Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 8, views: 18.264 •

De simkaarthack die vorige week aan het licht kwam, waarbij kwaadwillenden op afstand konden inbreken op simkaarten, is grotendeels geweken. Dat zegt beveiligingsonderzoeker Karsten Nohl, die het probleem aan het licht bracht, in een interview met Tweakers.

Karsten Nohl"Het is niet echt meer een gevaar voor de meeste abonnees. Dat is wel een verschil met vorige week", aldus Nohl in een interview met Tweakers op de Black Hat-beveiligingsconferentie in Las Vegas. Volgens de onderzoeker waren veel gebruikers nog wel kwetsbaar toen bekend werd dat een deel van de simkaarten was te kraken door het sturen van een sms.

Inmiddels hebben veel providers volgens Nohl maatregelen genomen. De onderzoeker wil niet in details treden over welke providers wel of niet goed reageerden op de aanval, maar uit zijn woorden valt af te leiden dat de Nederlandse providers het goed hebben gedaan.  "Het helpt dat twee van de drie providers in Nederland onderdeel zijn van grotere families', daarmee doelend op Vodafone en T-Mobile. "Maar ook de overgebleven provider heeft zijn best gedaan", aldus Nohl, daarmee doelend op KPN.

Dat wil niet zeggen dat alle providers hun werk goed hebben gedaan: sommige telecomproviders zagen het gevaar van de hack volgens Nohl niet echt in. Ook maakt hij zich zorgen over providers van buiten Europa. "We hebben over dit probleem vooral contact gehad met Europese providers en weinig met providers van buiten Europa. Het kan zijn dat ze hun eigen experts hebben ingeschakeld, maar als het betekent dat ze zich simpelweg niet zo druk maken over dit probleem, dan is dat reden tot zorg", aldus Nohl. Vooral in Afrika en Zuid-Amerika, waar simkaarten worden gebruikt om betalingen te authenticeren, kan dat een probleem zijn.

Het hacken van de simkaart was mogelijk met simkaarten die leunen op de verouderde encryptiestandaard DES, die een encryptiesleutel van slechts 56 bits gebruikt. Bovendien moet de kaart ertoe worden verleid om zijn geheimen prijs te geven, door hem te laten reageren op een sms-bericht dat providers op de achtergrond naar hun klanten sturen om wijzigingen op de simkaart door te voeren. Een deel van de simkaarten reageert op een incorrect bericht met een antwoord waarin een zogenoemde checksum is te vinden, waaruit de cryptografische handtekening van de simkaart kan worden afgeleid. Beschikt een aanvaller over die handtekening, dan heeft hij evenveel macht over de simkaart als de provider.

Lees hier het volledige achtergrondartikel over de simkaarthack.

Reacties (8)

Beveiliging is altijd een noodzaak voor een service verlenend bedrijf en providers horen voor hun klanten te zorgen dat de boel veilig is. De klant kan daar zelf immers weinig aan doen.
Das niet helemaal waar, want je weet toch wel dat het grootste veiligheidslek de gebruiker zelf is, en dat is een lek die je maar moeilijk kunt oplossen, behalve onderwijzen en hopen dat het helpt.
moet je eindeloos gegevens invullen
Een andere stroming in het nieuws die zegt dat alle data toch al wordt opgeslagen kan dat mooi voorkomen. Op het vliegveld kunnen ze draadloos je paspoort uitlezen, via facebook en andere profielen vergelijken of jij de rechtmatige eigenaar van dat paspoort bent, je data in je opgeslagen profiel controleren, blijk je niet verdacht dan kan je gewoon doorlopen. En wenst de beveilingsman je een fijn weekendje Barcelona toe, zonder ook maar je ticket te bekijken en complimenteert je met de scherpe deal die je op vakantieveiling gedaan hebt.

[Reactie gewijzigd door mashell op 1 augustus 2013 10:38]

Als de passagiers in de rij symbool staan voor serviceproviders hoop ik dat je voorspelling uitkomt. Het is idioot dat er altijd misbruik plaats moet vinden of brede media besteed moet worden alvorens een verantwoordelijke partij actie onderneemt.

m.i. zou een wet waarbij Enterprise organisaties wordt verplicht risico's binnen een acceptabel termijn op te lossen helemaal niet verkeerd zijn. Kunnen ze hier niet aan voldoen en heeft men geen workaround? Organisatie beboeten met een voelbaar percentage van jaaromzet.

Nu weet ik dat er al een aantal wetten zijn, maar deze zijn vaak zo vaag beschreven dat het vooralsnog nauwelijks indruk maakt.
Knap dat bedrijven daar zo snel op zijn ingesprongen. Als 1/8 van alle SIM-kaarten kwetsbaar was voor deze hack, dan waren dat in potentie miljoenen telefoons. Er was vooral sprake van gevaar in landen waar veel services worden betaald met een service-SMS.
Een deel van de simkaarten reageert op een incorrect bericht met een antwoord waarin een zogenoemde checksum is te vinden, waaruit de cryptografische handtekening van de simkaart kan worden afgeleid.
Niet alleen maar zwakke encryptie dus, maar een implementatie fout erbovenop. Het zo weinig mogelijk informatie geven over de oorzaak, reden en omstandigheden van een mislukte authorisatie poging is volgens mij wel les 1 uit het boekje "Hoe houd ik mijn beveiliging op slot". Ieder antwoord kan immers worden gebruikt om een klein stapje verder te komen...
Als die hack zo makkelijk was, en deze was bekend bij een aantal hackers, dan zou ik verwachten dat er mensen gehacked zijn. En die mensen hebben geklaagd (neem ik aan). Maar we horen er niets over. Er is duidelijk ook niets aan dat lek gedaan.

Dan wordt de hack in de openbaarheid gebracht. En dan komt er WEL een reactie van de providers: het lek wordt gedicht. En snel ook. Dat betekend dat het heel simpel te dichten was.

Beetje gemengde gevoelens dus: goed dat ze zo snel dichten. Vreemd dat ze zelf niet achter dat lek gekomen zijn (of misschien is niemand daadwerkelijk gehacked, zou ook kunnen).

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6DestinyAssassin's Creed UnityFIFA 15Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox OneApple iOS 8

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013