Bellen met gsm minder veilig
Eenzijdige authenticatie
Dat het steeds makkelijker wordt om gsm's af te luisteren, heeft een aantal verschillende oorzaken. Allereerst is de controle of authenticatie tussen de gsm's en het gsm-netwerk eenzijdig. Dat wil zeggen dat alleen het telefoonnetwerk controleert of een mobiele telefoon gebruik mag maken van het netwerk (bijvoorbeeld voor het verrekenen van de kosten). Er gaat geen controle van de gsm uit om te verifiëren of er gebeld wordt met een authentiek gsm-station. Hierdoor is het mogelijk dat de gsm-verbindingen via een nagebootst gsm-station verlopen. Als dat het geval is, kan de eigenaar van het nagebootste station de gevoerde gesprekken meeluisteren en sms-berichten meelezen.
Om een gsm-station te imiteren, is bepaalde zend- en ontvangstapparatuur nodig. Deze apparaten waren vrijwel uitsluitend beschikbaar voor gsm-netwerkoperators maar zijn inmiddels voor een breder publiek toegankelijk omdat ze steeds goedkoper en flexibeler worden.
Kwetsbare versleuteling
Een tweede reden dat gsm-gesprekken makkelijker af te luisteren zijn, is dat de versleuteling gekraakt is waarmee de gesprekken worden verstuurd. Dat toonde een beveiligingsonderzoeker aan tijdens een IT-bijeenkomst in juli 2010. Software die de gsm-code kan ontcijferen maakt het afluisteren van gesprekken simpel. Het opvangen van het gsm-signaal is dan voldoende om af te luisteren; het verzenden van een signaal door een 'nep' gsm-basisstation is dan niet meer nodig. Met de sleutel van de vercijfering in handen, zijn alleen software, enige hardware en een ontvangstantenne nodig om gsm-gesprekken en sms'jes te onderscheppen. Deze apparatuur is relatief goedkoop en commercieel verkrijgbaar.
UMTS
Een oplossing om veilig mobiele gesprekken te voeren, is het bellen via UMTS; de opvolger van gsm. De vercijfering van UMTS is nieuwer en beter; de sleutellengte is twee keer zo lang als die van gsm. Daarnaast maakt UMTS gebruik van tweezijdige authenticatie. Niet alleen het netwerk controleert de gsm op echtheid, ook de gsm kan nagaan of gespreken of data via een valide mobiel netwerk worden verstuurd.
Alle operators ondersteunen UMTS maar de (binnenshuis)dekking ervan is nog niet vergelijkbaar met die van gsm. Dit zal in de toekomst echter verbeteren. Een ander nadeel is dat UMTS-gesprekken niet overal vercijferd getransporteerd worden. Dit komt omdat de vercijfering met name gericht is tegen het draadloos aftappen van het mobiele signaal. Als het contact via het vaste (operator)netwerk verloopt, kan het toestel automatisch terugschakelen op gsm. Hierdoor is het nog steeds mogelijk dat het gesprek afgeluisterd wordt. Dit is te ondervangen door te kiezen voor een mobiel toestel met een zogenoemde UMTS-only mode. Hiermee is te voorkomen dat het gesprek via gsm verloopt.
Mobiel-veilig-bellen
Naast UMTS is er nog een mogelijkheid om te voorkomen dat mobiele telefoongesprekken worden afgeluisterd: telefoneren met 'mobiel-veilig-bellen'. Hierbij versleutelt de mobiele telefoon het gesprek zelf, en verstuurt het pas daarna naar het mobiele netwerk. De vercijfering is daarmee end-to-end. Dat betekent dat het gesprek vercijferd is, ongeacht of het via het vaste of mobiele netwerk verloopt.
Mobiel-veilig-bellen is nog niet gestandaardiseerd. Dit betekent dat als gesprekspartners van verschillende leveranciers gebruikmaken, ze niet veilig met elkaar kunnen bellen. Daarom is het raadzaam om voor de aanschaf van mobiel-veilig-bellen te inventariseren met welke organisaties veilig gebeld kan worden. Er wordt wereldwijd wel gewerkt aan verschillende standaarden; wellicht stapt de telefoniesector in de toekomst gezamenlijk over op een van deze standaarden.
Er zijn speciaal voor mobiel-veilig-bellen ontworpen telefoontoestellen te koop, maar er zijn ook applicaties verkrijgbaar die kunnen worden geïnstalleerd op reguliere toestellen, zoals Symbian, Windows Mobile en Android. Eventueel is dan nog een extra microSD-smartcard nodig met vercijferingsintelligentie.
Beveiligde mobiele telefoons kunnen gebaseerd zijn op gsm of UMTS. Gsm heeft als gezegd een betere (binnenshuis)dekking. Nadeel ervan is dat er voor (hoge snelheid) mobiel internet en het voeren van veilige gesprekken, steeds handmatig geschakeld moet worden naar de gsm- of UMTS-only mode. Deze instelling is vaak diep begraven in de menustructuur.
Afgezien van de dekking kan op UMTS gebaseerd mobiel-veilig-bellen nog een nadeel hebben. Dat is dat UMTS (zowel voor het telefoneren als het gebruiken van mobiel internet) een continue internet- en netwerkverbinding nodig heeft. Dit is niet alleen duur maar heeft ook een negatieve invloed op de batterij van de telefoon.
Spionage
De inhoud van bijvoorbeeld een uit te brengen offerte die collega's telefonisch bespreken, lijkt op het eerste gezicht misschien niet heel belangrijk. Maar als die informatie in de handen van derden belandt, kunnen organisaties bijvoorbeeld een opdracht van meerdere miljoenen mislopen of hun goede naam verspelen. Waar vaak niet bij wordt stilgestaan, is dat de inhoud van veel organisatiebestanden niet alleen direct of indirect gestoeld is op grote investeringen, maar ook op het onderzoek, harde werken en de know how van medewerkers met langdurige, specialistische opleidingen.
Dat spionage (al dan niet door middel van het afluisteren van gsm-gesprekken) een reële dreiging is, bleek in april 2010 toen de AIVD het rapport Kwetsbaarheidsanalyse spionage publiceerde. Het rapport brengt de spionagerisico's voor onze nationale veiligheid in kaart. In het rapport staat dat de Nederlandse essentiële kennis niet alleen structureel weglekt naar (binnenlandse) concurrenten maar ook naar buitenlandse mogendheden. Zo schrijft de AIVD:
Spionage brengt Nederland schade toe. [...] Instellingen en bedrijven zijn zich niet altijd bewust van het feit dat zij over informatie of kennis beschikken die van waarde is voor inlichtingendiensten. Dit komt vooral omdat de focus ligt op het realiseren van hoogwaardige resultaten, niet op de bescherming van informatie tegen onvermoede dreigingen.
Bronnen: Kwetsbaarheidsanalyse spionage van de AIVD, april 2010.
'Bellen met gsm wordt minder veilig' in Beveiliging, oktober 2010, pagina 107-110. Het artikel is afkomstig van het Nationaal Bureau voor Verbindingsbeveiliging (NBV). Het NBV ondersteunt de Rijksoverheid bij de beveiliging van bijzondere informatie. Voor het beschermen van bijzondere informatie worden beveiligingsproducten gebruikt. Het NBV ontwikkelt en evalueert deze beveiligingsproducten en geeft hierover advies.
Meer informatie over het NBV staat op:www.aivd.nl/nbv
Het rapport Kwetsbaarheidanalyse spionage is te vinden op: https://www.aivd.nl/actueel/@126104/item-126104
Een verkorte voorpublicatie van onderstaand artikel verscheen al in de kennisrubriek 'Kennis van zaken' van ons magazine Recherchetips voor het bedrijfsleven en publieke sector, aflevering 215 op pagina 4.
