Áruló SIM-kártyák

sim2.jpgNem akar véget érni a telekommunikációban rejlő veszélyeket leleplező értesülések sora. Nem elég, hogy az amerikai (és egyéb) nemzetbiztonsági szolgálatok gátlástalanul tallózgatnak felhasználói adataink között, most az is kiderült, hogy tulajdon SIM-kártyánkat is csúnyán ellenünk lehet fordítani. A veszélyre figyelmeztető német Karsten Nohl szerint ez a világon használt összes SIM-kártya nyolcadát érinti. Tekintetbe véve, hogy becslések szerint 2013 végére összesen 7,4 milliárd kártya lesz használatban, ez több mint 900 millió darabot jelent.

Nohl és cége, a Security Research Labs többi munkatársa is meglepődött a felderített probléma súlyosságától. A SIM-kártyák feltörését egy olyan SMS útján is képesek elérni, amelynek beérkezéséről a telefon tulajdonosa nem is szerez tudomást. Ennek feltétele azonban, hogy a SIM-kártya által használt titkosítás a DES (Data Encription Standard) hetvenes évekből származó, 56 bites kódja legyen. Az újabb verziók esetében a módszer nem működik. Ha viszont egyszer sikerült feltörni a távolból a SIM-kártyát, a betolakodó az idegen telefonról SMS-eket küldhet, hívást indíthat, hallgathatja a beszélgetéseket, és egyéb módon visszaélhet az eredeti tulajdonostól megszerzett identitással.

Az igazsághoz azonban az is hozzátartozik, hogy azért még egy ilyen elavult kód feltörése sem olyan egyszerű. Ehhez arra is szükség volt, hogy Nohl és csapata egy éven át dolgozzon a projekten. A mobilszolgáltatókat tömörítő globális szakmai szervezet, a GSMA mindenesetre elismerte a Nohl által megmutatott veszély létezését, és az ENSZ mellett működő Nemzetközi Távközlési Egyesület (ITU) is „nagyon jelentősnek” nevezte a felfedezést. A szervezet ennek megfelelően tájékoztatja közel 200 ország távközlési hatóságát a kockázatokról, bár az ENSZ gyors és hatékony működését ismerve valószínűleg már mindegyik állam a hivatalos értesítő előtt jóval tudomást fog szerezni a fejleményekről.

A legnagyobb veszélynek egyébként a fejlődő országokat fenyegeti, elsősorban Afrikában. Nem csak azért, mert itt nagyobb az elavult kódolású SIM-kártyák aránya, hanem mert a banki fizetések nagy részét is mobiltelefonon bonyolítják.

Persze most, hogy az újabb botrány kipattant, a szakmai szervezetek készek előállni a különböző megoldási javaslatokkal. Nagyobb probléma azonban abból lehet, ha az elektronikus kommunikációba vetett bizalmat folyamatosan rombolják a különböző megfigyelési és/vagy hackerbotrányok.


A bejegyzés trackback címe:

https://arc-vonal.blog.hu/api/trackback/id/tr105422703

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

"Ha viszont egyszer sikerült feltörni a távolból a SIM-kártyát"
- és akkor ezt így most hogy?
Azért a des-t elég piskóta feltörni... épp elég botnet létezik manapság, nem beszélve arról, ha valakinek pénzügyi / politikai stb. érdeke főződik hozzá, akkor simán összedob egy gépet ami napok alatt töri. A nagytesónak aprópénz.
"most az is kiderült, hogy tulajdon SIM-kártyánkat is csúnyán ellenünk lehet fordítani."
Mármint 15 éve...? :)
"Ha viszont egyszer sikerült feltörni a távolból a SIM-kártyát, a betolakodó az idegen telefonról SMS-eket küldhet, hívást indíthat, hallgathatja a beszélgetéseket, és egyéb módon visszaélhet az eredeti tulajdonostól megszerzett identitással" Tényleg az a kérdésem: és ezt így hogy? Hol hallgatja a beszélgetéseket? Milyen eszközzel? (Az NBH most nem játszik... ). Hogy szerzi meg az identitást? Két azonos hívószámú előfizető lesz egy időben?És erre nem visít a GSM szabvány? Csupa kérdés...
Ha a mobilcégeket annyira érdekelné a biztonság, nem engednék, hogy az államnak külön lehallgatószobája legyen a cégüknél. A telekomadó ellen képesek felszólalni, de értünk, a fizetős ügyfelekért meg nem. Elgondolkodtató.
@kócsag:
"nem engednék" - vicces vagy.
Olvasd el a vonatkozó törvényeket, és azon gondolkodj el.
"The attack vector that Nohl used starts by sending an improperly signed binary SMS to the target device, which will not be executed by the SIM because of a signature verification failure, but sometimes a target will respond with an error code that contains the device's cryptographic signature.

Once this signature is resolved using a rainbow table, the DES key is known within a couple of minutes.

From this point, the attacker is able to send properly signed binaries that could allow them to download Java Card applets, send SMSes, change voicemail numbers, and query location data.

The SIM can also be cloned and used in a variety of mobile payment solutions that rely on payment credentials stored in the SIM."
A GSMA tagjai mar hetekkel ezelott ertesultek errol, mire ez az info publikus lett, addigra a szolgaltatok mar reg blokkoltak a picsaba a class 2 SIM specific message-eket.. A sajat OTA szerveruket meg white list-re tettek, oszt jonapot.
ugyan senki nem tud jelenleg semmi komolyat - majd nohl július 31-i, vegas-i black hat-es előadása után - de azért gondolkodni nem árt. ami az általam ismet autentikusnak látszó forrásokból kitűnik, eleve nem sms-sel, hanem fals ota frissítéssel indít, és valszeg az okosabb, de mindenképpen java-s telefonokat/kártyákat érint.

én el tudom képzelni, h az érintett sim-ek pont olyan régi, v még régebbi sim kártyák, mint ami nekem is van: máig westelt ír ki a mobilomra, noha már t-mobil sincs, és a telefon is évtizedes, öreg, buta nokia. lehet, de nem biztos, h ilyen sim-eket rég nem forgalmaznak, és amik még üzemben vannak, azok is hasonló korú, vagy öregebb, és többnyire buta telefonokban üzemelnek. messze nem biztos, h ezek gyakorlatban is törhetők, itt azért ota drissítés messze nem volt, ezek szervíz kábellel, security box-szal, obskurus szervíz programokkal manipulálható telefonok.

az, h ma 7 mrd kártyából 500m törhető, abból mégis hogyan jött ki, h év végére 800m törhető kértya lesz? hogyan? lásd az előbbi bekezdésben leírt kételyeim.

arról nem beszélve, h önmagában a des-56 törése szinte napra pontosan 15 éve megvolt, az eff egy kb 200 ezer dolláros géppel, kevesebb, mint 5 nap alatt, ész és értelem nélkül, sima brute force attackkal elintézte. és akkor is már legalább öt éve tudtuk, h des-56 nem elegendően erős.

az a nagy bajom, h az írásod mellőzi a konkrétumokat, az utánjárásnak, a szakszerűségnek, a gondolkodásnak, sőt a kritikus gondolkodásnak még látszatát is, ellenben tele van a legrosszabb corporate-style fud dumákkal. amit ez tesz különösen ellenszenvessé, h hamis tisztelettel takarózol, lásd a bemutatkozásod. nem baj ha rettegsz, tekerd a telefonod alufóliába, az segít. de nem rémisztgesd a laikusokat rémhírekkel egy egy eleve kórosan és betegesen tekintélyelvű országban, mint "cégépítő, távközlési szakértő, a Business Telecom Nyrt. vezérigazgatója".
@no mail, no problem: keszulek fuggetlen a dolog, SIM kartyarol van szo
monnyuk a cikk azt is említi (nem, ez) h az egynyolcad kártyák kétharmadán az alap des kriptokulcs simán átkapcsolható modernebb titkosításra, ami nyilván nem nagy szolgáltatói munka, lévén amúgy is állandóan piszkálgatják a beállításokat.
@no mail, no problem: azér a brútforszolni elég körülményes otán...
a szolgáltató lógót a régi nokiák firmware-ből vették, kosztümizáltuk is őket okosan :)
@hobe: na, én azt feltételeztem, h telefon is számít, de ezek szerint ezt benéztem.

@közmunkás bérkommentelő: nem erről beszélek. az operátor logó automatikusan átállt westelről t-mobilra a váltás után egy normál ki-bekapcsolásra. flottás cég vagyunk, több ugyanolyan típusú és fw verziója mobillal. az átállás sim-függőnek látszott: volt akinek napokon belül átállt amikor a t elkezdte az oplogók cseréjét, volt akinek a későbbi sim csere után azonnal, és akinek régebbi sim kártyája volt, annak meg egyáltalán nem. és amelyek nem álltak át, azok akkor se álltak át, ha ki- és bekapcsolták a készüléket. és h most, h a t-mobil brandet is kukázzák, itt mutogatták az okostelefonosok, h a készülékeik "t-mobil h" hálózatra vannak csatlakozva, de forgalom számláló már a "telekom h"-ban méri a forgalmat.
@no mail, no problem: ja, én ilyen ősrégi telókra gondoltam, mint a 6310i meg ilyesmik, azokon még adatforgalom is csak vonalkapcsolaton volt, az annál újabbak már túl bonyolultak nekem :)

Bemutatkozás

„Amíg agyban nem adod fel, legyőzhetetlen vagy” – ez az elv vezérelt eddigi üzleti pályafutásom során, és igazsága többször is beigazolódott már. Szeretem a nem szokványos megoldásokat, mert az a tapasztalatom, hogy ha ezeket megfelelő időben és helyen alkalmazzuk, óriási előnyt jelenthet a versenyben, legyen szó az élet bármely területéről. Esetenként rendhagyó, de remélem, hasznosnak bizonyuló meglátásaimat írnám le e blogoldalon üzletről, sikerről, kudarcról, és persze szűkebb működési területemről, a távközlési iparról.

Takács Krisztián – cégépítő, távközlési szakértő, a Business Telecom Nyrt. vezérigazgatója

Legfrissebb hírek

Legutóbbi hozzászólások

Címkék

2012 (1) 3G (1) 4G (2) 4k (1) adatbiztonság (1) adatfelhő (1) adatforgalom (6) adatvédelem (3) adatvédelmi szabályozás (1) adatvesztés (1) Alan Mulally (1) Alibaba (1) alközpontok (1) alternatív távközlési szolgáltatók (2) amazon (1) amazon.com (1) Android (4) Angry Birds (1) Apple (10) applikáció (3) árfolyamesés (1) ARM (1) autó (1) Baidu (1) Bank of America (1) Barack Obama (1) Barclays (1) befektetők (2) BEREC (1) Bill Gates (1) Bizottság (1) Blackberry (5) BTel (1) BYOD (2) Capgemini (1) CEF (1) cégek (1) cégvezetés (1) célkitűzés (1) Cisco Systems (1) cloud (1) Consumer Electronics Show (2) D-Link (1) Dell (1) Deutsche Telekom (2) DigitalEurope (1) digitális (1) digitális átállás (1) dotkom buborék (2) DRAM (1) Edward Snowden (2) előfizetők (3) ENSZ (1) Ericsson (1) Eric Schmidt (1) értéklánc (1) EU (3) Eurobarometer (1) Európai (1) Európai Bizottság (11) Európai Unió (1) Facebook (11) Fairphone (1) Fed (1) fejlesztési ciklus (1) felhasználók (3) felhőalapú (1) felhőalapú játékok (1) felhő alapú adattárolás (2) felhő alapú számítástechnika (1) felmérés (1) fenntartható (1) France Telecom (2) Gartner (1) gazdasági növekedés (1) Google (15) Google PLay (1) GSMA (1) hackerek (1) hálózatfejlesztés (3) hálózati eszközök (2) hálózatmegosztás (1) hanghívások (3) Harvard Business Review (1) HTC (1) Hutchison (1) ICE (1) Infenion (1) infokommunikációs (1) informatikai szolgáltatások (1) infrastruktúra (1) Intel (1) internetes bűnözés (1) internetes védelem (1) iPhone (3) iPhone 5 (2) IT-szektor (3) játék (1) játékkonzolok (1) Jeff Bezos (2) jelátalakító (1) jogvita (2) kábelszolgáltatók (1) Kabel Deutschland (1) Karsten Nohl (1) kémszoftverek (1) Kim Dotcom (1) Kína (1) kiskereskedelmi láncok (1) kötvénykibocsátás (1) kötvénypiac (1) közösségi média (4) Kroes (1) LTE (2) LTE-hálózatok (1) LTE-technológia (1) Lumia (1) M2M (1) Macintosh (1) management by walking around (1) Mannesmann Mobilfunk (1) Mark Zuckerberg (2) McAfee (1) médiabox (1) Mercedes-Benz (1) Michael Dell (1) Microsoft (5) Mobidia (1) mobilcégek (1) Mobility Report (1) mobilkommunikáció (2) mobilpiac (1) mobilsszolgáltatók (1) mobilszolgáltatók (6) mobiltechnológia (1) mobiltelefon (4) mobil eszközök (1) mobil kommunikáció (1) mobil pénztárca (3) MVNO (1) nagyvállalat (1) Neelie Kroes (3) Netflix (1) NFC (1) nfc (1) Nokia (4) Nokia Siemens Networks (2) NSA (4) okostelefon (11) okostelefon-alkalmazás (2) okostelefon-alkalmazások (4) okostelefonok (17) oksotelefonok (1) operációs rendszer (2) optikai hálózatok (1) Orange (2) Ovum (1) PayPal (1) PC (1) pénzügyi szolgáltatások (1) pénzügyi válság (2) Philips (1) PIN-kód (1) portfolioblogger (82) POS-terminálok (1) PRISM (4) reklámbevételek (1) RIM (1) roaming (1) roaming-díjak (1) Rovio (1) Saas (1) Safe Harbor (1) Samsung (7) SAP (1) Satya Nadella (1) Siemens (1) SIM (2) SIM-kártya (1) Stephen Elop (2) Steve Ballmer (2) Steve Jobs (2) stratégia (1) stratégiai döntés (1) Streetspotr (1) szabadalmak (2) szatellites ineternet (1) szélessáv (2) szélessávú (2) szélessávú hálózatok (1) szélessávú lefedettség (1) szerver (2) szoftverek (1) szolgáltató (1) szolgáltatók (1) tablet (1) tabletek (1) tárolókapacitás (1) távközlési piac (2) távközlési szektor (1) távközlési szolgáltatók (6) technológia (5) Telefonica (1) telekom-szektor (1) telekommunikációs (1) televízió (1) Tencent (1) testen viselhető készülék (1) Time Warner (1) tőkepiac (1) tőkeszerkezet (1) tőzsde (1) Tumblr (1) Twitter (2) ügyfélkör (1) USA (2) üzleti terv (1) vállalatépítés (1) vállalati ügyfelek (1) vállalkozás (1) Verizon Wireless (3) Világbank (2) VISA (1) Vodafone (4) Washington Post (1) Windows (1) Windows Mobile (1) Windows Phone (1) Yahoo (1) YouGov (1) Youtube (2) Zuckerberg (1) Címkefelhő
süti beállítások módosítása