image

Govcert: koop alleen UMTS-only telefoons

donderdag 29 december 2011, 09:29 door Redactie, 12 reacties

Overheidsinstantie Govcert adviseert om alleen nog mobiele telefoons met een UMTS-only functie te kopen en voor vertrouwelijke gesprekken crypto-telefonie te gebruiken. De aanbevelingen staan in een factsheet die gepubliceerd werd na de GSM-hack die tijdens het Chaos Comunication Congres onthuld werd. Daar liet de Duitse beveiligingsonderzoeker Karsten Nohl zien hoe hij via een zeven jaar oude Motorola-gsm en gratis software die hij op het internet vond, mobiele gesprekken, voicemails en sms-berichten kon hacken en afluisteren.

Govcert stelt dat de technische middelen die nodig zijn om gesprekken af te luisteren nog niet allemaal publiek beschikbaar zijn. "Op basis van wat al publiek is, is het voor iemand met goede kennis van GSM niet moeilijk de ontbrekende stukken in te vullen", zo laat de overheidsinstantie weten.

Toestel
Aangezien UMTS encryptiealgoritmen gebruikt die niet kwetsbaar zijn voor deze aanval, wordt voor vertrouwelijke gesprekken aangeraden om mobiele telefoons op basis van UMTS technologie (met UMTS-only mogelijkheid) of crypto-telefonie te gebruiken. "Voer bij gebruik van sms-authenticatie een risicoanalyse uit. Overweeg zonodig de invoering van additionele maatregelen."

Ook bij de aanschaf van nieuwe mobiele apparatuur wordt geadviseerd om voor toestellen met een UMTS-only functie te kiezen. Dat voorkomt dat de telefoon (ongemerkt) overschakelt op GSM voor betere ontvangst. Door beperkte dekking is het echter niet altijd mogelijk van UMTS gebruik te maken.

UMTS
Bij UMTS wordt gebruik gemaakt van de UEA1-encryptie met een sleutellengte van 128 bits voor de versleuteling tussen mobiele telefoon en basisstation. De UEA1-encryptie van UMTS is beter dan A5/1 van GSM omdat de sleutellengte twee keer zo lang is. Verder is het UEA1-algoritme al lange tijd geleden gepubliceerd, in tegenstelling tot de GSM-encryptie, en is onderzocht door wetenschappelijke instellingen. Daarbij zijn er nog geen significante zwakheden gevonden.

UMTS heeft tweezijdige authenticatie: niet alleen is de handset door het netwerk geauthenticeerd, ook is de mogelijkheid ingebouwd dat de handset het netwerk authenticeert, wat een betere bescherming biedt. Daarnaast wordt in UMTS de integriteit van het signaleringsverkeer beveiligd met een aparte sleutel, zo laat de factsheet weten.

Reacties (12)
29-12-2011, 09:41 door Anoniem
TJa, dan bel jij met je UMTS-telefoon en aan de andere kant heeft men
nog een oud type GSM. :)
29-12-2011, 10:01 door Anoniem
Een goeie reactie van GovCert!!

Greetingz,
Jacco
29-12-2011, 10:16 door Anoniem
BBC demonstreerde toch in april al dat GSM heel makkelijk af te luisteren zijn? Waarom nu pas dit advies?
http://www.bbc.co.uk/news/technology-13013577
Zie ook het filmpje bovenaan de pagina.
29-12-2011, 10:36 door blondie1970
Kent iemand UTMS only telefoons?? Bestaan ze eigenlijk wel.

En kun je GSM uitzetten via instellingen? Heeft iemand dat wel eens geprobeerd. Ik heb het nog nooit gezien.
29-12-2011, 11:54 door [Account Verwijderd]
[Verwijderd]
29-12-2011, 14:04 door Anoniem
Door Anoniem: Een goeie reactie van GovCert!!

Greetingz,
Jacco
Je bedoelt dit wel sarcastisch hoop ik want als ik ooit iets doms bij Govcert vandaan heb horen komen dan is dat dit advies wel. Lekker slim zo'n advies, laten ze de providers eerst maar eens gaan lastig vallen want de fix is vrij simpel en snel aan te brengen.
29-12-2011, 14:25 door Anoniem
"BBC demonstreerde toch in april al dat GSM heel makkelijk af te luisteren zijn? Waarom nu pas dit advies?"

GovCert heeft destijds ook adviezen gegeven, dit bulletin volgt op nieuwe ontwikkelingen.
29-12-2011, 15:30 door Bitwiper
In veel gebouwen heb ik (met KPN) onvoldoende bereik voor UMTS.

Het lijkt me een stuk handiger als providers de adviezen van Karsten Nohl et al opvolgen, als ik het goed begrepen heb gaat het om simpele maatregelen (uit te voeren door providers) om de versleuteling te verbeteren.
29-12-2011, 15:31 door _Peterr
Hebben ze ooit risico analyse gedaan bij GovCERT? Als ik alleen maar bel boeit het me echt geen enke moer of het wordt afgeluisterd. Pas als je meer gaat gebruiken is het een punt om mee te nemen. Hele volksstammen hebben een GSM om met te bellen en heel sporadisch een SMSje te versturen. Moeten die allemaal dan meer geld uit geven voor een Full-UMTS telefoon? Wat een onzin. Laat ze eens echte dingen gaan dien bij GovCERT.

Een Windows PC is ookm te hacken, moeten we nu ook een NIET-Windows PC kopen? En al die Android Malware? Mogen we dan ook geen Android meer gebruiken....

GovCERT staat een beetje buiten de realiteit als ze dit aangeven.

Als GovCERT eerst eens hun werk gaat doen en de overheid veilig maken dan mogen we weer meepraten met grote mensen.
29-12-2011, 20:29 door Anoniem
Vet handig, maar niet heus.

Mijn europese telefoon kan niet overweg met de 3G/4G technieken hier in de USA en gebruikt dus GSM/EDGE. Wanneer je met een UMTS-only foon dan naar de US gaat kan je niet meer bellen. Brilliant.
30-12-2011, 01:15 door Anoniem
UMTS vreet meer batterij en dat GSM brak is wisten we in de jaren 90 al.
Volgend jaar: Zwakte in sommige UMTS netwerken i.v.m compatibiliteit GSM. Wedden dat het als "nieuws" gepresenteerd gaat worden...
02-01-2012, 23:27 door GerBNL
Door Anoniem: Vet handig, maar niet heus.

Mijn europese telefoon kan niet overweg met de 3G/4G technieken hier in de USA en gebruikt dus GSM/EDGE. Wanneer je met een UMTS-only foon dan naar de US gaat kan je niet meer bellen. Brilliant.

Nee, een onveilige telefoon kopen omdat je misschien ooit eens keer een weekje op vakantie mag in de USA (en daar dan vervolgens vooral wil bellen kennelijk.), dat is pas brilliant! ;-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.