È possibile che persone non autorizzate ascoltino le mie telefonate o leggano i miei SMS? Posso ancora navigare in Internet dalla rete mobile senza lasciare tracce? Quali sono le potenziali fonti di pericolo e quali precauzioni consentono di minimizzarle? Per utilizzare il telefono cellulare in piena sicurezza basta seguire alcuni accorgimenti.
Leo Lehmann, Divisione Servizi di telecomunicazione
Prologo: la trasmissione di informazioni tramite le reti di telefonia mobile con le tecnologie UMTS e LTE è oggigiorno considerata sicura. Il fatto che, nonostante il criptaggio dei dati, le reti di telecomunicazione mobile basate sulla precedente tecnologia GSM fossero vulnerabili agli attacchi è stato accertato sin dal 1997. All'inizio, l'intercettazione delle telefonate era però difficile da mettere in pratica sulle reti GSM reali. Nel frattempo la situazione è cambiata: diversi esperti della sicurezza hanno provato a scopo dimostrativo come ciò sia di fatto possibile, anche in reali condizioni di esercizio della rete; i software di intercettazione e i manuali di decriptaggio sono scaricabili da Internet. L'intercettazione illegale delle telefonate ad opera di terzi non autorizzati non si può pertanto escludere categoricamente. D'altro canto l'industria e gli operatori svizzeri di telefonia mobile hanno assunto diversi provvedimenti per rendere il più possibile sicuro l'impiego della telefonia mobile in Svizzera. Sunrise e Swisscom hanno già adottato nelle loro reti GSM lo standard di crittografia sicuro A5/3; Orange ha annunciato un cambiamento all'inizio del 2014, come dichiarato da "inside-it.ch" il 16 dicembre 2013. Per migliorare la sicurezza è comunque necessario che lo standard A5/3 sia supportato dai telefoni cellulari e dagli smartphone. È solo dal 2010-2011 che i terminali più recenti hanno integrato questa funzionalità.
Intercettare le telefonate – come si fa?
I tentativi di intercettazione delle telefonate sui collegamenti di telefonia mobile GSM avvengono nella maggior parte dei casi nell'interfaccia aerea fra telefono cellulare e stazione di radiocomunicazione. Il trasferimento di messaggi tramite altre interfacce di sistema di una rete di telefonia mobile GSM, persino in formato non criptato, non può essere intercettato così facilmente. La difficoltà infatti sarebbe enorme: implicherebbe avere accesso alle stazioni di radiocomunicazione o agli altri locali di un operatore.
Tra i metodi per intercettare le comunicazioni cifrate tramite l'interfaccia aerea si possono distinguere quelli attivi e quelli passivi.
- I metodi passivi prevedono che un intercettatore registri lo scambio di informazioni tra emittente e ricevente, all'occorrenza per analizzarlo in un momento successivo (offline), senza tuttavia servirsi di un dispositivo di trasmissione per influenzare la comunicazione. Gli strumenti impiegati a questo fine possono essere apparecchi di ricezione per il medium da intercettare, completati da apparecchi per la registrazione e l'analisi dei dati (ad es. PC). Di solito è difficile o impossibile scoprire chi intercetta con i metodi passivi, che d'altro canto richiedono algoritmi estremamente complessi per forzare la cifratura della comunicazione.
- Nei procedimenti attivi, l'intercettatore, il cosiddetto man in the middle, si serve di un proprio impianto ricetrasmittente (ad es. un IMSI catcher), che viene inserito tra emittente e ricevente e permette di intromettersi nello scambio di informazioni tra l'emittente e il ricevente. Collegandosi con il proprio telefono cellulare all'operatore di telefonia mobile e fungendo da canale per l'intera comunicazione, l'intercettatore simula così una stazione di radiocomunicazione dell'operatore telefonico nei confronti del destinatario della trasmissione. Dato che permettono di influenzare lo scambio informativo tra emittente e ricevente, in certi casi i metodi attivi offrono più opportunità di intercettazione rispetto a quelli passivi ma richiedono apparecchiature di norma ancora più complesse dei primi. Oltretutto l'autore dell'attacco ha maggior probabilità di essere scoperto.
Intercettazione tramite i giochi gratuiti per smartphone
Al giorno d'oggi molti terminali mobili dispongono di sistemi operativi sempre più complessi che offrono la possibilità di accedere a Internet, scaricare e utilizzare programmi e applicazioni (apps) dalla rete. Questi apparecchi, come i computer, corrono quindi il rischio di essere infettati da virus e aggrediti da altri software dannosi. In linea di massima nessuna piattaforma mobile (ad es. android, iOS, windows mobile) è al riparo da programmi dannosi (malware). In ragione della loro massiccia diffusione (80 % degli smartphone) gli apparecchi con piattaforma android sono tuttavia i più a rischio, come constatato da Computerbild nell'agosto 2013. Spesso i malware si intrufolano nello smartphone camuffati da app, come un cavallo di troia. Quello che all'utente può apparire come un semplice gioco gratuito, si rivela inaspettatamente un trucco per installare un software dannoso sul suo smartphone. Questo genere di programmi informatici sono per la maggior parte destinati a raccogliere informazioni sulle attività degli utenti per trasmetterle a terzi (spyware): si va dalla memorizzazione delle attività su Internet, all'osservazione di quello che digitiamo con la tastiera, allo spionaggio dei numeri di autentificazione usati nelle transazioni effettuate con i servizi bancari via Internet dalla rete mobile, alla registrazione delle telefonate. Altrettanto diffusi sono i programmi informatici dannosi che abbonano occultamente l'apparecchio a servizi Premium SMS a pagamento o che fanno partire telefonate a costosi numeri Premium (ad es. Terdial.A e Terdial.B).
Come proteggersi?
Anche se, malgrado tutte le misure messe in atto dagli operatori svizzeri di telefonia mobile, le possibilità di intercettazione non possono essere ridotte a zero, i consigli seguenti sono un valido aiuto per ridurne considerevolmente la probabilità:
- per evitare la manipolazione e il furto di dati non lasciare mai il proprio telefono incustodito e non affidare mai a un'altra persona il telefono o la propria scheda SIM, soprattutto se si tratta di uno sconosciuto;
- utilizzare il proprio telefono e la scheda SIM con grande precauzione, come se si trattasse della carta di credito;
- assicurarsi che la funzione di richiesta del codice di sicurezza (PIN) sia costantemente attivata;
- in linea di principio occorre prestare maggiore attenzione con i vecchi telefoni GSM, perché sono più soggetti a intercettazioni nell'interfaccia aerea tra telefono cellulare e stazione di radiocomunicazione siccome in parte utilizzano ancora procedimenti di crittografia "espugnabili";
- alcuni telefoni cellulari consentono di impostare stabilmente la trasmissione sull'UMTS e di non passare direttamente al GSM in caso di assente copertura UMTS. Questa impostazione soddisfa elevati standard di sicurezza;
- evitare di scaricare applicazioni o programmi di provenienza ignota e non aprire allegati di e-mail inviate da sconosciuti o mittenti sospetti;
- pur non essendo una garanzia di protezione assoluta, si consiglia tuttavia di installare un programma antivirus adeguato alla propria piattaforma mobile. Simili programmi sono proposti di frequente dagli operatori di telefonia mobile. In caso si scelga un programma antivirus sconosciuto è necessario informarsi preventivamente sulla sua affidabilità presso il proprio provider o nella stampa di settore.
Per cosa è responsabile l'UFCOM?
Secondo la legge federale sulle telecomunicazioni l'UFCOM vigila affinché gli operatori di rete osservino il segreto delle telecomunicazioni e la protezione dei dati nel settore delle telecomunicazioni e adottino le necessarie misure per tutelare quanto possibile gli utenti dalle intercettazioni. In questo contesto l'UFCOM ha esaminato le diverse possibilità e continuerà a seguirne attentamente gli sviluppi anche in futuro. I casi di intercettazione vera e propria da parte di terzi non autorizzati non rientrano nella sfera di competenza dell'UFCOM ma sono puniti a norma di legge dalle autorità preposte al perseguimento penale.
