{jcomments on}Op één van de belangrijkste mondiale hackers-bijeenkomsten, het CCC Congres in Berlijn, hebben twee onderzoekers aangetoond hoe ze gesprekken met een computer en een goedkope telefoon van tien euro kunnen afluisteren. De twee slaagden erin een gesprek af te luisteren door eerst de locatie via onzichtbare sms-berichten te achterhalen. De afgelopen jaren was al aangetoond dat gsm-telefonie eenvoudig kraakbaar was, maar de stap naar makkelijk te verspreiden tools was nog niet gezet. Nu wel. De AIVD waarschuwt vanaf 2009 voor deze ontwikkeling die ernstige gevolgen kan hebben voor de beveiliging van het Nederlandse telefoonverkeer.
Tijdens de demonstratie op het CCC-congres toonden de onderzoekers hoe na het voeren van het gesprek de gsm-encryptie was gebroken en het gesprek terug te luisteren.
In principe is het achterhalen van een gsm-nummer voldoende om de lokatie van het toestel vast te stellen, en vervolgens sms-berichten en gsm-gesprekken af te luisteren.
Ten eerste is een open-sourceprogramma noodzakelijk dat in staat is om sms-berichten te versturen. Daarmee is informatie over de locatie van de telefoon en het unieke nummer van het toestel, het zogenaamde IMEI-nummer vast te stellen.
Karsten Nohl en Sylvain Munaut hebben ook de broncode van de software die ze gebruiken vrijgegeven.
Op een eerder congres had Nohl al voor de gevaren van slechte beveiliging van gsm gewaarschuwd. ‘Vandaag wil ik de indruk wegnemen dat er nog sprake is van beveiliging bij gsm’s’, zei hij tot de verzamelde hackers op de conferentie van het Chaos Communication Congres.
Nohl en Munaut vinden het tijd dat er iets wordt gedaan aan de twintig jaar oude techniek van gsm, net zoals pc’s gaandeweg beter beveiligd zijn.
De vraag is nu hoe snel de technologie wordt verspreid en of er een commerciële toepassing komt. Maar het belangrijkste hoe de telefonie-providers gaan reageren. Volgens de onderzoekers zijn de huidige kwetsbaarheden in de crypto wel iets te verbeteren.
Smartphones die op 3G werken zijn niet kwetsbaar. Maar, providers versturen liefst internetdata over 3G en laten de bandbreedte voor telefonie graag over aan het gsm-netwerk.
Hier het verslag van Wired. Hier de site van het CCC-congres: We Come in Peace.
Op Airdemon staat de handleiding. De tools staan hier:
Ook uitleg op de site van Security Labs.
Lees ook een eerder artikel hierover op Crimesite: Exclusief: gsm-afluisteren voor iedereen