SICUREZZA DEI “WIRELESS”

SICUREZZA DEI “WIRELESS”
ELEMENTI DI VALUTAZIONE
In questi ultimi anni, alla veloce e disordinata diffusione dei sistemi di allarme senza fili, dovuta alla innegabile
semplificazione e rapidità dell’installazione, non è seguito lo sviluppo culturale della tecnologia radio che ne sta alla
base, necessario per effettuare una scelta razionale. Si è così installato di tutto, sicuri che il livello di sicurezza fosse
analogo a quello di un sistema via filo, badando piuttosto ai parametri tipici degli impianti cablati (numero di zone,
visualizzazione, estetica, etc.) e soprattutto al prezzo, che a ciò che riguarda la sezione radio, cioè proprio quella parte
che condiziona pesantemente la sicurezza dell’impianto. Ci si è accontentato, insomma, di nomi altisonanti come
“antiscanner”, “anticollisione”, “antiaccecamento” che abbondano nelle varie pubblicità senza avere una, seppur
minima, conoscenza delle tecniche radio. Una spiacevole sorpresa attendeva i fiduciosi installatori! In un mondo in cui
l’etere è notevolmente intasato da trasmissioni radio, la possibilità che questi sistemi funzionassero correttamente
erano assolutamente minime. Questo purtroppo ha portato ad una generale diffidenza per i sistemi via radio con una
conseguente caduta del mercato.
Senza aver la pretesa, in queste poche note, di colmare questo vuoto, cerchiamo di dare alcune indicazioni che
aiutino a capire ed a valutare il livello di qualità del sistema in esame.
Innanzitutto va chiarito che in un sistema di allarme radio sono sostanzialmente due le possibili modalità di
sabotaggio intelligente (non distruttivo):
•
•
Simulazione dei codici di attivazione/disattivazione del sistema (Ermeticità del Codice).
Blocco della comunicazione dell’allarme sia dai Sensori alla Centrale che da quest’ultima alle sirene,
comunicatori, etc (Affidabilità della Comunicazione).
Nella seguente tabella, è sintetizzata la distribuzione dei pesi che questi due criteri dovrebbero assumere (colonna
“richiesta”) quando viene trasmesso un comando (inserimento/disinserimento dell'impianto) o un allarme (intrusione,
emergenza etc.), con accanto (colonna “disponibile”) quella fornita attualmente dalla maggioranza dei sistemi presenti
sul mercato.
SEZIONE
ERMETICITA' CODIFICAZIONE
AFFIDABILITA' COMUNICAZIONE
RICHIESTA
DISPONIBILE
RICHIESTA
DISPONIBILE
COMANDO
90%
40/60%
30%
10/30%
ALLARME
20%
40/60%
90%
10/30%
Vediamo a questo punto cosa deve avere un sistema di allarme via radio per raggiungere, il più efficacemente
possibile, gli obiettivi richiesti.
CRITTOGRAFIA DEI COMANDI CON “ROLLING CODE” E “AUTENTICATION CODE”
Per la protezione contro le simulazioni, occorre che il sistema disponga di una efficace crittografia dei codici. Tentare
infatti di bloccare le comunicazioni, non ha un grande impatto sulla sicurezza del sistema; serve solamente ad impedire
la disattivazione, cosa antipatica ma non certamente pericolosa.
Sino a poco tempo fa si usavano chiavi radio a codice fisso. Ovviamente bastava “catturare” (molto facilmente)
questo codice per mettere fuori uso il sistema disattivandolo.
Oggi si usano sistemi basata sulla tecnica “rolling-code” che, sviluppata per applicarsi a sistemi monodirezionali
(dove uno parla e l’altro ascolta e non viceversa), costringe il trasmettitore a cambiare codice ad ogni trasmissione.
Ovviamente il ricevitore, che dispone del medesimo algoritmo, procede nello stesso modo a cambiare il codice atteso.
Il continuo cambio pseudocasuale del codice ed un numero di combinazioni molto elevato (diversi miliardi), assicurano
buoni standard di sicurezza, certamente sufficiente per la maggior parte delle applicazioni.
Se però il trasmettitore ed il ricevitore non cambiano “insieme” il codice, può verificarsi un “disallineamento”. E’
necessario quindi che il ricevitore disponga di una certa gamma di codici “di riserva” altrettanto validi, per poter
accettare il comando. Il lato negativo di questa tecnica è dovuto proprio a quei codici di “riserva”; se sono pochi si
rischia di non poter più disattivare l’impianto, diversamente, se il loro numero è elevato (normalmente da 64 a 256) la
finestra di possibilità in cui può introdursi un codice “abusivo” potrebbe diventare molto larga. Maggior sicurezza è
offerta dai sistemi bidirezionali (dove parlano ed ascoltano entrambi), ai quali sono applicabili diverse tecniche
crittografiche ben collaudate. Una di queste, detta ad “Autenticazione” è schematizzata nella figura a fianco. La
bidirezionalità in questo caso, risulta utile anche per riportare al radiocomando l’informazione sull’avvenuto inserimento
o disinserimento.
PROTEGGERSI CONTRO I DISTURBI ED I SABOTAGGI
Di ben più difficile soluzione appare il secondo punto. Per realizzare sistemi radio resistenti sia ai disturbi ambientali
che ai tentativi di sabotaggio, si richiede notevole competenza nella tecnica radio, una materia estremamente
complessa, ed un occhio sempre puntato ai costi del sistema perché, un costo elevato, ne impedirebbe la diffusione,
relegando il loro impiego ai soli casi di impossibilità di stesura dei fili.
I “SAW”, LA MODULAZIONE D’AMPIEZZA E I RICEVITORI A LARGA BANDA
Proprio per mancanza storica di cultura radio, per la difficoltà di reperire tecnici esperti in questo ramo e per
mantenere i costi molto bassi, la maggior parte delle aziende di sistemi di sicurezza ha adottato una tecnologia
disponibile e collaudata, semplice ed economica: trasmettitori e ricevitori per apricancelli. La semplicità ed il basso
costo derivano dall’uso di trasmettitori basati su SAW (Surface Acoustic Wave), come riferimento di frequenza, e di
ricevitori a larga banda. Sempre per ragioni di semplicità e costo, il segnale (codice binario) viene inviato modulando
ad impulsi la portante in alta frequenza (modulazione impulsiva in ampiezza). Semplificando, diremo che il
trasmettitore emette la portante durante lo stato di “1” e si spegne durante lo stato di “0” (o viceversa).
Il SAW è un componente che, eccitato correttamente, è in grado di oscillare direttamente alle frequenze di lavoro del
trasmettitore. Grazie a questa caratteristica risulta più economico e più semplice del quarzo che, potendo oscillare solo
a frequenze molto più basse, richiede l’impiego di circuiti moltiplicatori addizionali. Purtroppo non possiede né la
precisione del quarzo né la sua stabilità (sia in temperatura che all’invecchiamento). Occorre quindi considerare che tra
un trasmettitore a SAW ed un altro (a meno di costose selezioni) la differenza può andare oltre i 200KHz. In parole
povere, se la frequenza di lavoro è la tipica 433,92 MHz è necessario che il ricevitore sia in grado di ricevere almeno
da 433,82 MHz sino a 434,02 MHz. Un ricevitore di tal fatta viene definito a “larga banda”.
Sembra cosa da poco, ma pensate a cosa succede se due trasmettitori operano contemporaneamente; i codici di
entrambe le trasmissioni vengono ricevuti entrambi e si fondono all’uscita del ricevitore rendendo impossibile la
successiva decodifica. Risultato: l’allarme non viene rilevato dalla centrale!
Considerando anche che il rumore ambientale (disturbi) è prevalentemente di ampiezza, cioè simile a quello inviato
dal sensore, possiamo senz’altro dire che i ricevitori a larga banda modulati in ampiezza (o ad impulsi) sono al livello
più basso della scala in un sistema di sicurezza. Un malintenzionato, senza alcuna preparazione tecnica ma con un
semplice apricancelli, può mettere fuori uso il sistema di allarme!
Per peggiorare la situazione, qualcuno ha cercato di utilizzare la cosiddetta “supervisione”, per allarmare il sistema in
caso di prolungata presenza di disturbi. Purtroppo la supervisione può, per sua natura, servire solo per il rilevamento
del guasto. In ambienti disturbati è praticamente inutilizzabile per via dei continui allarmi generati.
Provocatoriamente potremmo aggiungere che, come per le sigarette, su questi sistemi dovrebbe essere posta la
scritta “NUOCE GRAVEMENTE ALLA SICUREZZA!”.
LA “DOPPIA FREQUENZA”
Diversi costruttori, resisi conto di questa problematica, hanno pensato di migliorare il sistema ricorrendo alla
cosiddetta “doppia banda” o anche detta “ doppia frequenza”. Si è cioè pensato di ridondare i vettori radio, basandosi
sul fatto che risultava molto improbabile il contemporaneo disturbo su entrambi i vettori e che, se si verificava, era
certamente dovuto ad un tentativo di sabotaggio.
In pratica è stato impiegato in centrale (e sulle sirene via radio) un doppio ricevitore (a larga banda) e, sui sensori un
doppio trasmettitore, allocati rispettivamente su due diverse bande di frequenza (all’inizio in Francia 434 e 224MHz,
ultimamente 434MHz e 868MHz per rientrare nelle normative). Se dal punto di vista dei disturbi casuali tale soluzione
rappresenta certamente un miglioramento, i suoi benefici sono molto dubbi contro tentativi di sabotaggio intelligente.
Bastano due elementi disturbatori, o ancora più semplicemente, un solo apparato dello stesso tipo di impianto, per
bloccare il sistema. Lo scatto contemporaneo, ad esempio, di due sensori dello stesso impianto ripropone esattamente
la situazione vista al punto precedente, entrambi i ricevitori vengono saturati e l’allarme viene ignorato dalla centrale.
Va anche tenuto presente che, essendo le due bande di frequenza abbastanza lontane tra loro, si determinano
notevoli differenze nella propagazione dei due segnali. La propagazione di un segnale a 868MHz, in un ambiente con
molti ostacoli, può risultare molto più problematica rispetto a quello a 434MHz. Ciò comporta difficoltà e limitazioni
nell’installazione dei vari componenti. Considerando infine anche il rilevante incremento di costo che questa soluzione
comporta, possiamo dire che si tratta poco più di un “maquillage” collocabile al livello appena superiore al sistema
precedente.
LA MODULAZIONE DI FREQUENZA ED I RICEVITORI A BANDA STRETTA
Chi ascolta la radio, specialmente in auto, sa che se vuole un buon ascolto senza disturbi deve
sintonizzarsi su emittenti in FM cioè in modulazione di frequenza. La caratteristica importante di questa
tecnica sta nel fatto che il ricevitore non rivela la modulazione di ampiezza tipica della maggior parte dei
disturbi (rumore ambientale) determinando una ricezione molto pulita. Semplificando per ragioni di
comprensione, possiamo dire che il codice viene trasmesso alternando gli “1” e gli “0” come piccole
variazioni, in più o meno, della frequenza portante nominale, come rappresentato in figura.
Un’altra importante caratteristica dei ricevitori a modulazione di frequenza è che in presenza di due
segnali concorrenti, viene “agganciato” solo quello più forte, mentre il più debole viene rejettato. Sebbene
tutto ciò elevi sensibilmente la qualità del sistema, il livello di sicurezza raggiunto non è ancora sufficiente.
Non va dimenticato infatti che la tecnologia radio sta entrando prepotentemente in molti aspetti della nostra
vita di tutti i giorni; i telefonini insegnano! Se il nostro vicino decide, ad esempio, di ascoltarsi la televisione o
l’HiFi con una delle “radiocuffie” in modulazione di frequenza disponibili sul mercato, che il sistema di
allarme sia attivato o meno diventa praticamente irrilevante.
Per poterci difendere in qualche modo da un’evenienza simile, è assolutamente indispensabile che il
ricevitore del nostro sistema, oltre alla modulazione di frequenza, sia del tipo a “banda stretta”. In pratica, il
nostro ricevitore deve rivelare solo segnali compresi in un piccolo intervallo di frequenze (normalmente
25KHz). In questo modo, qualunque altra trasmissione esterna a questo intervallo di frequenze, detto
“canale”, verrà respinta. Ovviamente le probabilità che la “radiocuffia” o altro elemento disturbante capitino
proprio nel nostro canale è abbastanza ridotta.
Senza diffonderci ulteriormente, diremo che non solo il ricevitore a modulazione di frequenza a banda
stretta, risulta molto più costoso (dalle 5 alle 10 volte) di un analogo “superreattivo” a larga banda ma anche
il trasmettitore, non potendo più utilizzare il SAW, ma il tradizionale “quarzo” di buona stabilità, costerà di
più.
“FREQUENCY HOPPING” E “SPREAD SPECTRUM”: il futuro dei sistemi Wireless
In campo militare le problematiche di sabotaggio o di intercettazione delle trasmissioni del “nemico” sono sempre
state al centro della massima attenzione, per cui l’evoluzione delle tecniche di difesa è andata di pari passo con il
progredire della tecnologia. I sistemi a “frequency hopping”, ad esempio, sono utilizzati da molto tempo proprio per
evitare che il nemico blocchi le comunicazioni, paralizzando cioè il sistema nervoso. Banalizzando notevolmente,
questa tecnica assomiglia al “rolling code” nel dominio della frequenza. Il ricevitore opera “saltando” continuamente, e
secondo un determinato algoritmo di casualità, da un canale di ricezione ad un altro, in modo sincrono con quanto fa il
trasmettitore. Naturalmente i “canali” operativi sono molto “stretti”, ed il loro numero è notevolmente elevato. E’
evidente che con una simile tecnica, le possibilità di impedire che il messaggio raggiunga il destinatario sono
bassissime e che per contrastarla occorrono tecniche altrettanto raffinate. Non basta, come qualcuno potrebbe
pensare, cercare di disturbare contemporaneamente tutti i canali radio; la potenza necessaria sarebbe enorme!
Nella raffinata tecnica “spread
spectrum” il messaggio da inviare
viene trasmesso, ridondato (cioè più
volte), contemporaneamente su molti
canali, continuamente variabili. Il
sistema di ricezione effettua una
ricerca ad altissima velocità
scandendo tutti i canali della banda
utile. Il riconoscimento del messaggio
avviene mediante sofisticate tecniche
di correlazione di particolari stringhe di
Caratteristiche principali del sistema radio
bit. Complessi sistemi di correzione
Frequenza operativa:
433.72 ¸ 434,12 MHz
degli errori, consentono infine la
Tipo di Modulazione:
di frequenza (canale primario)
comprensione dei messaggi anche in
ambienti particolarmente disturbati.
di ampiezza (canale servizi)
Uno dei più conosciuti sistemi che
Canalizzazione:
20 Khz
adotta la tecnica “spread spectrum” è il
Sintonizzazione:
a passi di 5 KHz (81 canali)
GPS Global Positioning System per la
localizzazione dei veicoli mediante
Velocità di sintonizzazione:
5ms
satelliti.
Tecnica di ricerca:
frequency hopping
Abbiamo riferito, in modo molto
Velocità di comunicazione:
2400 bit/s
semplificato, di queste due tecniche,
Tipo di comunicazione:
totalmente bidirezionale
perché già oggi incominciano ad
Sensibilità ricevitore Centrale:-120 dbm
apparire sistemi di allarme che ne
fanno uso. Naturalmente, per
Sensibilità ricevitore periferico:
-105 dbm
mantenere la competitività con i
Potenza di trasmissione:
10mW
sistemi attuali, queste tecniche sono
state adattate, semplificandole, al
grado di sicurezza di un impianto di
allarme via filo. La Matrix, proprio per offrire un sistema in “frequency hopping”, ha investito tre anni di ricerche per
sviluppare la tecnologia “Tracking” che sposa le esigenze di elevata sicurezza ad un forte contenimento dei costi. Le
principali caratteristiche radio di questo sistema sono riportate nella tabella a fianco.
LA BIDIREZIONALITA NELLA COMUNICAZIONE
Non potevamo chiudere questa “chiacchierata” senza parlare della bidirezionalità della comunicazione. Spesso
incontriamo pubblicità in cui si decanta un sistema definendolo “bidirezionale” ma raramente compaiono chiarimenti su
cosa è “bidirezionale” nel sistema proposto. Spesso si intende la sola centrale, ma è cosa ovvia che questa sia
“bidirezionale”, cioè che disponga di un ricevitore e di un trasmettitore, dovendo non solo ricevere gli allarmi dai vari
sensori, ma anche trasmettere il comando alla sirena.
Risulta meno ovvio che tale caratteristica sia estesa anche alle altre parti del sistema, in particolare ai sensori. Per
quanto detto finora, le probabilità che la trasmissione di allarme che un sensore invia arrivi alla centrale sono elevate
solo utilizzando sistemi sofisticati, ma anche così non vi è alcuna certezza. Potrebbe ad esempio verificarsi la
contemporanea trasmissioni di due o più sensori.
Il sensore monodirezionale, non conoscendo lo stato della centrale (inserita o meno) è sempre attivo. Per evitare di
“bruciare” la propria batteria di alimentazione in breve tempo, può permettersi una sola trasmissione ogni volta che
viene eccitato (quelli volumetrici devono addirittura essere inibiti per un certo tempo). Se in quel momento il ricevitore
della centrale è interessato da altre trasmissioni, il messaggio risulta perso e non vi sono possibilità di ripetizione.
Un sensore bidirezionale invece, se correttamente progettato, non solo può conoscere lo stato di inserimento della
centrale, evitando così trasmissioni inutili quando l’impianto è spento, ma di accertarsi se la sua trasmissione d’allarme
è stata correttamente ricevuta. In caso negativo può provvedere a ripeterla anche molte volte, eventualmente
differenziando i tempi di ripetizione. Le varie trasmissioni concorrenti verranno ricevute tutte, anche se in tempi
successivi, senza alcuna perdita. Il maggior costo di questa soluzione è sicuramente giustificato.
…la maggior parte dei sistemi opera
ancora in modulazione di ampiezza…
Suonare le sirene per le
interferenze,
è come darsi la zappa sui piedi!
Basta applicare la favola de “al
lupo, al lupo” per fare disattivare il
sistema…
… semplice e a basso costo, ma
…facile da interferire. Qualsiasi
disturbo radio casuale può
sabotare il sistema…
E’ L’UNICO SISTEMA:
§ Totalmente Bidirezionale;; tutti
gli apparati sono ricetrasmittenti
ed ogni trasmissione deve avere
conferma di ricevuto.
§ Opera in modulazione di
frequenza a canale stretto (FMNB); grande immunità ai disturbi!
…o qualsiasi malintenzionato, con un
semplice apricancello, può
volutamente impedire la ricezione
dell’allarme.
…ciò si traduce in una elevatissima
immunità alle interferenze. Nessuno
può, volutamente o casualmente,
sabotare l’impianto.
§ "Frequency Hopping" su 80 canali
radio. Ogni apparato opera su un
proprio canale continuamente
variabile; La tecnica militare
contro i sabotaggi intelligenti!
CONCLUSIONI
Se queste semplici ed incomplete note sono state comprensibili, cosa di cui ci auguriamo, è probabile che si sia
compreso anche lo spirito che le ha prodotte e che induca ad un motivo di riflessione: la conoscenza è l’unica arma
che ci aiuta veramente a difenderci, perché ci consente di scegliere con competenza quello che meglio si presta alle
nostre esigenze.