Kraja identitete na slabo zaščitenem omrežju

Podatkovna varnost: »napadalec« svojo »žrtev« lahko spravi celo v kazenski postopek.

Ljubljana – Zaradi ne dovolj zaščitenih GSM-omrežij slovenskih operaterjev sta klicanje in pošiljanje SMS-sporočil s telefonske številke mobilnika posameznika brez njegove vednosti razmeroma lahko izvedljiva.

Prvič objavljeno 15. junija 2012 v časniku Delo

Foto: YL Tan
Foto: YL Tan

V sredo smo v Delu poročali, da so trije računalničarji, Matej Kovačič, Jaka Hudoklin in Klemen Rupnik, z javno dostopnimi navodili in podatki s svetovnega spleta v enem mesecu napisali in demonstrirali računalniški program za prestrezanje kratkih sporočil (SMS) v Mobitelovem GSM-omrežju. Opozorili so tudi, da vsak malo bolje računalniško podkovan posameznik po teh navodilih z malo boljšim prenosnim računalnikom in dodatno opremo v vrednosti dvesto evrov lahko naredi podoben program za prestrezanje podatkov, kot so ga ustvarili sami, zato je možnost zlorab zelo velika. Še bolj skrbi njihova ugotovitev, da ta navodila nemških hekerjev, ki so na svetovnem spletu dostopna že od sredine leta 2010, omogočajo tudi krajo mobilne identitete uporabnikov vseh treh mobilnih omrežij pri nas: Mobitelovega, Tušmobilovega in do pred kratkim tudi Simobilovega.

Najslabše je (bil) zaščiten Simobil

Mobitelovo in Tušmobilovo GSM-omrežje uporablja zastarel način kriptiranja prenosa podatkov, medtem ko je bilo na Simobilovem omrežju kriptiranje mogoče, posplošeno rečeno, preprosto izključiti. V demonstraciji sta Kovačič in Hudoklin prevzela mobilno identiteto avtorja tega članka in poslala njegovi urednici SMS-sporočilo, ki je prišlo z njegove mobilne številke. Možno je tudi ponarejanje klicev. Ob takšni kraji identitete se tisti, ki mu je bila ukradena, kraje niti ne zaveda niti je ne more ugotoviti ali dokazati oziroma lahko o njej le sklepa na podlagi višjega računa za mobilne storitve. Stroški klicev in SMS-sporočil se namreč obračunajo tistemu, ki so mu ukradli identiteto.

Kraja identitete ni mogoča na hitrejšem omrežju UMTS, ki ga uporablja večina mobilnih telefonov v Sloveniji. A vsak telefon avtomatsko preklopi na GSM-omrežje, če dostop do omrežja UMTS ni mogoč. Pokritost z UMTS-omrežjem je na ozemlju Slovenije relativno dobra, a UMTS zaradi višje frekvence ne deluje tudi v mnogih stavbah, predvsem v tistih z debelejšimi zidovi. Identiteto je tako mogoče ukrasti vsaki osebi, ki je v stavbi z debelejšimi zidovi oziroma na območju, nepokritem z UMTS-omrežjem, če je »napadalec« v bližini žrtve.

Mobilni operaterji lani lagali javnosti

Kovačič, Hudoklin in Rupnik so demonstracijo izvedli zato, da bi opozorili na pomanjkljivo varnost GSM-omrežij pri nas. Opozarjajo, da je raven nezaščitenosti skrb vzbujajoča, saj »napadalec« v najboljšem primeru »žrtvi« lahko povzroči dodatne stroške, v najslabšem pa jo lahko spravi celo v kazenski postopek. Napadalec lahko namreč v imenu žrtve pošilja grozilna sporočila znanim politikom ali pravosodnim organom ali stori še kaj hujšega.

Mobilni operaterji poudarjajo, da so njihova omrežja varna. Telekom Slovenije je v odgovoru na poročanje v sredo navedel, da je Mobitelvo omrežje zaščiteno z več nadstandardnimi mehanizmi. Poudarili so, da niso zaznali nobenega primera zlorabe identitete posmeznika. Toda vdora treh računalničarjev niti ne bi mogli zaznati. Novembra lani so predstavniki Mobitela ob nenavadnem dogodku, ko je poslanka Melit Župevc dobila klic na svoj mobilni telefon z drugega telefona v njeni lasti, ob njenem sprejetju klica pa se je menda oglasil neznan moški glas, tudi izjavili, da je takšna kraja identitete nemogoča. A demonstracija Kovačiča, Hudoklina in Rupnika te trditve postavlja na laž. Telekom Slovenije je še poudaril, da ne morejo preprečiti, da bi bila identiteta uporabnikov, ki kličejo ali pošiljajo SMS-sporočila njihovim uporabnikom iz drugih domačih ali mednarodnih omrežij, potencialno zlorabljena. A omenjeni računalničarji so pokazali, da Telekom ne more preprečiti niti zlorabe Mobitelovih uporabnikov, ki kličejo iz Mobitelovega omrežja, saj so demonstrativno ukradli identiteto mobilnega telefona z Mobitelovo SIM-kartico, ki je bil priključen na Mobitelovo GSM-omrežje.

Pri Simobilu so ta teden zaradi poročanja medijev odpravili možnost nekriptiranega prenosa po njihovem omrežju, zato je bila kraja identitete vseh Simobilovih uporabnikov do pred nekaj dnevi precej lažja kot pri Mobitelu. A tudi tega operaterja je demonstracija kraje identitete ujela na laži. Še decembra lani sta namreč Andraž Zmajšek, vodja informacijske varnosti pri Simobilu, in Luka Šušteršič, vodja službe za storitve jedrnega omrežja pri istem operaterju, za revijo Monitor Pro zagotavljala, da v Simobilovem omrežju nekriptiran način prenosa podatkov »ni v uporabi, absolutno ne«. V sredo so nato tudi sami priznali, da so nekriptiran način prenosa podatkov uporabljali vse do tega tedna.

V Tušmobilu so po objavi članka v sredo v Delu avtorju hoteli pojasniti svoje videnje slabe zaščite njihovega omrežja, a nam nato tega kljub zagotovilu, da ga bomo objavili v tem članku, včeraj do dogovorjenega časa niso sporočili. Za Slovensko tiskovno agencijo so že v sredo izjavili, da je njihovo omrežje varno in primerljivo z drugimi v Sloveniji.

Je nezadostno kriptiranje namensko?

Avtorji programa za krajo identitete nočejo ugibati, zakaj niso slovenska GSM-omrežja bolje zaščitena. Boljši načini zaščite namreč obstajajo že desetletje. Opozarjajo pa, da odkrite varnostne pomanjkljivosti omogočajo nepooblaščeno prestrezanje komunikacij tako kriminalnim združbam kot tudi tujim in domačim varnostno-obveščevalnim službam. Nekateri strokovnjaki, ki nočejo biti javno imenovani, pa namigujejo, da je slaba varnost koristna predvsem za policijo. Po neuradnih informacijah je slovenska policija pred nekaj leti menda kupila več prestreznikov, ki zaradi slabe zaščite naših GSM-omrežij omogočajo identificiranje mobilnih telefonov v bližini takšnih naprav. Boljša zaščita bi to opremo naredila neuporabno. Nazadnje so policiji nezakonito uporabo te opreme očitali zagovorniki gradbenih baronov v zadevi Čista lopata.

Nastanek tega članka ste omogočili bralci z donacijami. Podpri Pod črto

Deli zgodbo 0 komentarjev



Več iz teme: Komunikacijska varnost

Kako varno je naše komuniciranje z drugimi prek spleta, telefona in ostalih komunikacijskih kanalov? Preverjamo varnost različnih oblik komunikacije.

36 prispevkov

Kdo je odgovoren za slabo informacijsko varnost na UKC Ljubljana

UKC Ljubljana je slabo zavaroval podatke o zdravstvenem stanju posameznikov. Pooblaščenec za informacijsko varnost v UKC Ljubljana je nekdanji direktor …

Tema: Komunikacijska varnost
Članek,

Zakaj FURS strankam priporoča uporabo varnostno ranljivih brskalnikov

Finančna uprava je v začetku marca razburila z nasvetom, naj uporabniki Mac in Linux operacijskih sistemov prenehajo posodabljati brskalnik Firefox.

Tema: Komunikacijska varnost
Članek,

0 komentarjev

Dodaj odgovor

Vaš e-naslov ne bo objavljen. * označuje zahtevana polja

Zadnje objavljeno