Ljubljana – Varnostne nadgradnje Mobitelovega omrežja GSM so precej otežile prestrezanje podatkov in krajo mobilne identitete uporabnikov omrežja. Po rezultatih testiranja Tušmobil varnostnih pomanjkljivosti do danes ni odpravil.

Prvič objavljeno 11. avgusta 2012 v časniku Delo

Da sta GSM-omrežji Mobitela in Tušmobila zaradi uporabe zastarelega načina kriptiranja, imenovanega A5/1, varnostno ranljivi, smo v Delu poročali sredi junija. Operaterja ne uporabljata boljšega načina kriptiranja A5/3, ki je na voljo že deset let. Zato je lahko računalniško bolj vešč posameznik s pomočjo navodil na svetovnem spletu, opremo za 200 evrov in prenosnim računalnikom spisal program za prestrezanje SMS-sporočil in prisluškovanje klicem uporabnikov omenjenih omrežij.

Še več, program mu je omogočal celo krajo mobilne identitete uporabnika, ki je ni bilo mogoče odkriti. Preverjanje omrežij, ki so ga sodelavci spletnega portala Slo-tech izvedli ta teden, je pokazalo, da je Telekom varnostno posodobil Mobitelovo GSM-omrežje. Omrežje sicer še kar uporablja standard kriptiranja A5/1, saj bi bila, kot pojasnjujejo pri Telekomu, preusmeritev sistema na uporabo standarda A5/3 zelo draga. So pa vpeljali dodatne varnostne mehanizme, ki precej otežujejo prestrezanje podatkov in krajo mobilne identitete uporabnikov omrežja.

Oboje je zdaj v praksi mogoče izvesti le z zelo drago opremo, ki jo imajo ponavadi le tajne službe in nekateri drugi varnostni organi držav. Vdore teh organov pa lahko operater prepreči le z vpeljavo standarda A5/3.

Simobil se je že zavaroval

Preverjanje omrežij ni pokazalo nikakršnih varnostnih nadgradenj Tušmobilovega omrežja. Simobil, ki je v svojem omrežju omogočal celo nekriptiran prenos podatkov, zaradi česar je bila kraja identitete še lažja kot v drugih omrežjih, je svoje omrežje ustrezno zavaroval takoj po objavi omenjenih junijskih člankov.

Obenem je edini operater, ki v vsem omrežju omogoča način kriptiranja A5/3. Agencija za pošto in elektronske komunikacije (Apek) je junija Telekom, Tušmobil in Simobil pozvala, naj se izrečejo o očitanih varnostnih pomanjkljivostih njihovih GSM-omrežij.

V Apeku so potrdili, da so odgovore operaterjev že dobili, zdaj pa morajo preveriti, ali njihovi varnostni ukrepi zagotavljajo ustrezno varnost in zaščito. Ko bo agencija ugotovila resnično stanje, se bo odločila o ukrepih. Na vprašanje, kdaj lahko odločitev pričakujemo, v Apeku odgovarjajo, da najpozneje do konca septembra. Apek bo moral podati svoje mnenje tudi o pojasnilih v zvezi z varnostjo GSM-omrežij, ki jih je od operaterjev sredi julija zahtevala komisija DZ za nadzor varnostnih in obveščevalnih služb. V nasprotnem primeru bi agencija o ukrepih odločila prej, so nam še povedali na Apeku.