Hackers kraken encryptie voor afluisteren mobiele telefoons
Gesprekken via de mobiele telefoon zijn straks door iedereen af te luisteren, twee onderzoekers hebben namelijk de encryptie gekraakt die dit juist moet voorkomen. Tijdens de Black Hat conferentie in Washington demonstreerden David Hulton en Steve Muller hoe ze het versleutelde GSM-signaal kunnen kraken, en de manier zal in maart gratis aan het publiek ter beschikking worden gesteld.
Het enige dat huis, tuin en keuken aftappers nodig hebben is een radio-ontvanger, voor 700 euro aan computeronderdelen voor verwerking en opslag. Daarna is het kinderspel om met gesprekken die zelfs kilometers ver gevoerd worden, mee te luisteren. Het kraken van de encryptie duurt ongeveer een half uur. De onderzoekers zullen naast een gratis versie ook met een commerciële versie komen, die de encryptie in 30 seconden kraakt. De premium versie kost echter tussen de 200.000 en 500.000 dollar.
De twee onderzoekers vinden niet dat ze de privacy van mobiele bellers in gevaar brengen. Zij hebben de hacking-technologie namelijk niet ontwikkeld en willen op deze manier aantonen hoe onveilig mobiel bellen is.
Sinds 1998 is de GSM-encryptie in theorie al gekraakt. Door iedereen straks gesprekken af te laten luisteren kunnen telecomaanbieders het probleem niet langer negeren. Die hielden altijd vol dat het slechts om een theoretische aanval ging. "Wel, nu is het praktisch geworden", zegt Bruce Schneier, die niet door de hack verrast is omdat dit er al lang zat aan te komen. AT&T en T-Mobile zijn onder andere kwetsbaar. De aanval werkt niet bij 3G-aanbieders.
is een aardig economisch delict.
Kan je miljoenen opleveren als je het slim aanpakt.
De nieuwe criminaliteit loont.
Ik ga maar eens een bestelbusje kopen.
en verder terug naar pen en papier en een postduif
De aanval werkt niet bij 3G-aanbieders.
Wat moet ik daarbij voorstellen? Moet je daar ook een 3G
telefoon voor hebben, en is dit dan standaard geactiveerd?
Voordeel van de cryptophone is dat deze ook niet is af te
luisteren door de overheid.
"Gewone" GSMs waren uiteraard altijd al af te luisteren door
big brother, in het niet-gecrypte gedeelte van de telco.
link naar de Gesellschaft für Sichere Mobile Kommunikation
in Duitsland...
tijd van smd) soldeer wat draadjes, sluit hem aan op de pc,
overbrug wat beveiligingen (voordegekhouden) en voila .
De chip en encryptie zit al in de telefoon is nog vele malen
makkelijker te omzeilen.
security through obscurity dus, het was een kwestie van tijd
dat dit zou gebeuren.
De aanval werkt niet bij 3G-aanbieders.
telefoon voor hebben, en is dit dan standaard geactiveerd?
(GSM) netwerken. De encryptie die gekraakt is is die van
GSM, dus 3G netwerken (nog) niet. Uiteraard moet je dan wel
van zo'n 3G netwerk gebeuik maken :-)
De encryptie waar het hier over gaat is de encryptie van het
radio pad van het netwerk, dit kan je zelf niet instellen
maar word in het netwerk bepaald.
Tja ... the GSM encryptie was altijd geheim gehouden,
security through obscurity dus, het was een kwestie van tijd
dat dit zou gebeuren.
Hoezo geheim ?
Hier een analyse van Ross Andersen uit 1994!
http://www.chem.leeds.ac.uk/ICAMS/people/jon/a5.html
En eentje van Adi Shamir uit 1999 !
"Alex Biryukov, Adi Shamir and David Wagner showed that they can find the
A5/1 key in less than a second on a single PC with 128 MB RAM and two
73 GB hard disks, by analyzing the output of the A5/1 algorithm in the first
two minutes of the conversation. "
http://www.chem.leeds.ac.uk/ICAMS/people/jon/a5.html
Denk dat de heren Hulton en Muller een probleem hebben met
hun 'businesscase'
Tja ... the GSM encryptie was altijd geheim gehouden,
security through obscurity dus, het was een kwestie van tijd
dat dit zou gebeuren.
De aanval werkt niet bij 3G-aanbieders.
telefoon voor hebben, en is dit dan standaard geactiveerd?
(GSM) netwerken. De encryptie die gekraakt is is die van
GSM, dus 3G netwerken (nog) niet. Uiteraard moet je dan wel
van zo'n 3G netwerk gebeuik maken :-)
De encryptie waar het hier over gaat is de encryptie van het
radio pad van het netwerk, dit kan je zelf niet instellen
maar word in het netwerk bepaald.
In sommige landen is de encryptie zelfs uitgeschakeld, daarnaast is de GSM
encyptie een open standard, hoe zou het anders werken in meer dan 2 miljard
toestellen. Ik begrijp de ophef ineens niet!
tussenin plempen..
ik kan me herineren van die oude elcheapo draadlozen
krengen,als je een zender had die op dat gebied kon zenden,
kon je al mee praten..
Maar niet vergeten, de overheid heeft die mogelijkheid al om
berichten te onderscheppen.
en wie zegt ons niet dat dit al toegepast wordt op grote
schaal..
Maar niet vergeten, de overheid heeft die mogelijkheid al om
berichten te onderscheppen.
en wie zegt ons niet dat dit al toegepast wordt op grote
schaal..
Niemand, wel tegenover gesteld kan ik u verzekeren dat dit
inderdaad op (zeer) grote schaal wordt toegepast.
Pak een oude gsm, (de koelkasten van vroeger, nog voor de
tijd van smd) soldeer wat draadjes, sluit hem aan op de pc,
overbrug wat beveiligingen (voordegekhouden) en voila .
De chip en encryptie zit al in de telefoon is nog vele malen
makkelijker te omzeilen.
En waarom zou je al die moeite doen om je eigen gesprekken af te
luisteren ?
Pak een oude gsm, (de koelkasten van vroeger, nog voor de
tijd van smd) soldeer wat draadjes, sluit hem aan op de pc,
overbrug wat beveiligingen (voordegekhouden) en voila .
De chip en encryptie zit al in de telefoon is nog vele malen
makkelijker te omzeilen.
En ga je ons ook nog uitleggen waar ik welke draadjes moet plaatsen, hoe
ik de beveiliging moet overbruggen, hoe we de pc interface bouwen en hoe
we de software schrijven? Of ben je eigenlijk nu maar gewoon wat aan het
zwammen?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
