Provate a immaginare un blackout totale della rete cellulare. Niente telefonata all’amica per il gossip dell’ultim’ora, nessuna chiamata al marito per ricordare il figlio a scuola (non senza qualche rischio), impossibili le telefonate per lavoro. Ma non solo. Anche le strutture di primo soccorso e le forze dell’ordine, che ormai spesso si affidano alla telefonia mobile, avrebbero non poche difficoltà. 

Eppure non si tratta di una possibilità tanto remota. Uno studio condotto dall’università di Padova in collaborazione con l’università di Genova, l'E-campus University, l'università di Salerno e della seconda università degli studi di Napoli ha scoperto infatti una vulnerabilità nella rete telefonica cellulare che potrebbe causarne la completa indisponibilità, isolando completamente un elevato numero di utenti. Con tutte le conseguenze del caso se si pensa che sono moltissime le persone e i professionisti che basano le loro attività quotidiane sull’utilizzo della telefonia mobile. Non è un caso, infatti, che il governo americano e l’unione europea abbiano inserito la rete di telecomunicazione cellulare tra le infrastrutture critiche per garantire la sicurezza del territorio.  

Esistono studi che sostengono la possibilità di effettuare i cosiddetti denial of service, attacchi di interruzione di servizio. Si presenta cioè un numero talmente elevato di richieste fasulle a un fornitore di servizio che questo si trova nella condizione di non riuscire più a servire quelle reali e il servizio diventa indisponibile. “Partendo da queste premesse – spiega Mauro Migliardi, del dipartimento di ingegneria dell’informazione dell’università di Padova, coautore dello studio – abbiamo cercato di capire se, all’interno della rete cellulare, esistevano dei punti attaccabili”.

Uno dei punti identificati come vulnerabili è quello che viene definito Home Location Register (HLR), il database che contiene le credenziali di tutti gli utenti della rete mobile. La struttura non è centralizzata per tutto il mondo o per un solo provider e ciò per aumentarne l’affidabilità e le performance. In Italia, ad esempio, esistono diversi di questi database. “Un utente malintenzionato – spiega Migliardi – potrebbe decidere di attaccarne uno e rendere in questo modo la rete inaccessibile a tutti gli utenti che hanno le loro credenziali su quel server”. Il numero di utenti coinvolti sarebbe molto facilmente dell’ordine di centinaia di migliaia, ma anche di più, poiché dipende fisicamente da come il singolo provider ha realizzato il database che in questo modo può risultare più o meno vulnerabile. 

Finora si riteneva che fosse possibile sferrare questo tipo di attacco a condizione che si riuscisse a controllare il telefono di 11.000 utenti, senza che questi se ne accorgessero, trasformarli in quella che viene definita una “botnet”, cioè una struttura, una rete che potesse essere controllata dall’esterno per compiere azioni combinate e scatenare poi l’attacco. Si trattava tuttavia di un risultato teorico molto difficile da realizzare per i problemi che presentava, primo fra tutti il fatto di riuscire a infiltrarsi su 11.000 telefoni passando inosservati.

“Ciò che noi abbiamo dimostrato, analizzando i sistemi Gsm e Umts – sottolinea Migliardi – è che in realtà è possibile agire rimanendo completamente anonimi e senza alcuna interazione con la rete fino al momento stesso dell’attacco”. Questo grazie a poche centinaia di dispositivi che possono essere costruiti a basso costo. Possiedono l'hardware radio di un telefono cellulare (Gsm e Umts), una modesta capacità di calcolo, inferiore a quella di uno smartphone odierno, e non richiedono un’utenza telefonica associata. Fingono di essere tanti diversi utenti che falliscono l’autentificazione quando la rete li interroga sulle loro credenziali ed è proprio questo processo che genera il sovraccarico del sistema e causa il blackout. Non è necessario, quindi, infiltrarsi nei telefoni e utilizzare i moduli di identità degli abbonati (Subscriber Identity Module – Sim). In questo modo sono necessari solo 446 dispositivi, contro gli 11.000, per provocare l’interruzione di rete. 

Se un HLR viene messo nella condizione di non funzionare, il trasferimento dei dati a un altro database non è immediato. Per interrompere l’attacco sarebbe necessario individuare i dispositivi che lo stanno effettuando e disabilitarli, ma si tratta di tecnologie di piccole dimensioni e la cosa non è semplice.  

“Siamo arrivati a questo risultato riflettendo sul fatto che una caratteristica dei protocolli di telefonia mobile è quello di dover permettere l’inserimento di nuovi terminali. Quando cioè un utente non è ancora autenticato deve comunque poter comunicare con il sistema centrale, poiché un telefono deve poter entrare a far parte della rete”. 

Il gruppo di ricerca sta ora cercando di avviare un tavolo di lavoro con i provider per studiare con loro la possibilità di mitigare un eventuale attacco di questo tipo e per verificare se esistano altre vulnerabilità, dato che sono state prese in considerazione solo le caratteristiche standardizzate del sistema e non eventuali specifiche implementazioni. “L’utente – conclude Migliardi – purtroppo non ha alcun modo per tutelarsi in quanto si tratta di un problema di infrastruttura. Ed è completamente tagliato fuori”.   

Monica Panetto