Klokkenluiders in security: “name & shame”

Van de week was het weer prijs. Security researcher en GSM-hacker Karsten Nohl kondigde met een uitgekiende media-campagne in volle pruimentijd aan dat hij nieuwe gaten in de beveiliging van het 2G GSM netwerk ging demonstreren.

Van de week was het weer prijs. Security researcher en GSM-hacker Karsten Nohl kondigde met een uitgekiende media-campagne in volle pruimentijd aan dat hij nieuwe gaten in de beveiliging van het 2G GSM netwerk ging demonstreren. Als plaats koos hij de conferentie van de Chaos Computer Club. De CCC (niet te verwarren met onze eigen Cellules Communistes Combattantes) is een los amalgaam van hackers en cyberactivisten die sinds de jaren tachtig ons proberen duidelijk te maken dat er heel wat (verborgen) security- en privacyproblemen zijn. Ze doen dit door praktische hacks waarbij deze theoretische securityproblemen een pijnlijk echte realiteit worden. Ondanks het wat nerdy publiek en de communicatie-moeilijkheden die dit met zich meebrengt, is het elk jaar een schatkist van hacks en ideeën.

Wat Karsten kwam vertellen was voor een belangrijk deel oud nieuws. Het hart van zijn presentatie, het afluisteren van 2G met oude Motorola-toestellen en een open source GSM stack met de naam OSMOCOMBB had hij het jaar voordien al uitgebreid gedemostreerd. Op het eind van die ontnuchterende demo had hij ook duidelijk verteld hoe de mobiele providers deze problemen al voor een belangrijk deel konden patchen. De presentatie van dit jaar was gewoon een verfijning van het verhaal van vorig jaar met als extra het spoofen van iemand anders’ mobiele telefoonnummer. Dus bellen, sms met de nummer en op kosten van iemand anders. Angstaanjagend efficiënt en voor een gemotiveerd, technisch onderlegd persoon met een paar honderden euro’s die bereid is om een paar weken hard te werken, perfect na te bouwen.

Als toemaatje hadden Nohl en zijn ploeg echter ook wat demografisch onderzoek gedaan. Bij verschillende citytrips had hij de security-toestand van de mobiele netwerken in ons en een aantal andere landen in kaart gebracht. Uit dat onderzoek blijkt dat alle providers problemen hebben maar van onze drie nationale trotsen haalt geen enkele een voldoende. Zo gebruikt volgens Nohl & co geen van onze telefoonboeren authenticatie voor het opzetten van een gsm-gesprek. Hij probeert ook de community erbij te betrekken en gebruikers aan te moedigen om zelf een auditgsm te installeren en de gegevens te delen. Op die manier kan volgens hem het onderzoek permanent gemaakt worden en het aantal landen / regio’s dat onderzocht wordt uitgebreid worden. Een soort security, community-test aankoop voor gsm providers.

De drie mobiele spelers mogen kwaken wat ze willen – Nohl toont duidelijk aan dat hun netwerk ondermaats slecht beveiligd is en ze veel beter zouden moeten en hadden kunnen doen. En wir haben es nich gewust als excuus is ook onzin want de technologie en de problemen werden al één jaar geleden aangekaart. Ja het probleem duikt enkel op met 2G en niet met de nieuwere 3G netwerk maar dat is tot nader order nog altijd 80% van de gebruikers ! Het is ook niet misdadig deze problemen publiek bekend te maken, het is onverantwoord op de hoogte te zijn en de kop in het zand te steken omdat dit goedkoper is en minder werk.

Deze gaten worden volgens insiders ook door allerlei inlichtingen- en politiediensten her en der gebruikt om in de grijze zone de mogelijkheden om hun al dan niet brave burgers in de gaten te houden en te volgen. Technieken als silent sms en andere afluistertechnieken zijn een enorme inbreuk op de privacy, zeker in landen waar men het niet zo nauw neemt met de rechtsregels.

Eén techniek om iets te veranderen en de mobiele telefonie-leveranciers te dwingen om hun beveiliging op punt te zetten is door gebruik te maken van het ‘Name & Shame’-principe waarbij je hen en hun problemen zoveel en zo frequent publiekelijk te kijk zet.

Stuk voor stuk spartelen ze als een duiveltje in een wijwatervat met professionele PR. Als dat niet lukt zullen ze deze klokkenluider ook wel juridisch proberen te vervolgen om hem het zwijgen op te leggen. Maar als ze maar lang genoeg publiekelijk met hun broek op de knieën gezet worden en de helpdesks klagende / bezorgde klanten aan de (al dan niet afgeluisterde) lijn krijgen, zullen wel moeten hun beveiliging op snelheid krijgen.

De technologie-sector net als de rest van onze samenleving heeft klokkenluiders nodig om de interne rotte plekken en kankers aan het daglicht te brengen en ze na ze duidelijk bij de naam te noemen te kunnen wegsnijden. Maar we hebben als samenleving de gewoonte onze klokkenluiders zeer slecht te behandelen. We hebben de neiging om te eerst te proberen de boodschapper te fileren en dan pas energie te stoppen in het oplossen van het probleem dat hij aankaart. Kijk maar naar wat er gebeurde met de Amerikaanse soldaat Bradley Manning of dichter bij huis de 3 klokkenluiders van de Hasseltse politiek. Benieuwd hoe het Nohl zal vergaan.

Jan Guldentops

Jan Guldentops is een IT, network en security consultant en onderzoeker met een zwakke plek voor open source oplossingen. Met BA bedenkt, bouwt en ondersteunt hij allerlei infrastructuur en security-oplossingen. Je kan hem bereiken op het kortste e-mailadres ter wereld ( j@ba.be ) of volgen via twitter ( JanGuldentops ).