'Locatie mobiele telefoons eenvoudig te achterhalen via ss7'

Via het slecht beveiligde Signalling System No. 7, dat wordt gebruikt voor communicatie tussen telecomproviders, kan eenvoudig de locatie van telefoongebruikers worden achterhaald. Dat stelt een Duitse beveiligingsonderzoeker.

Volgens onderzoeker Tobias Engel, die zijn bevindingen uit de doeken deed op de CCC-beveiligingsconferentie in Hamburg, hoeft een aanvaller - bijvoorbeeld een overheid - enkel het telefoonnummer van een gebruiker te weten om zijn locatie te achterhalen. "Dat is heel creepy", aldus Engel. "Je hoeft iemand niet eens te kennen, je hoeft enkel zijn telefoonnummer te weten." Het is niet bekend of Nederlandse telecomproviders kwetsbaar zijn voor de aanval. Telecomproviders kunnen namelijk maatregelen nemen om zich te wapenen tegen kwetsbaarheden in het ss7-protocol.

Ss7 is een verzameling protocollen waarmee servers van operators intern communiceren maar ook met die van andere providers praten, bijvoorbeeld voor het doorgeven van telefoongespreken en sms'jes, het verrekenen van roamingkosten en het uitwisselen van gegevens over abonnees tussen servers. De ss7-protocollen bevat echter nauwelijks authenticatie en plausibility checks, zo was al langer bekend.

Om iemands locatie te achterhalen moet een gebruiker bepaalde ss7-commando's naar de servers van andere telecomproviders versturen. Ss7 is eigenlijk alleen bedoeld voor communicatie tussen telecomproviders, maar er zijn meerdere manieren om toegang te krijgen. Om toegang te krijgen is een global title nodig, een identificatienummer dat vergelijkbaar is met een ip-adres. Zo'n global title kan bij bepaalde telecomproviders worden gekocht, maar een aanvaller kan ook een femtocell kraken of een slecht beveiligde server van een telecomprovider binnendringen.

Vervolgens kan een aanvaller achterhalen met welke zendmast de gebruiker die hij wil volgen verbonden is. Die zendmasten hebben unieke nummers; enkel het nummer van de zendmast is nodig om te achterhalen waar iemand ongeveer is. Er bestaan namelijk commerciële databases die de nummers van zendmasten aan locaties koppelen. "Zeker in steden, waar zendmasten vaak dichtbij zijn, kun je iemand op straatniveau volgen", aldus onderzoeker Engel.

In de praktijk wordt de methode ook gebruikt, stelt Engel. De onderzoeker werkte samen met een Duitse provider om de kwestie te onderzoeken, en ontdekte dat een vervoersbedrijf er zijn auto's mee volgde. Er zijn zelfs commerciële bedrijven die de mogelijkheid aanbieden om iemands locatie te achterhalen met enkel de kennis van iemands telefoonnummer.

Volgens Engel is het mogelijk om op dezelfde wijze andere commando's naar de server van de provider te sturen waarmee een denial of service kan worden uitgevoerd: zo kan de abonnee helemaal van de server worden verwijderd. Ernstiger is de mogelijkheid om gesprekken te 'kapen': een aanvaller kan de server opdracht geven om gesprekken door te sturen, zodat hij ze bijvoorbeeld kan opnemen. Ook sms'jes kunnen worden onderschept. "Dit gebeurt in de praktijk", beweert Engel, die deze kwetsbaarheid eerder al uit de doeken deed tegenover de Washington Post. Tot slot kan een gebruiker de telefoonnummers van telefoniegebruikers in zijn omgeving achterhalen, al is daar wel speciale apparatuur voor nodig, zoals een osmocom-telefoon.

De komst van 4g gaat de problemen met ss7 niet oplossen, aldus Engel. Zo zou Diameter, dat bij 4g het equivalent van ss7 is, veel problemen van ss7 alsnog bevatten. Ook wordt telefonie over 2g en 3g nog wel even ondersteund, denkt Engel.

Volgens Engel moeten telecomproviders een aantal maatregelen treffen om te voorkomen dat hun abonnees kwetsbaar zijn. Tegelijk, zo zei hij eerder, kunnen providers zichelf niet helemaal wapenen: ze zullen ss7 moeten ondersteunen om met andere providers te kunnen communiceren. Gebruikers kunnen eveneens weinig doen, behalve hun telecomprovider om maatregelen vragen en het weggooien van hun telefoon, aldus Engel.

Het is niet de eerste keer dat er kwetsbaarheden in ss7 worden gevonden. Zo kunnen op kwetsbare netwerken encryptiesleutels worden achterhaald die worden gebruikt voor het versleutelen van gesprekken. Later op zaterdag introduceren beveiligingsonderzoekers Laurent Ghigonis en Alexandre De Oliveira eveneens op de CCC-conferentie een tool waarmee gebruikers kunnen zien hoe kwetsbaar telefonienetwerken in een bepaald land voor bekende problemen met ss7 zijn. "We mogen niet per provider uitsplitsen hoe kwetsbaar de providers zijn, want dan krijgen we ruzie met de regulatoren", aldus De Oliveira tegenover Tweakers. Als de providers hun leven echter niet beteren, maken de beveiligingsonderzoekers de namen van de kwetsbare operatoren wel bekend.

Uit de tool blijkt dat alle onderzochte Nederlandse operatoren kwetsbaar waren voor aanvallen. Een van de providers was zelfs ernstig kwetsbaar. Het is niet bekend welke operators kwetsbaar zijn of welke providers zijn onderzocht. Volgens de tool telt Nederland overigens in totaal zeven operatoren; het lijkt er daarom op dat ook een aantal virtuele operators wordt meegeteld. Sommige virtuele providers hebben, los van de zendmasten, eigen infrastructuur die via ss7 communiceert.

ss7map

IT-banen

Reacties (45)

donny007 27 december 2014 18:10

Waarom worden de gevoeligere SS7 commando's niet gewoon afgeschermd met een extra beveiliging? Ik kan me voorstellen dat de 112 meldkamers wel een locatieping uit moeten kunnen voeren, die geef je dan toegang tot de commando's die daarvoor nodig zijn. Voor de rest zet je ze gewoon dicht.

[Reactie gewijzigd door donny007 op 24 juli 2024 07:25]

280562 @donny007 • 27 december 2014 18:51

Waarom ... ?

SS7 is techniek uit de jaren zeventig. De standaard werd gedefinieerd in 1980.
https://en.wikipedia.org/...ling_System_No._7#History
Wat verwacht je van zoiets ?

Bovendien hebben we het hier over telefoon, en telefoonmaatschappijen.
Dat is dubbel de definitie van zwaar k$*%&^t.

Telefoonmaatschappijen zijn nooit, maar dan ook echt nooit, geinteresseerd geweest in het verbeteren van techniek, veiligheid, kosten, privacy, snelheid, features, of wat dan ook. Telefoonmaatschappijen zijn enkel en alleen geinteresseerd in zo veel mogelijk geld verdienen. Als ze 3% meer winst zouden kunnen maken door iedereen slechts 1x per week te laten bellen, dan deden ze dat direct. Als ze 3% meer winst zouden kunnen maken door telefonie een "premium service" te maken die enkel 10% van de burgers zich zou kunnen veroorloven, dan deden ze dat direct.

De meest waardevolle techniek van telefoonmaatschappijen om hun concurrentiepositie te verbeteren en hun winst te verhogen zijn:
1) lobbyisten
2) advocaten
3) verder niks. techniek is een kostenpost voor ze. interesseert ze helemaal niks.

Als er soms een concurrent opstaat die een bedreiging is, of een techniek komt die vernieuwend is, dan pakken ze dat op de ultieme kapitalische manier aan: ze kopen de nieuwe concurrent op. Prijzen verlagen of techniek verbeteren vinden ze maar een heilloos iets.

Bewijs: alle Nederlandse en Amerikaanse ISPs die in de jaren negentig opstonden om de telefoonmaatschappijen aan te vallen, ze zijn allemaal opgekocht door de oude garde. 40+ Jaar van woekerwinsten en monopolieposities heeft de oude garde zo'n financiele reserves en macht gegeven dat ze iedere concurrent gewoonweg op konden kopen.

Ik kan je garanderen dat als telefoonmaatschappijen over de problemen met SS7 horen, het eerste en het enige wat ze denken is: bellen met de advocaten om zeker te zijn dat niemand ze iets kan maken. Lek dichten, techniek verbeteren, het zal ze allemaal hun reet roesten.

[Reactie gewijzigd door 280562 op 24 juli 2024 07:25]

Adion

@280562 • 27 december 2014 21:01

Telefoonmaatschappijen zijn nooit, maar dan ook echt nooit, geinteresseerd geweest in het verbeteren van techniek, veiligheid, kosten, privacy, snelheid, features, of wat dan ook.

Ik kan niet echt zeggen dat dat blijkt uit hun acties dan...
Voor internet-toegang zijn we in 30 jaar van enkele kilobaud-modems naar 500mbps internet gegaan, waar de achterliggende technieken zeer regelmatig bijgewerkt zijn, waar enorme investeringen in het netwerk zijn nodig geweest (glasvezel-backbones door heel het land aanleggen, en nu zelfs tot het huis van de klant)
Over mobiele telefonie kan hetzelfde gezegd worden, een enorme infrastructuur die van onbestaand tot zowat overal streaming video kunnen bekijken is uitgegroeid in slechts enkele decennia. Ook hier kan zowat elke paar jaar alle apparatuur vervangen worden om hierin mee te kunnen.

280562 @Adion • 28 december 2014 05:10

Voor internet-toegang zijn we in 30 jaar van enkele kilobaud-modems naar 500mbps internet gegaan

Je moet wel beseffen dat dat niet aan de PTTs en Telecoms ligt. Die gaven ons X.25. Erg duur, erg inefficient, en erg langzaam. Hun idee van "breedband" was iedereen ISDN te geven, 2 kanalen van 64 Kbps ieder. En dan betalen per minuut. Daar hadden we dan vanaf eind jaren tachtig nog 20 jaar mee moeten doen.

Je moet je eens afvragen waarom je voor 15 tot 30 euro in de maand, zonder problemen 10 Gigabyte de hele wereld kan oversturen. Email, ftp, torrents, usenet, netflix. Maakt allemaal niks uit. 20, 50 of zelfs 100 Gigabyte. Maar als je een SMS stuurt, van max 140 bytes, betaalde je jaren lang 25 cent ! Nu soms nog. Terwijl het duidelijk is dat de werkelijke onderliggende kost dicht bij de nul cent liggen. De meeste Telcos wereldwijde hebben nu een IP-only netwerk waar ze zowel voice als data over doen. Je data kost bijna niks, maar je betaal nog steeds 3-20 cent per minuut als je wilt praten. Waarom ? Niet vanwege techniek. Niet vanwege concurrentie. Enkel omdat de Telcos er mee wegkomen. Omdat ze een gezamelijk monopolie op telefoonnummers hebben. Ik kan makkelijk technieken verzinnen om telefoneren flexibeler, goedkoper en onafhankelijker te maken. Maar die techieken zullen nooit aanvaard worden. Vanwege "winst > vooruitgang". En als ik moeilijk ga doen, dan krijg ik advocaten op mijn dak. En wetgeving die me alles onmogelijk zal maken.

Moet je eens in je dorp zelf glasvezel proberen aan te leggen voor je buurtje. Moet je eens zien hoe snel je advocaten op je dak hebt.

Spectaculous @280562 • 27 december 2014 19:04

Jij hebt wel een negatieve kijk op dit, sorry dat ik het zeg. Tuurlijk willen telecom providers winst maken, net als 99.9% van alle bedrijven.

Tuurlijk wordt er gelobbyd, als het om dergelijke bedragen gaat gebeurt dat, maar techniek interesseert ze genoeg om 4g in te zetten. Ik snap dat dit wordt gedaan om de concurrentie positie te bevorderen, maar dat is een beetje het idee van de vrije markt. Er moet concurrentie zijn zodat je gestimuleerd wordt iets beter te doen.

Deze bedrijven zijn echt niet heilig hoor, en de vrije markt is ook geen perfect iets, en misschien dat er wel betere manieren zijn ik weet het niet, maar dat zijn dingen die niemand met zekerheid kan zeggen en dit systeem lijkt toch aardig te werken. Als ik er soms lang rijd zie ik ze bij de voedselbank nog met een iPhone 6 lopen, terwijl ik nog met een "oud ding" rondloop, wat ik overigens helemaal geen probleem vind, dus de hele telefoon markt is blijkbaar toch betaalbaar.

Anoniem: 467883 @Spectaculous • 28 december 2014 02:38

Deze bedrijven zijn echt niet heilig hoor, en de vrije markt is ook geen perfect iets, en misschien dat er wel betere manieren zijn ik weet het niet, ...

De enige oplossing is een overheid die voldoende achter de belangen van de burger staat en met voldoende wetgeving en adequate handhaving reguleert.

Jammer genoeg hebben we op dit moment een vrij rechts georienteerde regering met een zwakke linkse tegenhanger die juist voor deregulering pleit en de vrije markt als "heilig" beschouwd. (en ondertussen de bevolking steeds meer begint te onderdrukken om onvrede de kop in te drukken) En de meerderheid van "de burgers" is gewoon dom. Zelfs na de kredietcrises kozen "we" de VVD als grootste partij terwijl juist onvoldoende wetgeving en handhaving van bedrijven ten grondslag lag aan de crises.

280562 @Anoniem: 467883 • 28 december 2014 05:13

VVD, PvdA, CDA of D'66, het maakt allemaal niks uit. En ik denk niet dat de PVV zich anders zal gedragen. Bijna al die kamerleden en ministers hopen na hun 8-12 jaar kamerlidschap ergens een leuk baantje te krijgen. Decoratief, of als lobbyist. Als beloning voor bewezen diensten. Dus die gaan nu niet dwarsliggen als grote bedrijven iets willen. Het is een hopeloze zaak.

trisje @280562 • 28 december 2014 17:45

Nou ik zou zeggen los het op en richt een partij op en maak van Nederhand een leefbaar land. De verschrikking die we nu moeten mee maken met de huidige partijen dat kan niet langer. Beetje populistisch lullen en je hebt zo een paar zetels. Ik denk dat veel mensen die in de kamer zitten en vooral die minister zijn een beter betaalde baan kunnen vinden buiten de kamer. Maar toch ambiëren ze een politieke functie. en na bijvoorbeeld 12 jaar zijn de banen die ze aannemen verre van decoratief. Je hebt echt geen idee wat het inhoud. of ben jij er zo ene die denkt dat de gene die boven jou zit niks uitvoert. Ik word altijd zo sacherijnig van kader staanders.

gjmi @donny007 • 27 december 2014 18:38

Misschien gaan ze dat ook nog wel doen, maar dat gaat niet van vandaag op morgen omdat dan alle computers van alle telecom providers over moeten.

SuBBaSS 27 december 2014 20:16

Nou gaat dit artikel/onderzoek wel makkelijk over 1 heel belangrijk punt heen en dat is dat de hacker/provider zelf wel moet weten met wie ze te maken hebben.
Het is bijv. nog steeds mogelijk om een (*bliep) simkaartje te kopen zonder dat ergens geregistreerd is dat JIJ die hebt aangeschaft.
In dat geval zit de hacker/overheid dus alleen met info over de locatie van een nummer, niet van een persoon.

Vraag me alleen af waarom er nog steeds op techniek uit de jaren 70 vertrouwd wordt terwijl de technieken totaal zijn veranderd met oa. VoIP ipv de traditionele kpn POTS aansluiting met die parkeerkosten (vastrecht) eraan vast. Je zou denken dat de providers zodoende meerdere momenten om dit aan te passen aan zich voorbij hebben laten gaan. Maar goed, er lijkt in ieder geval concensus te zijn in deze thread over het uiteindelijke doel van providers: geld verdienen. Dat ze dit soort missers liever onder de tafel gehouden zouden hebben lijkt dan ook duidelijk.
Ik begin onderhand bijna te verlangen naar een provider die de privacy van de klanten als usp voert. Maar ergens vermoed ik dat "bepaalde krachten" zoiets nooit toe zullen staan.
Het komt de overheid (helemaal in de rol van hacker) natuurlijk absoluut niet slecht uit dat deze mogelijkheid blijft bestaan voor ze.

aileron @SuBBaSS • 28 december 2014 13:37

In dat geval zit de hacker/overheid dus alleen met info over de locatie van een nummer, niet van een persoon.

Hoe lang denk je dat het duurt voor dat de overheid een nummer aan een persoon kan koppelen. Hoeveel keer zul jij met je persoonlijke OV chipkaart moeten in en uitchecken dat men je nummer aan je persoon kunnen koppelen?
Hoeveel kilometer moet je in een auto rijden dat je nummer aan je auto is te koppelen?
Hoe vaak moet een zelfde persoon vlak bij jouw zijn op verschillende locaties dat deze persoon aan jouw kan gekoppeld kan worden als iemand die jij kent?

Dit is dus de kracht van metadata, en dan ben ik maar een simpele tweaker die even drie voorbeelden "from the top of my head" weet te verzinnen. Wie weet wat voor veel slimmere methoden er zijn om dit te doen.

SuBBaSS @aileron • 28 december 2014 15:34

Het is inderdaad allemaal mogelijk zoals je stelt, maar je gaat hierbij schijnbaar niet uit van iemand die dat bewust probeert te voorkomen. Daar ga ik in mijn post wel van uit.
Hoe lang het duurt voor de overheid zoiets kan koppelen is momenteel voor jou en mij meer een vraag dan een "weet". Die koppeling kan echter alleen gelegd worden als degene van wie het (anoniem aangeschafte-) nummer dit bijv. aan facebook koppelt of via andere wegen op internet achterlaat. Dat is iets waar iemand die zich er bewust mee bezig houdt niet logisch. Net zoals het onlogisch is dat je dan bijv. locatiebepaling op je telefoon aan laat staan. Een ov-chipkaart op naam is voor zo iemand natuurlijk al helemaal not done, dat lijkt me duidelijk.
Het voorbeeld van de auto is er inderdaad eentje die mogelijk zou zijn, maar gaat al minder op voor lease-/poolauto's en al helemaal niet voor mensen die geen auto gebruiken. Als je nooit aangehouden wordt, geen parkeerkaartjes via je mobiele nummer koopt of bijv. bij de McDrive gaat pinnen is de kans dat het te koppelen is een stuk kleiner.

Je laatste voorbeeld zou een mooie uitdaging voor zo iemand zijn; het gaat in dat geval wel erg richting oldschool-spionnenwerk. Die kans lijkt me wel heel erg klein; om daarvoor in aanmerking te komen moet je wel heel erg interessant voor bepaalde "diensten" zijn en hoewel het in deze discussie af en toe wel eens de verkeerde kant op lijkt te gaan is het mi. nog altijd zo dat iemand die z'n best doet om z'n privacy te beschermen niet meteen een crimineel is die via zulke wegen ge-/ (ver-?)volgd dient te worden.

Overigens vermoed ik niet dat onze overheid al zover is dat ze met zulke meta-data raad weten. Zelfs met zaken die echt prioriteit hebben zoals bijv. het belastingsysteem wordt de ene (ict-)flater na de andere geslagen. Om het over de rest van de geslaagde ict-projecten van vadertje staat maar niet te hebben....
Maar goed, dat is nu. Zodoende lijkt het me zaak om bij elk (al dan niet: klein) stapje op het gebied van inleveren van privacy zeer kritisch te zijn en "het grote plaatje" te blijven zien.
Als je je er nu pas druk over gaat maken maar al wel jaren "het internet" met je persoonlijke data gevoerd hebt dan is het een stuk lastiger om dat terug te kunnen draaien dunkt mij.

[Reactie gewijzigd door SuBBaSS op 24 juli 2024 07:25]

Reptile209 @SuBBaSS • 28 december 2014 16:11

Ik denk dat een overheid - met onbeperkte toegang tot allerlei databases - vrij snel een nummer aan een persoon kan koppelen.

Voorbeeldje: nummer wordt gezien in mijn woonwijk en later die dag in de wijk waar ik werk. En dat een paar dagen achtereen. Als je de GBA koppelt met de belastingdienst, heb je zo een shortlist van - gok ik - nog geen 10 mensen die hier in Voorschoten wonen en in Den Haag in een bepaald gebied werken. Combineer dat met wat echte surveillance of nog meer data en je pikt me er zo uit. Bijvoorbeeld de combi van een trajectcontrole met gsm data en de eerder gemaakte shortlist. Of met pintransacties bij een supermarkt. Of je locatie komt regelmatig overeen met je reguliere sim die je niet probeert te verbergen. Of met die van je vrouw...

Je kan je wel een tijd verbergen en het moeilijk maken, maar je gaat hier natuurlijk een keer op nat. Of je moet je telefoon altijd uitzetten, maar dat gaat een beetje tegen het nut van een mobiele telefoon in. Of dagelijks een andere sim, maar mensen moeten jou vast ook kunnen bereiken dus moeten ze je nummer op een of andere manier weten. En als jij met wisselende sims elke dag de baas van je dubieuze organisatie op hetzelfde nummer belt, dan gaat dat een vlag worden om jou te vinden.

/alu hoedje

[Reactie gewijzigd door Reptile209 op 24 juli 2024 07:25]

dehardstyler 27 december 2014 18:10

Het is al veel langer bekend, maar ik heb het idee dat het de providers weinig tot niks kan schelen. De overheid vind dit natuurlijk schitterend.

dasiro @dehardstyler • 27 december 2014 18:42

het is een protocol dat nog uit de jaren 80 voortkomt en net zoals TCP/IP op bepaalde vlakken niet is ontworpen met security in het achterhoofd. Het is momenteel zo wijdverspreid dat het niet zomaar op 1, 2, 3 aan te passen of te vervangen is. Vandaag de dag is het zelfs zo dat er amper nog nieuwe universele protocollen opduiken, omdat elke fabrikant of land wel zijn eigen versie wil ontwikkelen en niet happig is om die van een ander te gebruiken, ondanks standaardiseringsauthoriteiten, of eerder dankzij hen omdat er voor bepaalde communicatietypes verschillende protocollen worden aanvaard en er dus per definitie niet meer kan worden gesproken van een standaard.

dehardstyler @dasiro • 27 december 2014 20:05

Als iedereen het belangrijk had gevonden, was het al lang geregeld. Maar de overheid ziet er niks in en de providers moeten er geld aanbesteden wat ze niet terug verdienen, dus blijft het innoveren uit.

trisje @dehardstyler • 28 december 2014 17:33

Ja want het is de schuld van de overheid, dat de providers de software gebruiken en niet updaten of beveiligen ?
Ik vind het eigenlijk de schuld van de gebruikers van de telefoon, zei doen er ook niks aan want dat kost moeite.
Lekker klagen op de overheid in een van de welvarendste en veiligste land van de wereld. (allemaal de schuld van de overheid natuurlijk). is toch een stuk makkelijker en ja iedereen knikt met je mee. Want even zelf nadenken wordt weer moeilijk en ja iedereen is het dan oneens met je, want de overheid is toch echt de schuldige en moet het oplossen.

dehardstyler @trisje • 29 december 2014 01:26

Het is niet direct de schuld van de overheid, maar indirect zeker wel. De overheid kan bedrijven op de vingers tikken en eventueel verdere maatregelen nemen. De overheid zorgt er toch voor dat de wetten nageleefd worden?

"In artikel 11.2 van de Telecomwet, wordt beschreven dat de aanbieders in het belang van de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers passende technische en organisatorische maatregelen moeten nemen ten behoeve van de veiligheid en beveiliging van de door hen aangeboden netwerken en diensten. Abonnees moeten hierover worden geïnformeerd. Daarbij dient vermeld te worden welke risico’s het bedrijf eventueel kan lopen en hoe deze worden tegengegaan."

Verder in artikel 18.13:

"Onverminderd het overigens bij of krachtens deze wet bepaalde worden de bij of krachtens deze wet te nemen maatregelen en regels genomen met inachtneming van het belang van de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer alsmede de bescherming van het brief-, telefoon- en telegraafgeheim en het geheim van daarmee vergelijkbare communicatietechnieken.
2. Onverminderd het overigens bij of krachtens deze wet bepaalde is het eerste lid van overeenkomstige toepassing op de bedrijfsvoering door aanbieders van openbare elektronische communicatienetwerken of openbare elektronische communicatiediensten."

Als bedrijven dus geen passende technische en organisatorische maatregelen nemen ten behoeve van de veiligheid en beveiliging van de door hen aangeboden netwerken en diensten, zijn zij in principe in overtreding. Ik denk dat een zeer verouderd protocol gebruiken ( minimaal 30 jaar oud), waarvan bekend is dat het aftapbaar is door derden, geen passende technische maatregel is.

Verder geef jij aan dat volgens jou de gebruiker schuldig is aan dit probleem. Ik vind dit een zeer opmerkelijke conclusie. Ik denk dat ik wel kan aannemen dat 99% van de Nederlandse telefoon gebruikers niet weten wat ss7 is, waar het voor dient en al helemaal niet dat het gebruik van dit protocol het potentieel mogelijk maakt om bijvoorbeeld zijn/haar locatie te achterhalen. Dit is natuurlijk helemaal geen informatie waar derden toegang toe zouden moeten hebben!

Voor de toekomst zijn er al plannen om bedrijven meer verantwoordelijk te maken voor onder andere de veiligheid van het communicatienetwerk op Europees niveau. Mocht iemand geïnteresseerd zijn: General Data Protection Regulation. ( wiki link: http://en.m.wikipedia.org...ata_Protection_Regulation Maar dit zijn nog plannen!

[Reactie gewijzigd door dehardstyler op 24 juli 2024 07:25]

trisje @dehardstyler • 29 december 2014 13:03

Wat ik bedoel met dat de gebruiker de schuldige is niet dat ze direct schuldig zijn, maar indirect toch zeker. zij zijn het die het laten gebeuren, Want wat heb je er tot nu toe aan gedaan, anders dan wijze naar de overheid. ?
Ook heeft u zelf niet nagegaan of de dienst wel veilig is, u gaat er gewoon vanuit dat het zo is. echter enkelen onderzoekers doen dit wel en informerende telecom bedrijven, ook hebben de bedrijven hun interessen getoond en willen ze dit oplossen.

Overigens spreekt u uw zelf tegen. De artikelen die u noemt zijn het bewijs dat de overheid wel degelijk iets doet. Het is niet aan de overheid om de wet te handhaven, daar hebben we het OM voor. (OM is niet de overheid). of de politie daar kan ieder aangiften doen als hij dat nodig vindt.
De overheid is de gene die de wetten maakt. Als de wetten niet voldoen kan de overheid deze aanpassen.

dasiro @dehardstyler • 27 december 2014 20:35

inderdaad, er zijn maar een paar mensen die er wakker van liggen en voor die paar gaat niet de hele telecomindustrie veranderen. Sneu als je een van die paar bent, geen wolkje aan de lucht voor de rest van de bevolking

xxxneoxxx @dehardstyler • 28 december 2014 15:35

Ik denk dat de overheid graag gebruik maakt van zulke "features" want "terrorisme" en "kinderporno". Niet dat ze de mankracht hebben om uberhaubt mensen in te zetten om zulke zaken aan te pakken (iedere Nederlandse automobilist weet immers waar de prio van onze overheid ligt - en nee, dat heeft niet te maken met veiligheid) maar ze vinden het maar wat handig als ze zelf evt gebruik kunnen maken van zulke mogelijkheden.

arbraxas @dehardstyler • 27 december 2014 18:30

Mijn idee was "its a feature, not a bug"

ShellGhost 27 december 2014 18:16

nieuws: 'Mobiele gesprekken en sms'jes eenvoudig te tappen door buggy ss7-protocol'
Niet echt een verbazingwekkend nieuwe ontwikkeling gezien eerder nieuws omtrent SS7.

Kiswum @ShellGhost • 27 december 2014 18:25

Ik zie zelf ook meer overeenkomsten dan verschillen in deze 2 berichten

Anoniem: 174590 @ShellGhost • 28 december 2014 14:22

Als u de laatste alinea leest, kunt u zien dat het genoemde artikel een opwarmertje is voor de lezing waar dit artikel het gevolg van is. Het volgende artikel gaat ook over hetzelfde onderwerp en wordt in dit artikel in feite al genoemd.
Geen nieuws dus.

Anoniem: 172410 27 december 2014 18:16

Dit zijn zorgwekkende signalen met potentieel enorme consequenties. Niet alleen de IT-veiligheid is hiermee in het geding; als je de fysieke locatie van iemand kunt achterhalen is het niet moeilijk voor te stellen hoe zoiets kan helpen bij andere criminaliteit. Bij publieke personenen kan dit een enorm beveiligingsprobleem zijn, denk aan een bekende Nederlander die dag en nacht gevolgd kan worden met alle risico's voor zijn persoon van dien, maar ook voor de gewone man met de pet, waarvan een inbreker met enig gemak kan zien of iemand in de buurt van zijn huis is. Geen denkbeeldige situatie in een samenleving waar de Quote 500-lijst wordt gebruikt als inbrekersvoer en adressen op labels op het vliegveld worden gebruikt om te weten wie thuis is en wie niet.

Mocht dit aantoonbaar misgaan lijkt het me niet onredelijk de betreffende provider deels aansprakelijk te stellen voor de gevolgen van het incident. Het zal waarschijnlijk helaas een keer goed mis moeten gaat voordat hier iets aan gaat veranderen.

4x4 @Anoniem: 172410 • 28 december 2014 14:30

Er zal alleen iets ondernomen worden als een hoge piet er in negatieve zin mee te maken krijgt.

Het gewone volk is niks waard in de ogen van de figuren die het voor het zeggen hebben.

461943 27 december 2014 18:17

Goh, wat een verassing. Dat wisten we al lang, net zoals dat we weten dat daar door de overheid misbruik van gemaakt word.

Anoniem: 174590 @461943 • 28 december 2014 14:26

Echter heeft die overheid dit systeem niet nodig. Ook wanneer dit systeem goed was beveiligd had de overheid toegang gehad, telefonieproviders zijn wettelijk verplicht de overheid toegang te (kunnen) geven tot alle communicatie.

Anoniem: 390704 27 december 2014 18:18

SS7 aka C7 (om politiek-gevoelige reacties te vermijden).

SS7 / C7 is ontwikkeld in de 80's, toen de telecomwereld nog netjes bestond uit één operator per land, met allerlei heren die elkaar vertrouwden. Dus minder aandacht voor security.

De 80's was natuurlijk ook de tijd van "Gratis Bellen vanuit Cellen", ofwel hacktic. En dat is een voorbeeld
hoe slecht telecomsystemen en -protocollen uit die tijd beveiligd waren.

Anoniem: 120539 @Anoniem: 390704 • 27 december 2014 18:43

Gratis bellen vanuit een telefooncel was vooral gebaseerd op gebrekkige hardware; Er werd vanuit gegaan dat je de draaischijf nodig had om te bellen, deze werkte dan ook alleen na het inwerpen van een kwartje. De lijn zelf was niet geblokkeerd.
Als je 'op andere wijze' de verbinding kon opzetten (met een kastje (of horloge!) dat de juiste tonen genereerde) werkte dat dus gewoon.
Het grappige was dat de telefoon geen kwartjes vond, je ook nooit met je laatste kwartje bezig was en de verbinding altijd bleef bestaan.

Had dus niet met de beveiliging van de centrales te maken.

Collen 28 december 2014 11:26

Jaja, ik lees: Providers delen prive gegevens van klanten onderling.
Heerlijk hoe er weer met de privacy word omgesprongen..

r_j @Collen • 28 december 2014 14:16

Dat is altijd al zo geweest zodra je roamt. Het HLR (Home Location Register) wordt gekopieerd naar de provider waarmee je op dat moment bent verbonden..

ignitem 27 december 2014 18:15

De streams van Chaos Communication Congress 2014 dat tot 30 december duurt zijn live te bekijken op streaming.media.ccc.de.

De agenda staat op events.ccc.de/congress/2014/Fahrplan/schedule.html

johnkeates 27 december 2014 18:15

Dit is inderdaad al een tijdje bekend. Het probleem was ook voornamelijk dat net als met de meeste obscure technologie het veel geld en tijd kost om het te vervangen, en het ook alleen maar werkt als alle operators het tegelijk doen. Als je backwards compatibility inbouwt in een opvolger zijn er zat operators die dan kiezen om lekker niet up te graden, want het werkt toch wel en niemand weet het. Nu is het wat meer publiekelijk bekend, maar dat betekent nog niet dat het opgelost wordt, en zelfs als het opgelost wordt is dit ook echt niet het enige of het laatste geval waarbij een crappy techniek nog in productie draait.

Zolang er geen geld verdiend of bespaard kan worden aan een wijziging wordt er gewoon niks gewijzigd.

Op dit item kan niet meer gereageerd worden.

'Locatie mobiele telefoons eenvoudig te achterhalen via ss7'

Lees meer

IT-banen

Reacties (45)

Sorteer op:

Weergave: