Column: Is Gemalto het nieuwe DigiNotar?
Na DigiNotar is er opnieuw een belangrijk Nederlands bedrijf gehackt als het gaat om de security op internet. Gemalto is één van de grootste fabrikanten van simkaarten voor mobiele telefoons en het is ondertussen duidelijk dat ze in 2010 gehackt zijn door de veiligheidsdiensten van de VS en Engeland.
Waarom is dit zo belangrijk? Omdat alle beveiligingssleutels en in een aantal gevallen ook de geheime versleutelingstechnieken op de simkaart van mobiele telefoons worden bewaard en uitgevoerd. Met de kennis van de versleutelingstechnieken en de sleutels die door de indringers buitgemaakt kunnen zijn, kan in veel gevallen alle verkeer van en naar de telefoons waar die sims in zitten afgeluisterd worden. Als de geheime versleutelingstechnieken onveilig zijn, zou het zelfs zo kunnen zijn dat de inlichtingendiensten alle verkeer kunnen afluisteren die van deze versleutelingstechnieken gebruik maken door de versleuteling zelf te kraken. Ze hebben dan helemaal geen sleutels meer nodig.
Als telecomprovider zou je moeten zeggen dat alles waar Gemalto kennis van heeft dus niet meer geheim is en je zou dus alle sims die van Gemalto komen in de prullenbak moeten gooien, als je klanten ze in hun telefoon hebben ze vervangen en alle versleutelingstechnieken die geheim waren waar Gemalto kennis van heeft onmiddellijk niet meer moeten gebruiken.
Gemalto is het daar niet mee eens. Op basis van een oppervlakkig onderzoek denken ze dat ze de aanvallen die nu bekend zijn geworden kunnen correleren met wat ze zelf in hun logfiles hebben gezien in 2010 en 2011. Op basis daarvan beweren ze dat er alleen maar wat sleutels voor verouderde encryptiemethodes van providers in Afghanistan en nog wat "onbelangrijke" landen zijn gestolen.
Hier komt nog een parallel met DigiNotar naar voren. In plaats van direct een grondig onderzoek in te stellen en alle apparatuur forensisch op 0-day malware en dergelijke te onderzoeken, wordt er overhaast een quick scan gedaan en wordt er een sussend persbericht uitgestuurd. Pas later bleek bij DigiNotar dat de hacker wel degelijk toegang had gehad tot de kroonjuwelen en dat was bij het eerste onderzoekje niet naar voren gekomen. Als bij DigiNotar de hacker z'n best had gedaan en extra software had geïnstalleerd die niet zo makkelijk te detecteren was, had hij ook na het eerste onderzoek nog steeds toegang gehad tot de kroonjuwelen van DigiNotar.
De hacker van DigiNotar was zeer waarschijnlijk in z'n eentje en niet echt een heel vaardige hacker bovendien. De inlichtingendiensten die achter de hack bij Gemalto zitten heb ik toch een stukje hoger zitten wat betreft kennis en doorzettingsvermogen. Ik denk dan ook dat je er op basis van wat er door Snowden bekend is geworden vanuit moet gaan dat de inlichtingendiensten wel degelijk heel Gemalto gehackt hebben en daar tot de dag van vandaag alle gegevens op hun netwerken kunnen lezen.
Als eindgebruiker is het vrij makkelijk om met zo'n risico om te gaan. Je telefoon is per saldo al een onveilig apparaat en het verkeer wat je er mee genereert is net zo onveilig. Of één of andere inlichtingendienst op netwerkniveau jouw telefoon af kan luisteren of niet heeft verder weinig invloed op hoe veilig je telefoon voor jou is.
Voor mobiele providers, banken en telefoonfabrikanten is het een ander verhaal. Gemalto heeft het vertrouwen in hun versleutelingstechnieken en in een deel van de protocollen die gebruikt worden voor mobiele datacommunicatie ondergraven. Als vertrouwelijkheid en integriteit van deze datastroom niet meer te garanderen is kan je als bank geen financiële transacties via mobiel meer riskeren. Als je klanten je netwerk niet vertrouwen en je concurrent dumpt Gemalto, zal je als provider wel mee moeten anders lopen je klanten allemaal weg. Omdat de belangen van zoiets fundamenteels zo belangrijk zijn, kan de industrie eigenlijk niet anders dan Gemalto en de gelekte encrypties keihard laten vallen.
Gemalto kan dan wel z'n best doen met oppervlakkige rapportjes, maar ze zullen heel snel met een volledige scan op 0-days, trojans, malware en dergelijke op hun hele IT-infrastructuur moeten komen om het risico dat ze toch volledig gehackt zijn te ontkrachten. Zonder een echte ontkrachting in plaats van de aannames die ze nu de wereld in sturen zouden ze nog wel eens hard op weg kunnen zijn om DigiNotar achterna te gaan.
Deze column is geschreven op persoonlijke titel van de auteur en reflecteert niet noodzakelijk de zienswijze van Security.NL.
Gemalto maakt ook chips voor bankpassen, toegangspassen, banktransactie verficatie enz.
Dat gchq weet dat ik met mijn moeder bel is wellicht minder erg dan dat ze zich voor kunnen doen als iedereen die geautoriseerd is voor alle systemen waar gemalto beveiliging speelt.
denk aan dat een NSA-er zich voor kan doen als mark rutten met een echt paspoort met alle beveiliging intakt. Of dat hij een bankpas kan maken die daadwerkelijk kan pinnen vanaf marks rekening. Deze persoon kan ook een ID card laten maken die hem toegang geeft tot de DNB, misschien wel een kerncentrale en deze kan saboteren. Stel je voor dat je als 'spook' niet eens een pasje hoeft te stelen. Je maakt gewoon echte. (Eat your heart out alberto stegeman. Een NSAer (of CIA er of franse geheime dienst, die staan bekend om Nederlandse journo's op te blazen) zal wel iets heel anders kunnen doen dan ph-beatrix aanraken.Dat hij ook kan bellen op marks gsm nummer en rekening is dan nog misschien het minst erg.
Direct alle betrokken hardware vervangen? Alle gebruikte software opnieuw installeren?
https://www.wired.com/2015/02/nsa-firmware-hacking/
De enige overgebleven oplossing lijkt de betrokken infrastructuur in zijn geheel te vervangen.
Waar dat voor DigiNotar nog een mogelijkheid leek lijkt dat voor een bedrijf van dit formaat een dusdanig zeer kostbare zo niet onmogelijke aangelegenheid dat dat economisch gezien misschien niet realistisch meer lijkt.
Des te opmerkelijker dat het bedrijf geen aanklacht indient omdat zij daarmee de kosten van een nieuwe schone infrastructuur nu ook niet meer zou kunnen proberen te verhalen en dus zal moeten doorgaan op de nu ingeslagen weg.
Die weg is niet zonder risico maar de grootste hobbel is al genomen, het nieuws is al in de luwte beland. Laat staan dat de gemiddelde consument zich er druk om maakt.
Dat laatste is extra 'goed nieuws', voor Gemalto, niet de argumenten of de feiten maar wel of geen consumenten vertrouwen is leidend tegenwoordig.
Een mogelijke reden dus om de publiciteit zoveel als mogelijk te mijden en slechts met wat diplomatieke sussende pr de zaak niet tot de proportie te laten groeien die het eigenlijk zo moeten hebben met afnemend consumentenvertrouwen tot gevolg.
die de beveiliging niet op orde hadden konden automatisch certificaten aanmaken.
Wat er bij Diginotar fout was, was dat de veilige omgeving niet gescheiden was van de kantooromgeving. En dat is bij
Gemalto wellicht ook weer het probleem.
die de beveiliging niet op orde hadden konden automatisch certificaten aanmaken.
Wat er bij Diginotar fout was, was dat de veilige omgeving niet gescheiden was van de kantooromgeving. En dat is bij
Gemalto wellicht ook weer het probleem.
De kreet "wie stelt moet bewijzen" zou wat mij betreft wat vaker toegepast moeten worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
