INFORMATICA - DIGITAL INVESTIGATION
Intercettazione digitale

"… intercettare è ascoltare possibilmente senza essere ascoltati..."

Gennaio 2007

Questo articolo è stato realizzato con la pregnante collaborazione dell'Ing. Corrado Federici in relazione al quale si segnala il sito [non_disponibile] in cui si è riportato un interessantissimo risultato dei suoi lavori inerente il software "Blueye Layer Seven Sniffer".

Problematiche Tecniche

Lo scopo dell’intercettazione è prelevare in tempo reale dei dati durante il loro fluire su di un canale di trasmissione e ricostruirne i contenuti in modo da renderli fruibili agli investigatori, all’AG, ecc.. Mentre queste fasi erano pressoché banali per le intercettazioni telefoniche su linea analogica divengono complesse e difficili da inquadrare nel digitale.

Esistono diversi livelli di intercettazione digitale proprio perché la Rete delle reti opera in maniera stratificata, ossia impiega layer che sono il più possibile impermeabili tra loro per ragioni di convenienza economica e tecnica.

Attraversando i diversi livelli si può avere quindi: (1) intercettazione su cavo del segnale di basso livello e ricostruzione completa dei protocolli; (2) intercettazione presso il Provider di servizi Internet ossia l’ente privato o pubblico che permette la particolare connessione (spesso gli Internet Service Provider = ISP); (3) intercettazione sulle dorsali (backbone) di comunicazione con separazione e filtraggio dei dati.

Esistono poi diversi servizi che si possono intercettare e la loro intercettazione può corrispondere ad azioni legali di natura differente. L’intercettazione delle email, che avviene ricevendo in un’apposita casella clone tutto quello che riceve o invia un soggetto, riguarda la corrispondenza o no? Si possono poi intercettare i movimenti dati su un sito web (uploading & downloading), le comunicazioni tramite chat, in linea di principio il VoIP, ecc.

Nella maggioranza dei casi il gestore, definita un'apposita "griglia" di selezione delle comunicazioni, fornisce alla polizia giudiziaria una linea telefonica, definita linea RES, dedicata allo sviluppo dell’attività di intercettazione. Tale linea può essere presa a noleggio da parte della procura presso il gestore, oppure presso societa` private o consorzi. Ad ogni modo, la linea RES viene attestata presso la sala intercettazioni della procura, dove vi è un server presso il quale viene convogliato il traffico telefonico e/o dati di delle utenze di cui l'AG ha disposto il controllo.

Problematiche Tecniche

1. I canali di comunicazione di dati digitali possono essere di natura variegata: telefonia fissa (PSTN), mobile (GSM, GPRS, UMTS,ecc.), su Internet (VoIP), servizi Internet su banda larga, telefonia satellitare, ecc.;

2. Data l'ampiezza di banda mediamente disponibile sugli attuali canali di comunicazione, fattore che promette continua crescita negli anni, la quantità di dati trasportata è immensa e richiede sicuramente due attività: filtraggio (esclusione della maggioranza dei dati che ai fini delle indagini è generalmente inutile) e correlazione (non solo bisogna individuare le poche informazioni veramente utili ma spesso senza correlarle il risultato è nullo). A questo va aggiunta la necessità di operare in tempi strettissimi in quanto ampiezza di banda significa anche minimi tempi di trasmissione e quindi difficoltà di rilevazione.

3. Anonimato: l'impiego di Internet con i suoi vari servizi di anonimizzazione (proxy, anonymizer a pagamento, ecc.), l'impiego di SIM o USIM estere o rubate/trafugate, la possibilità di impiego degli Internet Cafè non controllati, ecc. consente ad un tecnico anche non molto esperto un livello di anonimato notevole.

Criteri di filtraggio delle comunicazioni

Ai fini di discriminare le comunicazioni di interesse su canale digitale possono essere impiegati i seguenti riferimenti:

a. CLI, discriminazione del chiamante;

b. MAC address, discriminazione della scheda di rete che opera la comunicazione;

c. IP address, discriminazione dell'indirizzo IP;

b. Porta TCP/UDP discriminazione di applicativi e servizi su rete;

c. Indirizzo EMAIL, discriminazione del mittente sulla base dell'indirizzo EMAIL/IP;

d. Nome utente, discriminazione del logging;

e. Sessioni VoIP identificabili;

f. URL, discriminazione degli IP dei visitatori del'URL;

g. Filtraggio su stringa (ricerca di parola chiave), analisi del traffico di rete e ricostruzione delle sessioni di comunicazione in base all'individuazione real time di parole chiave;

h. Discriminazione dello IMEI dei cellulari.

Alcuni metodi di intercettazione

1. Intercettazioni di GSM/GPRS ed UMTS

Il principale problema tecnico si ritrova nel roaming ossia della possibilità che le compagnie telefoniche hanno di instradare le chiamate di competenza presso tunnel appartenenti ad altre compagnie (tipico esempio la TIM che affitta canali ad altre compagnie). In tal caso bisogna che siano più gestori a fornire il servizio di controllo sulle comunicazioni. Caso ancora peggiore è quando con lo stesso cellulare si impiegano diverse SIM o meglio SIM di diversi gestori. In tale situazione si può mettere sotto controllo il codice IMEI del cellulare coinvolgendo tutti i gestori presenti sul territorio.

L'intercettazione di SMS non determina particolari problemi ma si evidenzia la complessità di intercettare gli MMS i quali, per loro natura multimediali, sono vere e proprie trasmissioni dati proprietarie da cui soggette a filtraggio e ricostruzione per la fruibilità del controllore.

Infine l'intercettazione sui telefoni UMTS nasce inserita come specifica prevista nei nuovi sistemi di gestione della rete per cui risulta efficiente e permette di usufruire di servizi particolarmente sofisticati ed innovativi come una nuova tipologia di radiolocalizzazione.

2. Intercettazioni di telefoni satellitari

L'intercettazione dei telefoni satellitari, da un punto di vista tecnico, può essere svolta ma attraverso l'impiego di strumentazioni piuttosto complesse e costose che spesso devono muoversi nell'ambito del territorio in cui opera l'utente. Bisogna ricordare però che le celle satellitari sono spesso localizzate in ambito internazionale per cui la mancanza di accordi internazionali nel senso delle intercettazioni di Polizia Giudiziaria rende tale attività legalmente impossibile quando è coinvolta una cella in territorio non italiano. Una situazione quindi difficile attualmente senza soluzioni specifiche.

3. Intercettazioni di collegamenti "casalinghi" analogici ad Internet

Lo scopo è intercettare comunicazioni dati effettuate da utenti sotto controllo utilizzanti linee commutate analogiche. Il sistema di controllo (traslatore) viene posizionato in serie tra l’utenza sotto controllo e uno dei provider di connessione a disposizione dell’utenza stessa. Esso riesce ad identificare la chiamata indirizzata al provider mediante il numero composto o attraverso i segnali di controllo della trasmissione analogica. Successivamente trasferisce un clone della comunicazione verso la postazione di ascolto generando un trascurabile ritardo (solo nel caso di trasmissione dati e non voce). Tale postazione dispone di strumentazione idonea al riassemblaggio dei dati, alla loro validazione (correttezza), e presentazione su monitor e/o storicizzazione

4. Intercettazioni di collegamenti "casalinghi" digitali ad Internet

Nel caso di intercettazioni telematiche di utenti che accedono ad Internet dal domicilio viene svolto un filtraggio sull’indirizzo IP. Bisogna tenere conto che il flusso netto è generalmente inferiore ad alcuni Megabit/sec ed è quindi possibile addirittura pianificare un salvataggio completo del traffico in un predisposto sistema di storage.

Nel caso di linee fisse come ADSL, al posto del traslatore viene messa in centrale una sonda detta Front End collegata ad una porta c.d. mirror che riceve in copia tutto il traffico scambiato (in entrambe le direzioni quindi) dall'apparato di accesso che gestisce la connessione finale dell'utente. La sonda filtra solo il traffico rilevante per il decreto di intercettazione in base all'indirizzo IP del target (noto a priori o scoperto tramite la decodifica della comunicazione tra l'apparato d'accesso ed il server RADIUS con il quale l'utente svolge l'autenticazione). Il flusso netto viene poi scaricato localmente su disco e trasferito tramite linea dedicata ad alta velocità verso la postazione di decodifica (Back End).

La postazione di decodifica ha un modulo per la gestione amministrativa dell'intercettazione (indagine, decreto, persone abilitate) ed un modulo che interpreta e ricostruisce i protocolli in modo che l'addetto alla postazione possa vedere, ad esempio, i messaggi di posta elettronica inviati e ricevuti, le pagine web visitate, la comunicazione VoIP (se non crittata).

5. Intercettazioni di collegamenti multipli ad Internet

L’utente di un servizio internet, vi puo` accedere da diversi punti e con diverse tipologie di collegamento. Se è palese che il soggetto cambia continuamente via di collegamento, magari perchè in movimento o perchè avveduto della possibilità di essere controllato, bisogna impiegare una metodologia di intercettazione che operi contemporaneamente su più canali (audio/video/dati). Esistono, realizzati a tale proposito, dei particolari sistemi hardware denominati telemonitor, differenti da traslatori e sonde, di cui la polizia giudiziaria ha disponibilità, che possono essere inseriti su più linee e punti come osservatori.

3. Intercettazioni di comunicazioni VoIP

Il "Voice Over IP" di Skype è ad oggi uno dei maggiori problemi dal punto di vista delle intercettazioni. La società skype, infatti, cripta i dati digitali corrispondenti alla chiamata telefonica (voce o video) VoIP ed anche gli eventuali file scambiati da nodo a nodo dagli utenti collegati, in maniera nativa, ossia a livello di protocollo stesso di trasmissione. Essendo l'algoritmo scelto particolarmente sofisticato ed essendo poi prevista una negoziazione di una nuova password ad ogni sessione di comunicazione neanche la società stessa è in grado di "penetrare" lo scambio dati. La conclusione attuale, in definitiva è che non è possibile intercettare una chiamata VoIP su Skype.

A ciò va aggiunto che la telefonia VoIP su sistemi P2P o client-server può essere implementata attraverso molti altri software/servizi normalmente non cripto. Si ricordi che l'utente, però, può aggiungere funzionalità cripto esterne al suo client. Questo fatto, per quanto renda problematiche le intercettazioni, non le esclude come sopra in quanto la funzionalità cripto rimane esterna al protocollo di trasmissione e quindi attaccabile separatamente (si pensi ad esempio che i dati di controllo, gli indirizzamenti, ecc. rimangono non crittati).

6. Intercettazioni su dorsali

Nel caso di intercettazioni parametriche su dorsali di comunicazione si è più spesso interessati ad identificare sessioni di traffico generate da un punto imprecisato di un’area geografica che contengono tipicamente parole o frasi chiave. Viene quindi impostato un filtro c.d. applicativo e tutti i pacchetti che compongono la comunicazione del canale vengono ispezionati. Se il traffico in ingresso al Front End non è troppo elevato da impedire lo storage in tempo reale nel sistema dischi della sonda si attiva il filtraggio sul Back End. In caso contrario, il filtro può avvenire sul Front End, con tutti i rischi connessi alla mancata cattura di pacchetti precedenti o successivi a quelli individuati che potrebbero risultare determinanti per una ricostruzione corretta e completa della comunicazione.

A tale proposito è importante chiarire che le cosiddette sonde poste negli snodi degli ISP possono tecnicamente intercettare tutto il traffico dati che passa loro attraverso ma, proprio per specifiche salvaguardie di ordine legali non possono mai operare indiscriminatamente. Definendo quindi il tipo di linea, i tipi di servizi che eroga, i protocolli che l'attraversano nonchè tutta una nutrita serie di parametri che identificano il soggetto da porre sotto controllo è possibile selezionare accuratamente il traffico da storicizzare ed esaminare e si evita un terribile accumulo di inutili (dannosi ed illegali) informazioni.

Ovviamente è sempre l'AG che, attraverso i suoi provvedimenti di intercettazione telematica delimita il tipo di attività di filtraggio posto in essere (il numero IP, l’indirizzo di posta elettronica, ecc.) o ad alcune tecniche e caratteristiche della comunicazione che deve essere intercettata.

7. Intercettazioni di caselle di posta elettronica

Qualora l’utente accede ad internet in condizioni di mobilità, oppure il server di posta utilizza connessioni cifrate (caso in cui non è praticabile l’identificazione del traffico sul canale) si può optare per la duplicazione della cassetta di posta elettronica dello stesso utente con un adeguato sistema di forwarding presso la postazione di decodifica. Tale metodo è ovviamente indispensabile quando l'indirizzo di posta elettronica è l'unico elemento investigativo su cui si può operare.

marcomattiucci.it

Informatica:

Digital Investigation: