Simkaarten hacken: hoe zit het precies?

Ingrediënten

Een simkaart hacken en overnemen door er een sms'je naar te sturen. Het klinkt als iets uit een Hollywood-film, als iets dat eigenlijk niet mogelijk zou moeten zijn. Dat het wel degelijk kan, ontdekte de Duitse beveiligingsonderzoeker Karsten Nohl. Dat Nohl daar in slaagde, werd vorige week al bekend, maar de precieze details bracht de Duitse beveiligingsonderzoeker pas woensdag naar buiten, tijdens de Black Hat-beveiligingsconferentie in Las Vegas. Voorafgaand aan zijn presentatie sprak Tweakers met hem.

Binair sms'en

Voor het hacken van een simkaart heb je verrassend weinig nodig: een computer, en een manier om binaire sms-berichten te verzenden. "En een computer hebben de meeste mensen toch al", tekent Nohl aan. Om binaire sms-berichten te kunnen verzenden, kan een oude telefoon met alternatieve baseband-firmware worden gebruikt, zoals Osmocon. "Je kunt bijvoorbeeld oude Motorola's gebruiken, maar dat hoeft niet. Er zijn ook diensten op internet waarmee je voor iets meer dan honderd euro tienduizend sms'jes kunt versturen."

Natuurlijk ben je er nog niet met het sturen van een binaire sms: vervolgens moet de simkaart van de ontvanger om de tuin worden geleid om zijn geheimen prijs te geven. De sms-hacker-in-spé moet een sms-bericht versturen van het soort dat normaliter enkel door een telecomprovider wordt verstuurd, om instellingen op de simkaart te wijzigen. Dat soort sms-berichten, 'over the air programming' genoemd, blijft ongezien voor de gebruiker.

Een simkaart accepteert niet zomaar instructies van elke afzender: een commando moet zijn voorzien van een cryptografische handtekening. Precies die handtekening kan in een deel van de gevallen worden ontfutseld, mits de simkaart aan twee voorwaarden voldoet. Een deel van de simkaarten geeft op een ongeldig 'commando-bericht' een antwoord terug, waarin een zogenoemde checksum staat.

Telefoon om de tuin leiden

In een deel van de gevallen zijn die checksum en de bijbehorende handtekening niet krachtig genoeg, zo maakte Nohl eerder al bekend: er wordt dan gebruikgemaakt van het sterk verouderde des-encryptie-algoritme, dat een sleutel van slechts 56bits gebruikt. Tijdens Black Hat onthulde Nohl echter dat ook simkaarten met het nieuwe, veiligere 3des-algoritme kwetsbaar kunnen zijn. Hoewel het algoritme an sich veilig is, kunnen sommige simkaarten toch worden gekraakt door de simkaart ertoe te verleiden over te stappen op het onveilige des-algoritme. "Dat mag eigenlijk niet van de 3des-standaard", aldus Nohl - maar sommige kaarten doen het toch.

Rainbow tables

Met de checksum in handen is aan de eerste van de twee voorwaarden voldaan omdat daarmee de inhoud van het sms-bericht dat is verzonden, kan worden geverifieerd. Wat dan nog ontbreekt is de tweede voorwaarde: de handtekening die wordt gebruikt door de telecomprovider om commando's aan de telefoon te ondertekenen.

kwetsbare sims

Bij de onveilige simkaarten is die handtekening echter wel uit de checksum af te leiden. Om dat te kunnen doen, is een programmeur met wat cryptografische skills vereist, stelt Nohl. Er moeten rainbow tables worden aangelegd; een soort telefoonboek waarin cryptografische hashes aan de oorspronkelijke, platte tekst worden gekoppeld. In dit geval kost het aanleggen van de rainbow table op normale, doorsnee hardware een jaar, maar daarna kan elke checksum binnen een minuut worden gekoppeld aan de bijbehorende handtekening. Op krachtigere hardware kan de rainbow table bovendien sneller worden aangelegd.

De rainbow tables zijn overigens niet in alle gevallen succesvol: niet alle checksums kunnen aan een handtekening worden gekoppeld. Een brute force-aanval, waarbij alle mogelijke combinaties worden geprobeerd tot de juiste is gevonden, werkt wel altijd, mits de getroffen simkaart over de verouderde des-encryptie beschikt. Die methode is echter echter duur of erg tijdrovend. Op een gpu van duizend euro kost het brute-forcen van de des-handtekening zes maanden; op een fpga-cluster kost het brute-forcen een dag, maar daarvoor is wel een cluster van om en nabij de 50.000 euro nodig.

Jackpot!

Beschikt de aanvaller eenmaal over de cryptografische handtekening, dan heeft deze evenveel macht over de simkaart als de provider. Om die macht op waarde te kunnen schatten, is het belangrijk om te weten dat een simkaart meer is dan enkel een chipje dat wordt gebruikt om de telefonie-abonnee op het netwerk te authenticeren: het is simpelweg een computer met een besturingssysteem.

Een van de dingen die een simkaart kan, is het corrigeren van telefoonnummers voor uitgaande gesprekken. "Een simkaart kan de telefoon instrueren om uitgaande telefoonnummers te laten zien aan de simkaart en ze eventueel te corrigeren", aldus Nohl. Dat kan in de praktijk nuttig zijn, bijvoorbeeld als gebruikers in het buitenland zijn en met een Nederlands nummer willen bellen, maar er geen '+31' voor hebben gezet. De simkaart snapt dat, en voegt die land-extensie zelf toe.

Ook voor providers is die functie handig. "Stel je voor dat je met je Nederlandse simkaart in de Verenigde Staten bent, en je belt mij in Duitsland", aldus Nohl. "Jouw provider heeft waarschijnlijk geen goede deal voor gesprekken vanuit de Verenigde Staten naar Duitsland, omdat dat zelden gebeurt. Maar ze hebben wel goede deals voor gesprekken vanuit de Verenigde Staten naar Nederland, en van Nederland naar Duitsland." Waar providers dan voor kunnen kiezen, is om telefoongesprekken eerst naar Nederland door te sluizen, en ze vanuit daar te forward-connecten naar Duitsland. Die functionaliteit kan voor kwaadwillenden die een simkaart hebben gehackt, echter ook worden gebruikt om telefoongesprekken af te luisteren, door het telefoongesprek om te leiden via een server die het gesprek opneemt.

Telefoonverkeer ontsleutelen

Dat is niet de enige manier om het gesprek af te luisteren: met de cryptografische handtekening is het eveneens mogelijk om het 2g-, 3g- en 4g-verkeer dat de telefoon verstuurt, te ontsleutelen. Daarbij gaat het zowel om data- als telefonieverkeer. Uiteraard moet daarvoor wel het telefoonverkeer worden onderschept, maar normaliter is enkel telefonieverkeer via 2g af te luisteren. Voor dat laatste was Karsten Nohl zelf verantwoordelijk. Nohl tekent aan dat deze exploit vooral nuttig is in landen waar veel gebruikers getroffen simkaarten hebben.

Kwaadwillenden kunnen simkaarten in hun macht ook instrueren om op de achtergrond gesprekken met dure 0900-nummers te voeren of sms-berichten naar prijzige sms-boxes te versturen. "Daarmee kun je hetzelfde als telefoonmalware, maar tref je ook de mensen die niet zo dom zijn om op een viruslink te kikken", zegt Nohl. Ook kan de server die wordt gebruikt om sms-berichten te versturen worden gewijzigd, waardoor het in de praktijk mogelijk wordt om sms-berichten te onderscheppen.

Sandboxing

Nohl slaagde er ook in dingen te doen die providers eigenlijk niet zouden moeten kunnen. Simkaarten kunnen Java-applicaties draaien; normaliter zijn die van elkaar gescheiden met behulp van sandboxing, een beveiligingsmaatregel om verschillende applicaties in gescheiden silo's te draaien. Daarmee moet worden voorkomen dat applicaties worden getroffen door beveiligingsproblemen in andere applicaties. Nohl en zijn team slaagden er echter in om de sandboxing-beveiliging van twee typen simkaarten te omzeilen.

java simkaart

Dat is bijvoorbeeld een gevaar voor telefoniegebruikers in landen waar simkaarten worden gebruikt om betalingen te authenticeren. "Dat gebeurt vooral in Afrika en Zuid-Amerika", aldus Nohl. Door de simkaart te hacken en de sandbox-beveiliging te kraken, zou het in die landen in theorie mogelijk zijn om betalingsverkeer te onderscheppen, maar dat is niet in de praktijk aangetoond.

Impact

Nohl heeft goed nieuws voor abonnees in Nederland en België: de gevolgen zijn hier op dit moment beperkt. "Het is niet echt een gevaar meer voor de meeste abonnees. Dat is wel een verschil met vorige week", aldus Nohl. Toen het nieuws naar buiten kwam, waren veel gebruikers nog kwetsbaar, maar inmiddels hebben veel providers al maatregelen genomen.

De beveiligingsonderzoeker wil geen namen noemen, maar zegt dat 'het helpt dat twee van de drie providers in Nederland onderdeel zijn van grotere families', daarmee doelend op Vodafone en T-Mobile. "Maar ook de overgebleven provider heeft zijn best gedaan", aldus Nohl, daarmee doelend op KPN. Hij wil niet aangeven of hij er in is geslaagd om Nederlandse simkaarten te hacken; volgens hem is dat niet relevant. "We hebben een relatief kleine hoeveelheid simkaarten gehackt, als daar Nederlandse simkaarten tussenzitten zegt dat niet zo veel", zegt Nohl. Eerder zeiden T-Mobile en Vodafone niet getroffen te zijn.

Niet alle providers waren goed bezig: volgens Nohl zagen niet alle providers in hoe belangrijk het was om de problemen snel op te lossen. Ook de fabrikanten van de simkaarten, waaronder het Nederlandse Gemalto, valt volgens hem het nodige te verwijten: ze zouden niet snel genoeg zijn overgestapt op het veiligere 3des.

Karsten Nohl op Black Hat

Karsten Nohl op Black Hat.

De beveiligingsonderzoeker en zijn team brachten hun onderzoek naar buiten via responsible disclosure: daarbij wordt een kwetsbaarheid pas uit de doeken gedaan als betrokken partijen de kans hebben gehad om hun beveiliging op orde te brengen. In het verleden werd er wel eens negatief gereageerd als onderzoekers problemen naar buiten wilden brengen, maar volgens Nohl valt dat inmiddels mee: volgens hem zien veel bedrijven in dat ze onderzoekers toch niet kunnen weerhouden van publicatie en zien ze het inmiddels als gratis beveiligingsonderzoek, in plaats van een bedreiging.

Innovatieve oplossingen

Nohl zegt blij te zijn dat veel providers snel hebben gehandeld, voordat kwaadwillenden de kans hebben gekregen om misbruik te maken van de aan het licht gebrachte kwetsbaarheden. Een paar maanden geleden lichtte Nohl de providers in, via de GSM Association, en Nohl zegt verrast te zijn door de soms innovatieve oplossingen voor de problemen. "Sommige oplossingen hadden we zelf niet eens kunnen bedenken", aldus Nohl.

Zo heeft een provider de kwetsbaarheden in Java op de simkaart gebruikt om over te stappen van het verouderde des-algorime naar het veilige 3des. "Er is geen commando op de simkaart waarmee dat kan", zegt Nohl, "maar met deze hack kon dat wel. Ik vind het leuk om te zien dat providers hackmethoden gebruiken om hun beveiliging te verbeteren."

Providers kunnen zich ook op andere manieren wapenen tegen de aanval, bijvoorbeeld door de sms-berichten met de kwetsbare handtekening te blokkeren. Ook kunnen getroffen simkaarten worden vervangen of kan over the air programming worden uitgeschakeld, maar dan kunnen providers helemaal geen bewerkingen uitvoeren op de betreffende telefoons.

Nohl maakt zich evenwel zorgen om providers buiten Europa. "We hebben over dit probleem vooral contact gehad met Europese providers en weinig met providers van buiten Europa. Het kan zijn dat ze hun eigen experts hebben ingeschakeld, maar als het betekent dat ze zich simpelweg niet zo druk maken over dit probleem, dan is dat reden tot zorg." Vooral in Afrika en Zuid-Amerika, waar telefoons voor betalingen worden gebruikt, kan dat een probleem zijn.

Bovendien verwacht Nohl dat aanvallers hun pijlen nu in toenemende mate op simkaarten zullen richten, nu de kwetsbaarheden aan het licht zijn gekomen. "Als je de deur naar een hack opent, gaat hij niet meer dicht", aldus de beveiligingsonderzoeker. "Neem de exploit in de Java-sandbox. We hebben één bug gevonden, maar er zijn er honderden", aldus Nohl. "En we hebben niet eens zo lang gekeken." De gevaren voor providers en telefoongebruikers zijn, kortom, nog niet helemaal verdwenen.

3. Impact
43Reacties

Multipage-opmaak

IT-banen

Reacties (43)

Verwijderd 1 augustus 2013 08:57

Ze hebben een aantal jaar geleden toch ook al telefoons gekraakt door binaire smsjes te versturen? Is dit niet ongeveer hetzelfde?

Artikel uit 2009: http://www.computerworld....orks_vulnerable_to_attack

Bluepenguin @Verwijderd • 2 augustus 2013 23:36

Dat is een ander soort aanval. De 'kraak' van Karsten Nohl richt zich op de verificatie die in de simkaart is ingebouwd. De hack waar jij naar verwijst draait er om dat een gebruiker een sms krijgt die afkomstig lijkt van zijn/haar provider, en vervolgens pas effect heeft zodra de gebruiker daar opdracht toe geeft. Oftewel, wat Nohl doet is niet te detecteren voor jou als gebruiker, de hack uit 2009 is in feite een stukje 'social engineering' (overtuig de klant) + een zwakte in de afhandeling van sms door een mobiele telefoon + de afwezigheid van voldoende filtering op netwerk niveau door een provider.

Die hack uit 2009 van Zane Lackey en Luis Miras werkt ongeveer als volgt:
sms toont aan de ontvanger van een bericht de afzender in de vorm van een telefoonnummer. Mocht je iemand als contactpersoon in je adresboek hebben, dan zal jouw telefoon dit nummer in de weergave veranderen door de naam van die persoon.
Dat principe geldt ook voor jouw provider, als zij jouw een sms sturen, dan staat daar bijvoorbeeld een nummer als 1300, 1233 of vergelijkbaar. Soms kan je ook in plaats van een nummer simpelweg 'KPN' "T-Mobile" etc. zien staan.
Het nummer dat wordt weergegeven in het ontvangen bericht wordt bepaald door de 'header'** van de sms, die vertelt het ontvangende toestel het nummer dat moet worden weergegeven. Normaalgesproken zal de basebandfirmware (die voor de aansturing van de gsm antenne in de mobiel zorgt) automatisch daarvoor het nummer gebruiken dat de simkaart daarvoor geeft. Voor de 'hack' van Lackey en Miras heb je vervolgens twee zaken nodig:
• een mobiele telefoon waarvan de aanvaller de basebandfirmware om de tuin weet te leiden, als je daar meer over wilt weten is het internet groot genoeg om het hoe en wat daarover te vinden

Laat die firmware denken dat het een instructie krijgt van de sim, terwijl het in feite een stukje software is (zoals Lackey en Miras via een app doen)**, en je kunt o.a. het telefoonnummer dat de ontvanger ziet aanpassen naar wens. Ook kunnen er instructies (andere instellingen voor de ontvangende telefoon) inbegrepen worden in een dergelijke sms of mms bericht.
• de ontvanger krijgt een sms binnen waarvan hij/zij denkt dat die afkomstig is van zijn/haar provider: er staat immers 'KPN' of 1233 o.i.d. boven het bericht als afzender. De 'hack' is dan nog niet actief! De gebruiker denkt op die manier de bij het bericht inbegrepen instellingen te kunnen vertrouwen en zal in een groot deel van de gevallen de nieuwe instellingen toepassen. Pas wanneer je dus als gebruiker de 'kwaadaardige instellingen' toepast zal er iets gebeuren! De telefoon accepteert deze instellingen simpelweg omdat het de gebruiker is die zelf er om vraagt.

Er is dus geen hack van de simkaart nodig en geen hack van wat voor soort ook aan de kant van de persoon wiens mobiel aangevallen wordt. Er wordt simpelweg iemand het idee gegeven bepaalde instellingen veilig toe te kunnen passen. Als ik met m'n normale mobiele nr. dezelfde instellingen naar je zou sturen, zou je wel gek zijn om ze toe te passen, maar bij jouw provider niet.

Nou betekent bovenstaande dat je in feite maar heel weinig als klant kunt doen om te ontdekken of een sms met instellingen wel echt van jouw provider is. Wat in 2009 al door een grote meerderheid van de providers werd gedaan is het eigen netwerk controleren op berichten afkomstig van dergelijke 'vertrouwde' nummers en afzendersnamen. De GSM standaard biedt mogelijkheden om dit soort 'nepberichten' te kunnen filteren. Is een bericht niet 'authentiek' dan wordt het simpelweg geblokkeerd.
Sommige providers hadden een dergelijke filtering blijkbaar in 2009 niet of niet goed genoeg op orde. Destijds was het feitelijk een beperkt issue, met name in Noord-Amerika en Europa was deze hack vrij beperkt mogelijk op het moment van bekendmaking, andere werelddelen hadden in de regel destijds de zaken iets minder op orde. Praktisch alle providers zullen sindsdien dit soort aanvallen wel kunnen stoppen op hun eigen netwerk.

De hack van Nohl is daarentegen een echte hack, en vraagt doordat hij de versleutelde sim beveiligingen weet te kraken geen enkele interactie met de gebruiker van een toestel. En daarmee is het een veel gevaarlijke aanval.

**technisch gaat e.e.a. wat dieper dan wat hierboven staat, er zitten de nodige shortcuts in de tekst. Voor meer kun je goed terecht bij Wikipedia en de documentatie van o.a. de GSMA.

Adamar 1 augustus 2013 06:42

Je kan reageren zoals Volkwagen vorige week en meteen naar de rechter stappen met een verbod tot publicatie, of je kan reageren zoals de GSM Assiciation en meteen in actie schieten en proberen het lek te dichten.

Proper werk van Nohl en de GSM A.

Verwijderd @Adamar • 1 augustus 2013 07:14

Het verschil tussen Nohl en die onderzoekers is dat Nohl wel verantwoord omgaat met zijn informatie. Je kan dat ook opmaken uit dit interview, hij wil niet kwijt welke providers wat hebben gedaan, war er allemaal is gebeurd en welke maatregelen er getroffen zijn maar hij zegt wel dat het probleem is opgelost. Hij zegt niet welke providers er zijn getroffen, hij bescrijft een methode maar gaat verder niet in op details en hij zegt al helemaal niet wat de keys zijn van de providers want wat is het nut van die informatie?

Dat is dus het verschil tussen hem en de VW onderzoekers want die wilde dus meteen sleutels vrijgeven zodat jan en alleman zonder moeite een simpel zendertje kan bouwen en auto's mee kan nemen.

Je kan je natuurlijk ook voorstellen dat je een simkaart heel makkelijk kan vervangen (door een nieuwe op te sturen naar je abonee), deze hack kan blokkeren of ongedaan kan maken. De ECU in je auto op een afstand vervangen is onmogelijk.

Appels en peren.

Tvern @Verwijderd • 1 augustus 2013 09:26

Hoe lang wil je wachten met publiceren? Als je pas publiceert nadat er een oplossing is, zal die oplossing vaak nooit komen. Als je een vaste tijdperiode hanteert zal dat te kort zijn voor ingewikkelde problemen, maar voor simpele problemen vaak te lang, waardoor systemen wellicht onnodig lang onveilig blijven.
De periode tot publicatie moet als doelstelling hebben dat een producent zich genoodzaakt voelt zo snel mogelijk te handelen, maar waarbij de fix wél getest kan worden. Dat is niet altijd makkelijk in te schatten.
In het geval van dit onderzoek lijken de providers zich genoodzaakt gevoeld te hebben, om snel in actie te komen. Als er niet gepubliceerd zou worden zou dat wellicht anders zijn.

Volkswagen groep laat totaal geen motivatie zien om een oplossing aan te dragen. Toch zijn zij al sinds november 2012 meerdere malen op de hoogte gesteld van gevonden kwetsbaarheden die uiteindelijk de hack mogelijk gemaakt hebben. (Het is mij overigens niet helemaal duidelijk op welke termijn de onderzoekers wilden gaan publiceren, alleen dat zij de intentie om te publiceren bekend gemaakt hebben)*
Als Volkswagen groep nu had gezegd: "Het is een lastig probleem, we hebben 24 maanden nodig om de boel op te lossen.", dan hadden ze die tijd m.i. moeten krijgen, maar het lijkt er op dat ze zeggen: "Alles vervangen wordt te duur. We gaan gewoon verder met verkopen.".

Wie niet horen wil moet maar voelen. A.U.B. publiceren en schade verhalen op de nalatige fabrikant.

Edit:hmm beetje OT gegaan. Sorry!

[Reactie gewijzigd door Tvern op 22 juli 2024 16:33]

Verwijderd @Tvern • 1 augustus 2013 16:12

Hoe lang wil je wachten met publiceren? Als je pas publiceert nadat er een oplossing is, zal die oplossing vaak nooit komen.

Dat is een aanname die je maakt welke helemaal niet klopt, dit artikel is zelfs het tegenbewijs daarvan. Er zijn genoeg voorbeelden (zelfs vorig jaar nog) waarbij onderzoekers wachten met publicatie tot het probleem is opgelost.

Om je vraag te beantwoorden, Wang Xiaoyun heeft 4 jaar gewacht met publicatie van haar MD5 methodes. Daarvoor liet ze eerst zien dat het mogelijk was maar liet niks los over hoe. Dat hadden de VW onderzoekers ook kunnen doen, laten zien dat ze elke auto open kunnen maken zonder moeite maar niks vrijgeven over hoe, dat is al genoeg om de druk op te voeren. Het publiekelijk vrijgeven van de sleutels heeft verder geen toegevoegde waarde tot de resultaten van het onderzoek.

De wachttijden kunnen dus blijkbaar oplopen tot 4 jaar of langer.

Volkswagen groep laat totaal geen motivatie zien om een oplossing aan te dragen.

Dat is weer een aanname die je maakt, jij hebt geen inzicht bij VAG.

Wie niet horen wil moet maar voelen. A.U.B. publiceren en schade verhalen op de nalatige fabrikant.

Jij weet niet hoe de communicatie is geweest tussen de onderzoekers en VAG en/of VAG wel de tijd/kans heeft gehad om het probleem uberhaubt op te lossen. Stukje over druk opvoeren zie hierboven over MD5.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 16:33]

Armin

Netwerk en systeembeheer

@Verwijderd • 1 augustus 2013 23:13

En aanvullend is er nog een 3e groep mensen. Al die onschuldige eigenaren van VW's en andere getroffen merken.

Door meteen de key's vrij te geven veroorzaak je mogelijk een stormvloed aan kraken. Voor de eigenaar maakt het niet veel uit als je auto gekraakt is, wat voor spelletjes hackers en VW onderling gespeeld hebben.

Als hacker heb je ook een veramtwoordelijkheid om de belangen van die mensen mee te laten wegen, zelfs al zou VW zelf heel nalatig geweest zijn...

Tvern @Verwijderd • 3 augustus 2013 10:03

Wat ik bedoel, is dat een vaste, reële deadline, meer motiveert snel met een oplossing te komen, dan wanneer publicatie pas gebeurt als er een oplossing is. (hoe lang dat ook moge duren)
Wanneer er ook nog eens een publicatieverbod van een rechter ligt, is de druk er helemaal vanaf.

Volkswagen groep laat totaal geen motivatie zien om een oplossing aan te dragen.

Dat is weer een aanname die je maakt, jij hebt geen inzicht bij VAG.

Ik geloof dat we hetzelfde zeggen. Het kan best zijn dat er intern hard gewerkt wordt, maar daar ziet de bezorgde gebruiker weinig van. Daar zijn geen aannames voor nodig.

Jij weet niet hoe de communicatie is geweest tussen de onderzoekers en VAG en/of VAG wel de tijd/kans heeft gehad om het probleem uberhaubt op te lossen. Stukje over druk opvoeren zie hierboven over MD5.

Heb je helemaal gelijk in. Ik ga er in zo'n geval (mogelijk onterecht) van uit dat een bedrijf als VAG wal in staat is om alles wat hen in een goed daglicht stelt publiekelijk te maken. Met andere woorden, als zij niet zeggen dat de onderzoekers onredelijk waren, zullen de onderzoekers wel redelijk geweest zijn.

[Reactie gewijzigd door Tvern op 22 juli 2024 16:33]

Dennisdn @Adamar • 1 augustus 2013 07:41

VW moet natuurlijk wel even de tijd krijgen om het gat te dichten. (als dat uberhaupt nog kan).
Anders wordt het wel erg makkelijk voor de "RNS-bendes". (of erger).

Belgar @Dennisdn • 1 augustus 2013 11:12

VW kreeg al 9 maanden en er gebeurd niets. GSM alliance kreeg 1 a 2 maanden en hebben het al opgelost...

Crazy D @Belgar • 1 augustus 2013 13:03

Als ik dit begrijp kunnen de providers een belangrijk deel van het probleem oplossen op hun servers. Bij VW moeten alle auto's teruggeroepen worden.

Coehinator 1 augustus 2013 03:12

Wist niet dat dit te hacken was, en ook niet dat een simkaart zo uitgebreid was.

Wel raar dat er dan niet eerder een hack is verschenen, We gebruiken de simkaart namelijk al een grote poos. Wel goed om te horen dat providers snel maatregelen hebben genomen

bbob

Netwerk en systeembeheer

@Coehinator • 1 augustus 2013 10:05

De hack is eigenlijk ook via een achterdeur door het sturen van een sms bericht.
Nu vraag je je af wat kunnen ze allemaal nog meer activeren via een sms bericht op jou telefoon. Dus toch misschien het verhaal van de geheime diensten die kunnen meeluisteren op iedere telefoon.
Telefoonverkeer uitgaand kan dus al via een server lopen die alles opneemt.
Zoals men zelf aangeeft heeft men niet diep gegraven en maar 1 bug gevonden, er zullen er zeker nog meer zijn.
Daarnaast beschikken veel overheden over leuke clusters die ze hiervoor kunnen inzetten om een sleutel te krijgen.

volgens hem zien veel bedrijven in dat ze onderzoekers toch niet kunnen weerhouden van publicatie en zien ze het inmiddels als gratis beveiligingsonderzoek, in plaats van een bedreiging.

In dit geval dan, VW was toch echt niet blij met info over de te hacken afstandsbediening voor het starten van een auto.

Eagle Creek

@bbob • 1 augustus 2013 10:17

Flauw gezegd is er niets nieuws onder de zon hier. Het kraken van DES-sleutels is an sich geen nieuwigheid. Er is een reden dat DES beschouwd wordt als totaal onveilig en vervangen is door 3DES of zelfs nog sterkere algoritmes.

Het probleem zit hem hier voornamelijk in het feit dat
1. De oude encryptie hier en daar terug te vinden is;
2. Er een groep SIM's is die het toestaat om terug te vallen op de oude encryptie.

Het eerste euvel is op te lossen door SIM's om te ruilen (of te upgraden wanneer mogelijk), het tweede is een bewuste keuze die stiekem niet gemaakt had mogen worden.

Zoals vaker is het de impact van de situatie die het interessant maakt: het klassieke "kans x impact = risico". De kans dat dit kon gebeuren, is relatief hoog. Hoewel je wel enige skills nodig hebt om het voor elkaar te krijgen, is het kraken van DES geen "of" maar een "wanneer". Wanneer het echter zou gaan om wat onbelangrijk intern geneuzel (statusupdates bijvoorbeeld) zou niemand er wakker van liggen. In het geval dat een kwaadwillende mogelijkerwijs in staat is de SIM-kaart zo te programmeren dat gevoelige gegevens in de verkeerde handen komen, is het risico dreiging als geheel een stuk groter.

Overigens houden we in de praktijk nog de factor 'kans van optreden' over. Immers: de gemiddelde persoon zal hier geen last van ondervinden. In landen als Afrika is een mobiele telefoon echter absoluut gemeengoed. Waar wij in Nederland volledig betalen met plastic, zo betaalt met in Afrika volledig met de mobiel. Dat is een compleet andere cultuur dan wij hier gewend zijn en in mijn ogen is een laconieke houding van providers aldaar wel reden tot zorg. In "het Westen" zijn we ver doorontwikkeld als het aankomt op beveiliging, procedures en dreigingenbeheer maar of dat daar ook overal zo is..

Het gedeelte waarbij de sandboxing is omzeild vind ik persoonlijk wel interessant. Dit is namelijk iets wat de provider dus ook kan misbruiken (en soms misbruikt, zo blijkt uit het bericht). Dit lijkt me een ontwerpfout in de kaarten zelf. Ik heb zelf hierbij zachtjes de indruk dat het risico vooral toeneemt omdat SIM's nooit zijn ontworpen om allerlei zaken te authenticeren, zoals financiele transacties. Dit is -voor zover ik weet- een gebruiksvorm die daar later aan is toegevoegd.

Wat ik echter niet uit het bericht kan halen:

Wat dan nog ontbreekt is de tweede voorwaarde: de handtekening die wordt gebruikt door de telecomprovider om commando's aan de telefoon te ondertekenen.

In de afbeelding die daaronder staat "Valid signature" [No] "DES downgrade" [Yes] = vulnerable.

Maar het feit dat gedowngrade kan worden van 3DES naar DES levert niet automatisch een signature op.

[Reactie gewijzigd door Eagle Creek op 22 juli 2024 16:33]

pauluss86 @Eagle Creek • 1 augustus 2013 13:51

Maar het feit dat gedowngrade kan worden van 3DES naar DES levert niet automatisch een signature op.

Zoals ik de afbeelding lees volgt de 'DES Downgrade' uit de 'Valid signature' en is er dan dus sprake van een signature. De 'ja'\'nee' duidt dan op het wel of terugschakelen van 3DES naar DES.

airell @Coehinator • 1 augustus 2013 10:18

Ik ben niet van het alu-hoedje type, maar het kan mogelijk door NSA/PRISM al gebruikt worden/zijn.
Die gaan het niet aan de grote klok hangen.

[Reactie gewijzigd door airell op 22 juli 2024 16:33]

Tuckson809 1 augustus 2013 14:34

Eigenlijk wil dat hele over the air programming gewoon UIT hebben

Mijn Sim heeft geen provider wat te zoeken.

Dan desnoods maar wat meer ongemak.

Is dat te regelen?

Verwijderd @Tuckson809 • 1 augustus 2013 14:55

De SIM is niet van jou.

Bluepenguin @Tuckson809 • 2 augustus 2013 22:06

Dat is by design zogezegd niet mogelijk, iedere sim is er op gemaakt om door de provider op afstand te kunnen worden aangestuurd.
Mogelijk verwar je zaken als afluisteren (in het kader van Prism en vergelijkbare berichtgeving) met het door de provider door geven aan jouw toestel van netwerkinstellingen.
Er zijn veel gegronde redenen dat een sim kaart zo werkt, en een paar voorbeelden daarvan zijn:
• als je een nieuw toestel of een toestel met nieuwe sim voor het eerst aanzet krijg je vaak snel na het inschakelen/activeren een berichtje van je provider met daarin de mms en internetinstellingen toegestuurd. Dat is een zichtbaar bericht voor de gebruiker, dat bij openen (en uitvoeren) meteen de juiste instellingen voor mms en internet voor die ene provider goed instelt. Dat scheelt voor de gebruiker redelijk wat moeite*, al kun je e.e.a. ook handmatig instellen.
• jouw provider heeft voor verschillende landen buiten Nederland/België overeenkomsten met andere providers, zodat je relatief voordelig via dat buitenlandse netwerk kunt telefoneren/sms'en etc. Af en toe zal daar een overeenkomst bij komen of af gaan, dat geeft een andere volgorde voor de door het toestel automatisch gekozen netwerken in het buitenland, dat is iets dat onzichtbaar voor de gebruiker naar de telefoon wordt gestuurd. Ook dit kan je natuurlijk voordat je gaat reizen opzoeken en handmatig een netwerk kiezeen.
• jouw provider kan e.e.a. veranderen aan bijvoorbeeld hun 'sms-centrale' of de servers voor mobiel internet. Of denk aan de andere frequenties na de telecomveilingen, iets dat door de sim kaart samen met de baseband firmware wordt afgehandeld. En dat zijn zaken die je eigenlijk niet handmatig kunt aanpassen, al kun je als je daar om heen wilt werken uiteraard ook handmatig een netwerk selecteren in het instellingenmenu van de telefoon**. Je loopt alleen het risico korte tijd onbereikbaar te zijn.
Uiteraard kun je natuurlijk à la Karsten Nohl je eigen simkaart kraken, waarbij je de gebruikersvoorwaarden schendt, en jouw eigen provider geen 'toegang' meer geven tot "jouw" sim.
Ik denk dat je dan alleen twee essentiële zaken hebt gemist:
• je neemt bij een provider een pakket van diensten af, of je nu prepaid belt of abonnee bent, een telefoonnr dat je kunt gebruiken via de simkaart is onderdeel van dat pakket, netzoals de bijbehorende belminuten etc. Of zoals GJvdZ het krachtig zegt: de simkaart is van de provider. Wil je geen 'beïnvloedbare' sim gebruiken, dan is mobiel bellen wellicht niks voor jou.
• een simkaart geeft jou als gebruiker veel macht: op o.a. de WDCMA netwerken in Noord-Amerika kún je geen sim gebruiken. Jouw telefoonnummer zit dan in een stukje software op de telefoon besloten. Wil je een ander toestel pakken en daarmee verder gaan? In dat geval zul je bij jouw provider daar om moeten vragen of jouw nr. overgezet kan worden naar toestel .. met IMEI nr ...
Heb je die beperking niet, dan kun je heel makkelijk wisselen van toestel & daarmee heb je veel macht over het toestel deel van jouw abonnement of prepaid overeenkomst.
Er is in Europa destijds expliciet door de overheid (en deels in samenspraak met de GSMA) voor een simkaart systeem gekozen, om de consument sterker te laten staan. >> zie een simkaart liever als een klein stukje vrijheid, en liever iets minder als een stukje bemoeienis van jouw provider.

Vrees je bijvoorbeeld voor de smsjes en contactpersonen die je op een simkaart hebt opgeslagen staan, dat hoeft Niet: het gedeelte voor de opslag van sms en contactpersonen behoort by design tot het gebruikersgedeelte, en kan (tenzij je aan de sandbox kunt ontsnappen, wat een provider niet zal willen doen) normaalgesproken nooit door iemand op afstand worden gelezen.

* voor een t.net bezoeker zal dit no doubt anders liggen dan voor de gemiddelde consument
** de gemiddelde klant wil dat een simkaart als vanzelf werkt en wil in de regel niks te maken hebben met netwerkinstellingen etc. Het 'out-of-the-box' werken van een sim en een prepaid of abonnementspakket is daar dan ook volledig op ingericht door de provider. De uitrol van nieuwe diensten wordt op die manier voor een provider ook veel makkelijker.

Voor de duidelijkheid overigens: zie bovenstaande niet als een technisch volledig correcte reactie, het gaat me om het neerzetten van de principes en ideeën.

[Reactie gewijzigd door Bluepenguin op 22 juli 2024 16:33]

robvanwijk

Netwerk en systeembeheer

1 augustus 2013 03:28

Zo heeft een provider de kwetsbaarheden in Java op de simkaart gebruikt om over te stappen van het verouderde des-algorime naar het veilige 3des. "Er is geen commando op de simkaart waarmee dat kan", zegt Nohl, "maar met deze hack kon dat wel. Ik vind het leuk om te zien dat providers hackmethoden gebruiken om hun beveiliging te verbeteren."

$_/-\o_$

Eén ding wat me opvalt, de redenatie lijkt ongeveer te zijn "alle Nederlandse providers hebben maatregelen genomen, daarom is het probleem opgelost". Maar in het verleden is het in het nieuws geweest dat er een fundamenteel probleem met GSM is: de telefoon authenticeert zichzelf wel bij de mast, maar niet andersom; het is mogelijk om een "nep netwerk" in de lucht te brengen. Als je die het verkeer door laat geven naar het echte netwerk heeft de gebruiker niks in de gaten, maar heb je wel een mooie man-in-the-middle aanval opgezet. En op zo'n netwerk denk ik dat die speciale smsjes niet geblokkeerd zullen worden. Toegegeven, dat kost al een stuk meer moeite dan vanuit je luie stoel smsjes te versturen, maar het blijft een mogelijkheid. Hierbij maak ik de aanname dat de (niet nader toegelichte) "maatregelen" die de providers hebben genomen erop neerkomen dat dit soort smsjes (en/of de antwoorden) geblokkeerd worden. Het is natuurlijk ook mogelijk dat alle kwetsbare kaarten een goede over-the-air-programming smsje hebben gekregen om de kwetsbaarheid echt op te lossen, maar dat is aanzienlijk ingewikkelder.

cyberstalker @robvanwijk • 1 augustus 2013 06:05

Hij geeft juist aan dat er een provider is die het middels een hack voor elkaar heeft gekregen om oude simkaarten, die een zwakke beveiliging hadden, 3des te laten gebruiken.

Hiermee is inderdaad het probleem opgelost, want 3des is een veel sterkere encryptie, dan kun je wel een MITM-attack gaan uitvoeren, je kunt het toestel niet meer zomaar herprogrammeren.

Jeroen @cyberstalker • 1 augustus 2013 10:01

Het is natuurlijk een kwestie van tijd voordat 3des ook net zo snel te brute-forcen is als gewoon des, als er al niet andere kwetsbaarheden in de implementatie zitten die een deel van de randomness kunnen vrijgeven. Het lijkt me dus dat ze vast een lange-termijn oplossing mogen gaan verzinnen.

hardwareaddict @Jeroen • 1 augustus 2013 15:51

Niks bruteforcen nodig. Al die public key troep is polynomiaal joh. Alleen publiekelijk op internet gebruikt ment de domste algoritmes, want polynomiale algoritmes zijn niet triviaal om te verzinnen...

Kijk het bewijs is al hard geleverd dat factoriseren polynomiaal is voor een snelle computer met heel veel RAM. Het bewijs is al hard geleverd inclusief algoritme hoe je bewijzen moet wat een priemgetal is in O ( n ^ 10 ). Praktische running tijd is O ( n ^ 5 ) echter.

Logischerwijze is er dan met heel wat minder RAM ook een polynomiaal algoritme om de zaak te factoriseren. Let wel, polynomiaal naar de grootte van het te factoriseren getal.

Vanzelfsprekend gaat dat binnen O ( n ^ 10 * log n )

Als je namelijk een algoritme hebt dat bewijzen kan dat iets een priemgetal is, dan kun je ook in log n stappen voor elke microstep in dat algoritme natuurlijk de zaak ook factoriseren.

Je verzint alleen zo'n algoritme niet zomaar.

Let wel, n is in deze het aantal (al dan niet complexe) units waarbinnen je getal past.

Bij het proven van LL (lucas lehmer) worden er bijvoorbeeld tegen de 18 bits in elke double gestampt.

[Reactie gewijzigd door hardwareaddict op 22 juli 2024 16:33]

robvanwijk

Netwerk en systeembeheer

@hardwareaddict • 2 augustus 2013 17:22

Kijk het bewijs is al hard geleverd dat factoriseren polynomiaal is voor een snelle computer met heel veel RAM. Het bewijs is al hard geleverd inclusief algoritme hoe je bewijzen moet wat een priemgetal is in O ( n ^ 10 ). Praktische running tijd is O ( n ^ 5 ) echter.

Die volstrekte onzin heb ik ooit eerder gezien in een reactie hier, geen idee of jij het toen ook was.

Waar jij het over hebt is een test die in polynomiale tijd kan bepalen óf een getal priem is. Wat dat algorithme echt helemaal níét doet is je een factor geven. Als dat algorithme teruggeeft "niet priem" dan is alles wat je weet dat er een factor moet bestaan, maar verder heb je werkelijk nul-komma-nul informatie over die factor (ja, kleiner dan de wortel van het getal, maar goed, da's nogal wiedes).

Als je namelijk een algoritme hebt dat bewijzen kan dat iets een priemgetal is, dan kun je ook in log n stappen voor elke microstep in dat algoritme natuurlijk de zaak ook factoriseren.

Dit is zo'n onzin dat ik niet eens weet hoe ik uit moet leggen dat het onzin is. Wat ik wel kan is demonstreren dat het onzin moet zijn. Als jouw stelling zou kloppen, dan volgt daar namelijk uit dat:

Zoals je zelf al aangeeft is elk public key algorithme gebaseerd op factorisatie (behalve de alternatieven die dat niet zijn, maar dat terzijde)
Als je encryptie kunt kraken (en geen last hebt van een geweten) kun je heel veel rottigheid uithalen en/of heel erg rijk worden
Als jouw stelling zou kloppen dan moeten we aannemen dat voor elke persoon op de wereld minstens één van deze drie eigenschappen geldt:
- Heeft een geweten
- Is slecht in wiskunde / informatica
- Is te lam om één keer een niet-triviaal algorithme te schrijven, zelfs als dat algorithme in feite een geld-printer is
Oftewel: elke "black-hat cracker is lui". (Ow, en "elke white-hat security onderzoeker heeft geen behoefte aan oneindige roem en stapels onderscheidingen".)

polynomiale algoritmes zijn niet triviaal om te verzinnen...

Triviaal is het sowieso niet. De interessante vraag is vooral of het überhaupt mogelijk is...

[Reactie gewijzigd door robvanwijk op 22 juli 2024 16:33]

hardwareaddict @robvanwijk • 1 augustus 2013 15:49

Tja ik herinner me nog paar jaar geleden toen ik nog zo stom was om met laptop op stations ook te internetten.

Ik zit te wachten op het centraal station van Utrecht. Had mijn password ingetikt en was aan 't internetten.

Komt Chinees met laptop naast mij zitten.

Ineens: hop ik heb storing.

Komt er een popup die ik nog nooit eerder gezien had: "Password Please"

Toen wist ik 't ook wel wat er aan de hand was

AceAceAce 1 augustus 2013 05:48

SIM kaarten (UICCs) die gebruikt worden met mobiele betaal applicaties gebruiken minimaal 3DES, wat vereist is door de PNOs (MC, Visa, Amex).

Ik verwacht dan ook niet dat er ooit een melding komt dat deze aanval successvol is op DES sleutels.

jGS @AceAceAce • 1 augustus 2013 09:02

Tenzij deze natuurlijk ook op één of andere manier toch te verleiden zijn om DES te gebruiken zoals de hacker aangeeft het geval is bij sommige ...

Verwijderd 1 augustus 2013 07:16

Hoe kan ik er achter komen hoe mijn eigen sim kaart is beveiligd ?

Verwijderd @Verwijderd • 1 augustus 2013 11:11

Precies, is het mogelijk om te controleren of je DES of 3DES gebruikt ?

hardwareaddict @Verwijderd • 1 augustus 2013 16:01

maakt niet uit, beide is zwak algoritme.

zwakke algoritmes = algoritmes waar je op internet software kunt vinden om 'm te kraken

JeroenTheStig @hardwareaddict • 3 augustus 2013 08:29

Sinds wanneer is 3DES een zwak algoritme? Deze algoritme heeft een key size van 168 bit. Dat de effectieve veiligheid vanwege de man in the middle attack 112 bit is, betekent niet dat dit algoritme zwak is. 112 bit is namelijk nog steeds ruim voldoende om weerbaar te zijn tegen brute force attacks.

Caedus 1 augustus 2013 17:42

Mooi dat de providers zo goed reageren op de responsible disclosure, maar dat is toch niet in elke sector zo vanzelfsprekend als Nohl doet voorkomen. Getuige het vreemde reageren van de Engelse rechter op publicaties van Engelse en Nederlandse onderzoekers: http://www.volkskrant.nl/...r-hacken-luxeauto-s.dhtml

OpenMinded 1 augustus 2013 21:10

het zoveelste voorbeeld van een beveiliging die wordt gekraakt door de slechte implementatie.
prachtig dat sommigen de lek hebben gebruikt om het op te lossen.
Doet me denken aan de fix in cydia voor de lek waarmee de iphone te kraken was.

Wampa1 1 augustus 2013 09:16

Dit is zeker even het doorlezen waard. Die Nohl blijft maar bezig.

Op dit item kan niet meer gereageerd worden.