hackers willen oude GSM code kraken, 3G is veiliger

Hackers willen GSM-code kraken

Een mobiel telefoontje kan binnenkort door iedereen worden afgeluisterd. De hackers die eerder aantoonden dat de OV-chipkaart onveilig is, gaan dat de komende maanden aantonen voor gsm-telefonie.

Door Jan Willem Navis

Een mobiel telefoontje kan binnenkort door iedereen worden afgeluisterd. De hackers die eerder aantoonden dat de OV-chipkaart onveilig is, gaan dat de komende maanden aantonen voor gsm-telefonie.

CCC

Gesprekken en sms'jes worden versleuteld verzonden via het gsm-netwerk, dat het meest gebruikte communicatienet ter wereld is. De versleuteling is al vijftien jaar oud en alleen inlichtingendiensten hebben de sleutel in handen. Maar hackers van de Chaos Computer Club (CCC) uit Berlijn hebben afgelopen weekend software op internet gezet waarmee tachtig computergebruikers de code binnen drie maanden kunnen ontsleutelen.

Onveilig

De CCC wil zo aantonen dat overheden en bedrijven zoals banken te veel vertrouwen hebben in een onveilig systeem. In Nederland werkt bijvoorbeeld de ING-bank met sms'jes om betalingen te versturen. De Informatie Beheer Groep gebruikt dezelfde methode om studenten in te laten loggen op de site. "Maar ook telefoontjes van zakenlieden en politici kunnen straks worden afgeluisterd", vertelt Karsten Nohl, die met anderen de software schreef.

Criminelen

Wanneer de beveiliging op straat ligt, kunnen criminelen mensen afluisteren met apparatuur die gsm-verkeer onderschept. Tijdens de securityconferentie HAR2009 werd zaterdag in Vierhouten apparatuur gedemonstreerd waarmee dat mogelijk is.

Een Duitse techneut ontwikkelde voor een paar honderd euro een prototype.
Nohl vertelt dat hij het echte decodeerwerk door tachtig verschillende mensen wil laten doen, omdat het zo voor overheden moeilijker is om druk uit te oefenen op individuen.

"Dat gebeurde twee jaar geleden, toen de Britse inlichtingendienst MI5 probeerde te voorkomen dat de versleuteling openbaar werd." Dit is toen niet gebeurd. Nu moet dat wel gebeuren, om de industrie te dwingen telefonie beter te beveiligen. "Tachtig mensen moeten nu voor zichzelf besluiten: wil ik dat deze onveilige technologie sterft? Ik wil dat niet in mijn eentje beslissen."

Het is niet de enige reden dat tachtig mensen nodig zijn. "Het is zoveel rekenwerk dat een enkele pc daar meer dan honderdduizend jaar over doet." Maar tegenwoordig zijn veel computers uitgerust met een snelle videokaart, om games te kunnen spelen. Door de videokaart te laten rekenen, kunnen tachtig computers in drie maanden alles calculeren. De gebruikers wisselen daarna via internet hun bestanden uit, waardoor een soort telefoonboek ontstaat met alle versleutelingscodes.

Kwaad heeft Nohl niet in de zin. "Als technologie gekraakt wordt, moet je dan de hacker de schuld geven of is de bank verantwoordelijk die er bewust voor kiest om een onveilige techniek te gebruiken? Want dat gsm-encryptie onveilig is, weten we al langer."

Nohl adviseert mensen die voor hun werk afhankelijk zijn van vertrouwelijke communicatie via de mobiel over te stappen op een telefoon die alleen over het 3G- of UMTS-netwerk belt. De versleuteling daarvan is veel beter.

Eind 2007 kwam de Duitser al in het nieuws met een geruchtmakende hack. Toen toonde hij met collega Henryk Plötz aan hoe hij de beveiliging van de MIFARE Classic-chip had doorbroken. Deze chip wordt gebruikt in de OV-chipkaart die momenteel wordt ingevoerd. De beveiliging is na de hack wel verbeterd.