'Alleen Apples nano-simkaart compatibel met huidige toestellen'

Als in gevallen van a t/m e zo simpel zou moeten zijn om de sim- (account) gegevens over te zetten op een ander toestel, dan ben ik al helemaal niet te overtuigen voor een sim-kaart-loze-telefoon:

De belangrijkste gegevens op de SIM zijn:
1- De IMSI: het 15-cijferige International Mobile Subscriber Identity. De IMSI is in het mobiele netwerk gekoppeld aan één of meer mobiele telefoonnummers.
2- De algoritmes voor encryptie: deze wordt gebruikt voor het aanmelden bij een provider (een bedrijf dat mobiele telefonie aanbiedt). De gebruikte algoritmes blijken niet onkraakbaar, maar zijn veilig genoeg voor gewone gesprekken.
3- Frequentieverspringing: Voor het beveiligen van het telefoongesprek zelf, wisselt een telefoon voortdurend van frequentie. Dit gebeurt zo vaak, dat het afluisteren van het radiosignaal alleen een ruis oplevert en geen duidelijk gesprek.
4- De identificatie van de huidige locatie: wanneer het toestel wordt aangezet in hetzelfde gebied als waarin het werd uitgezet, wordt overhead bij het aanzetten voorkomen. Het HLR-register laat toe om de locatie te kennen waar het betreffende telefoonnummer kan worden opgeroepen.
5- Daarnaast biedt de simkaart nog opslagruimte voor een telefoonboek en enkele sms-berichten. De inhoud van de simkaart kan worden overgebracht van en naar een pc om een reservekopie (een back-up) te maken.

Door een fysieke apparaat, in dit geval de sim-kaart, met alle essentiële en zeer gevoelige data & functies erin, te vervangen door simpel te onthouden gegevens (inlog/code en pincode van maximaal 5 á 6 cijfers). Vergeet niet dat met een dumb-phone alleen cijfers (makkelijk) gebruikt kunnen worden, dus geen letters/namen; waarschijnlijker: de IMSI-nummer & pincode. Reken maar niet dat een dergelijk lang & unieke nummer te onthouden is voor de meeste mensen.

Ik ben geen beveiligingsexpert, maar de eerste 3 functies zijn volgens mij zeer belangrijke data. Vergeet niet dat een gsm bijna altijd in een beveiligde/geëncrypte draadloze verbinding staat met de provider die ook een lokaal opgeslagen (op server v. provider) encryptie-sleutel voor dat bijbehorende simkaart heeft. De functies van punten 2 en 3 met unieke gegevens, moeten dan op ieder willekeurige telefoon over te nemen zijn, dus niet meer zo uniek: NUTTELOOS als beveiliging.

Terugkomend op jouw punten:
a- Weet jij een nummerreeks dat uniek is in de wereld & bijbehorende pincode gegevens uit je hoofd? Het moet lang genoeg zijn dat als je op een netwerk in China of India niet toevallig een van hun gebruikt, wat direct resulteert in een foute pincode. En vergeet het maar dat de klantenservice dit weet, want pincode wordt lokaal opgeslagen. Anders zou dit bij een prepaid-sim niet werken.

b- Jij laat jouw account blokkeren, dus kun jij er dan niet meer mee bellen. Laat je jouw account weer deblokkeren, dus kan die vinder vanaf dat moment op jouw kosten bellen of zelfs jouw inkomende gesprekken voor jou opnemen (LEUK). Hoe wil je dit voorkomen? Door bijvoorbeeld jouw account nu te koppelen aan de IMEI van je nieuwe telefoon? Dus wil je doodleuk klantenservice bellen om dat even te doen? Dat kan die vinder ook doodleuk weer doen voor het toestel dat hij in handen heeft. Dan maar naar de winkel/service punt met ID-kaart in China of India? Laat ik maar voor jou hopen dat die winkel/service punt niet zomaar uit een database kan weten of dat jouw credentials correct zijn. Anders kan die inmiddels irritante vinder dat ook gaan doen bij een bevriende medewerker van een ander winkel/servicepunt.

c- Zie punt a van deze reactie of hoop ik voor je dat je de door jouw bijna nooit gebruikte, 15-cijferige IMSI-nummer zo uit je hoofd weet. Want deze lange IMSI-nummer zorgt ervoor dat het een unieke nummer is in de wereld.

d- Dat zou goed kunnen als punten a en b getackeld zijn,

e- Dat zou goed kunnen als punten a en b getackeld zijn.

Kortom, precies zelfde verhaal als met sim kaart. Het enigste wat je nodig heb is een account bij een provider, dat is alles. Het snel wisselen naar een andere telefoon gaat dan alleen als die ook dat sim idee aan kan. Werkt die telefoon op een standaard sim kaart, dan is er vast wel iets te doen met een standaard simkaart waar je je account op kunt zetten.

Je stelt het veel te simpel; een telefoon die zich aanmeldt op een (vreemde) netwerk in bv China is niet hetzelfde zoals bij een (https) inlog-proces bij internetten. Zelfs bij een een https-verbinding (wat ook te kraken is) wordt uit beveiligingsredenen, gekild na een korte periode. Als het zo simpel is als met een inlogcode/pincode, dan staat een telefoon in de meeste gevallen 24 uur per dag die gegevens uit te zenden voor kwaadwillenden.
Het grootste gevaar van een sim-loze telefoon is dat de sim-gegevens te kopiëren zijn, wat de grootste beveiligingslek zal zijn. Om maar te zwijgen van de afhankelijkheid van mensen (onthouden), die in de meeste gevallen de zwakste schakel is in de beveiliging.

Tuurlijk hebben we al VOIP wat goed werkt met SIP. Maar dit is MET internet-verbinding wat niet hetzelfde is als een GSM-netwerk in een ontwikkelingsland. Bovendien is dit zo lek als maar kan; Ik heb een SIP-account bij een VOIP-provider, dat ik aan mijn vrouw geef en op drie verschillende smartphones heb staan in diverse apps; zelfs op mijn oude adsl-modem ingesteld. Als ik bijvoorbeeld deze modem verkoop zonder te resetten, kan de koper er gewoon op mijn kosten bellen.
Met een non-fysieke-sim kan dit soort beveiligingsfouten makkelijker gebeuren, dan met een fysieke sim-kaart.

Think out of the box, but securely!!! De toepasbaarheid in Nederland of andere ontwikkelde gebieden is niet overal op de wereld van toepassing. Dus: Think out of the box and also out of your country border

Alvast sorry voor de eventuele spelfouten (lange tekst).

edit: typo's

[Reactie gewijzigd door vinnixx op 23 juli 2024 00:06]