Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 55 reacties, 31.642 views •

Klanten van Vodafone en T-Mobile in Nederland kunnen niet of nauwelijks getroffen worden door de 'simkaart-hack', waarbij binnen een paar minuten een telefoon via 'stille' sms'jes kan worden overgenomen.

SimkaartDe hack raakt geen enkele klant van Vodafone in Nederland, zo laat de provider desgevraagd aan Tweakers weten. Bij KPN is dat nog niet duidelijk. "Wij analyseren de hack momenteel, maar we weten nog niet of er klanten van ons vatbaar zijn voor deze hack", zegt een woordvoerder van KPN tegen Tweakers. T-Mobile zegt nog niet zeker te weten of er nog simkaarten in omloop zijn die vatbaar zijn voor de hack: "Het betreft technologie voor simkaarten die T-Mobile Nederland sinds 2002 niet meer levert", zegt woordvoerder Michael Vos tegen Tweakers. Klanten met een simkaart van voor 2002 kunnen vatbaar zijn, maar T-Mobile weet niet of die er nog zijn. Alle simkaarten met het logo van T-Mobile erop lijken dus veilig: Deutsche Telekom gebruikt die merknaam pas sinds 2003 in Nederland.

Als er veel klanten met een kwetsbare simkaart rondlopen, ligt het voor de hand die allemaal te vervangen voor veilige simkaarten, maar KPN wil nog niet ingaan op mogelijke maatregelen wanneer er klanten vatbaar blijken te zijn. "We zijn het eerst aan het uitzoeken en dat doen we uiteraard samen met de GSM Association, de koepelorganisatie voor providers en met Karsten Nohl, de ontdekker van de hack." Nohl zal zijn bevindingen delen op hackercongres Black Hat, dat volgende week plaatsvindt, maar hij lichtte maandag al een tipje van de sluier op.

De hack werkt met 'stille' sms'jes, berichtjes die providers naar telefoons kunnen sturen maar waar de gebruiker niets van ziet. Die sms'jes worden ondertekend met een sleutel van 56 bits; zonder die code kunnen geen bewerkingen op de simkaart worden uitgevoerd. Een deel van de simkaarten stuurt bij gebruik van een ongeldige code een foutmelding met een cryptografische handtekening terug. Die handtekening wist Nohl met behulp van rainbow tables om te zetten naar de sleutel van 56 bits die moet worden gebruikt om de sms'jes richting de simkaart te ondertekenen.

Daarna had Nohl evenveel macht over de simkaart als de provider, en kon hij bijvoorbeeld sms'jes onderscheppen en telefoongesprekken omleiden en afluisteren. Volgens Nohl is de aanval te doen met een doorsnee pc en duurt hij circa twee minuten. De aanval werkt enkel met kaarten die de verouderde DES-encryptiestandaard gebruiken. Een deel van de providers is overgestapt op 3DES, een verbeterde versie van de standaard.

De DES-standaard wordt al een jaar of vijf door makers van simkaarten niet meer gebruikt, waardoor het voor de hand ligt dat vooral oudere simkaarten kwetsbaar zijn. Nohl schat dat 750 miljoen simkaarten kwetsbaar zijn, al is het precieze aantal onduidelijk.

Update, 17:23: Reactie T-Mobile toegevoegd

Reacties (55)

Reactiefilter:-155052+137+25+30
Moderatie-faq Wijzig weergave
Misschien wordt het tijd dat alle telco's een formulier online zetten waarbij mensen hun simkaart nummer kunnen invoeren waarna gecontroleerd wordt of de SIM wel of juist niet enig risico loopt.

Per definitie kun je eigenlijk wel uitgaan dat mensen die jaren geleden gemigreerd zijn van netwerken:
- O2
- BEN
- Orange
- Dutchtone

Risico's lopen. Mijn moeder heeft toevallig nog een Dutchtone simkaart in haar telefoon (3310) zitten die ze puur voor nood gebruikt en het nog altijd doet. Haar Nokia 1616 die ze dagelijks gebruikt heeft een Vodafone SIM erin zitten die vorig jaar gekocht is.

Per definitie dus al roepen dat klanten niet getroffen zijn is onjuist en zou dus moeten zijn "merendeels van klanten niet getroffen" T-Mobile heeft n.l. lang niet iedereen opgeroepen een nieuwe simkaart te nemen in de afgelopen jaren.

Overigens ken ik wel wat meer mensen die nog met dergelijke (oude) simkaarten werken en een oude dumbphone maar zelfs ook huidige generatie smartphone.

[Reactie gewijzigd door DarkForce op 22 juli 2013 19:33]

Nog beter is als de providers zelf deze hack uitproberen op hun netwerk, door zo'n SMS te sturen aan al hun klanten. Dan kunnen ze er zo achter komen welke simkaarten kwetsbaar zijn, ze vervolgens een SMS te versturen dat hun simkaart omgewisseld moet worden, of beter nog, in het geval van NAW bekend een nieuwe SIM kaart opsturen. Kleine moeite lijkt mij. Service Design 2013.

edit: Oh ja: SIM kaarten zijn geactiveerd op een netwerk, dus ik neem aan dat de provider zelf ook een lijstje kan aanmaken van SIM kaarten die geactiveerd en actief zijn (abbo die nog loopt) van voor de wissel.

[Reactie gewijzigd door .Johnny op 22 juli 2013 22:50]

Nog beter is als de providers zelf deze hack uitproberen op hun netwerk, door zo'n SMS te sturen aan al hun klanten.
Waarom een sms versturen? Telco's hebben inzage in alle simkaart nummers en kunnen op basis daarvan al controleren of een simkaart gevoelig is of niet. Als klant kun jij er zelf al grotendeels achter komen zoals ik eerder aangaf. Als klant kun je in geval van O2, Dutchtone, Orange simkaart houder al per definitie uitgaan van een simkaart die te oud en dus gevoelig is voor de hack.

Als telco's hun verantwoording nemen, verrichten ze hierop een check en sturen ze direct een sms aan die postpaid en prepaid klanten om kosteloos hun simkaart te vervangen.

Maar goed, hierop gaf je zelf na je edit al antwoord ;)
of beter nog, in het geval van NAW bekend een nieuwe SIM kaart opsturen. Kleine moeite lijkt mij. Service Design 2013
Nog beter, de klant gewoon een sms sturen zoals ik aanhaalde en deze zelf de keus geven hoe ze het opgelost willen hebben. Of de telco stuurt een nieuwe simkaart op, of de klant haalt een vervangende simkaart op in de winkel. Dit laatste omdat er ook meer dan genoeg anonieme gebruikers zijn die zich nimmer geregistreerd hebben met hun gegevens i.v.m. privacy e.d.
Mijn sim al wel weer 10 jaar, tijd voor een nieuwe dus.. :(
Had je veel eerder moeten doen.
Als je nog geen Usim hebt kan je niet eens gebruik maken van umts(3g) ook Al geeft je toestel wel 3g aan het netwerk behandelt hem als 2g

Plus het feit dat je nog een 5volt kaartje kan hebben terwijl de Usim kaartjes 3.5 volt zijn waardoor je oude sim je accu leegt trekt ;-)
Lol ik heb nog een simkaart van Ben, dus nog voordat Ben was overgenomen door T-mobile! Zeker 11 jaar geleden...
Klinkt erg bekend. Ik heb op eigen beweging een aantal maanden geleden een vervangende SIM aangevraagd bij T-Mobile omdat ik ook nog met een BEN sim rondliep en mijn internet zo traag was. Zoals iemand hierboven al zegt vind ik het erg vreemd dat als je een abbo blijft verlengen bij ze en dus je eigen SIM behoud, ze dan niet zeggen als je een nieuwe smartphone erbij neemt: 'Meneer, als u die snelheid wilt kunnen gebruiken moet u wel uw SIM vervangen".
En nu blijkt dus ook dat het een stuk minder veilig is om er mee rond te lopen. Lijkt me dus wel een signaal aan de providers om het op te pakken er toch mensen te gaan waarschuwen met een oude SIM.

Geloof zelf ook niet dat T-Mobile het niet weet, denk eerder dat ze het gewoon niet willen prijsgeven of de woordvoerder had geen getallen klaar.
Ik heb dat bij KPN gehad, ik had ong 2 jaar geleden een abbo afgesloten. Onlangs (deze maand) verlengd en kreeg een nieuwe sim om volledig van mijn one +4g gebruik te kunnen maken. Mijn bijna 2 jaar oude zou niet optimaal zijn.
Gelukkig rekent KPN geen kosten voor een nieuwe sim wanneer je de volgende 2 redenen gebruikt:
Die wat ik had vanwege stabiliteit vergeleken de bijna 2 jaar oude sim.
Zeggen dat een service punt verteld heeft dat de sim niet goed is.

[Reactie gewijzigd door JeroenC op 23 juli 2013 07:19]

Klantenservice kan vaak niet bij de gegevens die toont of je simkaart voldoet aan de op dit moment geldende eisen. Hiervoor hebben ze juist de technical afdeling.

Eigenlijk een beetje lullig maar, jij als klant weet hoelang je al abonnee bent en kan dus bij verlenging vragen of het niet eens tijd wordt voor een nieuwe simkaart. Het is niet alleen de verantwoording van de verkoper om dingen te verrichten maar ook als klant heb je de plicht om te informeren.

Het lijkt mij inderdaad dat telco's hier momenteel "NOG" niet mee naar buiten willen komen. Dit omdat de gevoeligheid van dit probleem nogal hoog ligt. Ik vermoed dus dat ze eerst alle klanten die mogelijk slachtoffer kunnen worden van deze hack, gaan benaderen en daarna de informatie werkelijk naar buiten gaan brengen. Iets in de zin van "slapende honden moet je ...................... anyone? "
Kan de klantenservice dat niet? Vreemd... toen ik namelijk bij de klantenservice informeerde werd mij na een aantal tientallen seconden verteld dat ik inderdaad in aanmerking kwam voor een nieuwe SIM omdat de oude niet meer zou voldoen. Op mijn vraag waarom ik hier dan niet eerder van op de hoogste was gesteld werd niet geantwoord.
Dus het lijkt me sterk dat ze dit niet kunnen.

verder offtopic:
Verder heb ik het ook over de keren dat ik in de T-mobile shop heb verlengt, ze mijn SIM er zelf uit hebben gehaald, het nummer hebben overgetikt in de PC en heel groot hebben kunnen zien dat er BEN op staat, je het daarna nog hebt dat je al zo lang bij hen zit en dezelfde SIM hebt en ze daarna zelf je de Desire Z verkopen met internet bundel... dan zou er toch een belletje moeten rinkelen dat een nieuwe SIM dan nodig is voor de hogere snelheid?
Ik kan me toch ergens herinneren dat ik al t-mobile in 2000 of 2001 had. Het artikel hierboven zegt 2002. Zoeken op het internet geeft 1999 als start van t-mobile Nederland, maar in hoeverre ze toen al aan consumenten leverden is natuurlijk niet zo 123 duidelijk.

Wat ik wel weet is dat t-mobile, vodafone en kpn beboet zijn voor kartelvorming in 2001, iets wat me onmogelijk (en irrelevant) lijkt als t-mobile nog niet als echt merk op de markt was.

De overnames van orange/ben vonden veel later plaats (2007 en 2010 oid) dus welk merk stond er dan wl op de simkaartjes. Ik zeg...gewoon t-mobile.

Een beetje vreemd!
Dan laat je geheugen je toch een beetje in de steek.

van wikipedia:
http://nl.wikipedia.org/wiki/Ben_(mobiele_communicatie)

"Op 30 september 2002 kwam Ben volledig in handen van T-Mobile International. De introductie van de merknaam "T-Mobile" volgde op 25 februari 2003 en is sindsdien niet meer veranderd."

Orange werd in 2007 ingelijfd en Ben is in 2008 weer tot leven gebracht als sim only dochter.

Dit klopt ook met mijn herinneringen, rond 2001 kreeg ik mijn eerste mobiele telefoon met Ben. Dit werd inderdaad een paar jaar later omgezet naar T-Mobile.
Klanten van Vodafone en T-Mobile in Nederland kunnen niet of nauwelijks getroffen worden door de 'simkaart-hack'

Wat is het nu, 100% niet. Of misschien toch een beetje wel?
Wat is het nu, 100% niet. Of misschien toch een beetje wel?
Verreweg de meeste niet maar een heel klein deel waarschijnlijk wel.
Oftewel: niet of nauwelijks.

T-Mobile geeft aan sinds 2002 simkaarten uit te geven die 3DES gebruiken en dus niet vatbaar zijn. Maar ze geven ook aan geen idee te hebben hoeveel simkaarten van voor die tijd nog in omloop zijn. Volgens mij past niet of nauwelijks prima bij die beschrijving.

Wat Vodafone betreft: die beweren dat geen een van hun klanten vatbaar is. Al is dat eigenlijk zeer onwaarschijnlijk. Je mag eerder aannemen dat de werkelijkheid bij Vodafone niet ver af zit van het statement van T-Mobile.
Niet of nauwelijks is gewoon correct Nederlands hoor.
Zijn vraag gaat over de inhoud denk ik. Goeie vraag trouwens.
Klopt, het ging me om de inhoud.
Erg jammer dat daar weinig over duidelijk is. Misschien heeft het met de leeftijd van de simkaart te maken of met de regio waar je woont. Maar ik hoop dat hier meer over duidelijk komt.
Is het ook niet zo dat alleen oudere SIMS er last van hebben?
De meeste mensen hebben met de huidige generatie smartphones vast alwel een nieuwere Micro/Nano SIM.
Of zou het gewoon verouderde techniek zijn die bepaalde providers gebruiken?
Lees dit artikel van eerder vandaag (heeft te maken met DES gebruiken ipv nieuwere 3DES op de SIM-kaart): nieuws: 'Deel sim-kaarten is te hacken door sturen sms'
Er zijn altijd nog klanten met oude telefoon en kaartjes, ze zijn zeldzaam maar dat zijn vaak mensen met nog een oude nokia 6210 en die hebben op marktplaats ooit 3 van die toestellen gekocht onder het idee daar kan ik weer weer 10 jaar verder mee. Ze bestaan :)
Vreemd dat de abonnee met een nieuwe sim zich veilig waant, zelfs hier op T-Net?!

Er zijn meer dan genoeg mensen met de benodigde kennis en vindingrijkheid om een programma te schrijven waar de beveiliging van providers totaal niet tegen opgewassen is.

Waar de meeste hackers hun info delen met de provider zijn er (helaas) ook genoeg die er misbruik van (Proberen te) maken en de N.A.W gegevens of proberen te verkopen, er zelf mee te gaan experimenteren of ze op het web gooien om te laten zien hoe goed ze wel niet zijn in de "scene".

En de veiligheid op dit moment is voor telecom providers gewoon onvoldoende.
Reactie op Rev-anche, verkeerd aangemaakt ^_^

Totale veiligheid bestaat niet, tuurlijk zijn er mensen die kennis en kunde hebben om de providers plat te leggen of op de een of andere manier telefoons te hacken. Veiligheid doordat je een nieuwerwetse SIM hebt is dan ook alleen voor deze specifieke exploit.

Buiten dat moet je altijd kijken wat de impact is van bepaalde zaken voordat je beveiliging aanlegt. Enorm dikke security devices, laten we zeggen een Cisco ASR 1000, heeft alleen zin als je ook iets te beveiligen hebt. Als het om drie excel sheetjes gaat op een NAS zou dat nergens op slaan, ook al blijkt later dat iemand toch dat systeem in is geweest en de zaken heeft gekopieerd.

In dit geval is de impact vrij groot, de providers hadden dit kunnen zien aankomen en eea was dus te voorkomen geweest. Het is slecht dat er blijkbaar nog zoveel kaartjes in omloop zijn met een verouderde beveiliging. Aan de andere kant is deze hack relatief nieuw, je kunt geen rekening houden met zaken die in de toekomst mogelijk gehacked kunnen worden. Het eerste compleet bug vrije en optimaal beveiligde IT systeem moet nog worden uitgevonden.

Maar nog steeds is er geen reden om paniek te zaaien, tenzij de providers dit niet goed oppakken.

Edit; typos

[Reactie gewijzigd door Carnage234 op 23 juli 2013 11:22]

Raar, de titel en het verhaal op zichzelf, spreken elkaar tegen:
Vodafone en T-Mobile: klanten niet getroffen door 'simkaart-hack'
En dit staat in het verhaal:
T-Mobile zegt nog niet zeker te weten of er nog simkaarten in omloop zijn die vatbaar zijn voor de hack: "Het betreft technologie voor simkaarten die T-Mobile Nederland sinds 2002 niet meer levert", zegt woordvoerder Michael Vos tegen Tweakers. Klanten met een simkaart van voor 2002 kunnen vatbaar zijn, maar T-Mobile weet niet of die er nog zijn.
n van de twee moet dus gewijzigd worden.... :?

[Reactie gewijzigd door HoeZoWie op 23 juli 2013 13:57]

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True