"Europese mobiele telefoons eenvoudig af te luisteren"
Miljoenen Europeanen die mobiel bellen zijn via eenvoudig verkrijgbare software af te luisteren, zo waarschuwt de Duitse beveiligingsonderzoeker Karsten Nohl. Het enige dat hij gebruikte was een zeven jaar oude Motorola-gsm en gratis software die hij op het internet vond, zo laat hij tegenover de New York Times weten. In elf landen lukte het Nohl om mobiele gesprekken, voicemails en sms-berichten te hacken en kon hij de account identiteit van zijn slachtoffers overnemen. Deze week zal de bekende Duitse hacker zijn bevindingen tijdens het Chaos Communication Congres onthullen.
Voor zijn aanval gebruikt hij een kwetsbaarheid die bij het opzetten van een gesprek tussen het mobiele netwerk en de mobiele telefoon aanwezig is. Hierdoor lukte het Nohl om de encryptiesleutel te onderscheppen en te kraken, waarmee hij vervolgens de gesprekken, voicemails en berichten kon onderscheppen.
Patch
Volgens de onderzoeker kunnen telecomaanbieders het probleem in het GSM-systeem via een patch verhelpen. De patch voegt een willekeurig cijfer aan het einde van elk commando toe dat bij het opzetten van de verbinding wordt gebruikt. Slechts twee aanbieders, T-Mobile in Duitsland en Swisscom in Zwitserland, gebruiken deze beveiligingsmaatregel al.
"Dit is een groot beveiligingslek in de meeste netwerken die we hebben getest en het is ironisch dat het bijna niets kost om te verhelpen", laat Nohl weten. "Vaak is slechts een kwestie van traagheid aan de kant van de aanbieders, of hebben ze andere prioriteiten, zoals het uitbouwen van hun netwerken." Onder de kwetsbare telecomaanbieders bevindt zich ook het Belgische Belgacom.
Ja, dat zal wel weer even duren voordat die klojo's het probleem oplossen... Zeker als je hun reactie leest:
http://www.hln.be/hln/nl/4124/Multimedia/article/detail/1369081/2011/12/27/Belgacom-nuanceert-gaten-in-gsm-netwerk-In-trein-wellicht-meer-afgeluisterd.dhtml
Er is wat ophef ontstaan rond de veiligheid van de gsm-netwerken in ons land. Volgens de Duitser Karsten Nohl kan je onze gesprekken afluisteren met goedkope apparatuur en gratis software. Belgacom-woordvoerder Jan Margot zegt echter dat het om een dure en gecompliceerde operatie gaat, die bovendien strafbaar is.
En omdat het strafbaar is gaat niemand het doen. (?)
Nog méér struisvogelpolitiek:
http://www.deredactie.be/cm/vrtnieuws/binnenland/111227_reax_mobistar
De Belgacom-woordvoerder maakt de vergelijking met een huis. Dat kan je beveiligen met een sleutel, maar je kan er ook een 10 meter hoge muur rond bouwen. "Je moet afwegen wat nodig is", besluit Margot. Volgens hem worden er in de trein wellicht meer gesprekken afgeluisterd.
En omdat het strafbaar is gaat niemand het doen. (?)
Zo redeneerde de NLse overheid ook wanneer het gaat om de beveiliging van het elektronisch patiënten dossier.
Bepaal een strafmaat, gooi er Engelse termen tegenaan zoals "naming and shaming" en klaar. Zo veilig als maar kan zijn.
Struisvogels schijnen ook wel eens genoemd te worden bij dergelijke strategieën.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
