Punti chiave
- Signaling System No. 7 (SS7) è un protocollo di telefonia obsoleto che potrebbe esporre la tua privacy a minacce informatiche e sorveglianza.
- Le vulnerabilità SS7 sono state sfruttate dai criminali per prosciugare conti bancari, dai governi per tracciare gli utenti di cellulari e dalle società di intelligence per spiare persone in tutto il mondo.
- Per proteggerti dalle vulnerabilità SS7, utilizza app di messaggistica sicure con crittografia end-to-end come Signal o WhatsApp, poiché offrono una migliore privacy e sicurezza rispetto ai tradizionali SMS e telefono Servizi.
Hai mai sentito parlare del sistema di segnalamento n. 7 (SS7)? Probabilmente no, ma lo usi comunque quotidianamente, così come tutti quelli che conosci. Il problema è che questa tecnologia è molto obsoleta e molto pericolosa. Tuttavia, esistono alternative all'utilizzo di SS7 e, soprattutto, sono gratuite.
Cos'è SS7 e perché non è sicuro?
Il sistema di segnalazione n. 7 è un insieme di protocolli di telefonia che consente alle reti di telecomunicazioni di comunicare tra loro. In un certo senso, è un sistema di comunicazione che consente alle reti telefoniche di scambiare informazioni importanti. In parte, grazie a questa tecnologia, è possibile effettuare telefonate, inviare SMS e utilizzare servizi simili.
SS7 fu introdotto per la prima volta negli anni '70 e implementato nella rete AT&T negli Stati Uniti. Poco dopo, divenne standardizzato per l’uso internazionale e sostituì i sistemi più vecchi in altri paesi del mondo. Negli anni ’90, l’SS7 ha visto un’adozione più diffusa ed è diventato la spina dorsale delle telecomunicazioni globali.
ID chiamante, inoltro di chiamata e Servizio di messaggistica breve (SMS) sono stati introdotti anche negli anni '90 mentre le reti mobili si espandevano a livello globale. L’integrazione della SS7 ha svolto un ruolo chiave in questo processo e da allora la nostra società non è più stata la stessa. Pochi di noi ora possono immaginare di vivere in un mondo in cui è impossibile inviare un messaggio a un amico che utilizza un operatore diverso, e ciò è in gran parte grazie all'adozione diffusa di questa tecnologia.
Qual è allora il problema con SS7? Ebbene, SS7 è obsoleto e non sicuro, una reliquia di quando le minacce digitali non erano né sofisticate né diffuse come oggi. Almeno dalla metà degli anni 2000, i difetti di sicurezza sono stati evidenti e con il tempo sono diventati solo più pronunciati. Non si tratta di speculazioni o opinioni, né di un problema che riguarda solo una rete, un dispositivo o un individuo specifico. Queste vulnerabilità sono inerenti alla stessa SS7.
In che modo le vulnerabilità SS7 espongono la tua privacy
Con lo sviluppo della tecnologia e della criminalità informatica, SS7 ha faticato a tenere il passo. Negli ultimi anni sono state registrate decine di incidenti di alto profilo e violazioni della sicurezza in tutto il mondo.
Ad esempio, nel 2017, un gruppo di criminali non identificati ha approfittato delle falle di sicurezza di SS7 per drenare denaro dai conti bancari delle persone. Lo hanno fatto bypassando l’autenticazione a due fattori utilizzata da alcune banche per impedire l’accesso non autorizzato e proteggere i clienti Ars Tecnica. All’epoca, il rappresentante del Congresso americano Ted Lieu invitò il governo federale a correggere questi difetti “devastanti”. affermando che è "inaccettabile che la FCC e l'industria delle telecomunicazioni non abbiano agito prima per proteggere la nostra privacy e le nostre finanze". sicurezza."
Allo stesso modo, Il Washington Post ha riferito nel 2014 che una vulnerabilità SS7 consente agli enti governativi di tracciare gli utenti di cellulari in tempo reale. Un insider ha detto al quotidiano che "dozzine" di paesi stanno facendo lo stesso, mentre gli esperti di sicurezza hanno notato che nulla impedisce ai gruppi di hacker e organizzazioni simili di fare lo stesso. Nel 2020, un informatore ha rivelato che l’Arabia Saudita stava sfruttando queste stesse vulnerabilità per rintracciare i suoi cittadini negli Stati Uniti, secondo Il guardiano.
Un 2020 Haaretz Le indagini, nel frattempo, hanno scoperto che la società privata di intelligence israeliana Rayzone Group stava abusando dei difetti di SS7 per rintracciare persone in tutto il mondo per conto dei propri clienti. Circa un anno dopo, secondo il rapporto, il CEO di un’azienda tecnologica svizzera specializzata nella messaggistica automatizzata ha sfruttato queste stesse vulnerabilità per spiare le persone. Ufficio di giornalismo investigativo.
Tieni presente che questa è solo la punta dell’iceberg: è evidente che la SS7 non è sicura ed estremamente vulnerabile allo sfruttamento. Ecco perché non dovresti usare gli SMS per proteggere la tua privacy: presumi che tutto ciò che invii tramite SMS possa essere intercettato e letto dal tuo governo o quasi da chiunque altro con gli strumenti e le competenze giusti.
Ma la vera domanda è: perché non viene fatto nulla per risolvere le vulnerabilità SS7? Gli operatori e le reti mobili ne sono certamente consapevoli; gli esperti di sicurezza li conoscono da secoli, così come i politici. In effetti, alcuni ne hanno parlato apertamente, come Lieu, e hanno esortato gli organismi di regolamentazione ad agire. Eppure, nulla è cambiato. Quando Il registro riferito in merito, hanno concluso che "forse ai servizi di intelligence americani piace l'idea di reti facilmente compromessi".
Va notato, tuttavia, che questa è solo una possibile spiegazione che potrebbe rispondere solo parzialmente alla domanda. La SS7 è un’infrastruttura legacy e apportare cambiamenti radicali richiederebbe probabilmente la cooperazione internazionale diffusione e implementazione di nuove tecnologie, che richiederebbero tempo e risorse finanziarie significative investimento. In breve, gli incentivi per apportare i cambiamenti necessari semplicemente non ci sono.
Cosa puoi fare per proteggerti dalle vulnerabilità SS7
Se SS7 è onnipresente, cosa possono fare le persone comuni per proteggersi? Una soluzione semplice consiste nell’utilizzare app di messaggistica sicure per SMS e telefonate poiché offrono un livello di protezione assente dai tradizionali servizi SMS e telefonici supportati da SS7.
Queste applicazioni utilizzano una tecnologia molto più sicura e privata rispetto a SS7, ma se vuoi fare il possibile, considera utilizzando un'app di messaggistica crittografata end-to-end: la crittografia end-to-end garantisce che le tue comunicazioni siano al sicuro intercettazioni. Esistono dozzine di app di questo tipo sul mercato e molte sono completamente gratuite. Il segnale è senza dubbio l'app di messaggistica più sicura disponibile oggi, ma WhatsApp non è da meno.
Signal è open source, vanta un potente algoritmo di crittografia ed è incredibilmente sicuro. WhatsApp, invece, è probabilmente la soluzione migliore per chi desidera un'app semplice e facile da usare, che tutti conoscano e abbiano già sul proprio telefono. Tuttavia, alcuni si allontanano da WhatsApp, poiché è di proprietà di Meta (la società madre di Facebook e Instagram) e credono che abbia problemi di privacy.
Nonostante i problemi evidenti, SS7 non sta andando da nessuna parte
SS7 è obsoleto e profondamente imperfetto, ma non andrà da nessuna parte. Almeno per ora, non vi è alcuna indicazione che il settore delle telecomunicazioni lo eliminerà gradualmente. Fino a quando SS7 non verrà sostituito con una tecnologia migliore e più sicura, fai ciò che puoi per proteggere la tua privacy.
Certo, non è sempre possibile evitare di usare SMS o effettuare una chiamata, ma installare un'app di comunicazione con crittografia end-to-end è un buon inizio. In ogni caso, mantenersi al sicuro dalla sorveglianza e da altre minacce richiede un impegno serio e duraturo per l’igiene e la sicurezza digitale.
