From: "Stefano Zanero" <[EMAIL PROTECTED]>
Spero che si intenda che il GESTORE manda un SMS all'utente col codice
temporaneo (come accade ad es. con vari operatori di telefonia), e non
viceversa !
***in realtà nelle ultime modifiche alla legge antiriciclaggio (16 novembre
2007) si fa riferimento ad una identificazione "federata" (non è scritto
ovviamente proprio così).
questo non vale per il settore di cui stiamo parlando ma volevo condividere
un ragionamento....
il concetto è che se un cliente bancario o postale è già compiutamente
identificato da un altro istituto c'è la possibilità di "fidarsi" di lui se
dimostra (ad esempio con un bonifico) la bontà del suo rapporto con l'altro
istituto.
probabilmente con la stessa filosofia un soggetto già identificato, in
questo nostro caso in base al medesimo obbligo giuridico (ovvero il decreto
pisanu), in un altro servizio (in questo caso la telefonia mobile), potrebbe
con un sms identificarsi con le medesime modalità ipotizzate.
ma i problemi, come già emerso, sono i seguenti:
- spoofing dell'sms
- riconducibilità dell'intestatario della linea cellulare con il reale
utilizzatore della wireless (anche solo ad esempio in caso di utenza
cellulare aziendale).
l'ipotesi di invio sms potrebbe essere risolta (o meglio potrebbe essere
ridotto il rischio) proponendo un invio di SMS da parte del cliente
all'aereoporto che vuole collegarsi ad un numero di centro servizi scritto
sulle locandine.
Il centro servizi potrebbe inviare allo stesso cellulare un numero di
pre-attivazione per loggarsi (senza poter ancora navigare).
successivamente, al tentativo di connessione, il cliente dovrebbe dimostrare
il possesso del cellulare inserendo i dati del codice a lui inviato via sms
e quindi pagare un prepagato con una carta a lui intestata.
il problema rimane per questo scenario:
- un terrorista ha una carta clonata e un cellulare non a lui intestato (ma
ad un nome di fantasia)
. procede come indicato sopra e quindi alla fine avrò una identità (o 2) che
non sono quelle reali.
ma, di contro, bisogna dire che non c'era bisogno della wireless per fare
qualcosa di spiacevole, perchè con questo scenario il terrorista avrebbe
potuto connettersi in UMTS e quindi il problema non sarebbe stato agrravato
dalla ns wireless....
--
gerardo costabile
www.iisfa.it
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
