Govcert wil extra beveiliging GSM-verkeer

'Partijen als netwerkoperators, leveranciers van mobiele apparaten en banken moeten zelf het initiatief nemen om het gsm-verkeer extra te beveiligen. Het duurt geen jaren meer voordat de eerste gerichte aanval op een sms-authenticatiedienst plaats kan vinden.' Dat zegt Ton Slewe, adviseur bij Govcert. Het computerincident-responsteam van de Nederlandse overheid adviseert om vertrouwelijke telefoongesprekken niet meer over gsm te laten verlopen. Ook roept het aanbieders van sms-authenticatiediensten op te onderzoeken of aanvullende maatregelen nodig zijn om gerichte aanvallen te voorkomen.

Publiek misbruik van het gsm-protocol is volgens Govcert dichterbij gekomen, nu onderzoeker Karsten Nohl in december aantoonde dat berichten en telefoongesprekken kunnen worden ontsleuteld. Dat betekent in principe ook dat kwaadwillenden de codes die banken via sms aan hun klanten sturen om er online transacties mee te kunnen bevestigen, in de toekomst kunnen afluisteren.

Bericht onderscheppen

Hoewel het volgens Slewe geen jaren meer duurt voordat de eerste gerichte aanval op een sms-authenticatiedienst kan plaatsvinden, is zo'n aanval niet voor iedereen weggelegd. 'De afluisterapparatuur die Nohl beschrijft, vangt al het gsm-verkeer af vanaf een zendmast in de buurt. Dan komt er dus zo'n 80 MB per seconde versleuteld naar je toe. Daar moet je dan wel het bericht in zien terug te vinden.'

'Nohl heeft de hackersgemeenschap in december opgeroepen om hardware te ontwikkelen die dat mogelijk kan maken. Maar het zal nog minstens enkele maanden duren voordat die er ook is', vervolgt Slewe. Hij verwacht niet dat iedereen bereid is de investering van vijftienhonderd euro te doen voor de aanschaf van de afluisterapparatuur.

In buurt van mast

Bovendien moet een aanvaller niet alleen het mobiele telefoonnummer, maar ook de gebruikersnaam en het wachtwoord van een online bankierende klant achterhalen. Wanneer hij daarmee inlogt, een bedrag overmaakt en de transactie bevestigt door een via sms verzonden code af te luisteren, moet hij er bovendien voor zorgen dat hij in de buurt van zijn slachtoffer is.

'Sms-berichten worden alleen verstuurd in de nabijheid vanaf de gsm-mast waarmee de mobiele telefoon van het slachtoffer is verbonden. Bovendien moet de mobiele telefoon van het slachtoffer aan staan'.

	Aantal reacties met 3+ sterren		Gemiddelde waardering
1	PaVaKe	154	6.4
2	Reza Sarshar	120	6.7
3	Henri Koppen	109	6.4
4	edekkinga	79	6.6
5	Jaap-G	53	6.1
6	Guido Groeneweg	49	6.3
7	Ruud Mulder	47	6.5
8	mauwerd	43	6.1
9	Frank Brechts	43	6.0
10	Rob Koelmans	40	6.3

Nieuws / Mobility

Govcert wil extra beveiliging GSM-verkeer

Bericht onderscheppen

In buurt van mast

10-02 Infor helpt Ferrari met bouwen F1-auto's

10-02 Tester Four Oaks in Israëlische handen

10-02 IS Online en Tres zijn klaar voor Elfstedentocht

10-02 SecureLink migreert Microsoft-diensten Atradius

10-02 Nieuwe software brengt Vitens in problemen

10-02 Ex-Misys-topman moet CSC uit penarie helpen

10-02 Veenman en 20/20 vision adviseren samen klant

10-02 Cisco maakt 2,2 miljard dollar kwartaalwinst

10-02 Misys en Temenos willen fuseren

10-02 Raet stelt Schrijnemaekers als nieuwe CFO aan

09-02 Vodafone: Wij spelen klantinformatie niet door

09-02 Talk & Vision biedt Personal Video in de cloud

09-02 'Ook met cookiewet is gebruiker niet anoniem'

09-02 'KPN koppelt ID aan internetverkeer'

08-02 Nokia verplaatst smartphoneproductie naar India

08-02 'Nieuwe cookiewet is eenvoudig te omzeilen'

07-02 iPad app Teamcenter AppShare deelt desktop

06-02 Netgear introduceert Intelligente Edge-switches

06-02 Duitse PMCS.helpLine neemt Leidse MCH+ over

03-02 Apple eist alsnog Samsung Galaxy-verbod

15-06-10 Overheid schakelt Govcert vaker in

11-01-10 Govcert: vertrouw niet op SMS-authenticatie

08-01-10 Govcert: GSM is niet langer veilig

Optimale controle over uw communicatie