Code tegen afluisteren GSM-gesprekken gekraakt
Hackers hebben de geheime code weten te kraken die het afluisteren van GSM-gesprekken moet voorkomen, zo demonstreerden onderzoekers tijdens het Chaos Communication Congress in Berlijn. De code wordt gebruikt tijdens het uitwisselen van radiosignalen tussen mobiele telefoons en het basisstation van de telecomaanbieder. Het dwingt het mobieltje en het station om in hoog tempo de radiofrequenties over een spectrum van 80 kanalen te wisselen. Zonder de juiste volgorde te weten, kunnen aanvallers slechts fragmenten van de gesprekken afluisteren.
Het algoritme dat de te gebruiken kanalen bepaalt is nu gekraakt. Met apparatuur van zo'n 3000 euro is het mogelijk om volledige gesprekken af te luisteren. "We weten nu dat dit mogelijk is", aldus beveiligingsonderzoeker Karsten Nohl. Samen met andere onderzoekers werkt hij aan een opensource project dat aantoont dat de GSM-standaard, door 80% van de mobiele markt gebruikt, niet veilig genoeg is om telefoongesprekken privé te houden. Nohl spreekt van een praktische aanval. "En er zijn echte lekken die mensen misbruiken."
Algoritme
Om beide kanten van het gesprek af te luisteren moet een aanvaller de apparatuur zowel in de buurt van de beller als het basisstation van de telecomaanbieder neerzetten. Aanvallers moeten dus een specifiek individu aanvallen. In het geval van de menu's die banken en luchtvaartmaatschappijen gebruiken is het voldoende om alleen de "downlink" bij de provider te onderscheppen, zegt David Burgess tegenover The Register.
Burgess ontdekte problemen in het A5/1 algoritme waardoor het nu gekraakt kon worden. Inmiddels is er ook al het A5/3 algoritme, wat door 40% van de mobiele telefoons wordt ondersteunt. Toch zou slechts één netwerkprovider het algoritme gebruiken. De presentatie van Nohl is via deze pagina te downloaden.
Dit biedt natuurlijk mogelijkheden voor criminele circuit.
Zo zie je maar weer wat gisteren nog veilig was is vandaag een open boek !!
Was dit niet al in 1999 bekend..
@spatieman
De overheid kan allang GSM's afluisteren. Sterker nog iedereeen kan het al jaren, alleen is de apparatuur erg prijzig.
Ach die hebben er niet zoveel aan. ze hebben de providers natuurlijk allang gedwongen een sleutel afstand zodat o.a. opsporingsinstaties maar raak kunnen tappen. Echter wordt het nu voor de burger net zo makkelijk te overheid af te tappen.
Een combinatieaanval van DECT en GSM heeft een goeie kans van slagen. Ik vraag me wat je afvangt als je met je spulletjes vlak bij het binnenhof gaat staan? koekje van eigen deeg zou ik zeggen !
tweakers.net schrijft dat er aan gewerkt wordt.
nu.nl schrijft dat ze al gepubliceerd zijn (Een onderzoeksteam onder leiding van de Duitse cryptograaf Karsten Nohl heeft nu een grote tabel gepubliceerd waren de benodigde codes kunnen worden opgezocht)
Wie schrijft nu het juiste ?
Edit:
Uiteindelijk blijkt NU.nl het meest kloppende bericht te schrijven gevolgd door tweakers.net wat mij tegenvalt is dat het meest beroerde artikel hier geplaatst staat .(Weinig diep gang, te weinig technische details en te veel niet relevante informatie. terwijl ik van mening ben dat security.nl juist de meeste kloppende en details informatie zou moeten schrijven)
Zoals NU.nl al schrijft zijn er inderdaad al rainbow tables beschikbaar voor A5, de tabellen zijn zover ik kan vinden niet allemaal publiekelijk toegangelijk, mocht je interesse hebben om mee te helpen aan het A5 Cracking project dan kun je hier terecht : http://reflextor.com/trac/a51
Was dit niet al in 1999 bekend..
Naar mijn weten was het tot nu toe niet mogelijk om verkeer tussen de telefoon en de steunzender (zeg maar even paal in de cel)
af te luisteren omdat je hier dus deze vorm van encryptie hebt. Tussen de steunzenders onderling kon dat wel maar dat staat een beetje raar als je een paal tussen twee steunzenders gaat zetten en daar in gaat klimmen om de boel af te luisteren (of een ontvanger op te hangen).
Wat men wel deed is door middel van heel veel verkeer tussen grondstations en 1 paal te genereren zodat deze zeg maar over zijn nek ging en de encryptie weg viel om continuïteit te garanderen.
Ik zal het nog eens nazoeken.
Hackers hebben de geheime code weten te kraken die het afluisteren van GSM-gesprekken moet voorkomen, zo demonstreerden onderzoekers tijdens het Chaos Communication Congress in Berlijn. De code wordt gebruikt tijdens het uitwisselen van radiosignalen tussen mobiele telefoons en het basisstation van de telecomaanbieder. Het dwingt het mobieltje en het station om in hoog tempo de radiofrequenties over een spectrum van 80 kanalen te wisselen. Zonder de juiste volgorde te weten, kunnen aanvallers slechts fragmenten van de gesprekken afluisteren.
Het is natuurlijk wel mooi dat alle gegevens er zijn en er een opensource implemantatie van is.
Facts:
1. het frequency hopping algoritme is niet gekraakt. Dit is gewoon openbaar verkrijgbare info uit de GSM standaard en hoeft niet te worden gekraakt
2. wat gekraakt is is de A5/1 encryptie methodiek, hiervan is echter nog nooit een echte demo gegeven, dus benieuwd wat er van waar is en of het werkt
3. Men is sowieso nog niet in staat om een gesprek live 'op te vangen'(wordt erkend door de hackers en meneer Nohl). Zolang dit niet gelukt is, is de mogelijkheid om gesprekken live af te luisteren ondanks de gekraakte encryptie puur theoretisch.
4. apparatuur benodigd om dit te doen relatief duur(in vergelijking tot alternatieven die er zijn om GSM af te luisteren) plus alle hindernissen die genomen moeten worden maken het tot een erg theoretisch verhaal allemaal.
Valt me erg tegen van security.nl
Johannes
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.