Moggi Calciopoli Case Study 01

Per le analisi sulla sicurezza delle comunicazioni, Mobile Privacy fa sempre riferimento a dei casi "reali". Per casi reali, si intendono fatti di cronaca giudiziaria, oppure fatti riportati dai media. Questo per diverse ragioni.

La prima, è che tutti possono verificare in maniera indipendente di cosa si stia parlando.

Un'altra, è che i Sistemi di Sicurezza Mobile Privacy vengono sviluppati soprattutto in relazione ad episodi già avvenuti e studiati in profondità da più parti, e non solo rispetto a delle ipotesi teoriche.

Infine, e questa è la ragione più preoccupante, perché è ormai chiaro che strutture tecnologiche ed organizzative impiegate per indagini che dovrebbero rimanere di pertinenza esclusiva della Giustizia, oppure che dovrebbero essere impiegate per fornire servizi agli utenti, finiscono sempre più spesso per essere utilizzate in indagini illegali, a danno di cittadini che non hanno commesso alcun fatto di rilevanza penale.

Purtroppo, è bene abituarsi a questa tendenza, dal momento che non si intravede alcuna volontà collettiva per cambiare lo stato delle cose.

A tal proposito, ci piace ricordare le parole di Bruce Schneier in merito alle azioni del governo degli Stati Uniti seguite all'attacco alle torri gemelle:

<<...La vera scelta è fra libertà e controllo. La tirannia, sia che emerga sotto la minaccia di un attacco fisico straniero, sia che derivi da un'autorevole sorveglianza domestica, resta comunque tirannia. La libertà richiede sicurezza senza intrusione, sicurezza abbinata alla privacy. Una sorveglianza generalizzata da parte della polizia è, per definizione, uno stato di polizia. Ed è per questo che dobbiamo essere paladini della riservatezza anche quando non abbiamo nulla da nascondere...>>

Il potenziale devastante dei dati in possesso degli Operatori di Rete

In questa breve analisi non interessa evidentemente discutere gli aspetti morali e penali della vicenda "Calciopoli". Per usare una frase molto in voga in questi anni, saranno la Magistratura Penale e Sportiva a definire le responsabilità e a comminare le eventuali pene.

Gli ultimi sviluppi dell'indagine denominata "Calciopoli", possono invece essere utili per acquisire consapevolezza in merito ad alcuni importanti aspetti legati alla violazione della privacy delle comunicazioni mobili. Prendendo spunto da questi fatti di cronaca giudiziaria, si possono ricavare delle conclusioni valide a livello generale.

Per un momento mettiamo da parte il contesto specifico dell'indagine e sostituiamo i protagonisti con persone immaginarie.

La parte dei "cattivi", Moggi e gli arbitri, potrebbe essere interpretata da dei "buoni", per esempio un gruppo di imprenditori che hanno necessità di avviare un nuovo importante progetto industriale. Le possibilità di successo potrebbero essere fortemente influenzate dalla riservatezza nella fase preliminare. Mantenere riserbo assoluto sulle relazioni e sulle comunicazioni fra gli individui protagonisti, potrebbe essere di importanza vitale per la riuscita dell'impresa.

Dall'altra parte, possiamo sostituire la Magistratura e le Forze dell'ordine (i "buoni") con degli avversari in questo scenario immaginario. Gli avversari potrebbero essere un gruppo di imprenditori concorrenti, in questo caso i "cattivi".

Per potere giungere ai loro obiettivi, gli avversari non dovrebbero necessariamente disporre in maniere diretta delle infrastrutture investigative e tecnologiche utilizzate sempre più frequentemente dalla Magistratura. Sarebbe comunque loro possibile venire a conoscenza delle relazioni e delle comunicazioni del gruppo concorrente, attraverso la violazione dei dati sulle comunicazioni telefoniche. Per fare questo, una o poche figure corrotte all'interno delle Istituzioni, un Magistrato, oppure qualche rappresentante delle Forze dell'Ordine potrebbero essere ampiamente sufficienti.

Questa ipotesi, per rimanere nel campo di ciò che è validato da indagini penali, si è verificata, per esempio, nel caso Fassino. In quelle circostanze, i risultati delle indagini che hanno portato alla luce il coinvolgimento del segretario di partito sono stati trafugati illecitamente e, su questo aspetto, è tutt'ora aperta una indagine della Magistratura.

Dunque, possiamo concludere che, con la disponibilità di una o poche persone in posti chiave, in Italia è possibile mettere al proprio servizio la forza devastante delle Strutture Istituzionali, strutture che utilizzano la violazione della privacy delle comunicazioni mobili per raggiungere i loro leciti obiettivi.

Fatte queste considerazioni, ci si può poi domandare se possono essere messi in campo strumenti di difesa leciti, efficaci ed economicamente accettabili, attraverso cui tutelare gruppi di persone che, esercitando attività perfettamente lecite, intendono mantenere una forte riservatezza su alcune (ma non tutte) loro relazioni e comunicazioni (ricordando che in Italia sono vietate le associazioni segrete).

Che tipo di strategia utilizzavano Moggi ed il gruppo di persone indagato

Luciano Moggi e le altre persone indagate hanno utilizzato un numero di SIM internazionali (svizzere) anonime. Hanno utilizzato queste SIM secondo le modalità di una VPN - Rete Privata Virtuale, nel senso che le SIM chiamavano, divise per gruppi, esclusivamente altre SIM della rete.

La Strategia impiegata da Luciano Moggi assomiglia molto alla Strategia MPS2.1, dal momento che impiegava almeno uno degli stessi componenti base, cioè delle SIM internazionali anonime. Facciamo l'ipotesi che siano state prese una serie di altre precauzioni, per esempio che siano stati impiegati con le SIM dei telefoni cellulari nuovi, mai utilizzati in precedenza. Ipotizziamo poi che questi cellulari siano stati impiegati esclusivamente con le rispettiva SIM svizzere le quali, a loro volta, non sono mai state inserite in nessun altro terminale.

Come è stata fatta cadere la strategia

Una Rete Privata Virtuale così strutturata può essere estremamente efficace. E' semplice da costituire ma, per contro, può essere anche questione delicata mantenerne il massimo livello di sicurezza. La strategia infatti, non è crollata completamente, dal momento che - pare - non sono state acquisite le registrazioni delle conversazioni (non è stato raggiunto quello che Mobile Privacy definisce l'obiettivo Contenuti). Però gli obiettivi Contatti (numeri chiamati e chiamanti, orari e durata delle chiamate) ed Identità/Numero (assegnazione per induzione delle numerazioni anonime agli utilizzatori effettivi), sono stati sufficienti per determinare l'esito positivo delle indagini (vedere l'articolo di Repubblica per i dettagli sulle modalità dell'indagine)

Notiamo che il raggiungimento del primo obiettivo Identità/Numero (identificazione di Moggi e del suo interlocutore come utilizzatori effettivi delle prime due numerazioni anonime), è stato conseguito con il metodo di attacco definito Presenza Geografica e Temporale. In altri termini, a partire dall'analisi del traffico delle celle nei pressi delle quali si trovavano due degli indagati nel momento in cui effettuavano chiamate sulle loro numerazioni "pubbliche" intercettate, sono state per prima cosa individuate due numerazioni anonime. Non deve essere stato un compito difficile. Nella stessa Stazione Radio Base (Cella) agganciata da Moggi, subito dopo la prima chiamata intercettata, è comparsa una numerazione svizzera. Lo stesso vale per l'interlocutore. Altre analisi avranno evidenziato che, dove erano Moggi ed il suoi telefoni "pubblici", di tanto in tanto si accendevano le stesse numerazioni svizzere.

Probabilmente poi, analizzando i tabulati completi di queste due numerazioni svizzere (modalità di attacco del tipo Presenza Geografica e Temporale e Numeri Chiamati e Chiamanti) e cercando altri numeri anonimi che impegnavano le stesse celle a cui si sono agganciati sia i telefoni "pubblici" che quelli anonimi dei due indagati e dei loro interlocutori, si è arrivati ad identificare un insieme di altre numerazioni anonime e così via, fino ad identificare tutte le reti anonime ed i loro presunti utilizzatori.

Gli strumenti impiegati per fare cadere la strategia

La Rete Privata Virtuale è stata dunque ricostruita grazie alla possibilità di identificare e sottoporre ad analisi software tutti i dati (tabulati) dei numeri GSM che agganciavano le stesse Stazioni Radio Base impegnate dalle due numerazioni "pubbliche" dei due indagati. Notiamo infatti che, se un utilizzatore possiede due cellulari, uno noto ed l'altro anonimo, e ha l'abitudine di portarli con se accesi, accenderli contemporaneamente e negli stessi luoghi, utilizzarli negli stessi luoghi, ecc., può essere banale attribuirgli anche la disponibilità effettiva della numerazione anonima. Questo, partendo semplicemente dai dati in possesso degli Operatori di Rete ed elaborandoli con un software opportuno.

Per approfondire questo aspetto, si può vedere il lavoro descritto dal Giudice per le Indagini Preliminari del Tribunale di Milano dott.sa Chiara Nobili, nell'Ordinanza di Custodia Cautelare emessa nei confronti degli agenti CIA coinvolti nel sequestro Abu Omar. Oppure, l'interessante esperimento condotto negli USA nel quale, a partire dai dati degli Operatori - una serie di numerazioni ed i tabulati telefonici, nulla di più - con l'uso di un software di analisi è stato possibile risalire al fatto che gli utilizzatori erano amici, oppure colleghi di lavoro, dove si incontravano, in che orari, quante ore di sonno spendevano, ecc., con un margine di errore praticamente nullo.

Che tipo di errori sono stati commessi

Dalle informazioni riportate dalla stampa (1), (2), gli investigatori hanno inizialmente intuito l'esistenza di numerazioni anonime straniere in possesso agli indagati effettuando delle intercettazioni sulle linee telefoniche direttamente riconducibili agli indagati stessi, linee cioè intestate a loro, oppure a persone fisiche o giuridiche a loro direttamente riconducibili.

Gli investigatori avrebbero ascoltato uno dei protagonisti chiedere a Luciano Moggi di accendere il telefono cellulare con la SIM anonima svizzera utilizzando la parola: "Apri".

La prima considerazione che viene in mente, è che questi due protagonisti del gruppo di indagati erano consapevoli di almeno una delle Norme d'Uso da rispettare quando si impiegano Reti Private Virtuali costituite di Terminali GSM e cioè, tenerli accesi il meno possibile.

Il primo errore fatale

La seconda considerazione è che uno dei limiti della strategia, la necessità di comunicare all'interlocutore di accendere il cellulare anonimo, ha indotto uno dei protagonisti a commettere il primo errore fatale. La richiesta inoltrata con la parola "Apri" ha dato la prima evidenza dell'esistenza di una Rete Privata Virtuale, che poi gli investigatori hanno cominciato a cercare nei dati in possesso degli Operatori di Rete.

A quel punto, è stato possibile ricostruire la Rete Privata Virtuale per quanto riguarda numerazioni, date e orari delle chiamate, durata delle chiamate e dedurre gli effettivi utilizzatori delle numerazioni anonime.

Il secondo errore fatale

Se i due protagonisti avessero rispettato un'altra delle Norme d'Uso della Strategia, e cioè effettuare le chiamate riservate da una località diversa da quella in cui viene impiegato il cellulare "pubblico", allora sarebbe stato forse impossibile per gli investigatori identificare la Rete Privata Virtuale. Questo nonostante la consapevolezza della sua esistenza, almeno con gli strumenti effettivamente impiegati. Lo spostamento per effettuare la chiamata riservata, avrebbe permesso ai Terminali anonimi di agganciare altre Stazioni Radio Base e ne avrebbe impedito l'assegnazione agli utilizzatori effettivi.

Le contromisure

Torniamo ora al nostro gruppo di persone immaginarie, i promotori del nuovo progetto industriale. Come potrebbero evitare di incorrere negli stessi errori ed eludere l'attacco dei loro avversari?

Se impiegassero anch'essi una Strategia simile a MPS2.1, dovrebbero cercare di evitare di comunicare con le loro linee "pubbliche" la necessità di passare a colloquiare con le numerazioni anonime. Se un Operatore è all'ascolto, come visto, egli realizza immediatamente l'esistenza di una Rete Privata Virtuale.

Evidentemente questo non è sufficiente per la soluzione del problema. Se, giustamente, i cellulari della Rete Privata Virtuale sono generalmente spenti, la necessità è ineluttabile. Non esistono facili soluzioni per questo problema. Tuttavia una semplice precauzione potrebbe essere il ricorso ad una frase comune a cui attribuire un significato diverso. Per esempio la frase "Ci sentiamo più tardi", alla quale fare seguire effettivamente una breve chiamata sulle numerazioni "pubbliche", subito dopo avere concluso la comunicazione sulle linee riservate, potrebbe essere pienamente efficace.

Per quanto riguarda il secondo errore invece, la soluzione c'è, anche se è impegnativa. Chiaramente le contromisure, lo sforzo da mettere in campo per tutelare le proprie comunicazioni, dipendono dalla posta in gioco. Se questa è elevata, può essere giustificato spostarsi dalla sede in cui è stata effettuata la chiamata "in chiaro" per andare ad agganciare un'altra Stazione Radio Base per la chiamata sulla Rete Privata Virtuale.

Quanto siano verosimili queste due modalità per evitare errori, lo testimonia il fatto che, almeno per ora, non tutte le schede SIM svizzere coinvolte nell'indagine sono state attribuite al rispettivo utilizzatore, in maniera del tutto simile a quanto accaduto nel caso Abu Omar. Evidentemente, qualcuno dei protagonisti aveva ben chiare le modalità d'uso più opportune dei cellulari della Rete Privata Virtuale.

A proposito di cellulari criptati

E' interessante notare che se il gruppo di indagati fosse ricorso a cellulari cifrati (criptati) le conclusioni delle indagini non cambierebbero di una virgola. In questo caso è stato determinante e sufficiente conseguire gli obiettivi Identità/Numero e Contatti e non l'obiettivo Contenuti (delle conversazioni). In altre parole, l'accertamento che i soggetti coinvolti disponessero di cellulari anonimi che utilizzavano per comunicare fra loro, è stato sufficiente per dimostrare che avevano in corso delle relazioni, senza la necessità di ascoltare e capire cosa si siano effettivamente detti.

Soluzioni alternative

Vale la pena fare una premessa: se è importante evitare che i membri di un gruppo di persone siano messi in relazione fra di loro attraverso l'analisi delle loro comunicazioni mobili, allora per prima cosa sarebbe bene che ciascuno si dotasse in maniera autonoma del proprio Apparato anonimo (telefono e SIM). Non a caso, questo è uno dei due criteri che Mobile Privacy indica per la scelta dello Scenario Operativo in cui poi attuare una delle strategie di difesa.

Non va trascurata la possibilità di passare ad altre Strategie. Se è importante difendere gli obiettivi Identità/Numero, Contatti e Localizzazione, nel senso che è fondamentale evitare di mettere in relazione fra loro un gruppo di persone, allora la soluzione potrebbe essere l'impiego della Strategia MPS2.2. Il ricorso a Terminali Satellitari con schede SIM acquistate da Service Provider Internazionali, risolverebbe pienamente il problema.

Ricordiamo che in tal caso i dati relativi alle chiamate effettuate, gli orari, le durate, ecc., vengono si raccolti, ma sono in possesso di un Operatore Satellitare e del suo Service Provider Internazionale, il primo con sede negli Emirati Arabi Uniti e con il quale non esistono Accordi Bilaterali in materia di Assistenza Giudiziaria. Tradotto in termini pratici, almeno formalmente, nessun Magistrato potrà entrare in possesso dei tabulati telefonici.

Ricordiamo poi che i dati sulla posizione geografica dei Terminali Satellitari non sono normalmente disponibili, a meno (ma questa è solo una ipotesi) di un interessamento diretto e pressioni di una delle potenze militari sull'Operatore Satellitare.

Notiamo anche che la necessità di avere l'antenna del Terminale Satellitare libera da ostacoli, impone alternativamente di uscire all'aperto per effettuare la chiamata, oppure di impiegare accessori per l'uso in auto o in ufficio. Nel primo caso si aprirebbe il problema della possibile identificazione dell'esistenza di un Terminale Satellitare in uso all'obiettivo dell'indagine, se questi fosse pedinato a vista. In questo caso però ci si avvicina al limite degli attacchi portati con "Altri Metodi" e cioè alle intercettazioni ambientali. Tutta un'altra storia.