Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'NSA kan mobiele communicatie afluisteren door stelen encryptiesleutels'

De NSA zou in staat zijn om mobiele communicatie af te luisteren doordat het encryptiesleutels heeft gestolen bij het Nederlandse bedrijf Gemalto, zo zou blijken uit documenten. In samenwerking met het Britse GCHQ zouden miljoenen encryptiesleutels zijn gestolen.

De documenten zijn verstrekt door Edward Snowden en ingezien door The Intercept. Volgens de site is de NSA in samenwerking met het Britse GCHQ binnengedrongen op de computersystemen van Gemalto, een bedrijf dat zijn hoofdkantoor in Amsterdam heeft staan en onder andere simkaarten produceert. In Nederland maken T-Mobile en Vodafone gebruik van simkaarten van Gemalto.

Door binnen te dringen op de computersystemen konden encryptiesleutels voor het ontsleutelen van mobiel communicatieverkeer worden buitgemaakt. Daardoor is het onder andere mogelijk om spraakgesprekken af te luisteren, maar ook dataverkeer, zo stelt The Intercept. Het bezitten van de encryptiesleutels maakt het voor de veiligheidsdiensten gemakkelijker om mensen te bespioneren: door het verkeer te ontsleutelen hoeven zij geen aanvraag in te dienen bij telecomproviders om de communicatie te kunnen ontcijferen.

De hack lijkt de NSA en GCHQ vergaande toegang te hebben gegeven tot mobiel verkeer. Naast het afluisteren van spraak en dataverkeer zouden de veiligheidsdiensten ook toegang hebben gekregen tot de servers die telecomproviders gebruiken om klantenfacturen op te stellen. Die konden zo gemanipuleerd worden dat de inbraak op de telefoon van een individu niet terug te leiden was voor de provider en dus ook niet op de rekening verscheen.

Waarschijnlijk worden de encryptiesleutels vooral gebruikt om verkeer via 3g of 4g af te luisteren. De beveiliging bij technieken uit deze generaties is aanzienlijk verbeterd ten opzichte van 2g, waarvan al een aantal keer is gebleken dat deze gehackt kan worden. Door gebruik te maken van de sleutels hoeft de beveiliging niet gekraakt te worden.

Gemalto is een van 's werelds grootste simkaartfabrikanten. Het bedrijf maakt er elk jaar zo'n 2 miljard. Paul Beverly, topman bij Gemalto, liet weten dat zijn bedrijf geen idee had dat de veiligheidsdiensten waren binnengedrongen. Beverly stelt uit te zoeken hoe de hack is uitgevoerd, maar dat er voorlopig nog geen sporen van inbraak zijn gevonden. Uit de documenten die The Intercept heeft ingezien blijkt dat de veiligheidsdiensten toegang hadden tot het volledige computernetwerk van Gemalto. De computers van het bedrijf zouden zijn geïnfiltreerd met malware. Dat hier geen spoor meer van is terug te vinden doet vermoeden dat het om geraffineerde software gaat.

Volgens de documenten van Snowden verschaften de spionnen zich toegang tot de e-mailaccounts en interne communicatie van Gemalto-medewerkers in hun zoektocht naar encryptiesleutels. Er werden scripts geschreven om communicatie te vergaren, waarbij de belangrijkste medewerkers het doelwit werden. Uiteindelijk werd zo communicatie onderschept tussen telecomproviders en Gemalto: het bleek dat medewerkers de encryptiesleutels die bestemd waren voor providers veelal via e-mail of ftp verzonden. Dat ging vaak gepaard met gebrekkige beveiliging, of juist helemaal geen beveiliging. Daardoor waren ze voor de NSA en GCHQ gemakkelijk te verzamelen.

Tweede-Kamerlid Gerard Schouw van D66 liet in een reactie aan The Intercept weten ontsteld te zijn over de hack. Hij wil uit laten zoeken of de AIVD op de hoogte was van de inbraak bij Gemalto. Ook wil hij dat de Nederlandse overheid met een verklaring komt.

Volgens The Intercept zijn de documenten afkomstig uit 2010, waardoor het aannemelijk is dat de veiligheidsdiensten al jarenlang versleuteld mobiel verkeer kunnen afluisteren. In de documenten wordt melding gemaakt van het Mobile Handset Exploitation Team. Het team, bestaande uit medewerkers van de NSA en GCHQ, had als voornaamste doel om in te breken bij simkaartfabrikanten.

Gemalto produceert voor ongeveer 450 klanten simkaarten. Daarbij zitten onder andere grote telecomproviders zoals AT&T en Verizon. Daardoor is het aannemelijk dat de veiligheidsdiensten een groot deel van de wereldwijde mobiele communicatie kunnen afluisteren. Hoe groot de impact precies is, is niet geheel duidelijk.

Door Bauke Schievink

Admin Mobile / Nieuwsposter

19-02-2015 • 21:31

211 Linkedin Google+

Reacties (211)

Wijzig sortering
100% veiligheid bestaat niet en ik begrijp dat communicatie moet worden opgeslagen om meer bewijs in de hand te hebben als er iets gebeurt.

Tevens kan ik me goed voorstellen hoeveel nut meeluisteren heeft met bepaalde kopstukken.

Maar als iemand nergens voor is veroordeeld en alleen maar met indirect bewijs ergens mee in verband wordt gebracht vind ik het onzinning om maar door zijn/haar communicatie te (kunnen) spitten. Laat staan dat zijn buren en allerlei onschuldigen ook nog in dezelfde database voorkomen.

Dat hele massa afluisteren heeft geen enkel nut. Ik denk dat gericht werken veel meer effect heeft, beter controleerbaar en veel transparanter uit te leggen is.
Ik snap die gedachte wel en het is dan ook vrij vaak dat op basis van indirect bewijs een "verdachte" al wordt vrijgesproken wegens "gebrek aan bewijs". Het is en blijft een super moeilijk vraagstuk toch kan ik je een senario geven wat het:

"Maar als iemand nergens voor is veroordeeld en alleen maar met indirect bewijs ergens mee in verband wordt gebracht vind ik het onzinning"

Als argument tegenspreekt.

Getuige meld aan de politie dat Auto B met kenteken xx de vrouw heeft dood gereden en daarna is doorgereden.

Auto B komt overeen met eigenaar Alex. Alex wordt uitgenodigd / ondervraagd over zijn verblijf de avond er voor. Alex meld dat hij bij zijn moeder Roos thuis was en dat zijn auto is gestolen die avond. Roos verteld de agenten dat dit waar is.

Uit de opgeslagen Meta data van de gsm van Alex blijkt dat deze 80 KM van dat huis contact had met een zendmast in de buurt van het bewuste ongeval. De gsm van moeder Roos blijkt 40 KM van dat huis te zijn geweest op / rond dat moment.

Dat is vreemd dat zou betekenen dat beide thuis waren maar hun gsm's ergens anders. Bij verder "onderzoek" blijkt Alex zijn Moeder Roos een sms, whatapp etc gestuurt te hebben rond die tijd met een text dat hij haar dringende moet spreken.

Van Moeder Roos komt men een pin transactie tegen 5 min voor het bewuste ongeval in de buurt waar de gsm geweest zou zijn. Een camera opname toont aan dat dit Moeder Roos is geweest samen met 2 andere personen.

Geconfronteerd met die gegevens bevestigde moeder Roos dat zoon Alex niet bij haar was op dat moment. Uiteindelijk heeft Alex opgebiegd dat hij wel de veroorzaker was, bang was en zijn auto op een bepaalde plek heeft achter gelaten.

Zonder meta data opslag had men dit zeer waarschijnlijk niet gevonden / deze zaak kunnen oplossen. Zowel Alex als Roos waren zoals je dat zelf zegt nergens eerder voor veroordeeld. Waarom de leugens? Waarom geen erkenning? Waarom doorrijden? Zal altijd wel een vaag verhaal blijven.

Afin In de basis ben ik voorstander van het opslaan / tracken vanuit de maatschappelijke wens daders te vinden en eventuele misdaden te voorkomen. Er afstand vandoen uit het oog van de privacy zou eventueel ook kunnen maar dan wel in combinatie met het besef en de acceptatie dat dit gevolgen heeft voor die maatschappelijke wens.

En dat mis ik bij beide "kampen". De werkelijke beantwoording van de vraag wat is het gevolg van een beslissing Ja of Nee.
Ze checken die metadata helemaal niet in dat (on)geval dus dat is echt een nutteloos voorbeeld.

[Reactie gewijzigd door Thystan op 23 februari 2015 13:46]

Dat wilde ik ook niet beweren ik geef slechts aan wat de mogelijkheid kan zijn van het gebruik. Hoewel Ik wel een zaak ken die indirect vergelijkbaar is.

Hoe dan ook het is een moeilijke discussie waar ik zelf niet ontken dat de digitale invloeden groot zijn. Zowel in privé als wel in uitvoering van criminele activiteiten.
In jou voorbeeld, als iemand geen mobiele telefoon heeft moet het ook opgelost worden,
het kan niet zo zijn dat het alleen maar met metadata wordt opgelost natuurlijk.
Natuurlijk moet het opgelost worden althans moet men er alles aan doen om het op te lossen. Juist in dat wat je aangeeft zit mijn voor / tegen vraag.

Het kan niet zo zijn dat met metadate alleen is waar. De vraag is of wij als maatschappij accepteren dat het kan met metadata maar het niet wensen omdat we privacy boven die potentiele mogelijk zetten.

Om er nog een slag aan te geven.

Politie mag geen volwassenen volgens het recht gebruiken om zich voor te doen als "Lok tieners". Echter een programma als undercover in Nederland doet dit wel en scoort resultaat. Waarmee bij het kijkende publiek en in politiek vervolgens de politie de gebeten hond is. Immers het kan toch, het werkt toch.

Het is kentterdende moeilijk maar wel goed om eens iemand te treffen die zonder gescheld inhoudelijk antwoord waarvoor dank.
Ik kan wel degelijk zaken bedenken waar metadata zou kunnen helpen met het vangen van een crimineel.

Ik ben alleen van mening dat er zo veel meer bewijs nodig is om de criminineel te veroordelen, dat metadata alleen handig is voor achteraf.

Daarbij komt dat ik wel vind dat onze overheid een onderzoek naar iemand in moet kunnen stellen en dat ze vervolgens alle gesprekken opslaan/afluisteren. Ik vind daarbij wel dat dit pas in gaat vanaf het moment dat het onderzoek start.

De rede van mijn standpunt in deze, is omdat ik vind dat ze moeten investeren in preventie, het voorkomen van criminaliteit - en niet in het achteraf opzoeken en achteraf bewijzen.

Net als reclames op websites die jou tracken, en de beveiligingscamera's in uitgaansgebieden en winkels. Het wordt alleen maar tegen burgers gebruikt, nooit voor burgers.

Goed voorbeeld: Bij de kassa van een supermarkt werd mijn portomonnee gerold door een zwerver die via de kassa de winkel in liep en dwars door me heen liep. Vervolgens ben ik naar het bureau gegaan om aangifte te doen en ik moest iemand maar aanwijzen, dus ik zeg, kijk op de camera? Die staat er niet voor niets.

Ze hebben het niet eens gecheckt.

Camera's worden er geplaatst voor (uw en) onze veiligheid. Maar ik ben er achter gekomen dat die camera helemaal niet ingrijpt als er iets gebeurt. Het is iets voor achteraf, als de politie of de winkel het belangrijk vind. Probeer maar eens een tape te bemachtigen voor een civiele zaak.

Hetzelfde gebeurt met telefoongesprekken. Als de politie het tegen mij kan gebruiken, waarom kan ik het zelf dan niet opvragen? Is het niet zo dat ik openheid van dossiers enzo heb? Volgens mij mag ik te allen tijden inzien wat een bedrijf van mij heeft opgeslagen.

Maar niet bij metadata, niet bij inhoud van gesprekken, niet bij camerabeelden. Dus eigenlijk alleen maar wat hun opschrijven in een dossier die voor jou wordt gemaakt op het moment dat je het opvraagt.

Volslagen belachelijk. Als ik wordt verdacht kan de politie mijn metadata opvragen, maar als ik iemand anders verdenk, of ik wil het gebruiken ter verdediging, dan kan het allemaal niet.

Zolang ik niet bij de camerabeelden, metadata en gesprekinhoud kan die wordt opgeslagen, hoeft het voor mij helemaal niet worden opgeslagen. Het wordt niet gedaan voor "uw en onze veiligheid" maar het wordt gedaan zodat de overheid mij bang kan maken en mij laat denken dat ze iets doen voor mijn veiligheid terwijl ik eigenlijk alleen maar wordt gevolgd en veroordeeld zonder dat ik iets heb misdaan.
Snap ik en ik denk dat we ook wel groot deels de zelfde inzichten hebben. De keuze voor of tegen is alleen anders.

"Volslagen belachelijk. Als ik wordt verdacht kan de politie mijn metadata opvragen, maar als ik iemand anders verdenk, of ik wil het gebruiken ter verdediging, dan kan het allemaal niet."

Klopt maar is dit nu de wens van politie of een gevolg van de privacy regels die men eist? Ik heb een fam. lid dat een keer voor €80,- via internet bestelde en niet geleverd kreeg, geen reacties meer niks. Soort oplichting dus. Zijn vader werkt bij de politie maar i.v.m machtmisbruik moest de aangifte via een ander bureau.

Die agent daar was deels begrijpelijk iets wat meer ectra gemotiveerd maar stelde vooraf al. Kleine kans dat we er wat mee kunnen. En ja hoor. De bank die de transactie had ontvangen stelde "privacy" boven het vrijgeven van de informatie van de werkelijke rekeninghouder. Zeg de rechtercommesaris zag tevens te weinig "bewijs" voor oplichting om er via de rechter achteraan te kunnen. Gevolg je kan een civile procedure proberen tegen de bank om de gegevens wel te krijgen maar ook die kans is uiterst klein. Geen onwil maar puur het gevolg van wetgeving.

Het is net zoiets als eisen dat men een fietsendiefstal oplost en tegelijk tegen het ophangen van camera's zijn op openbare plekken waar die fietsen gestald zijn en als er al beelden zijn dan mag dat niet uitgezonden worden of alleen als er een mooie blur over het hoofd heen zit etc.

Even als zijsprong ik ben al jaren voorstander van een systeem waarbij je op basis van een bankrekening nummer de werkelijke accounthouder kan achterhalen om te controleren of de gene die zegt dat hij is ook werkelijk de gene is die bij de rekening hoort. Maar dat mag niet van de wet.

Ik denk dat we er serieus over moeten nadenken of de drang naar de internet privacy en de daaraan verbonden wetten opwegen tegen de groeiende invloed vanuit criminaliteit op het off en online dagelijks leven.
Om herhaling te voorkomen moeten er wetten komen die ons in staat stelt om buitenlandse spionage aan te pakken.

Als die er al is, dan moet die ook worden gebruikt.

In dit geval wordt er gewoon niets aan gedaan, wat ik eigenlijk schandalig vind.
In dit geval wordt er gewoon niets aan gedaan, wat ik eigenlijk schandalig vind.

Het is een beetje hypocriet om te zeggen dat je buren niet hun afval in jouw tuin mogen gooien, als jij ook dagelijks je vuilniszak bij de buren over de schutting gooit ... :+

En dat is ongeveer wat het beleid betreft spionage is. Wetten maken tegen die gemene buitenlanders die bij ons spioneren, terwijl wij het ook bij hen doen gaat enkel hoongelach opleveren. Vandaar ook dat overheden nooit echt klagen.
De sleutels van je encryptie van je VPN verkeer zijn niet van Gemalto, dus ik zou me geen zorgen maken ;)
Wiki : De NSA is met zo'n 38.000 personeelsleden ...
Ja, dat geloof ik graag, maar dan niet dat het op de loonstrookjes staat. Dat is vragen om uitlekken en gedoe. Het liefst hou je dat ook undercover natuurlijk, dus kan me dat gewoon niet voorstellen.
Het klinkt alsof je zegt dat FTP per definitie onveilig is, maar je kunt ook SFTP gebruiken.

Maakt voor de gebruiker eigenlijk geen verschil. Ik vind het dan ook vreemd dat ze dit niet hebben gedaan.

De emails hadden ze ook kunnen encrypten.

Het was zowaar veiliger geweest als ze via Mega.co.nz hadden geopereerd lol
Je kan ook de bedrijven die de telefooncentrales beheren verplichten om een specifiek kastje te plaatsen en ze er gewoon voor vergoeden.
1 2 3 ... 6

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True