La tecnologia GSM
La mobilità nelle comunicazioni è stata una vera rivoluzione sociale e
il GSM è stata la tecnologia che di fatto l’ha permessa. Per oltre 20
anni è stata la tecnologia principe della telefonia mobile e in questo
lasso di tempo la sua copertura si è diffusa a macchia d’olio. Non c’è
che dire, il suo utilizzo ha radicalmente cambiato il modo di comunicare
di un’intera generazione…e anche il modo di organizzarsi. Quante volte
v’è capitato di rispondere al cellulare mentre gironzolavate in qualche
piazza e sentirvi dire: “Scusa, non posso venire, ho avuto un contrattempo”. E voi: “E me lo dici ora? Ti sto aspettando da 10 minuti!”.
Credetemi, una volta queste cose non succedevano, se vi davano buca lo
facevano quantomeno prima di uscire di casa per essere sicuri di
trovarvi al vostro telefono di fisso. Così, se una volta ci si
organizzava per tempo, ora ci si organizza sul momento.
Mentre il GSM dava gli ultimi ritocchi nel plasmare il nuovo modello comunicativo e organizzativo della società, una nuova curiosità iniziava a solleticare le menti di tante persone “interessate”: così come una telefonata può raggiungere posti non presidiati da telefoni fissi, si possono fornire, allo stesso modo, dei servizi là dove non è presente alcuna connettività fisica? Ovvero, la mobilità sulla comunicazione si può estendere anche ai servizi?
E qual è stata la cura per questo nuovo “prurito mentale”? Il GSM,
ovvio! E’ stata proprio la sua diffusione così capillare a fare del GSM
la tecnologia ottimale anche per l’erogazione di servizi, e in
particolare del servizio di pagamento con carta di credito tramite i POS
(Point-Of-Sale) GSM/GPRS. Pensate che adesso si parla addirittura di
Mobile POS, dove alcune componenti hardware in commercio permettono di
estendere il proprio cellulare in un vero e proprio POS.
“Fantastico! Possiamo strisciare la nostra carta di credito
platinum, tutta tempestata di pietre preziose, da qualsiasi angolo della
terra purché ci sia una connessione GSM!” Se questa è la frase che
vi è scappata nel sentire POS GSM/GPRS e Mobile POS, allora le cose
sono due: avete il senso dell’umorismo, ma non avete letto il post precedente;
oppure dite sul serio e … [omissis] … non avete letto il post
precedente. ([omissis] racchiude tutte una serie di osservazioni che
esulano dal nostro contesto e quindi è controproducente e dispersivo
esplicarle…).
Ok! La pervasività del GSM permette di avere anche servizi in modalità wireless in completa mobilità e, soprattutto, senza il vincolo di costi strutturali… ma davvero voi ci fareste transitare i dati della vostra carta di credito senza nemmeno una minima preoccupazione?
Sappiamo che se un malintenzionato volesse decifrare il traffico GSM non dovrebbe fare così tanti salti mortali, anzi, farebbe una tranquilla passeggiata. E se invece di intercettare il vostro traffico voce, intercettasse il traffico del POS GSM/GPRS mentre strisciate la vostra carta di credito?
Certo, qualcuno potrebbe obiettare dicendo che il POS effettua una ulteriore crittografia secondo i requisiti imposti dal PCI DSS (Payment Card Industry – Data Security Standard). Obiezione accolta, sempre che si rispetti tale standard; e per lo spoof della stazione radio base? Ovvero, se il malintenzionato invece di sniffare il traffico implementasse una propria stazione radio base e si sostituisse alla BTS del vostro operatore facendo da ponte con questa?
In questo caso sarebbe un vero e proprio MITM (Man-In-The-Middle) a livello infrastrutturale. Forse non avrebbe la possibilità di leggere i messaggi inviati e ricevuti dal POS perché criptati ad un livello più alto, ma avrebbe comunque il controllo della comunicazione, potendo manipolare i messaggi a suo piacimento.
A questo punto qualcuno di voi potrebbe nuovamente obiettare sostenendo che comunque i messaggi di cui ha il controllo sono criptati e per lui inintelligibili. Spiacente, ma questa volta l’obiezione non è accolta. Non dimentichiamoci che la sicurezza non è la crittografia, né il firewall, né l’antivirus: la sicurezza è un processo – lo so, lo ripeto spesso, ma perché è fondamentale, credetemi. Crittografia, firewall, antivirus e così via, non sono altro che strumenti; strumenti utilizzati dal processo di sicurezza appunto.
Molto probabilmente il nostro malintenzionato non saprà il contenuto dei messaggi che transitano, ma potrebbe benissimo sapere come è strutturata una transazione e, quindi, sapere quanti messaggi vengono scambiati e la funzione di ciascun messaggio. Mettiamo, per esempio, che la transazione fosse composta da due messaggi, uno dal POS con la richiesta di conferma di pagamento e l’altro in risposta al POS con l’acknowledge, entrambi criptati; essendo in mezzo alla comunicazione e avendone il controllo cosa gli impedirebbe di sostituire il primo messaggio con uno o più messaggi creati ad-hoc e riutilizzare il messaggio di acknowledge per confermare una serie di transazioni fraudolente? Capite bene che se una cosa del genere potesse essere messa in atto, il fatto che i messaggi siano criptati non ha alcuna rilevanza per il nostro “carissimo” malintenzionato.
proponi notizia su upnews
Mentre il GSM dava gli ultimi ritocchi nel plasmare il nuovo modello comunicativo e organizzativo della società, una nuova curiosità iniziava a solleticare le menti di tante persone “interessate”: così come una telefonata può raggiungere posti non presidiati da telefoni fissi, si possono fornire, allo stesso modo, dei servizi là dove non è presente alcuna connettività fisica? Ovvero, la mobilità sulla comunicazione si può estendere anche ai servizi?
strumenti per lo spionaggio delle informazioni e la tutela della privacy.
vasta scelta di software per cellulari spia consulta il sito oppure chiama il numero sopra indicato.
Ok! La pervasività del GSM permette di avere anche servizi in modalità wireless in completa mobilità e, soprattutto, senza il vincolo di costi strutturali… ma davvero voi ci fareste transitare i dati della vostra carta di credito senza nemmeno una minima preoccupazione?
Sappiamo che se un malintenzionato volesse decifrare il traffico GSM non dovrebbe fare così tanti salti mortali, anzi, farebbe una tranquilla passeggiata. E se invece di intercettare il vostro traffico voce, intercettasse il traffico del POS GSM/GPRS mentre strisciate la vostra carta di credito?
Certo, qualcuno potrebbe obiettare dicendo che il POS effettua una ulteriore crittografia secondo i requisiti imposti dal PCI DSS (Payment Card Industry – Data Security Standard). Obiezione accolta, sempre che si rispetti tale standard; e per lo spoof della stazione radio base? Ovvero, se il malintenzionato invece di sniffare il traffico implementasse una propria stazione radio base e si sostituisse alla BTS del vostro operatore facendo da ponte con questa?
In questo caso sarebbe un vero e proprio MITM (Man-In-The-Middle) a livello infrastrutturale. Forse non avrebbe la possibilità di leggere i messaggi inviati e ricevuti dal POS perché criptati ad un livello più alto, ma avrebbe comunque il controllo della comunicazione, potendo manipolare i messaggi a suo piacimento.
A questo punto qualcuno di voi potrebbe nuovamente obiettare sostenendo che comunque i messaggi di cui ha il controllo sono criptati e per lui inintelligibili. Spiacente, ma questa volta l’obiezione non è accolta. Non dimentichiamoci che la sicurezza non è la crittografia, né il firewall, né l’antivirus: la sicurezza è un processo – lo so, lo ripeto spesso, ma perché è fondamentale, credetemi. Crittografia, firewall, antivirus e così via, non sono altro che strumenti; strumenti utilizzati dal processo di sicurezza appunto.
Molto probabilmente il nostro malintenzionato non saprà il contenuto dei messaggi che transitano, ma potrebbe benissimo sapere come è strutturata una transazione e, quindi, sapere quanti messaggi vengono scambiati e la funzione di ciascun messaggio. Mettiamo, per esempio, che la transazione fosse composta da due messaggi, uno dal POS con la richiesta di conferma di pagamento e l’altro in risposta al POS con l’acknowledge, entrambi criptati; essendo in mezzo alla comunicazione e avendone il controllo cosa gli impedirebbe di sostituire il primo messaggio con uno o più messaggi creati ad-hoc e riutilizzare il messaggio di acknowledge per confermare una serie di transazioni fraudolente? Capite bene che se una cosa del genere potesse essere messa in atto, il fatto che i messaggi siano criptati non ha alcuna rilevanza per il nostro “carissimo” malintenzionato.
proponi notizia su upnews
Commenti
Posta un commento