Objavljeno: 21.2.2015 05:00

Vsi telefoni so ranljivi!

Na dan so prišli Snowdnovi dokumenti, ki razkrivajo, da je britanska obveščevalna agencija GCHQ vdrla v podjetje Gemalto. To nizozemsko podjetje je največji proizvajalec kartic SIM na svetu in letno izdela okrog dve milijardi kartic za 450 operaterjev v 85 državah. GCHQ je pridobila podatke, ki ji omogočajo praktično neomejeno prisluškovanje pogovorom in sporočilom, ki se prenašajo prek telefona.

GCHQ je ukradla aventifikacijske šifrirne ključe, ki jih uporabljajo kartice SIM. Gre za 128-bitne nize, ki kartico enolično predstavijo na omrežju. Vsaka kartica dobi svoj niz v postopku izdelave, ko dobi tudi številko ICCID (Integrated Circuit Card ID). Ključ ni shranjen le na kartici, temveč tudi v bazi operaterja. Prav tako ga iz kartice ni mogoče izluščiti, ima pa kartica posebno funkcijo (RUN GSM ALGORITHM), ki omogoča podpisovanje prejetih podatkov z lastnim ključem.

Kloniranje kartice je prav kopiranje tega 128-bitnega ključa in je bilo na prvih SIM-karticah sorazmerno enostavno, sedaj pa je bistveno težje. Da bi se izognili napornemu in dolgotrajnemu razbijanju (kriptoanalizi) ključa iz prestrežene komunikacije, je GCHQ preprosto vdrla v Gemalto, ki o tem ni imel niti najmanjšega pojma, je pojasnil namestnik direktorja Paul Beverly. Povedal je še, da so začeli interno preiskavo, ki bo razkrila vektor napada. Podatki, ki jih je iz NSA izmaknil Snowden, namreč kažejo, da ima GCHQ dostop do več računalnikov znotraj Gemalta. Imajo celo posebno ekipo MHET (Mobile Handset Exploitation Team), ki od aprila 2010 išče ranljivosti v mobilnih telefonih in jo sestavljajo ljudje iz NSA in GCHQ.

Odkritje predstavlja zelo zelo slabe novice za uporabnike mobilnih telefonov, saj posedovanje avtenteifikacijskega šifrirnega ključa omogoča prisluškovanje brez omejitev. Ne le 2G, ki je ranljiva že precej časa, tudi moderni 3G, 4G/LTE niso varni, če ima napadalec ključe (medtem ko je 2G že brez ključev ranljiv). Prav tako lahko upravičeno sklepamo, da Gemalto ni bil edina tarča. SIM-kartica pač nikoli ni bila ustvarjena z varnostjo kot prvim ciljem.

 https://firstlook.org/theintercept/2015/02/19/great-sim-heist/

 

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji