Afgelopen week was er groot nieuws in Telecom land over de hack bij Gemalto. Amerikaanse en Britse veiligheidsdiensten zouden wereldwijd miljoenen simkaarten ‘gestolen’ hebben om telefoontjes af te luisteren. Gemalto is de grootste fabrikant in simkaarten beveiliging, waarvan het hoofdkantoor in Amsterdam gevestigd is. Het bedrijf maakt zo’n 2 miljard simkaarten per jaar, waaronder voor T-mobile, KPN en Vodafone. Het nieuws is aan het licht gekomen door documenten van de beruchte Edward Snowden.
Gemalto verklaart dat simkaarten veilig zijn
Uit de persconferentie van vanochtend blijkt dat de NSA en GCHQ inderdaad het systeem van Gemalto binnen zijn gekomen. Gemalto zegt in de verklaring dat het virus alleen hun eigen netwerk is binnen gedrongen en dit niet heeft geresulteerd in een massale diefstal van SIM encryptie. Uit het onderzoek van afgelopen week is gebleken dat geen enkel product beïnvloed is door deze aanval. Hoe dan ook zijn de 3G en 4G netwerken nooit vatbaar geweest voor de aanvallen van de veiligheidsdiensten. Alleen de gegevens van (een werkende) oudere telefoon met een 2G simkaart zouden technisch gezien afgeluisterd kunnen zijn. Maar de veiligheidsdiensten ging het vooral om de telefoontjes uit Afghanistan, Jemen, India Servië, Iran, IJsland, Somalië, Pakistan en Tadzjikistan. Het bedrijf zegt eerder (2010/2011) te maken te hebben gehad met soortgelijke cyberattacks, maar toen konden zij niet vaststellen wie verantwoordelijk was. Het is zeer waarschijnlijk dat het om dezelfde beveiligingsdiensten gaat. (Bron: International Business Times)
Wat zeggen providers?
Eerder op de ochtend hebben wij gesproken met een aantal providers over deze situatie. T-Mobile heeft gezegd de zaak nauwgezet te volgen en contact te houden met haar leverancier en de Nederlandse overheid. Telfort zegt: “KPN-merken, waaronder Telfort, maken gebruik van diverse merken, waaronder Gemalto. Er is geen aanleiding te denken dat onze simkaarten in gevaar zijn of dat deze kwetsbaarheid de KPN-merken betreft.” Hollandsnieuwe heeft ook een reactie gegeven en zegt het nieuws in de gaten te houden en een update te geven als er meer informatie is.
Veilig communiceren
We hebben steeds minder privacy en door dit schandaal kunnen we niet met zekerheid zeggen dat jou gegevens zijn ingezien of dat je telefoontjes zijn afgeluisterd. Met Telegram, WhatsApp en iMessage kun je in ieder geval (nog) wel veilig communiceren. Deze diensten beschikken over een speciaal versleutelde chat-app die het hackers erg moeilijk maakt.
Achtergrondinformatie
In de jaren 70 is de DES-versleuteling voor simkaarten ontwikkeld, deze beveiliging wordt in oude simkaarten nog steeds gebruikt (3 miljard). Volgens een Duitse beveiligingsonderzoeker zijn er daarom zo’n 750 miljoen mobieltjes in de gevarenzone beland. Het virus komt binnen via een sms, dat een melding van de mobiele provider lijkt te zijn, en hiermee kunnen telefoontjes worden afgetapt, berichtjes worden gelezen en andere informatie worden gevonden. Britse en Amerikaanse veiligheidsdiensten hebben hierdoor wereldwijd vrij baan om mobieltjes af te tappen. Zij zetten dit vooral in bij terrorismebestrijding.
Anonimiteit en criminaliteit blijken een veel voorkomende combinatie te zijn. In oktober 2013 is er een bericht geweest over de politie die simkaarten verplicht op naam wil laten registreren, om zo criminaliteit tegen te gaan. Dit is tot op heden niet gebeurd.