SICUREZZA DEI “WIRELESS”
Transcript
SICUREZZA DEI “WIRELESS”
SICUREZZA DEI “WIRELESS” ELEMENTI DI VALUTAZIONE In questi ultimi anni, alla veloce e disordinata diffusione dei sistemi di allarme senza fili, dovuta alla innegabile semplificazione e rapidità dell’installazione, non è seguito lo sviluppo culturale della tecnologia radio che ne sta alla base, necessario per effettuare una scelta razionale. Si è così installato di tutto, sicuri che il livello di sicurezza fosse analogo a quello di un sistema via filo, badando piuttosto ai parametri tipici degli impianti cablati (numero di zone, visualizzazione, estetica, etc.) e soprattutto al prezzo, che a ciò che riguarda la sezione radio, cioè proprio quella parte che condiziona pesantemente la sicurezza dell’impianto. Ci si è accontentato, insomma, di nomi altisonanti come “antiscanner”, “anticollisione”, “antiaccecamento” che abbondano nelle varie pubblicità senza avere una, seppur minima, conoscenza delle tecniche radio. Una spiacevole sorpresa attendeva i fiduciosi installatori! In un mondo in cui l’etere è notevolmente intasato da trasmissioni radio, la possibilità che questi sistemi funzionassero correttamente erano assolutamente minime. Questo purtroppo ha portato ad una generale diffidenza per i sistemi via radio con una conseguente caduta del mercato. Senza aver la pretesa, in queste poche note, di colmare questo vuoto, cerchiamo di dare alcune indicazioni che aiutino a capire ed a valutare il livello di qualità del sistema in esame. Innanzitutto va chiarito che in un sistema di allarme radio sono sostanzialmente due le possibili modalità di sabotaggio intelligente (non distruttivo): • • Simulazione dei codici di attivazione/disattivazione del sistema (Ermeticità del Codice). Blocco della comunicazione dell’allarme sia dai Sensori alla Centrale che da quest’ultima alle sirene, comunicatori, etc (Affidabilità della Comunicazione). Nella seguente tabella, è sintetizzata la distribuzione dei pesi che questi due criteri dovrebbero assumere (colonna “richiesta”) quando viene trasmesso un comando (inserimento/disinserimento dell'impianto) o un allarme (intrusione, emergenza etc.), con accanto (colonna “disponibile”) quella fornita attualmente dalla maggioranza dei sistemi presenti sul mercato. SEZIONE ERMETICITA' CODIFICAZIONE AFFIDABILITA' COMUNICAZIONE RICHIESTA DISPONIBILE RICHIESTA DISPONIBILE COMANDO 90% 40/60% 30% 10/30% ALLARME 20% 40/60% 90% 10/30% Vediamo a questo punto cosa deve avere un sistema di allarme via radio per raggiungere, il più efficacemente possibile, gli obiettivi richiesti. CRITTOGRAFIA DEI COMANDI CON “ROLLING CODE” E “AUTENTICATION CODE” Per la protezione contro le simulazioni, occorre che il sistema disponga di una efficace crittografia dei codici. Tentare infatti di bloccare le comunicazioni, non ha un grande impatto sulla sicurezza del sistema; serve solamente ad impedire la disattivazione, cosa antipatica ma non certamente pericolosa. Sino a poco tempo fa si usavano chiavi radio a codice fisso. Ovviamente bastava “catturare” (molto facilmente) questo codice per mettere fuori uso il sistema disattivandolo. Oggi si usano sistemi basata sulla tecnica “rolling-code” che, sviluppata per applicarsi a sistemi monodirezionali (dove uno parla e l’altro ascolta e non viceversa), costringe il trasmettitore a cambiare codice ad ogni trasmissione. Ovviamente il ricevitore, che dispone del medesimo algoritmo, procede nello stesso modo a cambiare il codice atteso. Il continuo cambio pseudocasuale del codice ed un numero di combinazioni molto elevato (diversi miliardi), assicurano buoni standard di sicurezza, certamente sufficiente per la maggior parte delle applicazioni. Se però il trasmettitore ed il ricevitore non cambiano “insieme” il codice, può verificarsi un “disallineamento”. E’ necessario quindi che il ricevitore disponga di una certa gamma di codici “di riserva” altrettanto validi, per poter accettare il comando. Il lato negativo di questa tecnica è dovuto proprio a quei codici di “riserva”; se sono pochi si rischia di non poter più disattivare l’impianto, diversamente, se il loro numero è elevato (normalmente da 64 a 256) la finestra di possibilità in cui può introdursi un codice “abusivo” potrebbe diventare molto larga. Maggior sicurezza è offerta dai sistemi bidirezionali (dove parlano ed ascoltano entrambi), ai quali sono applicabili diverse tecniche crittografiche ben collaudate. Una di queste, detta ad “Autenticazione” è schematizzata nella figura a fianco. La bidirezionalità in questo caso, risulta utile anche per riportare al radiocomando l’informazione sull’avvenuto inserimento o disinserimento. PROTEGGERSI CONTRO I DISTURBI ED I SABOTAGGI Di ben più difficile soluzione appare il secondo punto. Per realizzare sistemi radio resistenti sia ai disturbi ambientali che ai tentativi di sabotaggio, si richiede notevole competenza nella tecnica radio, una materia estremamente complessa, ed un occhio sempre puntato ai costi del sistema perché, un costo elevato, ne impedirebbe la diffusione, relegando il loro impiego ai soli casi di impossibilità di stesura dei fili. I “SAW”, LA MODULAZIONE D’AMPIEZZA E I RICEVITORI A LARGA BANDA Proprio per mancanza storica di cultura radio, per la difficoltà di reperire tecnici esperti in questo ramo e per mantenere i costi molto bassi, la maggior parte delle aziende di sistemi di sicurezza ha adottato una tecnologia disponibile e collaudata, semplice ed economica: trasmettitori e ricevitori per apricancelli. La semplicità ed il basso costo derivano dall’uso di trasmettitori basati su SAW (Surface Acoustic Wave), come riferimento di frequenza, e di ricevitori a larga banda. Sempre per ragioni di semplicità e costo, il segnale (codice binario) viene inviato modulando ad impulsi la portante in alta frequenza (modulazione impulsiva in ampiezza). Semplificando, diremo che il trasmettitore emette la portante durante lo stato di “1” e si spegne durante lo stato di “0” (o viceversa). Il SAW è un componente che, eccitato correttamente, è in grado di oscillare direttamente alle frequenze di lavoro del trasmettitore. Grazie a questa caratteristica risulta più economico e più semplice del quarzo che, potendo oscillare solo a frequenze molto più basse, richiede l’impiego di circuiti moltiplicatori addizionali. Purtroppo non possiede né la precisione del quarzo né la sua stabilità (sia in temperatura che all’invecchiamento). Occorre quindi considerare che tra un trasmettitore a SAW ed un altro (a meno di costose selezioni) la differenza può andare oltre i 200KHz. In parole povere, se la frequenza di lavoro è la tipica 433,92 MHz è necessario che il ricevitore sia in grado di ricevere almeno da 433,82 MHz sino a 434,02 MHz. Un ricevitore di tal fatta viene definito a “larga banda”. Sembra cosa da poco, ma pensate a cosa succede se due trasmettitori operano contemporaneamente; i codici di entrambe le trasmissioni vengono ricevuti entrambi e si fondono all’uscita del ricevitore rendendo impossibile la successiva decodifica. Risultato: l’allarme non viene rilevato dalla centrale! Considerando anche che il rumore ambientale (disturbi) è prevalentemente di ampiezza, cioè simile a quello inviato dal sensore, possiamo senz’altro dire che i ricevitori a larga banda modulati in ampiezza (o ad impulsi) sono al livello più basso della scala in un sistema di sicurezza. Un malintenzionato, senza alcuna preparazione tecnica ma con un semplice apricancelli, può mettere fuori uso il sistema di allarme! Per peggiorare la situazione, qualcuno ha cercato di utilizzare la cosiddetta “supervisione”, per allarmare il sistema in caso di prolungata presenza di disturbi. Purtroppo la supervisione può, per sua natura, servire solo per il rilevamento del guasto. In ambienti disturbati è praticamente inutilizzabile per via dei continui allarmi generati. Provocatoriamente potremmo aggiungere che, come per le sigarette, su questi sistemi dovrebbe essere posta la scritta “NUOCE GRAVEMENTE ALLA SICUREZZA!”. LA “DOPPIA FREQUENZA” Diversi costruttori, resisi conto di questa problematica, hanno pensato di migliorare il sistema ricorrendo alla cosiddetta “doppia banda” o anche detta “ doppia frequenza”. Si è cioè pensato di ridondare i vettori radio, basandosi sul fatto che risultava molto improbabile il contemporaneo disturbo su entrambi i vettori e che, se si verificava, era certamente dovuto ad un tentativo di sabotaggio. In pratica è stato impiegato in centrale (e sulle sirene via radio) un doppio ricevitore (a larga banda) e, sui sensori un doppio trasmettitore, allocati rispettivamente su due diverse bande di frequenza (all’inizio in Francia 434 e 224MHz, ultimamente 434MHz e 868MHz per rientrare nelle normative). Se dal punto di vista dei disturbi casuali tale soluzione rappresenta certamente un miglioramento, i suoi benefici sono molto dubbi contro tentativi di sabotaggio intelligente. Bastano due elementi disturbatori, o ancora più semplicemente, un solo apparato dello stesso tipo di impianto, per bloccare il sistema. Lo scatto contemporaneo, ad esempio, di due sensori dello stesso impianto ripropone esattamente la situazione vista al punto precedente, entrambi i ricevitori vengono saturati e l’allarme viene ignorato dalla centrale. Va anche tenuto presente che, essendo le due bande di frequenza abbastanza lontane tra loro, si determinano notevoli differenze nella propagazione dei due segnali. La propagazione di un segnale a 868MHz, in un ambiente con molti ostacoli, può risultare molto più problematica rispetto a quello a 434MHz. Ciò comporta difficoltà e limitazioni nell’installazione dei vari componenti. Considerando infine anche il rilevante incremento di costo che questa soluzione comporta, possiamo dire che si tratta poco più di un “maquillage” collocabile al livello appena superiore al sistema precedente. LA MODULAZIONE DI FREQUENZA ED I RICEVITORI A BANDA STRETTA Chi ascolta la radio, specialmente in auto, sa che se vuole un buon ascolto senza disturbi deve sintonizzarsi su emittenti in FM cioè in modulazione di frequenza. La caratteristica importante di questa tecnica sta nel fatto che il ricevitore non rivela la modulazione di ampiezza tipica della maggior parte dei disturbi (rumore ambientale) determinando una ricezione molto pulita. Semplificando per ragioni di comprensione, possiamo dire che il codice viene trasmesso alternando gli “1” e gli “0” come piccole variazioni, in più o meno, della frequenza portante nominale, come rappresentato in figura. Un’altra importante caratteristica dei ricevitori a modulazione di frequenza è che in presenza di due segnali concorrenti, viene “agganciato” solo quello più forte, mentre il più debole viene rejettato. Sebbene tutto ciò elevi sensibilmente la qualità del sistema, il livello di sicurezza raggiunto non è ancora sufficiente. Non va dimenticato infatti che la tecnologia radio sta entrando prepotentemente in molti aspetti della nostra vita di tutti i giorni; i telefonini insegnano! Se il nostro vicino decide, ad esempio, di ascoltarsi la televisione o l’HiFi con una delle “radiocuffie” in modulazione di frequenza disponibili sul mercato, che il sistema di allarme sia attivato o meno diventa praticamente irrilevante. Per poterci difendere in qualche modo da un’evenienza simile, è assolutamente indispensabile che il ricevitore del nostro sistema, oltre alla modulazione di frequenza, sia del tipo a “banda stretta”. In pratica, il nostro ricevitore deve rivelare solo segnali compresi in un piccolo intervallo di frequenze (normalmente 25KHz). In questo modo, qualunque altra trasmissione esterna a questo intervallo di frequenze, detto “canale”, verrà respinta. Ovviamente le probabilità che la “radiocuffia” o altro elemento disturbante capitino proprio nel nostro canale è abbastanza ridotta. Senza diffonderci ulteriormente, diremo che non solo il ricevitore a modulazione di frequenza a banda stretta, risulta molto più costoso (dalle 5 alle 10 volte) di un analogo “superreattivo” a larga banda ma anche il trasmettitore, non potendo più utilizzare il SAW, ma il tradizionale “quarzo” di buona stabilità, costerà di più. “FREQUENCY HOPPING” E “SPREAD SPECTRUM”: il futuro dei sistemi Wireless In campo militare le problematiche di sabotaggio o di intercettazione delle trasmissioni del “nemico” sono sempre state al centro della massima attenzione, per cui l’evoluzione delle tecniche di difesa è andata di pari passo con il progredire della tecnologia. I sistemi a “frequency hopping”, ad esempio, sono utilizzati da molto tempo proprio per evitare che il nemico blocchi le comunicazioni, paralizzando cioè il sistema nervoso. Banalizzando notevolmente, questa tecnica assomiglia al “rolling code” nel dominio della frequenza. Il ricevitore opera “saltando” continuamente, e secondo un determinato algoritmo di casualità, da un canale di ricezione ad un altro, in modo sincrono con quanto fa il trasmettitore. Naturalmente i “canali” operativi sono molto “stretti”, ed il loro numero è notevolmente elevato. E’ evidente che con una simile tecnica, le possibilità di impedire che il messaggio raggiunga il destinatario sono bassissime e che per contrastarla occorrono tecniche altrettanto raffinate. Non basta, come qualcuno potrebbe pensare, cercare di disturbare contemporaneamente tutti i canali radio; la potenza necessaria sarebbe enorme! Nella raffinata tecnica “spread spectrum” il messaggio da inviare viene trasmesso, ridondato (cioè più volte), contemporaneamente su molti canali, continuamente variabili. Il sistema di ricezione effettua una ricerca ad altissima velocità scandendo tutti i canali della banda utile. Il riconoscimento del messaggio avviene mediante sofisticate tecniche di correlazione di particolari stringhe di Caratteristiche principali del sistema radio bit. Complessi sistemi di correzione Frequenza operativa: 433.72 ¸ 434,12 MHz degli errori, consentono infine la Tipo di Modulazione: di frequenza (canale primario) comprensione dei messaggi anche in ambienti particolarmente disturbati. di ampiezza (canale servizi) Uno dei più conosciuti sistemi che Canalizzazione: 20 Khz adotta la tecnica “spread spectrum” è il Sintonizzazione: a passi di 5 KHz (81 canali) GPS Global Positioning System per la localizzazione dei veicoli mediante Velocità di sintonizzazione: 5ms satelliti. Tecnica di ricerca: frequency hopping Abbiamo riferito, in modo molto Velocità di comunicazione: 2400 bit/s semplificato, di queste due tecniche, Tipo di comunicazione: totalmente bidirezionale perché già oggi incominciano ad Sensibilità ricevitore Centrale:-120 dbm apparire sistemi di allarme che ne fanno uso. Naturalmente, per Sensibilità ricevitore periferico: -105 dbm mantenere la competitività con i Potenza di trasmissione: 10mW sistemi attuali, queste tecniche sono state adattate, semplificandole, al grado di sicurezza di un impianto di allarme via filo. La Matrix, proprio per offrire un sistema in “frequency hopping”, ha investito tre anni di ricerche per sviluppare la tecnologia “Tracking” che sposa le esigenze di elevata sicurezza ad un forte contenimento dei costi. Le principali caratteristiche radio di questo sistema sono riportate nella tabella a fianco. LA BIDIREZIONALITA NELLA COMUNICAZIONE Non potevamo chiudere questa “chiacchierata” senza parlare della bidirezionalità della comunicazione. Spesso incontriamo pubblicità in cui si decanta un sistema definendolo “bidirezionale” ma raramente compaiono chiarimenti su cosa è “bidirezionale” nel sistema proposto. Spesso si intende la sola centrale, ma è cosa ovvia che questa sia “bidirezionale”, cioè che disponga di un ricevitore e di un trasmettitore, dovendo non solo ricevere gli allarmi dai vari sensori, ma anche trasmettere il comando alla sirena. Risulta meno ovvio che tale caratteristica sia estesa anche alle altre parti del sistema, in particolare ai sensori. Per quanto detto finora, le probabilità che la trasmissione di allarme che un sensore invia arrivi alla centrale sono elevate solo utilizzando sistemi sofisticati, ma anche così non vi è alcuna certezza. Potrebbe ad esempio verificarsi la contemporanea trasmissioni di due o più sensori. Il sensore monodirezionale, non conoscendo lo stato della centrale (inserita o meno) è sempre attivo. Per evitare di “bruciare” la propria batteria di alimentazione in breve tempo, può permettersi una sola trasmissione ogni volta che viene eccitato (quelli volumetrici devono addirittura essere inibiti per un certo tempo). Se in quel momento il ricevitore della centrale è interessato da altre trasmissioni, il messaggio risulta perso e non vi sono possibilità di ripetizione. Un sensore bidirezionale invece, se correttamente progettato, non solo può conoscere lo stato di inserimento della centrale, evitando così trasmissioni inutili quando l’impianto è spento, ma di accertarsi se la sua trasmissione d’allarme è stata correttamente ricevuta. In caso negativo può provvedere a ripeterla anche molte volte, eventualmente differenziando i tempi di ripetizione. Le varie trasmissioni concorrenti verranno ricevute tutte, anche se in tempi successivi, senza alcuna perdita. Il maggior costo di questa soluzione è sicuramente giustificato. …la maggior parte dei sistemi opera ancora in modulazione di ampiezza… Suonare le sirene per le interferenze, è come darsi la zappa sui piedi! Basta applicare la favola de “al lupo, al lupo” per fare disattivare il sistema… … semplice e a basso costo, ma …facile da interferire. Qualsiasi disturbo radio casuale può sabotare il sistema… E’ L’UNICO SISTEMA: § Totalmente Bidirezionale;; tutti gli apparati sono ricetrasmittenti ed ogni trasmissione deve avere conferma di ricevuto. § Opera in modulazione di frequenza a canale stretto (FMNB); grande immunità ai disturbi! …o qualsiasi malintenzionato, con un semplice apricancello, può volutamente impedire la ricezione dell’allarme. …ciò si traduce in una elevatissima immunità alle interferenze. Nessuno può, volutamente o casualmente, sabotare l’impianto. § "Frequency Hopping" su 80 canali radio. Ogni apparato opera su un proprio canale continuamente variabile; La tecnica militare contro i sabotaggi intelligenti! CONCLUSIONI Se queste semplici ed incomplete note sono state comprensibili, cosa di cui ci auguriamo, è probabile che si sia compreso anche lo spirito che le ha prodotte e che induca ad un motivo di riflessione: la conoscenza è l’unica arma che ci aiuta veramente a difenderci, perché ci consente di scegliere con competenza quello che meglio si presta alle nostre esigenze.