Salve,
nell'ambito di un progetto che fa uso di smi telefoniche per la
trasmissione dati, mi si pone un problema relativo all'autenticazione,
meglio identificazione degli utenti.
E' previsto che ogni sim si autentichi su un sistema Radius inviando
UserId, Passwd e APN.
Ora gli apparati che verranno usati sono in grado di inviare come UserID
e Passwd solo dati facilmente reperibili dalla sim stessa. Da prove
fatte tali dati sono:
1) Numero carta (quello stampato sulla sim)
2) IMSI (International Mobile Subscriber Identity)
Prima domanda.
Ci sono altri valori facilmente reperibili dalla sim via comandi AT?
Ho trovato che l'IMSI che è lungo 15 cifre è così composto:
Prime 3 cifre identificano lo stato
Le seguenti 2 identificano l'operatore
Le restanti 13 sono legate al numero di telefono
Domande.
Le 13 cifre sono uguali al numero di telefono oppure no?
Se no, è possibile dal numero di telefono ricavare l'IMSI?
Ultima domanda, ma è la più importante.
Ho letto che inviare l'IMSI in rete non è buona cosa per la riservatezza
dell'utente.
Ci sono metodi per difendersi? Ad esempio usare un APN dedicato è misura
sufficiente?
--
ing. Andrea Gelpi
***************************************************
La Terra non la abbiamo ereditata dai nostri avi,
ma la abbiamo presa in prestito dai nostri bambini.
***************************************************
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
