Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'NSA kan mobiele communicatie afluisteren door stelen encryptiesleutels'

De NSA zou in staat zijn om mobiele communicatie af te luisteren doordat het encryptiesleutels heeft gestolen bij het Nederlandse bedrijf Gemalto, zo zou blijken uit documenten. In samenwerking met het Britse GCHQ zouden miljoenen encryptiesleutels zijn gestolen.

De documenten zijn verstrekt door Edward Snowden en ingezien door The Intercept. Volgens de site is de NSA in samenwerking met het Britse GCHQ binnengedrongen op de computersystemen van Gemalto, een bedrijf dat zijn hoofdkantoor in Amsterdam heeft staan en onder andere simkaarten produceert. In Nederland maken T-Mobile en Vodafone gebruik van simkaarten van Gemalto.

Door binnen te dringen op de computersystemen konden encryptiesleutels voor het ontsleutelen van mobiel communicatieverkeer worden buitgemaakt. Daardoor is het onder andere mogelijk om spraakgesprekken af te luisteren, maar ook dataverkeer, zo stelt The Intercept. Het bezitten van de encryptiesleutels maakt het voor de veiligheidsdiensten gemakkelijker om mensen te bespioneren: door het verkeer te ontsleutelen hoeven zij geen aanvraag in te dienen bij telecomproviders om de communicatie te kunnen ontcijferen.

De hack lijkt de NSA en GCHQ vergaande toegang te hebben gegeven tot mobiel verkeer. Naast het afluisteren van spraak en dataverkeer zouden de veiligheidsdiensten ook toegang hebben gekregen tot de servers die telecomproviders gebruiken om klantenfacturen op te stellen. Die konden zo gemanipuleerd worden dat de inbraak op de telefoon van een individu niet terug te leiden was voor de provider en dus ook niet op de rekening verscheen.

Waarschijnlijk worden de encryptiesleutels vooral gebruikt om verkeer via 3g of 4g af te luisteren. De beveiliging bij technieken uit deze generaties is aanzienlijk verbeterd ten opzichte van 2g, waarvan al een aantal keer is gebleken dat deze gehackt kan worden. Door gebruik te maken van de sleutels hoeft de beveiliging niet gekraakt te worden.

Gemalto is een van 's werelds grootste simkaartfabrikanten. Het bedrijf maakt er elk jaar zo'n 2 miljard. Paul Beverly, topman bij Gemalto, liet weten dat zijn bedrijf geen idee had dat de veiligheidsdiensten waren binnengedrongen. Beverly stelt uit te zoeken hoe de hack is uitgevoerd, maar dat er voorlopig nog geen sporen van inbraak zijn gevonden. Uit de documenten die The Intercept heeft ingezien blijkt dat de veiligheidsdiensten toegang hadden tot het volledige computernetwerk van Gemalto. De computers van het bedrijf zouden zijn geïnfiltreerd met malware. Dat hier geen spoor meer van is terug te vinden doet vermoeden dat het om geraffineerde software gaat.

Volgens de documenten van Snowden verschaften de spionnen zich toegang tot de e-mailaccounts en interne communicatie van Gemalto-medewerkers in hun zoektocht naar encryptiesleutels. Er werden scripts geschreven om communicatie te vergaren, waarbij de belangrijkste medewerkers het doelwit werden. Uiteindelijk werd zo communicatie onderschept tussen telecomproviders en Gemalto: het bleek dat medewerkers de encryptiesleutels die bestemd waren voor providers veelal via e-mail of ftp verzonden. Dat ging vaak gepaard met gebrekkige beveiliging, of juist helemaal geen beveiliging. Daardoor waren ze voor de NSA en GCHQ gemakkelijk te verzamelen.

Tweede-Kamerlid Gerard Schouw van D66 liet in een reactie aan The Intercept weten ontsteld te zijn over de hack. Hij wil uit laten zoeken of de AIVD op de hoogte was van de inbraak bij Gemalto. Ook wil hij dat de Nederlandse overheid met een verklaring komt.

Volgens The Intercept zijn de documenten afkomstig uit 2010, waardoor het aannemelijk is dat de veiligheidsdiensten al jarenlang versleuteld mobiel verkeer kunnen afluisteren. In de documenten wordt melding gemaakt van het Mobile Handset Exploitation Team. Het team, bestaande uit medewerkers van de NSA en GCHQ, had als voornaamste doel om in te breken bij simkaartfabrikanten.

Gemalto produceert voor ongeveer 450 klanten simkaarten. Daarbij zitten onder andere grote telecomproviders zoals AT&T en Verizon. Daardoor is het aannemelijk dat de veiligheidsdiensten een groot deel van de wereldwijde mobiele communicatie kunnen afluisteren. Hoe groot de impact precies is, is niet geheel duidelijk.

Door

Admin Mobile / Nieuwsposter

211 Linkedin Google+

Reacties (211)

Wijzig sortering
Privacy is helemaal niet opgeblazen fenomeen, privacy is een grondrecht, wat echt zo fundamenteel is dat je het af en toe vergeet. Doe jij de deur dicht bij de WC of niet? Als je met ja antwoordt, en dat doet iedereen, dan snap je het. Het staat niet voor niets in de grondwet (hoofdstuk 1, artikel 10: Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer.)

Door technologische vooruitgang en onder druk van overheden, veiligheidsdiensten en derde partijen die belang hebben bij jouw gegevens, zijn we een hoop privacy kwijtgeraakt in zeer korte tijd. Neem het "briefgeheim" dat vroeger bestond, dat zijn we kwijtgeraakt met email (in de huidige vorm). Dat neemt niet weg dat we ervoor moeten vechten, om dat recht terug te winnen. Dit wordt echter tegengewerkt door die bovenstaande instanties, je wordt bijv. als terrorist gekwalificeerd als je TOR gebruikt; VPN wordt verboden in China, etc. Een zeer kwalijke zaak.

Mensen die hun privacy niet lijken te waarderen, stuur ik deze link, lijkt me voldoende: http://falkvinge.net/2012...-to-hide-nothing-to-fear/.
Zonder de bedoeling om offensief over te komen, wil ik je toch vragen om je te onthouden van discussies waar je de essentie niet van snapt.

Het gaat er niet om dt er altijd al spionage en informatievergaring is gebeurd. Het gaat er wel om dat de schaal, reikwijdte, verwerkingsmogelijkheden en kost een proportie hebben bereikt die schadelijk is voor de maatschappij. Dit komt omdat:
- informatie meer en meer vergaard wordt. Je komt dagelijks hopen camera's tegen, je telefoon, internetgebruik, bonuskaart bij de winkel, ... laten tonnen informatie achter. Elke dag groeit de berg data en elke dag komen er meer mogelijkheden bij. De IoT zal hier een gigantische boost aan geven.
- informatie meer en meer gekoppeld wordt. Een bonuskaart op zich geeft 1 partij inzicht een 1 aspect van jouw leven. Wanneer je dit koppelt aan alle andere gegevens heb je de mogelijkheid om een profiel op te bouwen waarmee je de persoon beter kent dan hijzelf.
- het gebruik van big data analytics zaken blootlegt die we zelfs nooit hadden durven vermoeden. Uit die hopen data halen ze dus mr data dan er eigenlijk met het blote oog te zien is. Misschien kunnen ze uit je gecombineerd koop en leefgedrag afleiden of je radicaliseert, maar misschien ook wel of je vreemdgaat.
- de kost voor dit alles wordt kleiner en kleiner. De wet van Moore speelt dit fenomeen in de hand.

Met andere woorden, vroeger had je een 'spion' en die moest jarenlang infiltreren om wat gegevens te krijgen. Vroeger had je mss een dorpsklikspaan. Beide zagen echter een zeer klein deel van wat gebeurt. Alle data moest manueel verzameld en verwerkt worden. Dit alles zorgt dat de kost van het systeem groot is en de verzamelende dienst dus best zeer selectief en gericht tewerk gaat.
Nu echter, is de data-berg gigantisch, is de verwerkingskost laag, met als gevolg dat iedereen alles verzamelt, koppelt en analyseert op de grootst denkbare schaal.

Jij denkt misschien zelfs na dit nog dat informatie verzamelen van Jan-Piet maar moet aanzien worden als collateral damage in de strijd tegen Ahmed-big-bang of Joop-kinder-stroop. Alleen vergeet je dan dat een samenleving constant de grenzen verlegt. Gisteren schreeuwt politicus X moord en brand dat de privacy voor Y geschaad wordt, morgen lanceert ie een voorstel om de data van Y te gebruiken om boetes uit te delen aan Jan Modaal.

Hoe het ook uitdraait, als we nu geen krachtdadig signaal afgeven dat informatieverzameling kan, mits gericht en doelmatig, dan zal het eindresultaat een samenleving zijn waar de post-WO2 Oost-Duitse klikspaan-maatschappij een puntje aan kan zuigen, waar elke afwijking van het gemiddelde onmiddellijk bestraft en gecorrigeerd wordt.

Daarnaast: alleen al het feit dt overheden geinteresseerd zijn in het doen en laten van alle individuele burgers moet een signaal zijn dat er iets mis is in de machtsverhouding. Als de overheid bang is van de eigen burgers is er iets grondig mis. Overheden moeten werken ten dienste van de burger, niet tegen de burger.

[Reactie gewijzigd door H!GHGuY op 20 februari 2015 12:59]

Het is de kerntaak van terroristen om bomaanslagen te plegen. Dus dan is het goed?

Mensen verwachten eigenlijk van de NSA dat ze criminele handelingen verrichten, dus dan is het niet erg. Zoals de Joker uit The Dark Knight zei "It's all part of the plan". Maar als jij of ik dezelfde encryptiesleutels hadden gestolen then everyone loses their minds! We hadden staatsvijand nummer 1 geweest in het grootste deel van de wereld. Maar op de NSA kunnen we niet boos worden natuurlijk, want die zijn machtiger dan ons, en we hebben ze nodig enzo... bla bla...

[Reactie gewijzigd door 3raser op 20 februari 2015 12:13]

Met een VPN heb je zeker heel veel meer privacy

Leuke is echter dat je meer privacy hebt tegen zo ongeveer alles behalve de NSA en andere diensten. Die luisteren immers op de backbone af. _/-\o_

Ofwel bij de exit-server van jouw VPN gaat het zo alsnog, of wellicht zelfs juist, de slurp-slang van de NSA in. 8-)
Nee, want die kunnen dat waarschijnlijk niet.

Het punt is dat je een programma kunt opdelen in tientallen kleine functies, die je allemaal als een black box in elkaar kunt laten zetten. Zelfs de GUI kunt je als black box in elkaar zetten met knopjes en menu's die bepaalde letterreeksen bevatten. Als laatste stappen worden dan de functies aan knopjes en menu's gekoppeld, en dan worden de letterreeksen, die makkelijk in een file kunnen staan, vervangen door normale woorden zodat het programma bruikbaar wordt.

Dan krijg je aan het eind een werkend programma waarvan niemand weet wat het nou exact doet (al kan het natuurlijk wel vermoed worden), behalve de opdrachtgever zelf, die zeker wel in staat is om wat letterreeksen in een file te vervangen.

Vergelijk het hiermee: je kunt een bedrijf de opdracht geven om een ontsteking te bouwen en te testen. Je laat een ander bedrijf een bepaald soort nieuw metaal ontwikkelen, en weer een ander bedrijf ontwikkelt een of andere printplaat, enzovoorts.

Uiteindelijk wordt alles verzameld, en door n supergeheim team van 3 man in elkaar gezet om een prototype berbom te bouwen, en niemand weet dat, behalve deze 3 mensen.

[Reactie gewijzigd door Katsunami op 20 februari 2015 00:24]

Precies zoals men hij het Manhattan Project om de eerste atoombom te maken. Op de piek werkte er 130,000 man aan, over allerlei locaties. Slechts een enkeling wist dat het om een atoombom ging.

Treffend vind ik nog wel het verhaal van een medewerker die met een apparaat tikjes moest meten en opschrijven. Pas 10 jaar later besefte ze zich dat ze met een geigerteller rondgelopen had daar.
Het meest strenge / veilige beleid komt neer op hoge kosten en zeer on efficient werken - en zelfs dat kan gebroken worden.

In dit geval hadden ze met weinig moeite/kosten wel degelijk veiliger kunnen werken, maar gezien de NSA budgetten heeft waar je hele landen mee kan veroveren kun je je daar als productiebedrijf natuurlijk nooit tegen beschermen.

Conclusie, nee ze hadden zich niet kunnen beveiligen tegen deze aanval, maar ze hadden het wel kunnen bemoeilijken.

Edit: Dit geld zowel voor Sony als voor Gemalto, alleen in geval van Sony betreft het mijn inziens hulp van binnenuit en/of het budget van Noord-Korea

[Reactie gewijzigd door Thystan op 20 februari 2015 14:42]

De reactie van Merkel / Duitsland was beter dan die van eender ander land, maar nog steeds zwak.

Indien men privacy en niet alleen van de burger, maar ook die van de bedrijven (Inclusief geheimhouding rond technologische ontwikkelingen, onderzoek, patenten, lopende contract besprekingen, ... ) niet naar waarde weet te schatten zullen Amerikaanse, Britse, Israelische, Australische en Nieuw-Zeelandse bedrijven gesteund door zulke spioneer agentschappen ons altijd voor zijn.

In sommige, indien niet vele, gevallen werken onze Europese intelligentie agentschappen mee aan het bespioneren van eigen burgers en bedrijven. Ze werken samen en delen alle data.

We moeten eerst ons "eigen huis" in orde krijgen en dan kunnen we pas hard op tafel kloppen bij de USA. En dit niet op de manier zoals de meeste EU-burgers vermoeden; namelijk publiekelijk alles fixen en achter onze rug meewerken aan de spionage opdrachten !
1 2 3 ... 6

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*