Gli algoritmi di crittografia GEA-1 e GEA-2, utilizzati nei telefoni cellulari quando l’industria ha adottato lo standard GPRS nelle reti 2G (negli anni 90 e 2000), sono stati progettati appositamente per includere un punto debole, ovvero una backdoor.
Grazie a questa debolezza sarebbe stato possibile per gli attaccanti spiare il traffico di dati mobile dai cellulari. La debolezza era volutamente nascosta per limitare il livello di sicurezza a 40 bit (invece dei dichiarati 64 bit) già dalla progettazione degli algoritmi crittografici.
La scoperta della vulnerabilità intenzionale, pubblicata ufficialmente come paper di ricerca, ha avuto la conferma dai creatori stessi dell’algoritmo GEA.
Indice degli argomenti
Backdoor nella rete GPRS: la crittografia è nata debole
Il tema solleva dubbi sulla liceità di introdurre volutamente backdoor nei meccanismi crittografici in favore delle autorità o per il rispetto di alcuni regolamenti con l’intento di facilitare interventi di emergenza legati alla “sicurezza nazionale”. Contestualmente, però, questi stessi meccanismi possono consentire agli attaccanti lo sfruttamento delle stesse backdoor per fini molto meno edificanti.
“Poiché la cifratura è uno dei pochi meccanismi di protezione che, se sviluppati e utilizzati bene, risultano insormontabili”, ci dice Paolo Dal Checco, consulente informatico forense, “è comprensibile che in certe situazioni si tenti d’indebolire il protocollo inserendovi una componente vulnerabile non troppo rilevabile da destare sospetti ma neanche troppo nascosta da non funzionare quando serve. Le alternative sono molto più complesse, quindi dobbiamo convivere con il fatto che ciò che utilizziamo potrebbe contenere le cosiddette “backdoor” più o meno evidenti per questioni di regolamenti di esportazione, tutela dell’ordine pubblico, protezione della sicurezza nazionale”.
Un problema ancora presente nei telefoni di oggi
“Il dubbio che ciò sia avvenuto o avvenga ancora”, sottolinea Dal Checco, “aumenta quando l’approvazione e la standardizzazione di un codice non viene dal basso ma dall’alto, ad esempio da società private o istituti governativi. Spesso ci si domanda perché un certo ente ha scelto proprio un algoritmo piuttosto che un altro, rincorrendo quella dietrologia che vuole che la scelta sia motivata da interessi governativi al posto di quelli dei reali utilizzatori delle tecnologie standardizzate. La speranza è che la scelta ovviamente ricada sugli algoritmi migliori, non si quelli più ‘pilotabili’, ma spesso anche avendo a disposizione il sorgente non è facile fare questo tipo di valutazioni”.
“Nel caso specifico”, conclude Dal Checco, “gli algoritmi coinvolti in questo piccolo scandalo sono obsoleti ma è stato dimostrato come smartphone attuali siano in grado di supportarli e, non solo, possano essere costretti a utilizzarli come ripiego in particolari condizioni, rendendo quindi la vulnerabilità ancora attuale”.
Backdoor nella rete GPRS: dettagli della scoperta
La scoperta della vulnerabilità degli algoritmi GEA-1 e GEA-2 agli attacchi crittoanalitici è stata pubblicata nel paper di ricerca dal titolo “Cryptanalysis of the GPRS Encryption Algorithms GEA-1 and GEA-2” dai ricercatori Christof Beierle, Patrick Derbez, Gregor Leander, Gaëtan Leurent, Håvard Raddum, Yann Rotella, David Rupprecht e Lukas Stennes.
Invece di fornire una sicurezza completa a 64 bit, i ricercatori hanno dimostrato mediante un attacco specifico che il codice contiene una vulnerabilità intenzionale, capace di consentire la decrittazione di tutto il traffico. In particolare, i ricercatori ritengono molto bassa la probabilità matematica che la debolezza sia stata introdotta accidentalmente.
I due algoritmi di crittografia, GEA-1 e GEA-2, che sono proprietari e quindi non pubblici, sarebbero stati ottenuti “da una fonte” non meglio specificata. La dimostrazione è stata sviluppata mediante progettazione di un algoritmo di crittografia simile a GEA-1, utilizzando un generatore di numeri casuali, per dimostrare la eventuale generazione casuale di uno schema di crittografia debole come quello usato in realtà.
Dopo un milione di tentativi, i ricercatori hanno spiegato che non si sono mai nemmeno avvicinati a un’istanza così debole, deducendo quindi l’alta improbabilità che la debolezza di GEA-1 si verifichi per caso.
Un attacco che volesse sfruttare la vulnerabilità intrinseca permetterebbe l’intercettazione del traffico dati del cellulare, il recupero della chiave utilizzata per crittografare i dati e quindi la decrittazione di tutto il traffico.
Rischio spionaggio per le applicazioni e i dispositivi IoT
L’algoritmo successivo di GEA-1, ovvero GEA-2 non conteneva la stessa debolezza. Tuttavia, i ricercatori sono stati in grado di decifrare anche il traffico protetto da GEA-2 con un attacco più tecnico concludendo che anche GEA-2 non offra un livello di sicurezza sufficientemente elevato per gli standard odierni.
Anche se in teoria GEA-1 e GEA-2 non dovrebbero essere più utilizzati dato che i fornitori di telefoni cellulari hanno adottato nuovi standard per le reti 3G e 4G, e nonostante l’ETSI abbia vietato agli operatori di rete di utilizzare GEA-1 nel 2013, i ricercatori affermano che sia GEA-1 che GEA-2 persistono fino ad oggi perché il GPRS è ancora utilizzato come ripiego in alcuni paesi e reti.
Ad esempio, molte delle applicazioni e dei dispositivi IoT sono attualmente abilitati da SIM M2M (Machine to Machine) che usano appunto reti 2G e 3G.
A ulteriore conferma di ciò, testando diversi telefoni moderni per comprovare il supporto gli algoritmi vulnerabili, i ricercatori hanno trovato conferma dell’effettiva permanente vulnerabilità.
Quanto era intenzionale la vulnerabilità
Dopo la pubblicazione del documento, il gruppo che ha progettato l’algoritmo ha confermato l’effettiva intenzionalità motivandone le ragioni. Un portavoce della European Telecommunications Standards Institute (ETSI) ha ammesso che l’algoritmo conteneva un punto debole, affermando che la sua introduzione fosse una conseguenza delle normative sull’esportazione degli algoritmi crittografici che all’epoca non consentivano una codifica più forte.
Interpellato dalla rivista Motherboard, il portavoce ha dichiarato come fossero stati seguiti i regolamenti sul controllo delle esportazioni che limitavano la forza di GEA-1. Questo significa, ha commentato Håvard Raddum, uno dei ricercatori, che “per soddisfare i requisiti politici, milioni di utenti sono stati scarsamente protetti durante la navigazione per anni”.
Tuttavia, Il portavoce dell’ETSI ha affermato che quando hanno introdotto GEA-2 i controlli sulle esportazioni erano stati allentati.
