Providers: geen zorgen om kraken gsm-encryptie

Telecomproviders lijken zich geen zorgen te maken om het kraken van de gsm-encryptie. KPN stelt de A5/1-beveiliging 'robuust is gebleken'. Ook ING, dat voor transacties via internetbankieren sms gebruikt, maakt zich geen zorgen.

In een reactie op het nieuws dat de beveiliging van gsm-verbindingen voor een groot deel is gekraakt, laat KPN bij monde van woordvoerder Steve Hufton weten zich geen zorgen te maken. "De afgelopen jaren is de A5/1-encryptie robuust gebleken", zo zegt Hufton.

"Er is geen acute aanleiding voor maatregelen; mocht dat veranderen, dan nemen we die uiteraard wel." Volgens de woordvoerder kunnen mensen 'rustig blijven bellen'. Overigens is al jaren bekend dat de A5/1-encryptie onveilig is.

T-Mobile zegt kennis te nemen van het nieuws, maar ook deze provider lijkt zich geen zorgen te maken. Woordvoerster Priscilla Tomasoa wilde niet uitgebreid ingaan op het onderwerp, maar zei wel dat er in het verleden al berichten waren dat het A5/1-algoritme zou zijn gekraakt en 'dat dat nog nooit heeft geleid tot een praktisch uitvoerbare manier om commerciële gsm-netwerken aan te vallen'. Volgens T-Mobile zal de GSM Association zich hierover buigen, omdat het om een industriebrede zaak gaat.

Dat zegt ook Vodafone, dat heeft laten weten zelf niets te kunnen zeggen over de gekraakte encryptie. "Dit nieuws overstijgt Vodafone Nederland", aldus een woordvoerster. Beslissingen over de toekomst van gsm worden volgens haar genomen door de Vodafone Group. Uit een eerdere reactie van de GSM Association bleek dat ook die organisatie zich niet druk maakt om de gekraakte encryptie. Het noemde het kraken van gsm-verbindingen 'theoretisch mogelijk, maar praktisch onwaarschijnlijk.'

ING maakt zich eveneens geen zorgen om de gsm-hack; woordvoerder Harold Reusken zegt wel dat zijn bedrijf de berichtgeving nauwlettend volgt. De bank maakt voor het bevestigen van transacties via internetbankieren gebruik van het verzenden van geheime tan-codes via sms-berichten, en biedt ook de mogelijkheid om via de Girofoon te bankieren. "Aan een tan-code alleen heb je niet zoveel", zegt Reusken. "Je moet ook ingelogd zijn. Bovendien moet een aanvaller zich in hetzelfde gebied bevinden als een klant." Of misbruik mogelijk is, moet volgens hem nog blijken.

Door Joost Schellevis

Redacteur

Feedback • 30-12-2009 11:4969

30-12-2009 • 11:49

69 Linkedin

Lees meer

Oud-KPN'er: 2g-netwerk onder druk Britten voorzien van zwakkere encryptie Nieuws van 10 januari 2014
'Banktransacties verifiëren via sms is zeer onveilig' - update Nieuws van 12 december 2013
Hacker had toegang tot privégegevens KPN-klanten - update Nieuws van 8 februari 2012
Zwakte in gsm-protocol maakt kapen van telefoonnummers mogelijk Nieuws van 28 december 2011
Hackers kunnen elk gesprek Britse Vodafone-klanten afluisteren Nieuws van 13 juli 2011
Afluisteren gsm-verbinding kan nu ook met goedkoop mobieltje Nieuws van 28 december 2010
Schade door fraude internetbankieren meer dan verdubbeld Nieuws van 13 oktober 2010
AIVD: bel via umts bij vertrouwelijke gesprekken Nieuws van 17 september 2010
Hackers geven software vrij om gsm-encryptie te kraken Nieuws van 24 juli 2010
Symantec neemt PGP en GuardianEdge over Nieuws van 2 mei 2010
GSM Association begint internationaal meldpunt gsm-spam Nieuws van 26 maart 2010
Klanten kwetsbaar door nieuwe beveiliging Mijn ING - update Nieuws van 26 januari 2010
'Kasumi-encryptie voor 3g-mobieltjes binnen paar uur te kraken' Nieuws van 13 januari 2010
Deel beveiliging gsm-verbindingen is gekraakt Nieuws van 29 december 2009
DoS-aanval op telefoons blijkt eenvoudig met gsm-basisstation Nieuws van 28 december 2009
Hacker ov-chipkaart gaat gsm-encryptie kraken Nieuws van 17 augustus 2009
Onderzoekers: dect-telefoons makkelijk af te luisteren Nieuws van 30 december 2008
TNO gaat beveiliging ov-chip opnieuw onderzoeken Nieuws van 10 maart 2008
Hacker: ov-chipkaart ook met goedkope middelen te kraken Nieuws van 10 maart 2008
Meer producten en artikelen
Privacy Mobiele netwerken Smartphones Beveiliging Gsm Netwerktechnologie

Reacties (69)

-Moderatie-faq
69
69
52
4
0
1
Wijzig sortering
Anoniem: 98216
30 december 2009 12:10
Opzich hebben de banken denk ik wel een punt. Om succesvol een ING internetbankier transactie uit te voeren als 'kraker' heb je aardig wat nodig:

- inlog ID en password van je beoogde slachtoffer.
- telefoonnummer waarop de SMS binnen moet komen.
- locatie van je slachtoffer
- apparatuur en skills om de SMS te onderscheppen en decoderen.

Dan moet je via internet een transactie opstarten en een SMS aanvragen. Die moet je dan onderscheppen en dat kan dus in de omgeving van de zendmast die het laatste stukje verkeer regelt. Als je de SMS dan onderschept en ontcijfert hebt kan je de transactie succesvol afronden en geld overmaken van iemand zijn rekening.

De telefoon waar het SMS bericht naar toegaat ontvangt de SMS echter ook. Is de ontvanger alert dan kan hij mogelijk nog ingrijpen of op z'n minst alarm slaan.

Indien de illegale transactie gelukt is zal de klant van de bank contact opnemen met de bank en dan komen we op een scenario dat erg op het skimmen lijkt. Maar nu is het geld naar een rekening gegaan en niet omgezet in cash geld.

Skimmen is ook iets met de 'wet van de aardige aantallen' gedaan wordt, er worden tig pasjes gescant, daarvan is x% bruikbaar, daarvan lukt het van y% om er geld af te halen en bij z% staat er ook echt aardig wat buit op de rekening. Bij deze internetbankier hack moet je eigenlijk voor ieder specifiek slachtoffer de spullen bij elkaar brengen en een onderschepping voorbereiden.

Ik denk dat de positie van banken dat dit wél iets is om te volgen maar niet iets om van in paniek te raken wel de meest realistische is.
Anoniem: 177332
@Anoniem: 9821630 december 2009 12:30
- inlog ID en password van je beoogde slachtoffer.
- telefoonnummer waarop de SMS binnen moet komen.
- locatie van je slachtoffer
- apparatuur en skills om de SMS te onderscheppen en decoderen.
Als je het eerste hebt kan je het adres van het slachtoffereenvoudig achterhalen, log in en ga naar instellingen daar staat het adres. Kans dat het slachtoffer daar aanwezig is, is vrij groot.

Als je het eerste hebt kan je het telefoonnummer in de vorm 06-????9999 achterhalen op dezelfde manier. Ben je op locatie, dan hoef je alleen de telefoonnummers van die vorm op te vangen, de kans er meer telefoonnummers van die vorm in de buurt van het slachtoffer zijn is vrij klein.

Nu er zo'n tabel is uitgebracht (artikel van gisteren dacht ik) zal er binnenkort ook wel een een gebruikersvriendelijk programma komen, dus dan komt het alleen nog neer op 1 en 4, waarbij je dan niet zo heel veel skills nodig hebt.
johnwoo
@Anoniem: 17733230 december 2009 13:32
Moet je wel een slachtoffer uitzoeken die in een gebied woont zonder UMTS dekking. De meeste telefoons zullen in de meeste delen van Nederland al wel op 3G zitten, dus dan valt er weinig te onderscheppen.

Ik denk dat dit probleem dan ook zal (moeten) worden opgelost door dit nadeel te accepteren, GSM niet meer voor kritieke zaken te gebruiken, GSM-gebruik verder terug te dringen en zoveel mogelijk over te stappen naar UMTS. Je kunt GSM zelf moeilijk meer wijzigen; het is al een verouderde techniek (een investering om het gebruikte encryptie-algo te wijzigen zie je nooit meer terug) en bovendien zou je dan nog vele bestaande handsets buitenspel zetten die voor niet-kritische doeleinden worden gebruikt.
ppl
@Anoniem: 17733230 december 2009 14:04
Moet je alleen nog wel vurig hopen dat diegenen ook op het GSM netwerk actief is en niet op UMTS/HSDPA zit. Met de huidige telefoons is de kans dat iemand op GSM zit heel erg klein geworden.

Dat eerste achterhalen kan knap lastig zijn omdat je bij de ING namelijk niet alleen je wachtwoord zelf kunt bedenken maar ook je gebruikersnaam. Een Jan Pietersen hoeft dan ook niet als inlognaam j.pietersen te hebben maar kan ook deathstar123 als login gebruiken. Dan moet je al aardig lopen hacken om dat soort dingen voor elkaar te krijgen. De vraag is dan ook eerder of het überhaupt nog nodig is om de GSM encryptie te gaan lopen kraken. Je hebt immers een veel krachtigere en makkelijkere weg gevonden om aan gegevens te komen. Zo blijkt bijv. het doorzoeken van huisafval toch heel wat zinvoller te zijn dan de boel lopen hacken. Je kunt op zeer eenvoudige wijze enorm veel vertrouwelijke gegevens buit maken omdat mensen hooguit papieren doormidden scheuren. Er is bijna niemand die het door een papierversnipperaar haalt.

Je hebt dus wel degelijk heel veel skills nodig, skills van o.a. een rechercheur. Als je die skills hebt dan is het hacken van de gsm encryptie ineens ook totaal niet interessant meer.
thegve
@Anoniem: 9821630 december 2009 12:29
En dan ga ik er daarnaast nog vanuit dat ze bij de ING ook wel de patterns controleren van je sessie. Eerst een tan code voor je inloggen, dan een transactie scherm opvragen, dan nog een transactie tan code. Wellicht kan het wel, maar niet echt waarschijnlijk.
El Cid
@thegve30 december 2009 14:12
Voor ING is alleen van belang of er geen grootschalige plundering van bankrekeningen kan plaatsvinden. Er is altijd sprake van een compromis tussen veiligheid en gemak. Veruit de meesten vinden het systeem van ING met TAN-codes via SMS veel fijner dan de kastjes van Abn en Rabo. Voor mij is dat ook een belangrijke reden om mijn betaalrekening bij ING te houden. Laatst moest ik mijn digibete moeder nog helpen met internetbankieren bij Abn. Die kastjes zijn gewoon veel onhandiger dan TAN-codes via SMS. ING weet ook wel dat die kastjes veiliger zijn. Maar TAN-codes zijn veilig genoeg, dat is wat telt. Zolang ze dat systeem houden hebben ze met mij een trouwe klant.
Amelandbor
30 december 2009 11:54
Het verbaast me toch altijd wat een lichtzinnige reacties hier op komen van de bedrijven die het aangaat. Altijd maar "ach, zo'n vaart zal het niet lopen". Daarom hoop ik ook dat er snel een dikke fraudezaak m.b.t. de OV chipkaart komt.
ppl
@Amelandbor30 december 2009 13:40
Dat heeft met een aantal factoren te maken die samen het risico bepalen. De meeste hedendaagse telefoons zitten op het 3G netwerk en zullen dan ook umts/hsdpa e.d. gebruiken. Aangezien het een probleem van gsm is hebben die 3G netwerken daar geen last van. Het gros van de gebruikers loopt daarom ook geen risico. Het risico ontstaat pas in buitengebieden waar men terugvalt naar gsm en mensen die alleen maar op gsm kunnen (omdat de telefoon niet anders kan of omdat ze het zo hebben ingesteld). Als men nu omschakelt naar een andere security gebeuren voor gsm heeft dat als implicatie dat er waarschijnlijk ook het nodige veranderd moet worden op de diverse telefoons of zelfs dat oude telefoons niet meer werken en mensen nieuwe moeten aanschaffen. Je hebt dan met eenzelfde investering te maken als wanneer je gsm zou uitfaseren en umts/hsdpa daar voor in de plaats gaat zetten. KPN is dit al van plan en gaat in de komende paar jaar hun gsm netwerk uitfaseren. Door het gebruik van gsm frequenties voor 3g en 4g technieken wordt iets als lte op die frequenties ook ineens stukken interessanter. Je moet dan ook niet opkijken als diverse telco's de komende paar jaar hun gsm netwerken vervangen door lte. Het heeft daarom ook nog weinig zin om wat aan dat gsm te doen op dit moment. Het afserveren van gsm is eigenlijk al lang in gang gezet.
PhilipsFan
@ppl30 december 2009 14:00
Ik weet niet wat jij als 'gros' definieert. De meeste telefoons ondersteunen inderdaad 3G. Die van mij ook. Maar ik zie de halve tijd het normale GSM symbool en niet 3G. Niet alleen in buitengebieden, maar ook in grote steden. Als ik mijn toestel zo instel dat hij alleen 3G gebruikt, dan heb ik de halve tijd geen ontvangst. Het gros mag dan wel 3G ondersteunen, dat betekent nog niet dat het gros het daadwerkelijk gebruikt. Het zou toch wat zijn, ik zit te telebankieren, moet ik eerst m'n toestel op 3G zetten (en hopen dat ik dan ontvangst heb) voordat ik een TAN code durf te ontvangen.

Er is nu dus een mogelijkheid om het telebankieren van ING te kraken. Mbv een Wifi sniffer kraak je eerst iemands netwerk en jat je dus z'n username/password. Alternatief is een phishing site opzetten, dan hoef je geen Wifi te kraken. Vervolgens onderschep je z'n TAN sms en kun je doen wat je wilt. De user hoeft het niet eens te merken. Als hij onverklaarbare overboekingen tegenkomt zal hij er een hell of a job aan hebben om de bank te overtuigen dat hij dat niet zelf gedaan heeft, want bewijs is er niet.

Om dit te bewerkstelligen heb je genoeg aan een kantoor pc of laptop en een gsm radio-ontvanger, dus geen dure apparatuur.

De grote bedrijven hebben in die zin gelijk dat er niet meteen reden tot complete paniek is. Een dergelijke aanval is mogelijk maar niet onwaarschijnlijk. 10 jaar geleden zeiden we hetzelfde van de pinpas en die worden nu massaal geskimd, dus ik denk dat we over een aantal jaren daadwerkelijk dit soort aanvallen zullen zien.
ppl
@PhilipsFan30 december 2009 23:00
Dat heeft misschien ook te maken met de combinatie netwerk en telefoon. Het grappige is dat de ontvangst een mikpunt is bij de iPhone-critici. Het is het eerste waar ze mee aan komen zetten omdat T-Mobile de provider is en zij het slechtst dekkende netwerk hebben, landelijk gezien. Er zijn ook een aantal iPhone users die juist daarom een legale aboloze geunlockte iPhone uit landen als België en Italië vandaan halen en daar dan hun eigen Vodafone of KPN sim stoppen. Zij claimen dat ze dan ook nooit problemen met 3G ondervinden zowel in steden als in buitengebieden. Datzelfde zie ik hier ook maar gek genoeg ook met T-Mobile. Op sommige plekken wisselt het nog wel eens maar dat komt omdat er nog geen landelijk dekkend netwerk is. Voor GSM geldt datzelfde trouwens. Zo kun je op bepaalde plekken in de Flevopolder en Drenthe niet bellen en moet je even een stukje gaan lopen voor ontvangst. Er zijn nou eenmaal blackspots in alle netwerken ongeacht de gebruikte techniek om diverse uiteenlopende redenen. Waarschijnlijk bevindt jij je kennelijk in een gebied waar jouw telco geen 3g mast heeft staan. Voor die telco zit daar dus een 3g blackspot. Meestal is dat wel op te lossen door bijv. het bijplaatsen van masten.
Er is nu dus een mogelijkheid om het telebankieren van ING te kraken.
Neen! Die is er dus niet. Het gaat hier om een probleem in gsm, niet om een probleem bij de ING bank. Verder geldt dat je door heel wat hoepels moet om dermate veel gegevens bij elkaar te sprokkelen dat je er ook echt iets mee kunt doen. De hoepels waar je door moet zorgen er eigenlijk al voor dat deze gsm hack niet meer interessant is. Je kunt namelijk met die hoepels meer dan je denkt waardoor deze gsm hack niet meer nodig is.
Als hij onverklaarbare overboekingen tegenkomt zal hij er een hell of a job aan hebben om de bank te overtuigen dat hij dat niet zelf gedaan heeft, want bewijs is er niet.
Dat probleem is er ook bij zaken als skimming en daar hebben ze ook prima maatregelen voor waarbij je gewoon je geld terugkrijgt. Dat bewijzen doen ze door middel van trends en hoe aannemelijk het is dat je ergens iets koopt. Als jij in Antwerpen zit bij een meeting dan kun je door middel van je aanwezigheid en getuigen al aantonen dat jij niet een bestelling op internet hebt kunnen plaatsen. Aankoopbewijzen zijn trouwens ook een mogelijkheid om te bewijzen maar daar aangeraken is vrij lastig. Gek genoeg kan juist dat ook zorgen dat je kunt aantonen dat jij niet degene was (men weigert namelijk de medewerking omdat ze jou niet kennen).

Er zijn legio mogelijkheden om bewijs te vergaren en duidelijk te maken dat jij het echt niet was. Dat gecombineerd met de procedures die men nu heeft voor het skimmen laat al wel zien dat er absoluut geen sprake is van "hell of a job". Als je het voor het gerecht zou brengen dan heeft de bank namelijk een probleem als je dan ineens met al dat bewijs op de proppen komt zetten.
Om dit te bewerkstelligen heb je genoeg aan een kantoor pc of laptop en een gsm radio-ontvanger, dus geen dure apparatuur.
Dus jij gaat met je bureau en kantoorpc bij iemand voor de deur zitten en verwacht dan dat niemand dat opmerkt en argwaan krijgt? Wat dacht je van een busje dat heel de tijd voor de deur staat, bellen mensen ook vaak genoeg de politie voor. Het gaat er niet om dat je goedkope apparatuur kunt gebruiken, het gaat er vooral om dat je dat onopgemerkt kunt gebruiken. Dat laatste is vaak het moeilijkste.
De grote bedrijven hebben in die zin gelijk dat er niet meteen reden tot complete paniek is. Een dergelijke aanval is mogelijk maar niet onwaarschijnlijk.
Precies. Er komt nogal wat bij kijken om middels deze gsm hack handige gegevens buit te maken waar je wat mee kunt. Dat heeft wel een grote invloed op het uiteindelijke risico en daarmee ook de reacties van de telco's. Ze zijn niet voor niets zo mild. Het feit dat mensen mbt skimmen en internetbankieren tegenwoordig al dermate goed zijn ingelicht zorgt er ook voor dat zo'n risico van een ING hack daalt.

@weebl15: ik ben bang dat de meeste mensen geen WPA2 beveiliging met een wachtwoord van 50 chars gebruikt. Ik denk dat men eerder nog op WPA zit met een standaard wachtwoord die bij het modem/router zat. Die zijn niet echt supersterk en dat is nou juist erg bepalend bij WPA en WPA2: hoe sterker het wachtwoord des te moeilijker is het om het te kraken. Met een simpel wachtwoord is WPA net zo onveilig als WEP en dus ook binnen enkele seconden te kraken.
Plofkotje
@PhilipsFan30 december 2009 16:36
Wachtwoord van ING jatten is haast onmogelijk, dit gaat over een SSL verbinding.. ;)
PhilipsFan
@Plofkotje30 december 2009 17:20
Zoals ik in mijn bericht aangaf, met een phishing site ondervang je beide problemen. Even een officieel uitziende mail met een linkje, er zijn nog steeds talloze mensen die erin trappen.

Daarbij, (@weebl15) WPA2 wordt nog niet zoveel gebruikt, veel apparaten ondersteunen het niet. Er zijn zelfs nog best veel routers in omloop die alleen WEP ondersteunen, dus dat kraken van Wifi is zo heel gek nog niet. Die SSL hoef je niet te kraken als je via de gekraakte wifi inbreekt op iemands pc, de meeste mensen gebruiken geen wachtwoord of een hele makkelijke op hun Windows en geen firewall. Een keylogger is zo geinstalleerd.

Ik geef toe, het is niet heel gemakkelijk om te doen, maar echt heel moeilijk is het ook niet en je hebt er geen speciale of hele dure apparatuur bij nodig.

Ik begrijp niet dat de telecombedrijven en GSM association dit soort dingen zo makkelijk in de wind slaan. Ze horen er iets mee te doen. Of wachten ze tot er mensen daadwerkelijk gedupeerd raken? Ik zou me al gedupeerd voelen als mijn buurman mijn gesprekken kan afluisteren...
weebl15
@PhilipsFan30 december 2009 15:14
De meeste mensen gebruiken WPA2 beveiliging, niet echt te kraken, alleen brute-force. Wachtwoord van 50 tekens en je hebt geen probleem. Daarnaast al ben je daar binnengedrongen is de beveiliging naar ING alsnog met SSL beveiligd. Dus theoretisch mogelijk om 1 gebruiker ooit misschien wat geld af te persen, ja. Dat alle ING internetbankieren gebruikers hier kwetsbaar voor zijn, nee...

Ik heb zelf overigens 95% van de tijd 3(.5)G verbinding. Stad Utrecht woon ik dan wel. Ook in Drenthe en Groningen in kleinere dorpen. Ik gebruik KPN
Garma
@Amelandbor30 december 2009 12:28
Als 4 partijen zeggen 'wij vinden het risico niet zo groot', en jij blijft het een lichtzinnige reactie vinden moet je misschien concluderen dat jij er misschien zelf wel naast zit. Het is namelijk niet zo dat als iets gekraakt wordt, dat het dan per definitie onbruikbaar wordt. Alles is te kraken, de vraag is alleen hoe groot is het risico voor de gebruiker?

Ik ken de finesses niet maar als ik 2 laptops en ingewikkelde apparatuur nodig heb om gesprekken in een straal van 100 meter te kunnen afluisteren is het echt geen veiligheidsrisico. Voor bepaalde mensen zal dat misschien een probleem zijn (balkenende en zn maten) maar die kunnen prima alternatieven kiezen.

ING's argument is perfect valide; je moet ook nog ingelogd zijn, aan alleen een tan-code heb je niks.

Die OV-chipkaart hack is ook zo'n mooie hype. De enige die daar last van hebben zijn de vervoerders, niet de gebruikers, en die maken de afweging: Of dat ding wordt 50% duurder zodat er minder mensen met de trein gaan, of we nemen die 10 mensen per jaar die dat ding kraken voor lief. Niet zo'n moeilijke keuze dus.

[Reactie gewijzigd door Garma op 30 december 2009 12:32]

XiniX88
@Garma30 december 2009 12:53
Iedereen met beschikking over dit codeboek en de channel hopping-code is in staat om telefoongesprekken via gsm af te luisteren en sms'jes te onderscheppen. [...] Daarvoor zou een gemiddelde kantoor-pc met een radio-ontvanger voldoende kracht bieden. bron
Waar haal je 2 laptops en ingewikkelde apparatuur vandaan?

Daarbij komt, de grote bedrijven lijken wel gek om paniek te gaan zaaien... Zelfde als dat je een patat fabrikant ook niet hoort roepen dat het slecht voor je is (en er liever omheen lult). Het is slecht voor je imago.

Eigenlijk moet je er gewoon rekening mee houden dat als iemand je af wil luisteren dit gewoon mogelijk is. Als ik mij niet vergis kan de politie dit al tijden op een redelijk eenvoudige manier.

Maar inderdaad is het nog niet zo dat jan en alleman leuk met een iPhone app iemand kan afluisteren.

[Reactie gewijzigd door XiniX88 op 30 december 2009 12:55]

]Byte[
@XiniX8830 december 2009 13:48
Ga eens met je browser naar Goolge en zoek daar op USRP of USRP2.
Dan heb je gelijk het antwoord op je ingewikkelde apparatuur.
Student1563424
@]Byte[30 december 2009 14:06
haha, nice one!

duh! denk je nou echt dat zo iets spannends als naive mensen afluisteren niet gedaan zal worden als je al bijna kant en klaar pakketten er voor hebt die je nog even moet samenvoegen tot een werkend product? Laat staan daar waar het grote geld en de macht liggen zoals bij de agency's?

Grow up & get a life :p
sfc1971
@XiniX8830 december 2009 15:14
De politie luistert niet het gsm verkeer af, maar gewoon het signaal dat van de GSM mast naar het fysieke netwerk gaat. Vele malen makkelijker. Anders zouden ze voortduren achter je aan moeten rijden.

Voor de rest valt het inderdaad reuze mee. Goh, je kan afluisteren dat iemand vertelt dat hij nu in de trein zit... ik zou juist geld betalen voor een methode om dit NIET te horen.
kozue
@Garma30 december 2009 12:51
Wat voor ingewikkelde apparatuur is dat dan? 2 laptops nodig hebben lijkt me niet zo'n issue, die heb ik hier ook nog wel liggen. Een straal van 100 meter lijkt misschien niet veel, maar in openbare plaatsen als stations of winkelcentra kan het al veel erger worden. Ga op een bankje zitten met je laptop en neem een vriend mee met de zijne, done.
Ik weet verder niet hoe deze hack werkt, en ik ga me er ook niet in verdiepen, m'n reactie is puur gebaseerd op wat er hier in het artikel en jou reactie staat, maar zomaar blind afgaan op de blauwe ogen van een paar commerciële partijen lijkt me aardig naief. Ik denk eerder dat ze dit verhaal ophangen omdat ze inzien dat er toch niks aan te doen is. De encryptie veranderen houdt volgens mij in dat iedereen z'n telefoon moet vervangen of van nieuwere firmware moet voorzien.
Anoniem: 301067
@Garma30 december 2009 15:49
Ik begrijp niet dat de uitdrukking: "Alles is te kraken", zo verkeerd wordt gebruikt. Ja inderdaad alles is te kraken mits genoeg tijd en geld en laat het net zo zijn dat gebleken is dat er niet zo heel veel geld en tijd nodig is om een gsm gesprek af te kunnen luisteren.
Pb Pomper
@Garma30 december 2009 15:57
Als 4 partijen zeggen 'wij vinden het risico niet zo groot', en jij blijft het een lichtzinnige reactie vinden moet je misschien concluderen dat jij er misschien zelf wel naast zit.
Maar je moet je wel beseffen welke 4 partijen dat zijn. Namelijk de partijen die er baat bij hebben zolang mogelijk de implementatie van een nieuwe beveiliging uit te stellen.

In dit geval kan je geen/nauwelijks waarde hechten aan de uitspraken omdat ze alles behalve objectief zijn.
Dennizz
@Garma31 december 2009 02:26
"ING's argument is perfect valide; je moet ook nog ingelogd zijn, aan alleen een tan-code heb je niks."

Non argument in mijn ogen; het argument dat als iemand in kan loggen met jouw gegevens hij toch niets kan doen is namelijk dat die persoon jouw TAN code nodig heeft.
Omdat een TAN code als veiliger/moeilijker te achterhalen wordt geacht moet ook betekenen dat de juiste houding aan de beveiliging daarvan gegeven wordt. De TAN code is de enige dynamische informatie welke misbruik voorkomt. Alle andere gegevens zijn "relatief" eenvoudig aan te komen en dat hoeft maar 1x uitgevoerd te worden.
PolarBear
@Amelandbor30 december 2009 12:23
1. Men zou wel gek zijn om paniek te zaaien.
2. Een bepaald percentage misbruik is altijd ingecalculeerd (wanbetaling, hacking etc).
BeosBeing
@Amelandbor30 december 2009 17:43
Wat betreft de OV chip-kaart hoop ik het niet. Veel beter zou zijn als er over een half jaar een half miljoen of een miljoen valse ov-kaartjes in omloop is zodat ze er gewoon iets aan moeten doen omdat anders een binnen en jaar er helemaal niemand meer gebruik maakt van een echte.

Wat betreft gsm-afluisteren, daar gaan ze echt niets aan doen, tenzij de operatoren zelf massaal afgeluisterd gaan worden door figuren met net zoveel technische kennis als jan-met-de-pet . Ik hoop dat er gprs, utms, edge enzovoorts beter over is nagedacht.
Fuzzillogic
30 december 2009 11:59
Bagatelliseer het maar. Typisch. Sinds X-ASID vertrouw ik telco's nog veel minder dan voorheen. En deze reactie draagt daar flink aan bij. Het zou me niets verbazen als ze zich eigenlijk te pletter zijn geschrokken, maar dat het oplossen van het probleem tijdrovend en bovenal erg duur is. Dan is het onder de mat vegen van het probleem opeens heel aantrekkelijk.

GSM heeft een reikwijdte van 32km. Dus als je met je GSM-sniffer langs het spoor gaat zitten luisteren naar data(!)-traffic over GPRS dan kun je mogelijk zo aan hele interessante gegevens komen. Logins met wachtwoorden enzo. Niet iedereen gebruikt VPN en SSL helaas.
Gwaihir
@Fuzzillogic30 december 2009 13:07
Stel nu dat je gelijk hebt: ze zijn zich te pletter geschrokken en het oplossen is tijdrovend en duur. Hoe hadden ze dan moeten reageren? "Sorry mensen, stopt u maar een jaar met bellen, totdat we een fix hebben. Blijft u wel u abonnement doorbetalen, want anders duurt het nog flink langer, omdat we eenmaal failliet 'm niet kunnen ontwikkelen." Dat gaat toch niet? Dan kunnen ze toch beter aan de slag gaan en ondertussen dweilen en proberen de kraan zo goed en lang mogelijk dicht te houden?

Kortom: dit soort reacties van de telecom maatschappijen zegt niets, want ze zeggen het enige wat ze kunnen zeggen, ongeacht hoeveel aandacht ze ervoor hebben of hoeveel moeite ze er al dan niet in steken.
Fuzzillogic
@Gwaihir30 december 2009 13:21
Ze hadden kunnen zeggen "zorg ervoor dat u uw gevoelige (bedrijfs)gegevens, e-mail, etc altijd over een versleutelde lijn stuurt. De meeste VPN-toepassingen zijn veilig. Bespreek geen zeer gevoelige zaken over het GSM-netwerk."

Ik snap best dat (oude) beveiligingstechnieken in de loop der tijd zullen falen, en de opvolger in de vorm van de betere UMTS-beveiliging is er al. Maar nu zijn ze simpelweg niet eerlijk.

http://www.mentalacrobatics.com/think/images/mss.jpg enzo.
ppl
@Fuzzillogic30 december 2009 13:52
Dat is absoluut geen taak voor een telco en een isp. Het is een leuk gebaar van ze maar dit is iets wat systeembeheer van het bedrijf in kwestie zelf behoort te doen. Een bedrijf is namelijk wettelijk aansprakelijk voor het vertrouwelijk omgaan met gegevens. Als men dan gevoelige bedrijfsgegevens plain text over de lijn laten gaan overtreden ze daarmee de wet. Men is dan strafbaar bezig. Het feit dat usb sticks en wifi vandaag de dag al een hachelijk onderwerp zijn in het bedrijfsleven laat ook wel zien dat men niet zo dom is. Veel telewerk/thuiswerk oplossingen baseren zich dan ook op het gebruik van VPN's middels IPSec of SSL als encryptie (hoewel de grote vraag naar SSL VPN's omdat je daarmee via een webbrowser in kan loggen vanuit security oogpunt uiterst zorgelijk zijn).

Nogmaals, security is de verantwoordelijkheid van bedrijven zelf en dat weten ze vaak gelukkig ook wel. Een telco die zo'n uitspraak doet voegt dan ook voor die groep niets toe. Het is op zich wel handig voor individuen maar die zullen ook lang niet altijd bepaalde geheimen zo openlijk delen plus dat die ook niet zullen beschikken over VPN's. Sowieso is het een beetje een vraagteken verhaal omdat de meeste gebruikers al op het 3G netwerk zit en niet op het GSM netwerk. De meeste gebruikers lopen dan ook dit risico niet.

[Reactie gewijzigd door ppl op 30 december 2009 13:52]

Fuzzillogic
@ppl30 december 2009 14:32
Dat bedrijven zelf verantwoordelijk zijn is logisch, maar nu het kraken van de GSM-encryptie out in the open is zouden telco's daar wel op kunnen wijzen, ipv te doen of er niks aan de hand is.

Als ik in de trein zit dan surf ik dikwijls zonder verdere beveiliging, omdat ik wist dat GSM/UMTS zelf ook encryptie heeft. Voor de nauwelijks boeiende zaken (hehe ja) die bij mij over de lijn vliegen achtte ik verdere encryptie toch niet nodig, omdat het tot voor kort nog niet serieus gekraakt was. Voor mij is dit nieuws wel van belang, maar als ik op de telco's moet afgaan is er echt niets aan de hand.
ppl
@Fuzzillogic30 december 2009 23:08
Dat bedrijven zelf verantwoordelijk zijn is logisch, maar nu het kraken van de GSM-encryptie out in the open is zouden telco's daar wel op kunnen wijzen, ipv te doen of er niks aan de hand is.
Dat is het al weer een hele tijd. Men kan gewone gebruikers wel op de gevaren wijzen maar erg veel schieten ze er niet mee op. Je moet namelijk hele gerichte aanvallen op een individu doen om er echt profijt van te hebben. Dat maakt het ook al minder aantrekkelijk omdat er heel wat andere dingen zijn waarmee je het beoogde resultaat sneller, makkelijker en goedkoper verkrijgt. Het is dan ook niet meer dan een leuk gebaar richting gebruikers. Aan de andere kant is een vorm van geruststelling ook wel zo prettig.
Als ik in de trein zit dan surf ik dikwijls zonder verdere beveiliging, omdat ik wist dat GSM/UMTS zelf ook encryptie heeft.
Hier kan ik wel heel erg hartelijk om lachen. Het enige wat daar versleuteld wordt is de gsm en umts verbinding. Als je eens kijkt naar de "hack"verhalen rondom de jailbroken iPhones waarop een ssh server draait en waarbij mensen de standaard wachtwoorden ongemoeid hebben gelaten dan is het toch wel overduidelijk dat de encryptie van de verbinding helemaal niets uitmaakt voor de beveiliging. Als ik online bankier of bij een webshop iets bestel dan heb ik liever dat de connectie tussen mijn browser en hun server over iets als ssl loopt dan dat ik moet vertrouwen op de beveiliging van de dsl verbinding hier. Overigens heb ik sowieso liever in het openbaar dat verbindingen tussen m'n client en de server beveiligt zijn en niet alleen maar mijn internetverbinding. Dat voorkomt grotendeels eaves dropping.
Fuzzillogic
@ppl30 december 2009 23:57
Voor basic websurfing lig ik niet wakker of dat nou wel/niet encrypted is, mits het nog tenminste een beetje afgeschermd/lastig is om af te luisteren. Ik ben er volledig van op de bewust dat het vanaf de BST allemaal unencrypted is (althans, daar ga ik van uit). Maar ik gok erop dat het afluisteren/onderscheppen van een BST iets lastiger is dan een volledig unencrypted signaal uit de ether te plukken. Het feit dat GSM/UMTS de data encrypted tussen handset en basestation verzendt vind ik dan ook goed genoeg - mits die encryptie niet dermate laf is dat elke script kiddie het realtime kan decrypten.

Als ik spannende dingen ga doen dan gaat dat heus over een VPN-lijn, ook als ik op een vreemd, maar volledig bekabeld netwerk zit.

[Reactie gewijzigd door Fuzzillogic op 30 december 2009 23:59]

carlo
@Fuzzillogic30 december 2009 15:09
Als ik in de trein zit dan surf ik dikwijls zonder verdere beveiliging, omdat ik wist dat GSM/UMTS zelf ook encryptie heeft.
Surfen doe je via GPRS of UMTS. De beveiliging van UMTS is niet gekraakt, voor GPRS weet ik het niet.
Fuzzillogic
@carlo30 december 2009 15:19
Je kunt ook via GSM surfen. Duur en traag. Maar aangezien GPRS heel erg op GSM-techniek leunt denk ik niet dat GPRS het anders zal doen da GSM qua beveiliging.
robert_paats
@Fuzzillogic31 december 2009 00:33
Wat ik begrepen heb is dat het A5/1 algorithm is gekraakt. en niet GEA (GPRS Encryption Algorithm) Dus voor IP achting dingen staat de boel nog over end.

Tot zover zijn er twee van de vier A5 algorithms gebroken namelijk A5/1 en A5/2
Voor A5/0 hoef je geen moeite te doen die is standaard onveilig, en dan is er nog A5/3 welke nog altijd overend staat maar nog bijna niet wordt toegepast. Allen worden voor voice gebruikt en niet voor gprs.

Daarnaast zou ik zelf de beveiliging van geen enkel extern netwerk vertrouwen en kan je het beste zelf ook wat aan beveiliging doen.
Precision
@Fuzzillogic30 december 2009 12:28
Nja en met een gsm die altijd sterkste bts kiest, ga je langs het spoor volgens mij niet veel rapen. Misschien als je daarentegen je auto bij het station parkeerd en van daaruit gaat werken...
mashell
@Fuzzillogic30 december 2009 12:22
GSM heeft een reikwijdte van 32km
Hoe bedoel je dat? Ik kan met mijn GSM best iemand aan de andere kant van de wereld bereiken, reikwijdte meer dan 20.000 km. Midden op de Hoge Veluwe doet ie het echter niet, minder dan 32km van de dichtstbijzijnde zendmast.
Captnoord_
30 december 2009 11:58
Hmmm, naar mijn mening een beetje een laffe reactie. En wanneer het geheel gekraakt is en mbv een gui een soepel programmaatje kan iedereen gsm's afluisteren. En pas wanneer de eerste mensen de problemen ondervinden gaan ze er pas iets aan doen. En woordvoerders die uitspraken doen als "theoretisch mogelijk, maar praktisch onwaarschijnlijk" maken mij een beetje angstig. Misschien ben ik een beetje paranoia maar heb liever dat mijn tel gesprek niet zo 1 2 3 af te luisteren is.
TDeK
@Captnoord_30 december 2009 12:31
Ik zie hier het probleem niet zo van in, aangezien het aanvalsgebied vrij klein is. Ook denk ik dat het met de impact wel meevalt; DECT telefoons kunnen al jaren worden getapt, en daar hoor je ook vrij weinig over qua overgenomen Girofoonsessies e.d. (niet dat dat op zichzelf iets zegt, maar goed). Ik heb meer moeite met een overheid die tapt en logt, en die zitten gewoon bij de provider binnen, die hoeven niet te tappen via de lucht.
Anyway, de oplossing is simpel: end-to-end encryptie. Denk bijvoorbeeld aan VoIP over een secure tunnel. Skype doet dit al (1024bits). De grote bedrijven/de overheid zal wel weer gaan sturen op een verbeterde versie van A5/1, aangezien ze bij end-to-end encryptie zelf qua tappen buitenspel komen staan. Ook zou je dan met een flatfree mobiel internet abonnement ongelimiteerd kunnen bellen, wat de mobiele provider zou laten verworden tot een draadloze ISP (niks verkeerds aan). Bijkomend probleem: alle bestaande GSM handsets kunnen niet met een nieuwe encryptie overweg. Dit kan uiteindelijk wel eens het einde van GSM betekenen, ofwel gaat men accepteren dat GSM niet veilig meer is (slimme meters, het spionnenkastje e.d. komen dan ook op losse schroeven te staan).

@Korben
wat wettelijk gezien niet mag
Dat bepaal ik altijd zelf nog wel. Het lijkt me ook erg moeilijk om iemand op te pakken omdat zijn gesprekken niet af te luisteren zijn (op welke grond willen ze dat doen?). Doen ze dat wel dan weten we iig dat we in een politiestaat terecht zijn gekomen.
En met je opmerking over backwards compatibility geef je al aan dat die weg heilloos is: als toestellen backwards compatible zijn, wat houdt een IMSI catcher dan tegen om zelf een lage (of zelfs geen) encryptie toe te passen, aangezien de bts dat bepaald en niet het toestel?

[Reactie gewijzigd door TDeK op 30 december 2009 14:14]

Korben
@TDeK30 december 2009 13:54
End-to-end is ook nergens voor nodig. Sterker nog, dat is onmogelijk en onwenselijk, op dit moment.

Als je end-to-end encryptie hebt kan de telefoonmaatschappij inderdaad niet meer meeluisteren met je gesprek, wat wettelijk gezien niet mag (Justitie luistert gewoon op de telefoonswitch mee met gevoerde gesprekken). Bovendien worden een heleboel features die in mid-call uitvoert vrij lastig, want een telefoon weet over het algemeen niet of jij iets wilt uitvoeren op de switch van je provider (zoals ARB) of een keuze in een menu wilt maken.

End-to-end encryptie naar bijvoorbeeld je switch of BSC zou de goede oplossing zijn. Bij GSM is dat al zo, alleen zou de encryptie opgekrikt moeten worden naar AES of een ander snel algoritme, i.c.m. een PKCS). Het probleem is alleen dat je wel backwards compatibility moet behouden, want er zijn een heleboel mensen met oude telefoons waarvan je niet zomaar de radio-drivers kunt updaten, en als die ineens niet meer kunnen bellen is het hommeles.
Lapixx
@Captnoord_30 december 2009 12:36
Waarom zou iemand jou, of een willekeurig ander persoon willen afluisteren? Er zijn aardig wat mensen met een mobiele telefoon, en heel weinig mensen die het eventueel zouden kunnen kraken. Je bent niet beroemd, je kent geen lanceercodes van een groot wapen. Wat zou men met een willekeurig telefoon gesprek willen doen? En, een GUI om SMS verkeer te onderscheppen? Kom nou, als je iets kraakt ga je dat niet direct openbaar maken.
TDeK
@Lapixx30 december 2009 12:41
AnyDVD, WGA Remover, zip en rar password recovery, allemaal tooltjes om te kraken met een mooie GUI eromheen.
Bij dit soort kraakacties (volledig openbaar trouwens: http://reflextor.com/trac/a51) gooit men misschien nog een kleine drempel op door alleen een command-line tool beschikbaar te maken, of dat je het project alleen op Linux kunt builden, maar dat stelt allemaal weinig voor. Waar vraag is is aanbod en aanbod is geld (indien je het commercieel zou willen gaan uitbrengen).
PS: Waarom iemand iets zou willen is niet relevant, het gaat erom dat het kan/vanaf nu mogelijk is gebleken.

[Reactie gewijzigd door TDeK op 30 december 2009 12:44]

Kain_niaK
30 december 2009 11:58
Dit soort dingen zeiden ze bij de ov-jaarkaart ook. En soort gelijke dingen zeggen ze zo een beetje bij al dit soort zaken. Dat het theoretisch mogelijk is maar practisch onwaarschijnlijk.
Tot iemand een systeem maakt dat precies gemaakt is voor de job. Pas als het te laat is word er iets aan gedaan.
Uiteindelijk zal het niet zo zijn dat iedere tweaker een beetje gsm verbindingen gaan zitten kraken voor de fun maar er zullen vast genoeg criminele toepassingen zijn en vroeg of laat komen die er wel. Er word genoeg gescamd en gefraudeerd met creditcard en bankkaarten.
Als hier geld uit te halen valt zal er vroeg of laat misbruik van gemaakt worden.
En als deze dingen en sleutels openbaar gemaakt worden kun je nog leuke dingen krijgen als het toch praktisch haalbaar blijkt om met een ontvanger en een laptop en de juiste software een gsm verbinding te kraken.
Anoniem: 70937
@Kain_niaK30 december 2009 12:22
OV-kaart was een ander verhaal, dat is een betaalmiddel. De telefoon is nog geen betaalmiddel.

Kraken van een OV-kaart staat gelijk aan het oplichten van het Openbaar vervoer, net als kraken van een chipknip bijna gelijk staat aan het in omloop brengen van vals geld (i.e. het oplichten van de Nederlandsche Bank).
vierkant228
@Anoniem: 7093730 december 2009 12:30
Niet waar, betalen voor parkeer automaten, betalen met SMS en rabo doet ook iets met betalen met telefoon.
robert_paats
@vierkant22830 december 2009 13:08
Klopt maar dan heb je niets aan het A5/1 algoritme ! Al kraken ze dat 100 maal.
Om in te loggen op een GSM netwerk heb je namelijk geen A5/1 nodig dus je kan met deze hack niet een telefoon nummer hacken maar alleen gesprekken afluisteren.

Om je voor te doen als iemand anders moet je de A3 en A8 algoritmes kraken. Tevens moet je achter de Ki komen die op de betreffende SIM kaart is opgeslagen. Dit is je secret key waarmee je inlogt op het netwerk en deze wordt niet kaal over de air interface gestuurd, daar zorgen A3/A8 voor.

Daarnaast zijn er ook ontwikkelingen voor sterkere encrypty op GSM alleen dat betekend wel dat in het geval van A3 en A8 de SIM kaart moet worden vervangen of in het geval van A5/1 (of voor het al langer geleden gekraakte A5/2 wat niet in Nederland wordt gebruikt) dat de telefoon eventueel moet worden vervangen als deze alleen maar A5/1 ondersteund.

Maar ik vind dat GSM het helemaal niet sleht doet voor eind Jaren 80 technologie.
Maar als je echt meer zekerheid wilt hebben dan moet je gewoon over stappen op UMTS zorg er wel voor dat je een USIM heb want anders gebruik je voor het inloggen op het netwerk nog altijd de oude GSM algoritmes.
Mikerd
30 december 2009 12:05
Bovendien moet een aanvaller zich in hetzelfde gebied bevinden als een klant." Of misbruik mogelijk is, moet volgens hem nog blijken.
Nog al lakse manier om erover te denken vind ik. Als jij even goed phished, daaruit van een bepaalde regio alle klanten eruit pikt en dan als bijvoorbeeld de encryptie gekraakt zou zijn je op een manier die smsjes zou kunnen opvangen dan kan je volgens mij nog best ver komen.
ppl
@Mikerd30 december 2009 13:54
Ja en dan? Je moet ook nog wel iets met de informatie die je hebt vergaard kunnen doen en dat is nou net het probleem. Meestal is die informatie onbruikbaar en moet je het in een bepaalde context zetten. Je zult puzzelstukjes aan elkaar moeten zetten, aan 1 stukje heb je niets.
GuidoKuitE
30 december 2009 12:14
Het is een simpele kosten-baten analyse.

Ga je miljoenen investeren in een systeem om iets te beveiligen wat (bijvoorbeeld) een paar duizend euro waard is? Nee

Het is moeilijk in te schatten hoeveel een afgeluisterd gesprek "kost" en hoe vaak het voor gaat komen. Als iemand duizenden euro's aan apparatuur moet regelen om een enkel gesprek af te kunnen luisteren, komt het dusdanig sporadisch voor dat een miljoeneninvestering te duur is.

Stukje risicomanagement

Alleen de simplistische en kortzichtige reactie van KPN bij monde van Steve Hufton "De afgelopen jaren is de A5/1-encryptie robuust gebleken", schiet me in het verkeerde keelgat. Wat heeft het verleden te maken met de toekomst?

[Reactie gewijzigd door GuidoKuitE op 30 december 2009 12:17]

Precision
@GuidoKuitE30 december 2009 12:36
Met 4000 us dollar kom je toe :)
Omgerekend in euro is dit: € 2771,424 neem nu nog dat je er met een € 3000 vanaf komt

[Reactie gewijzigd door Precision op 30 december 2009 12:38]

SemperFidelis
30 december 2009 11:58
De vraag is wat is er wel veilig. Een onkraakbaar betaalbaar systeem bestaat niet. Als 1 iemand op aarde iets kan maken, is er ook 1 persoon die het kan kraken. Dus als je zoiets ontwikkeld moet je niet streven om iets onkraakbaars te maken, maar de kans daarop zo goed mogelijk verkleinen. En dat is wel gelukt denk ik.
Anoniem: 70937
@SemperFidelis30 december 2009 12:19
Wat wel gelukt is, is dat er een theoretische mogelijkheid is aangetoont dat het kraakbaar is. De berichtgeving nu geeft meer aan dat het tegenwoordig ook in de praktijk kraakbaar is.

Een theoretisch bewijs geeft aan dat men op zoek moet naar alternatieven. Een praktisch bewijs geeft aan dat het niet meer bruikbaar is voor zaken waar beveiliging voor noodzakelijk is.

Wil je veilig een SMS versturen of ontvangen zul je nu echt iets anders moeten gebruiken. Dat heeft echter geen invloed op de "ik kom 30min later want file, houdt het eten warm" berichten. Van oudsher gingen veel mensen er al vanuit dat een telefoon kraakbaar/afluisterbaar was, met als gevolg dat bij uitwisseling van gevoelige informatie hooguit een berichtje van "ik moet je spreken om <tijd> op <plaats>" via de telefoon ging.

En afluisteren is natuurlijk het eenvoudigst via de centrale (waar in het begin elke operator kon meeluisteren).
The Van
@Anoniem: 7093730 december 2009 12:24
Wat wel gelukt is, is dat er een theoretische mogelijkheid is aangetoont dat het kraakbaar is.
Eh? Wilt U even naar de publicatie van het artikel kijken, waarin near Real Time (< 1 sec) crack wordt aangekondigd?!?
To: cryptography -at- c2.net
Subject: Forthcoming Biryukov/Shamir result against A5/1 GSM privacy algorithm
Date: Sun, 05 Dec 1999 22:36:28 -0500
Juist - dit is AL MEER DAN 10 JAAR BEKEND!
Edit: ff de email minder leesbaar gemaakt, en de link naar het artikel hier toegevoegd.

[Reactie gewijzigd door The Van op 30 december 2009 12:27]

mashell
@SemperFidelis30 december 2009 12:19
Inderdaad bestaat een onkraakbaar systeem niet. Echter een systeem dat in de eerste 10 jaar niet te kraken is kun je wel degelijk ontwerpen, volgens mij is dit GSM systeem daar zelfs een voorbeeld van.
BastiaanCM
@mashell30 december 2009 12:41
Volgens mij ligt dat er maar net aan hoeveel professionals er aan werken, en misschien ook een beetje geluk. Een schatting van tijd vind ik dus niet op zijn plaats.
Dhemes
30 december 2009 11:55
Qoute: Overigens is al jaren bekend dat de A5/1-encryptie onveilig is.
Is het wel of niet veilig?
Aragnut
@Dhemes30 december 2009 13:47
lijkt me toch duidelijk: hij is niet veilig.
]Byte[
@Dhemes30 december 2009 13:50
De eerste berichten tav het kraken van de GSM-encryptie stammen al uit 1999 door een paar Israelische lieden. (die wel een autoriteit op gebied van encryptie zijn)
Maar het is voor de GSM Association ook een gevalletje kosten-baten analyse.
Hetzelfde is ook jaren lang gedaan t.a.v. pinpassen.
De banken wisten ook al lang dat het simpel was om passen te kopieren, maar zolang de schade binnen de perken valt, hebben de banken niet veel behoefte om daar zware investeringen tegenaan te gaan gooien.
Daar hebben ze nu de stroppenpotjes voor.
Knaak
30 december 2009 11:58
Altijd zo nuchter reageren. Mocht het binnenkort helemaal fout lopen dan dekken ze zich weer in met hun woordjes: "Zelfs wij kunnen dit niet van te voren aan zien komen" o.i.d.

Zoals Amelandbor al zegt, laat al die systemen maar eens flink falen of aangevallen worden, dan is meteen duidelijk of het allemaal zo veilig is als ze zeggen dat het is.
1 2 3

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee