtà usato: “In un milione di tentativi non ci siamo mai nemmeno avvicinati a un’istanza così debole”, hanno scritto. “Ciò implica che è improbabile che la debolezza di GEA-1 si verifichi per caso, indicando che il livello di sicurezza di 40 bit è dovuto alle normative sull’esportazione”.

I ricercatori hanno soprannominato l’attacco “divide et impera” e hanno affermato che è stato “piuttosto semplice”. In breve, l’attacco consente a qualcuno che può intercettare il traffico dati del cellulare di recuperare la chiave utilizzata per crittografare i dati e quindi decrittografare tutto il traffico. Il punto debole di GEA-1, il più vecchio algoritmo sviluppato nel 1998, è che fornisce solo una sicurezza a 40 bit. Questo è ciò che consente a un utente malintenzionato di ottenere la chiave e decrittografare tutto il traffico, secondo i ricercatori.

“Per soddisfare i requisiti politici, milioni di utenti sono stati apparentemente scarsamente protetti durante la navigazione per anni”.

Un portavoce dell’organizzazione che ha progettato l’algoritmo GEA-1, l’European Telecommunications Standards Institute ( ETSI ), ha ammesso che l’algoritmo conteneva un punto debole, ma ha affermato che è stato introdotto perché le normative sull’esportazione all’epoca non consentivano una crittografia più forte.

“Abbiamo seguito i regolamenti: abbiamo seguito i regolamenti sul controllo delle esportazioni che limitavano la forza di GEA-1”, ha detto un portavoce di ETSI a Motherboard via e-mail.

Håvard Raddum, uno dei ricercatori che ha lavorato al documento, ha riassunto le implicazioni di questa decisione in un’e-mail a Motherboard.

“Per soddisfare i requisiti politici, milioni di utenti sono stati apparentemente scarsamente protetti durante la navigazione per anni”, ha affermato.

Raddum ei suoi colleghi hanno scoperto che il successore di GEA-1, GEA-2 non conteneva la stessa debolezza. In effetti, il portavoce dell’ETSI ha affermato che quando hanno introdotto GEA-2 i controlli sulle esportazioni erano stati allentati. Tuttavia, i ricercatori sono stati in grado di decrittografare anche il traffico protetto da GEA-2 con un attacco più tecnico e hanno concluso che GEA-2 “non offre un livello di sicurezza sufficientemente elevato per gli standard odierni”, come hanno scritto nel loro articolo.

Lukasz Olejnik, un ricercatore e consulente indipendente sulla sicurezza informatica con un dottorato di ricerca in informatica all’INRIA , ha detto a Motherboard che “questa analisi tecnica è valida e le conclusioni sull’indebolimento intenzionale dell’algoritmo sono piuttosto serie”.

La buona notizia è che GEA-1 e GEA-2 non sono più ampiamente utilizzati dopo che i fornitori di telefoni cellulari hanno adottato nuovi standard per le reti 3G e 4G. La cattiva notizia è che anche se l’ETSI ha vietato agli operatori di rete di utilizzare GEA-1 nel 2013, i ricercatori affermano che sia GEA-1 che GEA-2 persistono fino ad oggi perché il GPRS è ancora utilizzato come ripiego in alcuni paesi e reti.

“Nella maggior parte dei paesi, [il rischio] non è molto elevato e significativamente inferiore rispetto all’inizio degli anni 2000 da quando GEA-3 e GEA-4 sono utilizzati oggi”, ha affermato Raddum. “Ma i telefoni supportano ancora GEA-1. Esistono scenari in cui un telefono cellulare oggi può essere indotto con l’inganno a utilizzare GEA-1”.

Screen Shot 2021-06-17 at 11.08.05 AM.png

In effetti, i ricercatori hanno testato diversi telefoni moderni per vedere se avrebbero ancora supportato gli algoritmi vulnerabili e “sorprendentemente” hanno scoperto che lo fanno ancora. I ricercatori hanno affermato che sono i produttori di banda base i responsabili dell’implementazione degli standard.

“L’uso di GEA-1 ha ancora conseguenze di vasta portata sulla privacy dell’utente”, hanno scritto i ricercatori, “e dovrebbe essere evitato a tutti i costi”.

ARTICOLI COLLEGATI:

ULTIMI ARTICOLI: