Buongiorno Damiano, Damiano Verzulli <dami...@verzulli.it> writes:
> Il 05/05/24 7:36 PM, Cosmo Carabellese ha scritto: [...] > Il tema della vulnerabilita' di SS7, *NON* implica "/...la facilita' con > la quale puo' essere localizzato un utilizzatore di uno smartphone.../". > Implica soltanto "/...la facilita' con la quale puo' essere localizzato > uno smartphone [attivo].../" (nota: attivo non significa "in conversazione", oggi basta che il telefono mobile sia acceso) la condizione che descrivi sopra (identità tra persona e telefono) è obbligatoria per tutti i _normali_ cittadini, almeno quelli italiani, perché non è possibile possedere una scheda SIM - indispensabile per connettersi alla rete telefonica mobile - se non si è identificati entro 24 ore dalla sottoscrizione del contratto di _comodato d'uso_ ai sensi della legge 155/2005 [1] ...per i criminali e le spie però aggirare quella (e altre) leggi è *banale* comunque, indipendentemente dalla connessione della SIM alla propria identità, è sufficiente sapere che un telefono mobile con un determinato numero di telefono è trasportato da una determinata persona per poterla geolocalizzare infiltrandosi nella rete SS7 [...] > produce evidenze che associano il terminale mobile a se stesso > (persona), che per le persone normali significa fornire il proprio numero di telefono, che spesso è condiviso (anche in modo illegale) con banche dati che lo usano anche solo per telemarketing pubblicitario _molesto_ ...figuriamoci come può essere difficile ottenere quei database per criminali ben organizzati e/o agenzie di spionaggio (pubbliche e _private_) > a quel punto il danno è fatto.... (grazie alla vulnerabilita' di SS7 > [...ed al "potere" di Google e Apple] [...e, magari, a qualche APP che > sbadatamente potrebbe aver installato]) e puo' essere localizzato > rapidissimamente. no, nel caso di SS7 Google, Apple e le app su smartphone non c'entrano: la geolocalizzazione che viene effettuata (non è un optional [2]) vale anche per un "dumbphone". le diverse tecniche per ottenere la geolocalizzazione dei telefoni mobili sono descritte in questo articolo di Wikipedia: https://en.wikipedia.org/wiki/Mobile_phone_tracking la geolocalizzazione della quale stiamo parlando è quella "Network-based" dove non è affatto necessario l'uso (attivo o passivo) del GPS: https://en.wikipedia.org/wiki/Mobile_phone_tracking#Network-based (e forse anche la SIM-based) sono precisamente i *metadati* ottenuti per mezzo di geolocalizzazione network-based quelli che circolano (e sono vergognosamente facili da intercettare) sulla rete SS7 per come funziona oggi la rete di telefonia mobile la geolocalizzazione di un _terminale_ (telefono) è indispensabile [2] il problema è che la rete (sistema?) SS7 fa proprio schifo e i *metadati* che circolano lì sopra sono alla portata di cani e porci, /anche/ per come viene gestito l'accesso a quella rete (ma anche se fosse gestiti bene, le intercettazioni di SS7 paiono un gioco da bambini). non è più come ai bei tempi in cui si era costretti a comprerare dalla NSA (et al) per $40000 una stazione GSM mimetizzata da cella legittima o toccava mettere in piedi una piccola flotta di aerei per creare una "dragnet" per sifonare i dati di geolocalizzazione direttamente dai telefoni mobili [3] [...] > Affinché tutto resti "anonimo" è fondamentale che non si arrivi ad > associare l'indirizzo al detentore... esattamente come nel caso del > cellulare. nel caso del cellulare l'indirizzo del detentore è il proprio numero di telefono (associato alla SIM inclusa nel telefono mobile). [...] Saluti, 380° [1] https://it.wikipedia.org/wiki/Carta_SIM#Aspetti_legali [2] senza la connessione del telefono a una cella - che è per forza di cose geolocalizzata - la telefonia mobile non potrebbe funzionare. https://en.wikipedia.org/wiki/Mobile_phone_tracking#Operational_purpose [3] https://en.wikipedia.org/wiki/Cell_site#Spy_agency_setup -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
signature.asc
Description: PGP signature
