Alfonso Maruccia

Mobile, NSA e GCHQ spiano il mondo

Le intelligence del Datagate responsabili di una breccia in Gemalto, una delle principali aziende produttrici di SIM protette da crittografia. Miliardi di utenti mobile potenzialmente intercettati per anni, senza (quasi) possibilitÓ di difesa

Roma - Nuova rivelazione in ambito Datagate, lo scandalo delle intercettazioni mondiali a opera dell'intelligence americana e organizzazioni consociate (anche note come "Five Eyes"): questa volta, a essere state compromesse, sono le comunicazioni di miliardi di utenti delle reti cellulari.

I nuovi documenti di Edward Snownden consultati da The Intercept rivelano infatti come NSA (USA) e GCHQ (UK) abbiano compromesso la rete interna di Gemalto, ben noto produttore di SIM card protette da chip crittografici che serve 450 diversi carrier mobile - inclusi colossi (americani) del calibro di AT&T, T-Mobile, Verizon e Sprint.

Gemalto è una multinazionale olandese che produce circa 2 miliardi di SIM card all'anno, che tra le altre cose fornisce la tecnologia alla base dei passaporti elettronici italiani: stando a documenti risalenti al 2010, NSA e GCHQ sarebbero riusciti a compromettere le chiavi crittografiche usate per cifrare le comunicazioni su reti mobile.
La prevedibile conseguenza della breccia è che le spie dei Five Eyes hanno avuto potenzialmente accesso a tutto quello che gli utenti di mezzo mondo si sono detti, a voce o via messaggi testuali, in almeno quattro anni.

Su mobile tutto è intercettabile, per NSA e GCHQ, e la disponibilità delle chiavi crittografiche di Gemalto avrebbe garantito alle spie la possibilità di ascoltare senza lasciare il minimo segno di manomissione sui client o sulle infrastrutture di rete. GCHQ avrebbe poi avuto accesso anche ai servizi di fatturazione dei carrier wireless, così da manipolare bollette e costi e nascondere con ancora maggior efficacia le pratiche di spionaggio.

Il primo commento ufficiale di Gemalto alla rivelazione è di prudenza, visto che l'azienda sostiene di non essere a conoscenza di alcuna breccia nei suoi sistemi; un'indagine è in corso per verificare il tutto.

Electronic Frontier Foundation pensa invece a suggerire metodi di comunicazione mobile alternativi che non facciano uso delle chiavi crittografiche di Gemalto. E che, in teoria, la NSA non sarebbe ancora in grado di crackare.

Alfonso Maruccia
Notizie collegate
26 Commenti alla Notizia Mobile, NSA e GCHQ spiano il mondo
Ordina
  • Un'ottima idea anti spy-business potrebbe essere quella di farsi intercettare appositamente per poi chiedere i danni approfittando della legge al di qua dell'Atlantico.

    Prendiamo ad es. GMail: la posta elettronica, qui in Italia, è inviolabile per Costituzione (art. 15) anche se hai accettato la eula di google.

    Perciò un'azienda, parallelamente alla sua solita attività e in collaborazione con le forze dell'ordine, potrebbe lasciare delle belle e-mail esca su un account Gmail apposito, nella speranza di poter dimostrare che sono state intercettate.
    Lo scopo è quello di spillare un bel po' di cash a Google Italia.


    Ad es. quando si fa un'offerta per una gara internazionale, farne una ufficiale e un'altra su GMail (avvertendo chi di dovere).
    Se fortuitamente arriva subito un'offerta moolto simile per cifre e contenuti da qualche ditta statunitense, si può andare a battere cassa da Google, minacciando sputtanamento + azioni legali.


    E' gratis, può funzionare, è a rischio nullo, perché no?
    non+autenticato
  • Dormi, dormi piccino
    ben coperto nel lettino
    con la testa sul cuscino,
    dormi, dormi piccino.

    Dai comincia tu e facci sapere com' è andata...
    non+autenticato
  • - Scritto da: xx tt
    > Un'ottima idea anti spy-business potrebbe essere
    > quella di farsi intercettare appositamente per
    > poi chiedere i danni approfittando della legge al
    > di qua dell'Atlantico.
    >
    > Prendiamo ad es. GMail: la posta elettronica, qui
    > in Italia, è inviolabile per Costituzione (art.
    > 15) anche se hai accettato la eula di
    > google.
    >
    > Perciò un'azienda, parallelamente alla sua solita
    > attività e in collaborazione con le forze
    > dell'ordine, potrebbe lasciare delle belle e-mail
    > esca su un account Gmail apposito, nella speranza
    > di poter dimostrare che sono state intercettate.
    >
    > Lo scopo è quello di spillare un bel po' di cash
    > a Google
    > Italia.
    >
    >
    > Ad es. quando si fa un'offerta per una gara
    > internazionale, farne una ufficiale e un'altra su
    > GMail (avvertendo chi di
    > dovere).
    > Se fortuitamente arriva subito un'offerta moolto
    > simile per cifre e contenuti da qualche ditta
    > statunitense, si può andare a battere cassa da
    > Google, minacciando sputtanamento + azioni
    > legali.
    >
    >
    > E' gratis, può funzionare, è a rischio nullo,
    > perché
    > no?

    Ottima idea, potresti iniziare da micrsosoft: http://blog.networkdigitale.com/2013/05/19/microso.../
    non+autenticato
  • Il danno deve essere quantificabile, se vuoi i soldi, perciò non ti basta dire "mi hanno intercettato".

    Oltretutto deve essere successo qualcosa di capibile da un giudice che magari non se ne intende.


    Se vuoi ottenere realmente del cash devi avere un verbale redatto da un pubblico ufficiale, il quale spieghi con parole semplici cosa è successo. E tutte le comunicazioni devono essere su carta e autenticate.

    In quei documenti ci vogliono delle cifre ufficiali e sarà solo sulla base di quelle cifre che si ragionerà. Perché tu chiedi un risarcimento per un danno effettivo e specifico, non per il fatto generico di essere stato intercettato.
    non+autenticato
  • "...visto che l'azienda sostiene di non essere a conoscenza di alcuna breccia nei suoi sistemi".
    Come chiedere a Totò Riina se ha ammazzato qualcuno...
    non+autenticato
  • Che ci sia una qualche possibilità per la ditta europea Gemalto, che opera in Europa, sotto le leggi europee, con dati sensibili di cittadini europei...
    ...di avere un risarcimento danni per lo spionaggio da parte di bande di ladri informatici di Paesi esteri, legalizzati o meno?


    Le vittime europee (perchè gli utenti Gemalto sono vittime) potranno rivalersi in qualche modo sugli aggressori?
    non+autenticato
  • dipende dal numero di portaerei che l'UE è disposta a mettere in campoA bocca aperta
    non+autenticato
  • "portaerei messe in campo"?? Ma non vanno messe in acqua??
    Così mi fa troppo l'immagine di un'arenata collettiva.
    non+autenticato
  • - Scritto da: xx tt
    > Che ci sia una qualche possibilità per la ditta
    > europea Gemalto, che opera in Europa, sotto le
    > leggi europee, con dati sensibili di cittadini
    > europei...
    > ...di avere un risarcimento danni per lo
    > spionaggio da parte di bande di ladri informatici
    > di Paesi esteri, legalizzati o
    > meno?
    >
    >
    > Le vittime europee (perchè gli utenti Gemalto
    > sono vittime) potranno rivalersi in qualche modo
    > sugli
    > aggressori?
    bisognerebbe ALMENO aspettare che la gemalto confermi un breach, una sottrazione, qualcosa...
    non sarebbe male che per una volta, oltre le solite slide di greenwald ci fosse qualche straccio di controprova...
    non+autenticato
  • Il problema è che se la Gemalto non dovesse avere speranze di vedersi risarcito il danno forse le potrebbe convenire fare lo gnorri.
    non+autenticato
  • io credo che il problema siano le persone. Fuori di qui c'e' gente che non sa nulla e non gli interessa nulla degli strumenti che si porta in tasca... l'italiano medio di maccio capatonda e' la triste realta'....

    e in parte e' l'uomo civilizzato medio
    non+autenticato
  • Il civilizzato medio anatomia e tac del cranio
    Bozzetto aveva visto giusto diversi anni fa.
    Clicca per vedere le dimensioni originali
    non+autenticato
  • perchè non usare redphone (o signal su iOS) che è pure open?
    non+autenticato
  • Perché qui si parla di SIM, ovvero telefonia anche senza app di supporto.
    non+autenticato
  • Non proprio la "app" sta sulla SIM.
    non+autenticato
  • ╚ lo stesso discorso delle email cifrate, se dall'altra parte il destinatario non usa lo stesso metodo/app allora non serve a niente. E vai tu a convincere gli altri ad usare questi metodi...
    non+autenticato
  • Peccato che lo stesso sia vero anche per la SIM...
    non+autenticato
  • - Scritto da: GPL
    > Peccato che lo stesso sia vero anche per la SIM...

    Non sarà per questo che non dormirò: che mi spiino pure, non me ne frega un niente, e vorrei vivere in un mondo dove nessuno avesse scheletri nascosti negli armadi.
    non+autenticato
  • @Fred Master
    Sei pericoloso perché confondi la realtà con l'utopia.
    non+autenticato
  • - Scritto da: Fred Master
    > - Scritto da: GPL
    > > Peccato che lo stesso sia vero anche per la
    > SIM...
    >
    > Non sarà per questo che non dormirò: che mi
    > spiino pure, non me ne frega un niente, e
    > vorrei vivere in un mondo dove nessuno avesse
    > scheletri nascosti negli
    > armadi.

    C'e' una bella differenza tra "scheletri nell'armadio" e "razzi miei"
    non+autenticato
  • - Scritto da: Fred Master
    > - Scritto da: GPL
    > > Peccato che lo stesso sia vero anche per la
    > SIM...
    >
    > Non sarà per questo che non dormirò: che mi
    > spiino pure, non me ne frega un niente, e
    > vorrei vivere in un mondo dove nessuno avesse
    > scheletri nascosti negli
    > armadi.

    Ok spiassero te, quello che vorresti te frega un niente a nessuno.
    non+autenticato
  • Caro Fred non è che a noi freghi molto del fatto che tu dorma o meno la mia domanda mi pareva assai diversa da un inchiesta sulle tue ore di sonno
    non+autenticato
  • Gli anglosassoni la chiamano pressione sociale. Il tuo cliente usa skype te tevi usare skype, i tuoi amici usano whatsapp e te per mantenere i contatti finisci per usare whatsapp. E così via.
    Gli americani sanno bene come funziona infatti le loro aziende ricevono parecchi finanziamenti per i primi anni di vita anche se sono in perdita a patto che riescano a crearsi una base utenti sufficiente ad imporsi.

    L'altro problema è la scarsa iniziativa della maggior parte delle persone. Un gruppo di dimensione sufficiente ad imporsi difficilmente si forma in maniera spontanea (Herding behavior). Per questo adesso si fa tantissima network analysis, quando si lancia un nuovo gruppo si inizia reclutando in qualche modo quelli che hanno la rete più ampia di contatti e poi si aggiunge tanta pubblicità.
    non+autenticato