Un IMSI- catcher , talvolta tradotto in interceptor IMSI è un dispositivo di monitoraggio utilizzato per intercettare il traffico dalle comunicazioni mobili , recuperare informazioni da remoto o tracciare i movimenti degli utenti del terminale. Il termine IMSI-catcher infatti non è esaustivo, il dispositivo permette di fare molto di più che semplicemente recuperare il numero IMSI . Per raggiungere i suoi scopi, un IMSI-catcher simula una falsa antenna a relè inserendosi tra la rete dell'operatore telefonico e l'apparecchiatura monitorata.
Un IMSI-catcher ( International Mobile Subscriber Identity ) è un'apparecchiatura di sorveglianza utilizzata per intercettare i dati sul traffico di telefonia mobile e per tracciare i dati di localizzazione dei terminali e quindi dei loro utenti. Un IMSI-catcher simula una falsa antenna a relè agendo tra il telefono cellulare spiato e le antenne a relè dell'operatore telefonico. La particolarità di questo modello di sorveglianza, e il motivo per cui alcune associazioni per la privacy lo contestano, è che si rivolge a tutti coloro che si trovano nel suo raggio d'azione. Un IMSI-catcher non prende di mira solo la persona o le persone sospettate, ma tutti coloro che si trovano nelle vicinanze.
Questo è in realtà un attacco intercettore . Gli IMSI-catcher sono utilizzati in alcuni paesi dalla polizia o dai servizi di intelligence, ma il loro uso è talvolta illegale per motivi di libertà civile o tutela della privacy. L' IMSI-catcher sfrutta i punti deboli dei protocolli di comunicazione 2G , 3G e 4G . Ci sono poche contromisure per evitare di essere spiati da un IMSI-catcher , ma il suo utilizzo può essere rilevato utilizzando determinati strumenti.
La stazione mobile deve dimostrare la sua identità, ma in nessun momento il controllore della stazione base deve dimostrare la sua identità . Nel protocollo GSM , la stazione mobile invia una richiesta di aggiornamento della posizione quando deve connettersi a una nuova rete ( collegamento IMSI ). Il controllore della stazione base può quindi richiedere il suo IMSI e la stazione mobile deve rispondere.
Un attacco può procedere come segue:
In questo modo, l' IMSI viene raccolto dall'IMSI-catcher .
CrittografiaSono definiti quattro algoritmi di crittografia A5 / 1 , A5 / 2 , A5 / 3 (chiamato anche KASUMI ) e A5 / 4. C'è anche un'ultima, la A5/0, che è l'assenza di crittografia (detta anche "modalità francese"). L'implementazione di questi algoritmi non è stata divulgata, ma il reverse engineering ha identificato punti deboli in alcuni degli algoritmi.
Adi Shamir ha dimostrato nel 2000 che era possibile decifrare l' A5/1 , ma ciò richiedeva di avere i dati dall'inizio della conversazione e di aver eseguito un precalcolo di alcuni dati tra 242 e 248 passi. Durante il Chaos Communication Congress , Chris Paget e Karsten Nohl hanno dimostrato un attacco alla A5/1 permettendone la decifrazione. L'attacco si basa sulla generazione di un codebook degli input e degli output dell'algoritmo. Nonostante le notevoli dimensioni (128 Petabyte ) del codebook grezzo, sarebbe possibile secondo gli autori riuscire a ridurne le dimensioni unendo una tabella arcobaleno e una tabella precalcolata per un risultato di soli 2 Terabyte . Questo metodo permetterebbe di avere una decrittazione quasi istantanea delle connessioni, con una rete distribuita dedicata per rompere le chiavi.
l' A5/2 è un algoritmo meno sicuro dell'A5/1 . La GSM Association ha dichiarato di non averla implementata dal 2006. Esiste un software A5 / 2 Hack Tool per decifrare le comunicazioni utilizzando A5 / 2 . Il software è stato utilizzato per dimostrare che per decrittare le comunicazioni è necessario utilizzare ed aver preventivamente calcolato una matrice di dati di circa 4,08 GB . Questo passaggio ha richiesto 2 ore 23 minuti e 44 secondi durante la dimostrazione ed è stato possibile decifrare completamente una connessione crittografata A5/2 in 9 secondi.
Un attacco chiamato "attacco sandwich" ha decifrato una chiave a 128 bit sull'A5 / 3 in meno di 2 ore. Per questo è necessario disporre di 1 GiB di memoria, 64 MiB di dati e un tempo di 2 32 secondi. Oltre a questo è necessario avere i messaggi selezionati criptati e avere 4 chiavi per chiave correlata .
L'A5/4, specificato nel 2015 e non ancora completamente dispiegato, non ha ancora beneficiato di una seria ricerca per rompere il suo algoritmo.
È possibile ascoltare una conversazione crittografata senza dover violare l'algoritmo. Per questo, dobbiamo prima avere una conversione chiara e crittografata con la stazione mobile. Questo può essere fatto chiamando la stazione mobile (che dà la conversazione in chiaro) e ascoltando la rete per la versione crittografata. Ciò consente di utilizzare i primi 2 blocchi del generatore pseudocasuale per la finestra FN.
Se la stazione mobile è connessa all'IMSI-catcher , quest'ultimo può forzare l'utilizzo della finestra di numero FN in cui sono noti i primi 2 blocchi del generatore pseudocasuale. Ciò consentirà la decrittazione delle conversazioni future finché possiamo forzare il numero della finestra.
Trasmissione posizione PositionLa stazione mobile deve trasmettere la sua posizione quando l'operatore lo richiede affinché quest'ultimo aggiorni il suo VLR .
Il controller della stazione base può indicare la frequenza con cui la stazione mobile deve inviarle una richiesta di aggiornamento della posizione. Se una stazione mobile si connette a questo controller della stazione base , deve inviargli la sua posizione prima di ogni fine del periodo. Una frequenza eccessivamente bassa permette di conoscere la posizione della stazione mobile ogni 6 minuti .
C'è anche il fatto di utilizzare una richiesta di paging con IMSI o TMSI (in) . Una stazione mobile dovendo rispondere ad una richiesta di paging con una risposta di paging , è possibile deviare questo meccanismo per conoscere in qualsiasi momento la posizione di una stazione mobile .
Scelta della crittografiaIl difetto sta nel fatto che la stazione trasmittente può chiedere di utilizzare un algoritmo di crittografia più debole o addirittura del tutto assenti. La stazione mobile prima invia l'elenco degli algoritmi supportati. L'antenna invia il messaggio all'MSC che risponde al controller della stazione base inviando l'elenco degli algoritmi autorizzati con un comando in modalità cifratura . L'antenna sceglie quindi rispetto alle due liste ricevute e rinvia alla stazione mobile l'algoritmo da utilizzare, sempre tramite un comando in modalità cifrata . Ciò implica un potenziale utilizzo di un IMSI-catcher , sempre utilizzando l'algoritmo più debole supportato dalla stazione mobile.
È possibile effettuare un diniego di servizio , intercettazione o spersonalizzazione se l' IMSI-catcher riceve una richiesta TAU e restituisce un rifiuto TAU con la causa del rifiuto. Ci sono due possibili esiti a seconda dei due possibili motivi di rifiuto:
Le richieste TAU non richiedono autenticazione.
È inoltre possibile recuperare le informazioni di posizionamento grazie ai report di misura che consentono di conoscere l'identificativo delle antenne circostanti. Il recupero di questi rapporti avviene senza protezione dell'accesso a queste informazioni. Questo è stato creato per analizzare potenziali problemi con le reti.
Sulle reti 2G e 3G esiste un modo per conoscere la posizione di una stazione mobile grazie alla sua IMSI richiedendola direttamente al MSC / VLR grazie ad una richiesta di informazioni su un utente da parte del protocollo SS7 . Per fare ciò, devi prima conoscere l' IMSI . C'è un modo per ottenere l' IMSI di una stazione mobile attraverso il suo numero di telefono. È sufficiente inviare una richiesta di informazioni di instradamento all'HLR . Se inoltre non si conosceva il titolo complessivo del MSC / VLR , lo si recupera richiedendo l' IMSI . Una volta che l' IMSI viene recuperato inviando una richiesta di informazioni sull'utente al VLR , ci restituisce la posizione della stazione mobile.
E' possibile richiedere la posizione di una stazione mobile utilizzando un numero di telefono senza dover prima chiedere ad un HLR grazie ad una richiesta sul servizio di posizione che permette ai servizi di emergenza di conoscere la posizione di una stazione mobile HLR . Per fare ciò, è necessario autenticarsi con il GMLC (en) , che trasmette la richiesta al server MSC e che, tramite RRLP. Il server MSC controlla l'indirizzo del servizio che effettua la richiesta, ma non gli chiede di autenticarsi, il che consente di chiederlo direttamente fingendo di essere un GMLC.
È possibile creare un denial of service conoscendo l' IMSI e il VLR . Inviando richieste come una Cancella Location , è possibile autorizzare o impedire chiamate in entrata o in uscita, SMS , connessioni dati o semplicemente rimuovere la postazione mobile dal tavolo.
È possibile reindirizzare le chiamate telefoniche se la stazione mobile è su una rete estera. È quindi probabile che la rete dell'operatore invii una richiesta di inserimento dati su un utente al VLR della rete visitata contenente l'indirizzo del gsmSCF e la lista degli eventi da segnalare. È quindi possibile che un avversario invii questo messaggio direttamente al VLR , in modo che indichi il proprio gsmSCF , il che induce che quando la stazione mobile vuole chiamare un numero, è possibile che la rete visitata invii una richiesta alla rete dell'avversario gsmSCF per chiedergli a quale numero trasferirsi (caso possibile se il numero chiamato non è un numero internazionale, ma un numero interno alla rete dell'operatore). Il gsmSCF può quindi fare riferimento a un altro numero (un altro IMSI-catcher ) per poter ascoltare. Un'altra forma di questo attacco sarebbe quella di effettuare una richiesta updateLocation all'HLR dell'operatore per fornire il suo indirizzo come VLR .
C'è un attacco che consente agli utenti di "de-anonimizzare" attorno a un catturatore di IMSI . In una richiesta di paging , il TMSI (in) viene inviato non crittografato. Se un ricevitore IMSI è nelle vicinanze, può raccoglierlo. Con questi dati, può fare due cose:
La prima implementazione di un IMSI-catcher è stata fatta dalla società tedesca Rohde & Schwarz (en) nel 1993. Un brevetto è stato depositato l'8 novembre 2000, ma questo sarà invalidato il 24 gennaio 2012, perché l'invenzione è qualificata come non innovativo.
Il più noto è l'implementazione StingRay (in) la società statunitense Harris Corporation a causa dei suoi numerosi usi da parte del governo degli Stati Uniti.
Altre società forniscono anche IMSI-catcher per i governi, come Digital Receiver Technology, Inc. con il suo Dirtbox (en) , Bull Amesys , Septier Communication (en) e PKI Electronic .
Esistono anche implementazioni portatili per poter posizionare l' IMSI-catcher più vicino ai bersagli senza che loro se ne accorgano, ad esempio Gamma Group (en) offre un modello sotto forma di indumento.
L'hardware e il software necessari per l'implementazione di un IMSI-catcher sono diventati accessibili al pubblico attraverso progetti gratuiti e l'uso di hardware generico.
Per la parte software, progetti gratuiti come OpenBTS , YateBTS , srsLTE , OpenLTE o anche Osmocom forniscono implementazioni dei protocolli GSM e LTE.
Per la parte hardware, l'utilizzo di computer generici o Raspberry pi , oltre a schede Software Radio generiche come le bladeRF , HackRF , Ettus UB210-KIT o specializzate nelle telecomunicazioni come le umTRX .
Ad esempio, il ricercatore di sicurezza informatica Chris Paget ha presentato al DEF CON 2010, l'istituzione di un catturatore di IMSI basato su hardware generico per la somma di 1500 $ , dimostrando che questa soluzione era poco costosa e accessibile al pubblico in generale.
I ricercatori di sicurezza informatica Mike Tassey e Richard Perkins hanno presentato alla Black Hat Conference del 2011 l'implementazione di un IMSI-catcher in un drone specializzato nella sorveglianza delle telecomunicazioni.
Il 13 maggio 2015, il deputato Michel Boutant ha confermato l'utilizzo di un IMSI-catcher a Dammartin durante la caccia ai fratelli Kouachi, responsabili dell'attentato contro Charlie Hebdo .
Secondo Adrienne Charmet , portavoce di La Quadrature du Net , gli IMSI-catcher sarebbero stati schierati davanti all'Assemblea Nazionale durante la manifestazione contro il disegno di legge relativo all'intelligence del15 aprile 2015.
Secondo un articolo di Marie Barbier ( Reporterre ) e Jade Lindgaard ( Mediapart ), gli IMSI-catcher sono stati utilizzati per chiarire i rapporti tra gli attivisti antinucleari di Bure a febbraio emarzo 2018.
Mentre il numero di IMSI-catcher è stato fissato a 60 di cui 35 per i servizi di intelligence, 20 per la difesa e 5 per le dogane, la commissione nazionale per il controllo delle tecniche di intelligence ritiene che tale numero sia insufficiente e salirà a 100 nel 2020
CinaLa polizia cinese ha smantellato una rete di 2.600 IMSI-catcher che inviano messaggi indesiderati, attirano gli utenti con messaggi di phishing e intercettano messaggi dedicati ai passcode SMS.
Secondo l'esperto di sicurezza John McAfee , il governo cinese sta utilizzando IMSI-catcher per spiare le comunicazioni dei clienti di quattro compagnie aeree installando un'applicazione dannosa per recuperare i dati dal telefono e inviarli ai server in Cina.
stati UnitiNel 2012, la polizia di Los Angeles ha utilizzato lo StingRay (in) 21 volte in un periodo di quattro mesi per indagini non legate al terrorismo, che derivano dall'uso originariamente previsto di IMSI-catcher .
Secondo i giornalisti di The Intercept , l' NSA utilizzerebbe i Catcher IMSI per geolocalizzare obiettivi con i propri telefoni cellulari in modo da fornire coordinate ad altre organizzazioni come la CIA o l' esercito statunitense , consentendo loro di organizzare attacchi, rapimenti o assassinii con droni.
Secondo l' American Civil Liberties Union , molte agenzie federali statunitensi hanno accesso agli IMSI-catcher .
Se è difficile proteggersi completamente da un IMSI-catcher , esistono soluzioni per rilevare l'eventuale presenza di un tale dispositivo. Si parla quindi di IMSI-catcher-catcher o IMSI-catcher-detector .
Alcune implementazioni, come SnoopSnitch, monitorano variabili come CID (in) e LAC (in) per determinare se la rete sembra essere inoltrata da un IMSI-catcher . Infatti, se una torre di telecomunicazioni identificata da un CID ha un LAC incoerente o mutevole, può essere qualificata come sospetta. Inoltre, è possibile verificare le coppie CID/LAC di torri di telecomunicazioni note per confermare i sospetti rilevati dall'osservazione di un LAC inconsistente. Ulteriori sospetti possono essere rilevati se l'identificatore della cella radio (CID) utilizzato dalla torre non è mai stato incontrato prima in quest'area geografica.
Esistono altre tecniche, monitoraggio tra le altre:
Ad esempio, il CryptoPhone utilizza tre indizi per determinare che la rete è sospetta:
Esistono diverse applicazioni mobili di rilevamento IMSI-catcher , con vari gradi di affidabilità, inclusi alcuni esempi:
Queste applicazioni richiedono lo sblocco del telefono, che si dice sia rootato o jailbreak , e utilizzano le tecniche sopra descritte.
MaterialeEsistono due tipi di soluzioni hardware che fungono da contromisure per i rilevatori di IMSI : da un lato soluzioni mobili, dall'altro soluzioni fisse.
Per le soluzioni mobili, si tratta principalmente di smartphone che utilizzano la crittografia della comunicazione, l'accesso a Internet tramite VPN .
Ecco un elenco non esaustivo di esempi:
Tra le soluzioni mobili alternative, la gamma di telefoni non smartphone di X-Cellular ha diverse difese contro i rilevatori di IMSI rispetto agli smartphone, incluso un IMEI dinamico.
Per le soluzioni fisse, la dotazione è varia, spaziando dal Raspberry Pi associato a varie apparecchiature, alle implementazioni industriali, come l' ESD America Overwatch o il Pwnie Express .
Nel diritto francese, le intercettazioni delle comunicazioni vengono effettuate ed effettuate solo previa autorizzazione giudiziaria. Tuttavia, le autorità di vigilanza hanno i mezzi tecnici per utilizzare i catcher IMSI quando vogliono e quindi aggirare questa limitazione. È quindi difficile provare che le intercettazioni siano state effettuate al di fuori del quadro del controllo giurisdizionale . Va quindi rilevato che i dati illegittimamente raccolti prima di un processo possono costituire prove inammissibili durante lo stesso processo, e possono dar luogo a procedimenti giudiziari.
Tuttavia stati come alcuni degli Stati Uniti , l' Austria ... consentono intercettazioni di comunicazioni senza il previo consenso della giustizia. I governi li giustificano in risposta alla minaccia terroristica , per esigenze investigative o più in generale per motivi di sicurezza interna.
L'utilizzo degli IMSI-catcher solleva poi interrogativi e preoccupazioni in merito al rispetto della vita privata e del diritto civile . I difensori della privacy e delle libertà individuali, ad esempio, sollevano il fatto che questo dispositivo non è progettato per eseguire intercettazioni mirate.
Il 14 agosto 2002 è entrato in vigore l'articolo 100i del codice di procedura penale, che definisce i limiti per l'utilizzo degli IMSI-catcher da parte dei servizi giudiziari. La legge consente loro per scopi investigativi o di ricerca di confermare prove materiali. Li vieta come strumento preventivo. In una decisione del 22 agosto 2006, la Corte federale ha confermato la compatibilità tra l'uso di IMSI-catcher e il diritto costituzionale tedesco. Secondo i giudici, tale uso non lede i diritti fondamentali , che qui sono la riservatezza dei dati privati e la salvaguardia dei diritti individuali.
AustriaL'uso di IMSI-catcher senza autorizzazione giudiziaria è stato reso possibile dalla legge del1 ° gennaio 2008, §53. A causa della minaccia alla privacy che ciò rappresenta, il partito ecologista Die Grünen ha proposto una petizione per un riesame di questo emendamento . Nonostante le 24.625 firme raccolte, nessuna azione è stata intrapresa. Una richiesta parlamentare del deputato Alexander Zach (Partito Liberales Forum ) all'allora ministro degli Interni Günther Platter ha rivelato che tra gennaio e aprile 2008 erano state effettuate più di 3.800 rappresentazioni (32 al giorno).
stati UnitiCi sono leggi a livello statale negli Stati Uniti. Queste leggi, tuttavia, non menzionano i termini " IMSI-catcher ", " Stingray " o " simulatore di siti cellulari ", ma si riferiscono a "informazioni sulla posizione in tempo reale". Queste leggi consentono inoltre alle autorità di ottenere informazioni sulla posizione dai clienti direttamente richiedendole agli operatori telefonici. Questa pratica è teoricamente più controllata di quanto fatto prima delle prime rivelazioni di Edward Snowden nel 2013. Spesso è necessario un mandato giudiziario, come disposto dalla Corte Suprema degli Stati Uniti.
Alcuni stati hanno regolamenti specifici. In California, ad esempio, il CalECPA - SB 178 ( California Electronic Communications Privacy Act ) adottato l'8 ottobre 2015 richiedeva alle autorità di avere un mandato per accedere alle informazioni elettroniche in remoto. Questa legge è stata sostenuta da gruppi per la privacy e da alcune delle più grandi aziende tecnologiche americane.
Nello stato di Washington , la legge è simile a quella della California, ma limitata agli IMSI-catcher . È in vigore dal 5 novembre 2015. Inoltre, le autorità di vigilanza devono limitare le raccolte non necessarie e rimuovere le informazioni che potrebbero essere state raccolte accidentalmente o in modo inappropriato.
Francia Utilizzo da parte dei servizi di intelligenceLe prime tracce di utilizzo di IMSI-catcher da parte dei servizi di intelligence francesi risalgono al 2010. All'epoca, l'utilizzo di IMSI-catcher era illegale, anche se reale, come dimostrano diversi documenti.
L'articolo 20 della Legge di Programmazione Militare approvata nel dicembre 2013 dal Senato è il primo passo verso la legalizzazione delle intercettazioni a distanza. Tale legge autorizza la raccolta di dati ai fini della lotta al terrorismo , alla frode fiscale , alla contraffazione e alla criminalità organizzata .
L'articolo 3 della legge sull'intelligence del 3 giugno 2016 amplia le possibilità dei servizi di intelligence autorizzando l'uso di IMSI-catcher . Possono identificare rapidamente il telefono e il numero (spesso una carta SIM prepagata ) utilizzati da un sospettato e metterli sotto controllo.
Tali misure sono prese in particolare nel quadro dello stato di emergenza , in vigore dagli attentati del 13 novembre 2015 . D'ora in poi, la legge autorizza, nell'ambito di un'indagine o di un'istruzione, l'uso di IMSI-catcher , come descritto negli articoli 706-95 a 706-95-10. Il giudice della libertà e della detenzione può, su semplice richiesta del Pubblico Ministero , autorizzare gli ufficiali di polizia giudiziaria ad utilizzare un IMSI-catcher . L'uso resta quindi ufficialmente disciplinato dalla procedura penale. Inoltre, l'uso degli IMSI-catcher è limitato nel tempo: un mese al massimo, rinnovabile una volta (706-95). Tuttavia, tale durata può variare a seconda dei campi di applicazione menzionati negli articoli 706-95-4 e 706-95-5.
Infine, in caso di assoluta urgenza, il Pubblico Ministero può autorizzare esso stesso l'uso dell'IMSI-catcher . Tale autorizzazione deve essere confermata entro un massimo di ventiquattro ore dal giudice della libertà e della detenzione , pena l'impossibilità di utilizzare i dati raccolti (706-95-4-III).
Uso generalePer quanto riguarda la fabbricazione, l'importazione, la detenzione... anche colposa e senza autorizzazione ministeriale, di tale dispositivo sono previsti dalla legge cinque anni di reclusione e la multa di 300.000 euro .
Per l'installazione di tale apparato, ovvero l'intercettazione, l'utilizzo, la divulgazione o la deviazione della corrispondenza inviata, trasmessa o ricevuta mediante un mezzo di telecomunicazione (come l' IMSI-catcher ), la legge punisce con la reclusione di un anno e con la multa di 45.000 euro .
UKNel Regno Unito , sembra che gli IMSI-catcher siano stati utilizzati per diversi anni al di fuori del quadro normativo.
Nel 2014 l' ONG che si batte contro la violazione della privacy Privacy International sottolinea la non trasparenza delle autorità in materia, nonché l'uso a priori abusivo e sproporzionato di IMSI-catcher .
Nel 2015, le rivelazioni del cittadino dei media cooperativi The Bristol Cable mostrano che A&S Policy (in) ha firmato con CellXion un contratto di £ 169.574 (circa 200.000 € ) per l'acquisto di apparecchiature CCDC ( acquisizione dati di comunicazioni segrete : raccolta segreta di comunicazioni dati), in altre parole IMSI-catcher .
Tuttavia, la nuova legge sull'intelligence britannica del 16 novembre 2016, autorizza l'intercettazione di massa delle comunicazioni. Le autorità di polizia possono ora raccogliere dati da tutti i terminali in un'area, indipendentemente dal fatto che i loro proprietari siano sospetti o meno. Edward Snowden ha twittato sulla decisione del Parlamento del Regno Unito di approvare la legge:
Il Regno Unito ha appena legalizzato la sorveglianza più estrema nella storia della democrazia occidentale. Va più lontano di molte autocrazie.
“Il Regno Unito ha appena legalizzato la più ampia sorveglianza nella storia delle democrazie occidentali. Va oltre alcune autocrazie. "