Il 5G, quando arriverà tra meno di due anni, sarà una vera rivoluzione. Velocità maggiori (circa 20 volte superiori al 4G), comunicazioni più intelligenti tra dispositivi, attività estese per rendere smart le città, i servizi, le operazioni quotidiane. Capire cosa permetterà di fare il prossimo standard non è semplice, ma gli esperti sono già al lavoro per proteggere in maniera adeguata un protocollo che, a fronte di ampie possibilità di abilitazione tecnologica, porta con sé anche opportunità extra di intrusione, veicolate da hacker e criminali informatici.
Falle decennali
Nonostante per ricevere il segnale del 5G servano celle e antenne differenti da quelle odierne, la sicurezza dello standard dipende ancora da un elemento che risale all’era del 2G: il Signaling System No 7. Da oltre 40 anni, il protocollo consente agli operatori telefonici globali di gestire le telefonate e gli sms sulle reti PSTN, ovvero Public Switched Telephone Network. Nel corso degli ultimi mesi, alcune analisi hanno rilevato che il cosiddetto SS7 è vulnerabile a una serie di attacchi, tanto da aprire persino a intercettazioni complete di chiamate e messaggi, senza che gli utenti interessati possano accorgersene.
Breve storia dei protocolli
Sviluppato negli anni ’70, l’SS7 è stato lentamente sostituito dallo standard di nuova generazione Diameter, la cui implementazione è partita con il rollout della rete 4G. La differenza tra i due è che se l’SS7 non utilizzava alcun tipo di crittografia per le procedure di autenticazione, portando ad una facile falsificazione dei messaggi di autorizzazione, Diameter supporta i protocolli TLS, DTLS (rispettivamente per TCP e SCTP) e IPsec, che permettono una comunicazione sicura tra sorgente e destinatario.
Nessuna crittografia
Il problema è che se sulla carta la più recente tecnologia tappa le falle precedenti, nella pratica queste hanno continuato a mettere a rischio i dati in ingresso e in uscita da smartphone, tablet e computer, a causa di un comportamento facilone da parte delle telco. Come spiegano i tecnici di Positive Technologies, agenzia che ha fatto luce sulla vicenda: “Gli operatori di telecomunicazione non usano quasi mai la crittografia all’interno dei loro network, al massimo lungo i confini. E anche in questo caso, la protezione si basa sui principi del peer-to-peer e non della sicurezza end-to-end. In altre parole, l’affidabilità della rete si fonda sulla fiducia tra telco e provider”. A conti fatti, l’uso scorretto di Diameter sul 4G comporta le stesse vulnerabilità che affliggevano il 2G e il 3G e che il successore di SS7 avrebbe dovuto impedire.
A marzo del 2018, l’ENISA (Agenzia europea per la sicurezza delle reti e dell’informazione) ha pubblicato una nota ufficiale sulle vulnerabilità di SS7 e Diameter che interessano le moderne reti 4G.
I rischi del 5G
In tale contesto, cosa c’entra il 5G? La rivoluzione che ci attende poggia le sue misure di difesa ancora su Diameter e sulle incognite, lato security, che determina. Seppur lo switch tecnologico tra SS7 e quest’ultimo si concluderà nel giro di qualche anno, le mancanze fondamentali di progettazione e interoperabilità continueranno a esistere, chissà per quanto ancora. L’unica soluzione? Imparare a tutelarsi sin da ora, attuando le best practices già conosciute negli ambienti cyber, come l’utilizzo di una rete privata.
“Nonostante i numerosi progressi tecnici del 5G, i protocolli di sicurezza si basano ancora sul rapporto di fiducia tra la telco e il fornitore. Pensando alla questione in maniera non tecnica, è proprio come funziona il famoso gioco del telefono dei bambini: il messaggio viene ripetuto e travisato all’interno di un processo circolare. Allo stesso modo nel 5G ci sono molteplici possibilità di errori, intercettazioni o manipolazioni. Proprio queste vulnerabilità evidenziano il motivo per cui è importante affidarsi ad una sicurezza end to end fornita da una VPN grazie alla quale i messaggi vengono tenuti al sicuro e criptati nel passaggio da un punto all’altro” ha dichiarato Melanie Weber, Product Marketing Manager per la Network Protection Unit di Avira.