'Consument machteloos tegenover sim-hacker'
Er is weinig dat consumenten kunnen doen tegenover hackers die simkaarten kraken, aldus de Duitse beveiligingsonderzoeker die een gapend gat in de beveiliging van honderden miljoenen simkaarten ontdekte. Karsten Nohl lukte het om de zwakke encryptie in de simkaarten te kraken en zo een kwaadaardige Java-applet op de simkaart te installeren.
Dit Java-applet kan sms-berichen versturen, voicemail-nummers wijzigen en de locatie van de gebruiker aan de aanvaller doorgeven. Volgens Nohl, die zijn bevindingen tijdens de Blackhat Conferentie in Las Vegas zal demonstreren, biedt dit genoeg mogelijkheden voor misbruik. Het gaat dan zowel om financiële fraude als surveillance.
Fraude en surveillance
"Het ergste scenario dat ik voorzie is dat criminelen genoeg informatie verkrijgen om miljoenen kaarten in een land te hacken", laat Nohl tegenover RT weten. "De grootste dreiging op korte termijn als criminelen deze aanvalsmethode weten uit te voeren is fraude. Ze zullen de kaarten misbruiken om sms-berichten naar premiumnummers te sturen."
Een andere mogelijkheid is het onderscheppen van mobiele TANcodes in landen waar die gebruikt worden. De andere mogelijkheid is het onderscheppen en decoderen van alle stem- en datacommunicatie die via de telefoon in kwestie loopt, bijvoorbeeld door een surveillance team, aldus de Duitse hacker.
Simkaart
Consumenten die zich zorgen maken kunnen weinig doen, behalve wachten totdat telecomaanbieders de beveiliging van hun netwerk aanscherpen. In het geval misbruik toch plaatsvindt adviseert Nohl consumenten om een nieuwe simkaart aan te vragen. De kwetsbaarheid die Nohl ontdekte is in 750 miljoen mobiele telefoons aanwezig.
Anyway mij maakt het geen klap uit wie deze wereld domineert zolang het maar niet van die twitterende politici zijn.
Via die onmerkbare SMS-jes die van de week in 't nieuws waren?
Lijkt me nog lastig om dat op grote schaal te misbruiken, want dan zal het toch via de netwerken van de providers verstuurd moeten worden en dus te filteren. (door de providers)
edit: blijkbaar niet, moet ik maar doorlezen.
Providers moeten SMS berichten doorlaten. Daar betalen de klanten voor. Inzetten van firewalls (op basis van welke gegevens) wordt dan heel lastig. Die firewalls moeten de SMS-jes vervolgens analyseren. Zie je het volgende DPI schandaal al langskomen?
Peter
Providers moeten SMS berichten doorlaten. Daar betalen de klanten voor. Inzetten van firewalls (op basis van welke gegevens) wordt dan heel lastig. Die firewalls moeten de SMS-jes vervolgens analyseren. Zie je het volgende DPI schandaal al langskomen?
Peter
Ik ken de technische achtergrond niet van dergelijke SMS-jes, maar ik meen mij te herinneren dat er een verschil was tussen SMS-jes die gebruikers onderling naar elkaar sturen (en die dus op je toestel verschijnen) en de berichten die de provider verstuurt om het netwerk operationeel te houden.
Het lijkt mij wel degelijk mogelijk om dergelijke berichten te onderscheiden en als ze niet van de provider zelf afkomstig zijn dat ze dan gefilterd zouden kunnen worden.
Blijft natuurlijk de ethische vraag of je als provider ongevraagd mag filteren.
Wat je zou kunnen doen is het als service aanbieden, vergelijkbaar met spamfiltering.
Of het dan een opt-in of opt-out filter moet worden zou ik niet durven zeggen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
