image

Column: Is Gemalto het nieuwe DigiNotar?

maandag 2 maart 2015, 13:21 door Homme Bitter, 10 reacties

Na DigiNotar is er opnieuw een belangrijk Nederlands bedrijf gehackt als het gaat om de security op internet. Gemalto is één van de grootste fabrikanten van simkaarten voor mobiele telefoons en het is ondertussen duidelijk dat ze in 2010 gehackt zijn door de veiligheidsdiensten van de VS en Engeland.

Waarom is dit zo belangrijk? Omdat alle beveiligingssleutels en in een aantal gevallen ook de geheime versleutelingstechnieken op de simkaart van mobiele telefoons worden bewaard en uitgevoerd. Met de kennis van de versleutelingstechnieken en de sleutels die door de indringers buitgemaakt kunnen zijn, kan in veel gevallen alle verkeer van en naar de telefoons waar die sims in zitten afgeluisterd worden. Als de geheime versleutelingstechnieken onveilig zijn, zou het zelfs zo kunnen zijn dat de inlichtingendiensten alle verkeer kunnen afluisteren die van deze versleutelingstechnieken gebruik maken door de versleuteling zelf te kraken. Ze hebben dan helemaal geen sleutels meer nodig.

Als telecomprovider zou je moeten zeggen dat alles waar Gemalto kennis van heeft dus niet meer geheim is en je zou dus alle sims die van Gemalto komen in de prullenbak moeten gooien, als je klanten ze in hun telefoon hebben ze vervangen en alle versleutelingstechnieken die geheim waren waar Gemalto kennis van heeft onmiddellijk niet meer moeten gebruiken.

Gemalto is het daar niet mee eens. Op basis van een oppervlakkig onderzoek denken ze dat ze de aanvallen die nu bekend zijn geworden kunnen correleren met wat ze zelf in hun logfiles hebben gezien in 2010 en 2011. Op basis daarvan beweren ze dat er alleen maar wat sleutels voor verouderde encryptiemethodes van providers in Afghanistan en nog wat "onbelangrijke" landen zijn gestolen.

Hier komt nog een parallel met DigiNotar naar voren. In plaats van direct een grondig onderzoek in te stellen en alle apparatuur forensisch op 0-day malware en dergelijke te onderzoeken, wordt er overhaast een quick scan gedaan en wordt er een sussend persbericht uitgestuurd. Pas later bleek bij DigiNotar dat de hacker wel degelijk toegang had gehad tot de kroonjuwelen en dat was bij het eerste onderzoekje niet naar voren gekomen. Als bij DigiNotar de hacker z'n best had gedaan en extra software had geïnstalleerd die niet zo makkelijk te detecteren was, had hij ook na het eerste onderzoek nog steeds toegang gehad tot de kroonjuwelen van DigiNotar.

De hacker van DigiNotar was zeer waarschijnlijk in z'n eentje en niet echt een heel vaardige hacker bovendien. De inlichtingendiensten die achter de hack bij Gemalto zitten heb ik toch een stukje hoger zitten wat betreft kennis en doorzettingsvermogen. Ik denk dan ook dat je er op basis van wat er door Snowden bekend is geworden vanuit moet gaan dat de inlichtingendiensten wel degelijk heel Gemalto gehackt hebben en daar tot de dag van vandaag alle gegevens op hun netwerken kunnen lezen.

Als eindgebruiker is het vrij makkelijk om met zo'n risico om te gaan. Je telefoon is per saldo al een onveilig apparaat en het verkeer wat je er mee genereert is net zo onveilig. Of één of andere inlichtingendienst op netwerkniveau jouw telefoon af kan luisteren of niet heeft verder weinig invloed op hoe veilig je telefoon voor jou is.

Voor mobiele providers, banken en telefoonfabrikanten is het een ander verhaal. Gemalto heeft het vertrouwen in hun versleutelingstechnieken en in een deel van de protocollen die gebruikt worden voor mobiele datacommunicatie ondergraven. Als vertrouwelijkheid en integriteit van deze datastroom niet meer te garanderen is kan je als bank geen financiële transacties via mobiel meer riskeren. Als je klanten je netwerk niet vertrouwen en je concurrent dumpt Gemalto, zal je als provider wel mee moeten anders lopen je klanten allemaal weg. Omdat de belangen van zoiets fundamenteels zo belangrijk zijn, kan de industrie eigenlijk niet anders dan Gemalto en de gelekte encrypties keihard laten vallen.

Gemalto kan dan wel z'n best doen met oppervlakkige rapportjes, maar ze zullen heel snel met een volledige scan op 0-days, trojans, malware en dergelijke op hun hele IT-infrastructuur moeten komen om het risico dat ze toch volledig gehackt zijn te ontkrachten. Zonder een echte ontkrachting in plaats van de aannames die ze nu de wereld in sturen zouden ze nog wel eens hard op weg kunnen zijn om DigiNotar achterna te gaan.

Deze column is geschreven op persoonlijke titel van de auteur en reflecteert niet noodzakelijk de zienswijze van Security.NL.

Reacties (10)
02-03-2015, 13:35 door Anoniem
Gewoon de hoedjes vergelijken, dan zie je het vanzelf.
02-03-2015, 13:41 door Anoniem
Belangrijk verschil: bij Diginotar waren redelijk wat mensen soort van 'shocked' over wat er gebeurd was. Na alle Snowden onthullingen kijkt niemand meer op van een gevalletje Gemalto. Iedereen is er aan gewend dat geheime diensten alles hacken wat ze maar kunnen en de wereld vind het wel best.
02-03-2015, 13:59 door Anoniem
Ik ben nog niet eens zo bang voor mijn gsm gesprekken.
Gemalto maakt ook chips voor bankpassen, toegangspassen, banktransactie verficatie enz.
Dat gchq weet dat ik met mijn moeder bel is wellicht minder erg dan dat ze zich voor kunnen doen als iedereen die geautoriseerd is voor alle systemen waar gemalto beveiliging speelt.
denk aan dat een NSA-er zich voor kan doen als mark rutten met een echt paspoort met alle beveiliging intakt. Of dat hij een bankpas kan maken die daadwerkelijk kan pinnen vanaf marks rekening. Deze persoon kan ook een ID card laten maken die hem toegang geeft tot de DNB, misschien wel een kerncentrale en deze kan saboteren. Stel je voor dat je als 'spook' niet eens een pasje hoeft te stelen. Je maakt gewoon echte. (Eat your heart out alberto stegeman. Een NSAer (of CIA er of franse geheime dienst, die staan bekend om Nederlandse journo's op te blazen) zal wel iets heel anders kunnen doen dan ph-beatrix aanraken.Dat hij ook kan bellen op marks gsm nummer en rekening is dan nog misschien het minst erg.
02-03-2015, 14:53 door yobi
Ik denk dat Gemalto net als RSA blijft bestaan. Niemand heeft er baat bij, dat een dergelijk bedrijf failliet gaat. Overigens vind ik de app-jes op een smartphone veel enger.
02-03-2015, 14:59 door Anoniem
Gemalto kan dan wel z'n best doen met oppervlakkige rapportjes, maar ze zullen heel snel met een volledige scan op 0-days, trojans, malware en dergelijke op hun hele IT-infrastructuur moeten komen om het risico dat ze toch volledig gehackt zijn te ontkrachten.
Alle firmware van alle betrokken elektronica controleren, alle firmware van betrokken harddisks controleren?
Direct alle betrokken hardware vervangen? Alle gebruikte software opnieuw installeren?

https://www.wired.com/2015/02/nsa-firmware-hacking/

Zonder een echte ontkrachting in plaats van de aannames die ze nu de wereld in sturen zouden ze nog wel eens hard op weg kunnen zijn om DigiNotar achterna te gaan.
Gezien de hack capaciteiten van betrokkenen lijkt er een technisch infiltratie niveau bereikt waarbij een hack willen of kunnen aantonen niet meer relevant is.
De enige overgebleven oplossing lijkt de betrokken infrastructuur in zijn geheel te vervangen.

Waar dat voor DigiNotar nog een mogelijkheid leek lijkt dat voor een bedrijf van dit formaat een dusdanig zeer kostbare zo niet onmogelijke aangelegenheid dat dat economisch gezien misschien niet realistisch meer lijkt.

Des te opmerkelijker dat het bedrijf geen aanklacht indient omdat zij daarmee de kosten van een nieuwe schone infrastructuur nu ook niet meer zou kunnen proberen te verhalen en dus zal moeten doorgaan op de nu ingeslagen weg.
Die weg is niet zonder risico maar de grootste hobbel is al genomen, het nieuws is al in de luwte beland. Laat staan dat de gemiddelde consument zich er druk om maakt.
Dat laatste is extra 'goed nieuws', voor Gemalto, niet de argumenten of de feiten maar wel of geen consumenten vertrouwen is leidend tegenwoordig.

Een mogelijke reden dus om de publiciteit zoveel als mogelijk te mijden en slechts met wat diplomatieke sussende pr de zaak niet tot de proportie te laten groeien die het eigenlijk zo moeten hebben met afnemend consumentenvertrouwen tot gevolg.
02-03-2015, 16:15 door Anoniem
Door Anoniem: Belangrijk verschil: bij Diginotar waren redelijk wat mensen soort van 'shocked' over wat er gebeurd was.
En dat terwijl de commotie rond Comodo net geweest was en dat bedrijf bestaat gewoon nog en doet nog vrolijk wat het altijd deed.
02-03-2015, 20:51 door Anoniem
Door Anoniem:
Door Anoniem: Belangrijk verschil: bij Diginotar waren redelijk wat mensen soort van 'shocked' over wat er gebeurd was.
En dat terwijl de commotie rond Comodo net geweest was en dat bedrijf bestaat gewoon nog en doet nog vrolijk wat het altijd deed.
Dat is wat anders. Wat er bij Comodo fout ging was dat ze taken delegeerden aan wie het maar wilde, wederverkopers
die de beveiliging niet op orde hadden konden automatisch certificaten aanmaken.

Wat er bij Diginotar fout was, was dat de veilige omgeving niet gescheiden was van de kantooromgeving. En dat is bij
Gemalto wellicht ook weer het probleem.
03-03-2015, 00:00 door Anoniem
Interessant artikel Homme. Dat ASML bericht dat er bij hun hack geen belangrijke data door de (wereld kampioen afkijken en namaken) chinezen is ontvreemd wekt bij mij argwaan op. Grt Edo
03-03-2015, 10:22 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Belangrijk verschil: bij Diginotar waren redelijk wat mensen soort van 'shocked' over wat er gebeurd was.
En dat terwijl de commotie rond Comodo net geweest was en dat bedrijf bestaat gewoon nog en doet nog vrolijk wat het altijd deed.
Dat is wat anders. Wat er bij Comodo fout ging was dat ze taken delegeerden aan wie het maar wilde, wederverkopers
die de beveiliging niet op orde hadden konden automatisch certificaten aanmaken.

Wat er bij Diginotar fout was, was dat de veilige omgeving niet gescheiden was van de kantooromgeving. En dat is bij
Gemalto wellicht ook weer het probleem.
Ik zie eigenlijk niet hoe dat ook maar enige dispensatie is. De ene was de controle kwijtgeraakt door onachtzaamheid en de ander had de controle moedwillig weggegeven. Kennelijk is de ene vorm van grove nalatigheid ernstiger dan de ander? De schuld kunnen afschuiven op "business partners" een vrijkaart?
03-03-2015, 14:05 door Anoniem
Een interessant onderwerp, alleen jammer dat dit verhaal in "modern journalistiek stijl" geschreven is: geen bronnen, en veel ontwijkend taalgebruik zodat je van alles kan beweren zonder juridisch aangepakt te kunnen worden: " kan in veel gevallen alle verkeer", "zou het zelfs zo kunnen zijn ", "Als telecomprovider zou je moeten zeggen", " je zou dus alle sims die van Gemalto komen in de prullenbak moeten gooien".

De kreet "wie stelt moet bewijzen" zou wat mij betreft wat vaker toegepast moeten worden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.