Digilab e Spoofing telefonico: la scoperta dell'acqua calda!



Da qualche giorno sta girando sui blog un video di un'intervista a Alessandro Marzini (Digilab), trasmessa da Sky Tg 24 dove lo stesso Marzini parla della scoperta di una "grossa falla nel sistema telefonico che permette di falsificare il mittente di una chiamata".







La notizia e' rimbalzata poi anche su Punto-Informatico, che ha pubblicato una ulteriore intervista.

Beh, piu' o meno e' come se un giorno pubblicassi sul mio blog la notizia a caratteri cubitali "Scoperta Grossa Falla nel protocollo SMTP: e' possibile inviare mails con l'indirizzo di un'altra persona!" :-D

Con l'avvento della tecnologia VoIp, la modifica del CallerId e' diventata infatti accessibile a chiunque: basta mettere in piedi un proprio server Asterisk, agganciarsi a un provider Voip che fornisca una certa liberta' di configurazione (purtroppo quelli 'free', come VoipStunt e altri non lo permettono) e inviare chiamate con il CallerID desiderato.
Il CLI infatti altro non e' che un dato inviato da un terminale a un'altro sulla rete (piu' o meno come il 'mail-from' negli header delle email).
Cito infatti WikiPedia:
Il termine Caller ID, CLID (Calling Line IDentifier) o CLI, viene utilizzato in telefonia per identificare il numero telefonico dell'utente chiamante.

Per poter visualizzare il numero del chiamante, il ricevente deve avere un telefono compatibile CLIP (CLI Present) e una linea telefonica abilitati a ricevere l'informazione. In Italia, su linea fissa, il servizio è disponibile opzionalmente su tutte le linee PSTN mentre è un servizio incluso nel canone di abbonamento delle linee ISDN. La ricezione del CLI è abilitata in automatico su tutte le linee mobili.

La visualizzazione del CLI è soggetta anche alle impostazioni dell'utente chiamante, a questo infatti è data la possibilità di impedire al destinatario della chiamata di visualizzare il proprio numero. Questa funzionalità è comunque limitata e non vale in caso di chiamata a numeri di emergenza pubblica o a numeri verdi.

Il Caller ID è utilizzato in alcuni casi come identificativo dell'utente chiamante per garantire l'accesso a sistemi riservati (esempio significativo è quello delle segreterie telefoniche che permettono la telelettura dei messaggi) tuttavia questo metodo di autenticazione è dimostrato essere molto vulnerabile. Su Internet esistono infatti molti siti che permettono a qualsiasi utente di chiamare facendo sì che al destinatario venga visualizzato un CLI a scelta.

E di questo se n'e' parlato abbondantemente, a partire dal talk tenuto da Lucky225 al Defcon 12 del 2004.

Girando su internet, poi, ci si imbatte in chi ha realizzato addirittura uno script per asterisk che permette, chiamando un numero registrato sul pbx, di digitare il numero dal quale si vuole far partire la telefonata, il numero da chiamare e poi far partire la chiamata con il callerID 'spoofato', il tutto in pochissime righe di codice:
//(step 1) Prompt user for input
$agi->stream_file(’enter_spoof’); //(step 2) Grab 10 digits
$result = $agi->get_data(’beep’, 3000, 10);
//set variables and output debug info
$spoofnumber= $result[’result’];
$agi->verbose(”Spoof Number:”.$spoofnumber);

//(step 3) Prompt user for input
$agi->stream_file(’call_spoof’);
//(step 4) Grab 10 digits
$result = $agi->get_data(’beep’, 3000, 10);
//set variables and output debug info
$callnumber= $result[’result’];
$agi->verbose(”Number to call:”.$callnumber);

//(step 5) Set callerid to whatever the input was in step 2
$agi->set_callerid($spoofnumber);
//(step 6) Make call to number from input in step 3 and 4
$agi->exec(”Dial IAX2/[email protected]/1″.$callnumber);

E se non sbaglio nel video tanto discusso Marzini digita un numero, attende un segnale, poi digita un'altra serie di caratteri: a occhio e croce, segue proprio i passi dettati dallo script citato qualche riga fa.

In ultimo, esistono provider Voip commerciali che forniscono nativamente la modifica del CallerID: uno tra tutti Voicetrading.com, della Betamax (la stessa di VoipStunt e VoipBuster), servizio a pagamento dedicato esclusivamente alle aziende con partita IVA.

Concludendo, a mio avviso ci si trova davanti a una classica NON notizia, come le tante che i nostrani giornalisti partoriscono quando tentano di affrontare argomenti tecnici senza averne le basi: la 'falla' in questione esiste da sempre , nessuno l'ha mai tenuta nascosta, quindi anche la 'scoperta' e' una NON scoperta! :-D

Il buon Alessandro Marzini, dal canto suo, ha cavalcato l'onda probabilmente con l'idea di fare un po' di pubblicita' alla Digilab; e infatti conclude l'intervista con una frase sibillina:
noi non abbiamo inventato nulla ma semplicemente scoperto qualcosa che, non saprei dire da quando, qualcuno ha utilizzato ed utilizza quotidianamente alle spalle delle gente e delle istituzioni; per questo, ci dichiariamo a disposizione di chiunque - magistratura, forze dell'ordine, avvocati, cittadini - ritenesse di dover approfondire un argomento di attualità così delicata e, perché no, anche di collaborare con gli Operatori telefonici ed offrire le nostre conoscenze.

(Gratis, vero?)

Published: May 26 2007

  • category: