“Sluitende beveiliging gsm-netwerken duur en ongewenst”
Frederik Tibau - 27/12/2011
Ja, de Belgische gsm-netwerken zijn slecht beveiligd. Maar dat is niet anders in de ons omringende landen. “Het probleem ligt grotendeels bij de verouderde GSM-standaard die gebruikt wordt”, zegt beveiligingsexpert Jan Guldentops. “En als je alle mobieltjes 100 procent safe zou willen maken, zou dat ook ten koste gaan van het gebruiksgemak.”
Het bericht dat dinsdagmorgen op de voorpagina van de krant De Morgen en in De Standaard staat, en dat stelt dat de drie grote Belgische gsm-netwerken ‘zo lek zijn al een zeef’, is alles behalve nieuw, zo zegt Guldentops.
“In december 2010 toonde de Chaos Computer Club (een legendarische bende hackers die security-exploits wereldkundig maakt, nvdr.) al een demo waarbij ze goedkope Motorola-gsm’s gebruikten om gsm-gesprekken en voicemailberichten mee te onderscheppen, en ook het weekblad Humo wijdde er enkele maanden geleden nog een artikel aan.”
De beveiligingsexpert gaat er ook van uit dat het probleem niet erger is in België dan in Frankrijk, Nederland of Duitsland. “Dat GSM-netwerken slechts in beperkte mate versleuteld worden, en dat er heel wat exploits mogelijk zijn, is een gevolg van het ontwerp van de GSM-standaard. Dat is een verouderde standaard uit de jaren ’80, toen er bijlange niet zoveel computing power beschikbaar was in mobieltjes als vandaag.”
Onze telefoongesprekken zijn dus wel beveiligd met encryptie, “maar die encryptie is gebaseerd op de A5/1-standaard uit 1987 en de A5/2-standaard uit 1989. Er is enorm veel soft- en hardware beschikbaar waarmee je die beveiliging op enkele seconden kan omzeilen. Zeker in gerechtelijke kringen zouden die pakketten erg geliefd zijn (lacht).”
De oplossing bestaat er simpelweg in om extra encryptie toe te voegen, iets wat militairen en inlichtingendiensten bijvoorbeeld al jaren doen. “Maar als je die extra beveiliging ook voor gewone consumentenproducten zou willen toevoegen, zou dat erg veel tijd en geld kosten”, klinkt het nog, “tijd en geld die de operatoren niet kunnen of willen investeren.”
“En als je een volledig sluitende gsm-standaard zou implementeren, zou dat hoe dan ook ten koste gaan van het gebruiksgemak. Security en functionaliteit gaan immers niet zo goed samen. Tenslotte is er allicht nog een politieke reden waarom gsm-netwerken nooit waterdicht gemaakt zijn. Hoe kan je immers gesprekken gaan afluisteren als je met een volledig sluitend netwerk te maken krijgt?”
Trein
Woordvoerder Jan Margot van Belgacom benadrukt dat alle netwerken sowieso goed beveiligd moeten zijn, en dat inbreken 'gecompliceerd' en 'strafbaar' is.
"Maak de vergelijking met een huis. Dat kan je beveiligen met een sleutel, maar je kan er ook een 10 meter hoge muur rond bouwen. Je moet afwegen wat nodig is", aldus Margot, die besluit "dat er in de de trein allicht meer gesprekken worden afgeluisterd dan ergens anders."
Reacties
95% van de gesprekken is viswijvenpraat. De rest is nuttig voor de persoon die het aanbelangt. Dus waarom afluisteren? En wellicht weet je niet eens wie z'n gesprek je opvangt. @ gowildchild: koop een GSM van 25€, dat doet zijn werk en gaat 5 jaar mee.
citaat: “En als je een volledig sluitende gsm-standaard zou implementeren, zou dat hoe dan ook ten koste gaan van het gebruiksgemak." Ik weet niet waar Dhr. Guldentops deze informatie haalt; maar, gebruiksgemak HOEFT NIET te ondergaan voor betere beveiligingsstandaarden; tenzij dit door onhaalbare deadlines, lui/laksheid, incompetentie en/of een onmogelijk budget. Ik ben meer dan 12 jaar actief in de ICT/beveiligingssector en heb daarbij enkele belangrijke dingen geleerd over prioriteiten en vooral, de belangrijkheid van veiligheid tegenover gebruikersdata. Dit telt voor servers, netwerken als embedded devices (zoals een gsm). BEVEILIGING >> PRIVACY >> FUNCTIONALITEIT. en soms PRIVACY >> BEVEILIGING >> FUNCTIONALITEIT Onduidelijkheid en negeren is geen beveiliging! Veiligheid beschermt de privacy van de gebruiker. Men kan bij het opstellen of herschrijven van deze standaard, rekening houden vanaf het begin, voor bestaande en toekomstige functies; door reserve-sloten of extentie/module-slots te voorzien. Als men een nieuwe core ontwikkeld kan men opteren voor een "backwards-compatible" systeem waarbij oudere toestellen blijven werken op hetzelfde netwerk; of een volledige migratie voorbereiden door een nieuw netwerk op te starten met de nieuwe standaard en na een tijd het oude netwerk op te heffen; hierdoor moet niet elke gsm-gebruiker een nieuw toestel gebruiken vanaf deze nieuwe standaard goedgekeurd is. Dit, is trouwens het werk (en doel) van een goede programmeur ; om altijd rekening te houden met het onbekende; nooit of te nimmer invoer van een vreemde als veilig pakket te beschouwen; alle invoer te filteren, vooraleer te gebruiken en laatst maar niet minst belangrijk, het in oog houden, dat het project (snel) schaalbaar is waar nodig.. We leven in een zeer onveilige tijd, waar een PC op het Internet bijna om de minuut een virus/destructief pakket binnenkrijgt. Ook is een half decenium geleden door het verkleinen van componenten, embedded technologie eindelijk uit de kast gekomen. Geheugenruimte en processorkracht primeren ; waardoor zulke aanpassingen makkelijker uit te voeren zijn dan in het verleden. Met de nodige coordinatie, wil en denkwerk kan men al zeer ver geraken. Natuurlijk, moet men eerst overtuigd zijn dat het de moeite waard is; waarschijnlijk zal dat pas gebeuren wanneer er ongelukken gebeuren of wanneer er een telefoongesprek, van een of andere hooggeplaatst persoon op een verkeerde plaats terecht komt. Tevens, zijn er wel een dozijn toestellen; waaronder ook enkele nieuwere modellen van het merk Nokia, die (tot volledig onbruikbaar) crashen, dmv het ontvangen van een kwaadaardig bericht. Ik heb dit probleem met m'n eigen gsm, die net een jaar oud is. Vanaf deze de berichtenserver kontakteert en het bericht probeert binnen te halen, herstart en crashed deze gsm volledig waarbij het verwijderen van de batterij nog maar de enige oplossing is. Dit is enkel op te lossen door MMS volledig uit te schakelen waardoor de GSM de berichtenserver niet meer zal kontakteren. Momenteel zijn er zo honderden tijdbommen op de markt en in gebruik door burgers, welke op elk moment, zonder enige waarschuwing, het toestel naar maarten kan geven door het ontvangen van een berichtje. Er worden geen recalls voorzien of enige waarschuwing gegeven naar de eindklant toe rond deze tijdsbom; waardoor men vaak zelfs niet weet, dat hun gsm voor eeuwig de geest kan geven. Men gaat bij de GSM fabrikanten er blijkbaar vanuit, dat iedereen om het jaar een nieuw toestel koopt? F-secure heeft zelfs een "mobile version" op de markt gebracht, om gsm's te beschermen tegen diverse spyware, virussen en malware. Als het ware, een virusscanner voor smartphones. Op de koop toe, MOET je 30-60 euro betalen bij diverse GSM operatoren, om zulk probleem op te lossen, wanneer het toestel niet meer onder garantie is maar wel een programmeerfout van de fabrikant is; wat automatisch als resultaat zal leiden, dat dit probleem bij bitter weinig mensen opgelost zal geraken, via een simpele (maar te dure) firmware upgrade. Zo is het natuurlijk makkelijk voor GSM fabrikanten, om nieuwe produkten te verkopen, direkt kassa-kassa ; en daar de fabrikant zelfs de nieuwste toestellen niet wil onderhouden komen deze toestellen op de schroothoop terecht... Als er bij de supermarkt, een product, een risico is of bevat, is er onmiddelijk een recall en/of gratis omruiling; vaak zelfs buiten de garantieperiode om; Waarom kan dit niet met GSM toestellen? De fabrikant weet zelfs zeer goed welke types van toestellen zulke veiligheidsrisico bevatten en laat niets weten via de website. De gebruikers moeten blijkbaar maar ruiken, dat hun toestel veilig is bij aankoop ... Dan nog een afsluitertje, als je denkt dat je huislijn veilig is. De Siemens DECT standaard, was meer dan een jaar geleden gekraakt en blootgelegd naar het grote publiek. Nog zo een standaard die als "veilig" verkocht word op de markt, zonder dat de klant een idee heeft hoe onveilig deze toestellen zijn. Het lijkt er bijna op, dat men de mogelijkheid FORCEERT op deze manier om individuele toestellen makkelijk(er) af te luisteren. Mijn 2 eurocent ...
België heeft volgens mij één van de duurste tarieven inzake telefonie. Toch is de bevolkingsdichtheid hoog (meer winst / km²) en op één of andere reden is de installatie steeds zo goedkoop mogelijk. Hoe komt die prijs er dan toch? :)
Reageer
Opgelet: Het is niet mogelijk om anoniem te reageren. Uw loginnaam zal bovenaan uw reactie verschijnen.
Om een reactie te plaatsen, dien je geregistreerd te zijn:
