I VANTAGGI INVESTIGATIVI DI UN SISTEMA AVANZATO PER L'ANALISI DEL TRAFFICO DATI NELL'AMBITO DELLA LAWFUL INTERCEPTION - Sicurezza e Giustizia
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
LAWFUL INTERCEPTION
I VANTAGGI INVESTIGATIVI
DI UN SISTEMA AVANZATO
PER L’ANALISI DEL TRAFFICO DATI
NELL’AMBITO DELLA LAWFUL INTERCEPTION
La diffusione di internet nelle telecomunicazioni impone un nuovo approccio tecnologico ed in-
vestigativo volto ad evidenziare e valorizzare in maniera integrata ogni tipo di metadato.
Piattaforme di Telematica Passiva avanzate assumono quindi una centralità maggiore rispetto
al passato in combinazione con altri strumenti più tradizionali.
Ing. Fabio ROMANI, Amministratore Delegato di IPS S.p.A., azienda leader a livello globale nel
settore della Cyber Intelligence. I sistemi di IPS sono in esercizio in oltre 30 paesi del mondo,
supportando ogni giorno centinaia di Forze di Polizia e Agenzie di Intelligence.
Dott. Yassine FATAH, Product Specialist di IPS S.p.A. e docente del dipartimento IPS Academy
che ogni anno eroga più di cento giorni di formazione tecnica avanzata a decine di migliaia di
operatori del settore.
II / MMXXI 21
SICUREZZAeGIUSTIZIA www.sicurezzaegiustizia.com
LAWFUL INTERCEPTION
L’analisi del traffico dati, in tutte le sue acce- teresse, carpendo dall’esterno le informazioni
zioni, ha sempre avuto un ruolo marginale tra che egli stesso ci concede, piuttosto che acce-
le tecnologie utilizzate a supporto delle attivi- dere nella sua dimora per mettersi in ascolto
tà investigative. delle sue conversazioni, allo stesso modo può
Storicamente questo tipo di analisi non sem- essere preferibile rimanere passivi rispetto
pre ha fornito risultati soddisfacenti, a causa all’attività del target, ma sempre e costante-
di una costante riduzione di risorse in ricerca mente in ascolto, in attesa di cogliere le molte-
e sviluppo da parte delle aziende del settore plici vulnerabilità a cui la navigazione Internet
e dell’avvento di standard di cifratura sempre espone ognuno di noi, compreso il target.
più avanzati. Queste due facce della stessa
medaglia, insieme alla crescente diffusione A titolo d’esempio ponendo il focus sui servizi
dell’utilizzo dei captatori informatici, hanno di messaggistica istantanea, nell’ambito del
reso di fatto l’analisi del traffico dati un mero costante lavoro di ricerca e sviluppo dell’analisi
accessorio tecnologico, apprezzato da pochis- del flusso dati telematico, emerge che duran-
simi esperti, come supporto di altre tecnologie te l’utilizzo di tali servizi, molte informazioni di
di intercettazione. questi eventi possono essere raccolte con un
lavoro euristico avanzato di estrazione meta-
Considerando che con le attuali capacità com- dati. Attraverso un meccanismo complesso
putazionali si impiegherebbero decine di mi- ed automatizzato è possibile produrre un ta-
gliaia di anni per decifrare informazioni assi- bulato delle “attività social”, riconducibile ai
curate da TLS/SSL e chiave asimmetrica, la so- molteplici servizi di messaggistica istantanea
luzione proposta dal captatore informatico è presenti sul mercato che prevedono la possibi-
di fatto particolarmente interessante, a patto lità di effettuare chiamate VoIP.
che se ne accettino anche i limiti, come la sua
complessità o, nella maggior parte dei casi, l’e- Tale tabulato è composto da diversi elementi:
sigenza di interagire con il target per poterlo - applicazione utilizzata (WhatsApp,
convincere ad installare un’applicazione che si Telegram, Facebook, ecc.);
posizioni a monte della cifratura. - tipologia evento (chiamata vocale, video-
chiamata, messaggio, ecc.);
L’utilizzo del captatore, per le ragioni ap- - durata evento;
pena evidenziate, non è sempre possibile e - data e ora;
sarà sempre più difficile in futuro; ciò a causa - identificativo univoco del target;
di diversi fattori: in primis gli investimenti di - identificativo univoco dell’interlocutore;
Google e Apple in sicurezza per rendere i pro- - ISP dell’interlocutore.
pri sistemi operativi sempre più impenetrabili,
a questo si aggiungono le complessità date Da quanto sopra si evince che l’analisi del flus-
dalla rivelazione delle metodologie di infezio- so dati può fornire informazioni di valore sul
ne utilizzate, infine il quadro normativo lascia target, ma anche su tutti i soggetti ad esso
delle zone opache che rendono questa tecno- collegati, ossia che interagiscono con il dato
logia difficilmente utilizzabile a fini probatori. principale analizzato.
A partire da queste considerazioni, il presente Si evidenzia di seguito il percorso dei dati, pri-
articolo intende descrivere l’importanza di ma di un messaggio testuale, poi di un evento
considerare i giusti strumenti di analisi del di tipo chiamata.
Traffico Dati durante tutte fasi di un’ indagi-
ne, ancor più se si tiene in considerazione che Messaggio testuale
negli ultimi anni tutte le comunicazioni si sono 1. Invio di testo dal telefono A verso il tele-
spostate su Internet, non solo le chiamate di fono B.
tipo WhatsApp ma anche le tradizionali chia- 2. Il messaggio raggiunge il server del provi-
mate oggi viaggiano su protocolli IP (es. VoL- der.
TE) e con l’avvento del 5G ogni tipo di comu- 3. Il messaggio viene indirizzato verso il te-
nicazione tra persone e/o tra dispositivi (IoT) lefono B.
utilizzerà la rete Internet. 4. Il telefono A riceve conferma di ricezione e
lettura da parte del server.
Così come in certi contesti è più sicuro ed effi- 5. Il processo riparte in direzione opposta in
ciente osservare l’attività di un soggetto di in- caso di risposta del dispositivo B.
22 II / MMXXI
www.sicurezzaegiustizia.com
SICUREZZAeGIUSTIZIALAWFUL INTERCEPTION
Figura 1 - Percorso dei dati di un messaggio testuale
In caso di intercettazione del traffico del dispo- si riescono ad evidenziare diversi metadati di
sitivo A, troveremo traccia di una serie di con- interesse.
nessioni e metadati verso i server del provider. Le informazioni estratte con i rispettivi identi-
ficativi, sono sufficienti, congiuntamente con
Chiamata l’orario, a poter determinare il dispositivo in
Il percorso di un evento di tipo chiamata segue uso all’interlocutore della chiamata a mezzo
una strada diversa, riassunta come segue: social. Queste informazioni vengono dunque
1. Tentativo di chiamata del dispositivo A utilizzate per ricostruire identità e localizza-
verso il dispositivo B. zione di un soggetto di interesse.
2. L’impulso raggiunge il server, il quale in-
strada il tentativo di chiamata al disposi- L’arricchimento degli “identificativi” estrapo-
tivo B. lati dal traffico con i CDR (Call Detail Records)
3. Il dispositivo B, in caso di risposta, instaura permette una più puntuale identificazione dei
una comunicazione diretta con il disposi- soggetti coinvolti. Il sistema sarà quindi in gra-
tivo A. do di presentare in griglia parametri come:
Figura 2 - Percorso dei dati di una chiamata
Il flusso che si instaura tra i due terminali è si- • Utenza Telefonica,
curamente più efficiente in termini di carico • Intestatario,
di lavoro per i server del provider, anche dal • IMSI,
punto di vista della qualità della telecomuni- • IMEI,
cazione. In questo quadro, conoscendo le lo- • Cella Telefonica agganciata al momento
giche della comunicazione fra i due dispositivi della chiamata.
II / MMXXI 23
SICUREZZAeGIUSTIZIA www.sicurezzaegiustizia.comLAWFUL INTERCEPTION
I risvolti investigativi sono innumerevoli. Tra- per produrre evidenze relative alla vi-
mite questa tecnologia, infatti, si può asso- sita di uno specifico hostname;
ciare una conversazione captata tramite in- • Comprendere la destinazione delle
tercettazione ambientale a due entità certe e comunicazioni nazionali ed estere ef-
certificate dal gestore telefonico che effettua fettuate, fino a localizzare il target;
il rigiro del flusso dati verso il server in Procura. mostrando anche le connessioni dello
Allo stesso modo si può avere contezza della stesso target, grazie ad una compren-
destinazione delle comunicazioni da e verso siva e immediata analisi delle relazio-
l’estero effettuate tramite applicazioni consi- ni;
derate sicure da un sospetto terrorista o po- • Tracciare il traffico di upload o down-
tenziale appartenente ad un’organizzazione load verso un determinato servizio (ad
criminale internazionale. esempio, un forum web o YouTube)
per individuare potenziali target (il ri-
Ci sono alcuni concetti chiave che andrebbero ferimento è a coloro i quali inserisco-
considerati nel difficile computo dei costi be- no contenuti sulla rete per fenomeni
nefici; l’intercettazione telematica passiva, a di proselitismo e propaganda estre-
listino in ogni Procura della Repubblica, è una ma, pedopornografia, diffamazione,
tecnologia da una parte trasparente nei con- atti persecutori, ecc.).
fronti del target, il quale non potrà mai avere • Rilevare fasi di identificazione e me-
alcun tipo di sospetto circa un’eventuale in- tadati univoci legati a target utilizza-
dagine a suo carico (almeno dal punto di vista tori di distribuzioni custom di sistemi
dell’interazione diretta), dall’altra assicura l’in- operativi tipiche dei Crypto Phone (ad
confutabilità ai fini probatori, in quanto il flus- esempio, le oramai tramontate En-
so dati viene garantito da un ente terzo quale croChat, Sky ECC, e le più recenti Dia-
il gestore telefonico. mond Secure, No1BC, …)
Il sistema per la gestione della Telematica Pas- Tale elenco, non esaustivo, dimostra l’utilità di
siva fornito da IPS, GENESI® IP Analyzer, si questo strumento investigativo, soprattutto
basa su una tecnologia in grado di supportare quando affiancato ad altre tecnologie, come
molteplici usi operativi, anche non tradiziona- le intercettazioni telefoniche e del VoLTE, in
li. Infatti, può essere utilizzato anche in moda- un’ottica di analisi integrata. Il sistema di IPS,
lità offline per importare e analizzare dump di attualmente disponibile presso gran parte del-
traffico raccolti in diverse modalità (ad esem- le Procure della Repubblica, è utilizzato quoti-
pio, attraverso operazioni di tipo tattico, “snif- dianamente da diversi reparti investigativi su
fando” il traffico dati di una rete Wi-Fi; tramite tutto il territorio nazionale, e tra l’altro è stato
l’utilizzo di una sonda; impiegando dump pro- scelto come sistema di riferimento per l’analisi
venienti da altri sistemi di intercettazione in del traffico dati da parte di diverse articolazio-
uso presso le varie Procure). ni del Ministero dell’Interno.
Nell’ambito della telematica passiva, si sotto- Nel mondo delle telecomunicazioni, in con-
lineano gli indubbi vantaggi per le attività in- tinua evoluzione, internet sta assumendo un
vestigative derivanti da alcune funzionalità ri- ruolo sempre più centrale. Questo è il moti-
levanti di questo tipo di intercettazione, come vo per il quale, oggi, non si può prescindere
ad esempio: dall’utilizzo di uno strumento come quello
• Identificare quanti e quali dispositi- descritto, fondamentale per qualsiasi attività
vi sono connessi ad una determinata investigativa.©
rete. Ciò è spesso determinante sia dal
punto di vista operativo per valutare
l’ingresso o meno in un edificio con lo
scopo di installare periferiche ambien-
tali, sia a livello strettamente investi-
gativo per comprendere se un’utenza
mobile viene utilizzata come hotspot
per altri dispositivi;
• Rilevare i server delle applicazioni e
dei servizi contattati dagli utilizzatori
della rete posta sotto intercettazione
24 II / MMXXI
www.sicurezzaegiustizia.com
SICUREZZAeGIUSTIZIAPuoi anche leggere
