---------- Forwarded message ---------Date: Fri, 24 Apr 1998 16:40:36 +0200 From: Jesus <jcea@ARGO.

ES> Reply-To: Temas de Seguridad en Redes <CERT-ES@LISTSERV.REDIRIS.ES> To: CERT-ES@LISTSERV.REDIRIS.ES Subject: [iso-8859-1] Localizacin fsica de moviles [iso-8859-1] En el nmero de Abril de 1.998 de la revista "IEEE Communication", especial dedicado a la radiolocalizacin telfonos celulares y otros dispositivos de comunicacin va radio, se describe una orden del FCC americano que permitir determinar la situacin fsica de las llamadas realizadas al nmero de emergencia 911, con una precisin mejor que 125 metros, en el 67% de las ocasiones. La tecnologa todava est en proceso de decisin, pero parece que se abandona la opcin GPS en favor de tcnicas de triangulacin pasiva, utilizando la infraestructura celular existente. Este texto es una recopilacin y "limpieza" de unos 30 mensajes enviados a "cypherpunks@toad.com" y "cryptography@c2.net". La discursin continua. * Aunque se supone que dicha tecnologa solo ser utilizada para la localizacin de llamadas de emergencia, un fin loable, nada impide que sea empleada tambin para posibilitar el seguimiento pasivo de cualquier telfono celular encendido. Si el usuario no dispone de ningn sistema bajo su control para regular esta posibilidad (un botn de emergencia en su mvil, por ejemplo), la nica manera de evitar el rastreo ser apagar el telfono. Podemos seguir estando localizables utilizando "buscapersonas" unidireccionales, que reciben pero no transmiten ninguna informacin (por eso sus bateras duran mucho ms que un mvil, a pesar de tener una capacidad mucho menor). * Al margen del uso policial, etc., siempre cabe la posibilidad de que la tecnologa de localizacin est tambin al alcance de cualquier persona con los medios y/o los contactos adecuados. * Evidentemente, las personas que no deseen ser localizadas (es decir, aquellas personas que la polica, precisamente, desea seguir) dejarn de utilizar la tecnologa celular y migrarn a entornos ms seguros, como puede ser la telefona mvil desde satlite, o el despliegue de una red "anonimizadora" paralela. Esta ltima posibilidad es muy remota, ya que el espectro radioelctrico es un bien escaso y regulado a nivel gubernamental y mundial. El ciudadano de a pi, no tendr acceso a esas vas alternativas de "escape". No tendr eleccin. * Existe el precedente del "called ID", pero esta tecnologa es muchsimo ms intrusiva. No olvidemos tampoco que la mayora de los telfonos mviles permiten deshabilitar el caller ID en sus propias llamadas, en el men de opciones. Incluso en los casos en los que no es as, el abonado puede solicitar a su compaa celular que deshabilite esa opcin si desea permanecer en el anonimato. La localizacin fsica del llamante no estar accesible, en general, al receptor de la llamada, pero es indudable que muchos servicios "especiales" (no solo el servicio de emergencia) tendrn acceso al sistema. El abonadono *NO* tiene la opcin de deshabilitar esta "prestacin", en funcionamiento aunque no est utilizando su mvil. * Tampoco hay que olvidar que, aunque mucho menos precisa que las tcnicas de triangulacin, ya la propia tecnologa celular implica una cierta capacidad de localizar al usuario a la hora de encaminar

sus llamadas. En un entorno con una gran densidad de telfonos mviles (una ciudad) el tamao de las celdas es muy reducido (la capacidad de una celda es fija; si hay muchos mviles hay que hacer celdas ms pequeas). En Estados Unidos se est utilizando ya esta caracterstica inherente al sistema celular para resolver disputas en la facturacin de llamadas "roaming" (llamadas realizadas desde/hacia una red que no es la "nativa" al mvil en cuestin) y para la persecucin de fraude (clonacin de telfonos celulares). * En EE.UU. se est imponiendo una normativa, llamada "CALEA" que hace obligatorio que las redes celulares adopten ciertas medidas de seguimiento, y que dichas medidas sean accesibles a organismos externos, como el FBI. El coste DIARIO para una red que no cumpla la normativa puede llegar a ser de 10.000 dlares DIARIOS. * Ya se ha utilizado la tecnologa de triangulacin para la localizacin y seguimiento de individuos concretos. Pero lo que se plantea en este momento es la ampliacin del sistema para poder utilizar esa tecnologa, de forma continua, sobre todos los telfonos celulares en activo. Veremos en qu queda la cosa. Por lo pronto, la nica forma segura de no ser localizado es apagar el telfono :). Enviar un mensaje posterior si surge alguna informacin adicional, de inters. Un saludo. ----------------------------------------------------------------------Archivos de la lista: http://listserv.rediris.es/archives/cert-es.html Informacin IRIS-CERT: cert@rediris.es

---------- Forwarded message ---------Date: Wed, 29 Apr 1998 11:49:21 +0200 From: Jesus <jcea@ARGO.ES> Reply-To: Temas de Seguridad en Redes <CERT-ES@LISTSERV.REDIRIS.ES> To: CERT-ES@LISTSERV.REDIRIS.ES Subject: [iso-8859-1] Localizacin fsica de [iso-8859-1] mviles (y 2) Continan los mensajes sobre el tema en "cypherpunks@toad.com" y "cryptography@c2.net". Este texto pretende ser una actualizacin a mi mensaje anterior, tomando como base los mensajes de dichas listas y aadiendo comentarios propios. * Una de las posibles soluciones al problema de la localizacin, al menos de forma parcial, consiste en el empleo de tarjetas SIM prepagadas (en Espaa, tarjetas como la Activa de Movistar o la Aire Libre de Airtel): - Las tarjetas prepago no requieren la formalizacin de ningn tipo de contrato. De hecho la red desconoce todos los datos del abonado, excepto el IMEI de su aparato y la celda desde la que est llamando. - Una de las aplicaciones tiles para los usuarios es el "anonimato". Existen usuarios de telfonos celulares clnicos (e ilegales :) que pagaran gustosos las llamadas si la red les ofreciese la posibilidad de permanecer annimos. Este tipo de tarjetas les resultan muy tiles.

* Un problema de las tarjetas prepago actuales es que permiten correlar llamadas. Es decir, deducir que el usuario XXX, que vive o trabaja en una zona determinada de tal ciudad, realiza mltiples llamadas a determinado nmero. Ello no permite saber quien es el usuario, pero s localizarlo con precisin. La correlacin es posible porque cada tarjeta tiene un identificador nico. * Una posibilidad para reducir las posibilidades de correlacin es utilizar la tecnologa "crowds" (multitudes): peridicamente, un grupo de usuarios intercambia sus tarjetas SIM, abonndose la diferencia entre la carga "monetaria" de cada una de ellas. De esta forma las correlaciones durante largos perodos de tiempo resultan imposibles, ya que las llamadas correspondern a usuarios distintos. * La tcnica anterior plantea dos problemas. El primero de ellos es que si intercambiamos tarjetas pero mantenemos el mvil, se nos puede localizar utilizando el IMEI del mismo (esta tcnica se emplea para localizar mviles robados). Las buenas noticias (o malas, si nos han robado el mvil) son que muchos telfonos permiten cambiar su IMEI si se cuenta con el equipo necesario. * El segundo problema es que se nos puede localizar por nuestro nmero de telfono. Una red GSM asocia un nmero de telfono a un nmero de serie SIM determinado. Esta asociacin es dinmica, pudindose cambiar en cualquier momento. Si utilizamos tarjetas prepagadas y las intercambiamos con las de otros usuarios, nuestro nmero de telfono cambiar debido a que lo hace la tarjeta. Es posible, sin embargo, informar a la compaa de telefona celular para que cambie la asociacin SIM<->Nmero de telfono con una simple llamada. El problema es que, en este caso, al no existir ningn tipo de contrato, la compaa solo puede reasignar al SIM un nmero de telfono todava no asignado. No se podrn intercambiar los nmeros de dos SIMs directamente. Tericamente se pueden intercambiar los nmeros de "N" SIMs utilizando un nmero de telfono "intermedio". En el caso de dos tarjetas sera: - La tarjeta A tiene asociado el nmero X - La tarjeta B tiene asociado el nmero Y - El usuario de la tarjeta A pide que se le cambie el nmero de telfono por otro cualquiera. La red le da uno libre, Z. - El usuario de la tarjeta B pide a la red que le asigne el nmero X. Como est libre, la red accede. - El usuario de la tarjeta A pide a la red que le asigne el nmero Y. Como est libre, la red accede. Los usuarios han intercambiado sus nmeros de telfono. Si ahora intercambian sus tarjetas SIM, reduciendo sus posibilidades de rastreo, mantendrn su nmero habitual. * Evidentemente resulta contradictorio intentar permanecer en el anonimato mientras se desea mantener fijo un nmero de telfono. La solucin ideal es emplear dos tarjetas SIM. Una de ellas, introducida permanentemente en el mvil, est completamente identificada, tiene un nmero fijo y es la que nos permite efectuar llamadas. La otra tarjeta, prepago y que intercambiamos peridicamente con otros usuarios, la usamos solamente para efectuar llamadas que deseamos que permanezcan annimas.

* Una tarjeta utilizada exclusivamente con ese fin (efectuar llamadas, no recibirlas) no requerira un nmero de telfono propio. En su caller ID, el receptor no vera nada. Desconozco la situacin de las tarjetas prepago en Espaa, en este aspecto. Tcnicamente no habra ningn problema. * Como nota curiosa comentar que la tecnologa de tarjetas SIM prepago ha creado problemas a la polica britnica (se informa de casos), ante la obvia dificultad para localizar las llamadas. Es decir, el sistema funciona. De todas formas, el simple uso de una tarjeta prepago no impide la localizacin en caso preciso (tambin se han informado de casos, con nombres y apellidos :), ya que se conoce la celda desde la que el usuario llama, y si tiene el mvil encendido un perodo razonable de tiempo se le puede localizar mediante furgonetas de triangulacin, si la red no dispone de esa capacidad. Por eso resulta til el empleo de dos tarjetas SIM diferentes; una para llamar y otra para recibir llamadas. Si solo se utiliza el mvil para llamar, debe ser apagado cuando no est en uso. Continuemos ahora con la localizacin fsica de mviles: * Las tcnicas de triangulacin pueden ser frustradas empleando antenas direccionales de alta ganancia en las llamadas mviles de "riesgo". * Una nica estacin base puede hacer una estimacin bastante precisa de la posicin de un mvil, con lo que emplear una antena direccional no asegura permanecer ilocalizable. * Una estacin base, en una ciudad, puede tener una zona de covertura muy pequea, llegando a celdas de escasamente 100 metros de radio. * Generalmente las estaciones base utilizan una geometra de antenas en forma hexagonal, lo que permite precisar la direccin del usuario con un margen de error de 60 grados, en el peor de los casos. * En el propio protocolo GSM se establece una medida de la distancia entre la estacin base y el mvil, utilizada para compensar los retardos de propagacin y asegurarse de que las tramas de los mviles llegan a la estacin base exactamente en el instante preciso. Una estacin base GSM tiene un radio de cobertura limitado tericamente a 35 kilmetros precisamente por estas circunstancias. Dado que la distancia se expresa, si no recuerdo mal, como una valor de 4 bits, la precisin es, ms o menos, de 2 kilmetros. Enviar ms mensajes si surge alguna informacin adicional de inters. Un saludo. ----------------------------------------------------------------------Archivos de la lista: http://listserv.rediris.es/archives/cert-es.html Informacin IRIS-CERT: cert@rediris.es