Prestreči SMS? Malenkost!
Mobitel in Tušmobil uporabljata zastarel model zaščite prenosa informacij v omrežju GSM, kar omogoča hude zlorabe.
Ljubljana – Že od julija 2010 so na spletu dostopna navodila, kako z opremo, vredno dvesto evrov, in prenosnim računalnikom prestrezati podatke, kriptirane v obliki, ki jo za to uporabljata Mobitelovo in Tušmobilovo omrežje. Operaterja boljšega načina kriptiranja komunikacije GSM, ki je na voljo že desetletje, ne uporabljata.
Prvič objavljeno 13. junija 2012 v časniku Delo
Trije računalnikarji, Matej Kovačič, Jaka Hudoklin in Klemen Rupnik, so po navodilih in podatkih, ki so prosto dostopni na svetovnem spletu, v enem mesecu spisali in demonstrirali program za prestrezanje kratkih sporočil (SMS) v Mobitelovem omrežju. To jim je uspelo s starejšim modelom mobilnega telefona, vrednim nekaj deset evrov, zunanjim trdim diskom v vrednosti sto evrov in malo boljšim prenosnim računalnikom.
Navodila in podatki, ki so bili potrebni za prestrezanje sporočil SMS in zvoka, so javno dostopni že od sredine leta 2010, ko so jih objavili nemški hekerji. Ti so hoteli predvsem dokazati ranljivost obstoječih načinov kriptiranja prenosa podatkov v omrežju GSM. A kljub znanim pomanjkljivostim večina upravljavcev omrežij GSM v Evropi še ni vpeljala standarda kriptiranja, imenovanega A5/3, ki bistveno otežuje napade. Čeprav je bil ta razvit že pred desetimi leti, ga pri nas uporablja le Simobil, medtem ko Mobitel in Tušmobil še kar uporabljata standard A5/1, ki ne zagotavlja primerne varnosti.
Kovačič, Hudoklin in Rupnik opozarjajo, da lahko vsak računalniško malo bolje podkovan posameznik po javno dostopnih navodilih naredi enak program za prestrezanje podatkov v omrežju GSM Mobitela in Tušmobila, kot so ga ustvarili sami, zato je možnost zlorab izjemno velika.
Prestrezanje podatkov v praksi
Velika večina mobilnih telefonov uporablja dve omrežji za prenos podatkov, starejše in počasnejše GSM ter novejše in hitrejše UMTS. Novejši telefon uporablja omrežje UMTS, kjer je le mogoče, drugače pa preklopi na omrežje GSM. Prisluškovati je mogoče le v omrežju GSM.
Mobitel pokriva s svojim omrežjem UMTS skoraj 48 odstotkov ozemlja Slovenije in približno 90 odstotkov prebivalcev, Tušmobil pa le 32 odstotkov ozemlja in okoli 80 odstotkov prebivalcev. A UMTS ne deluje tudi v mnogih stavbah, predvsem tistih z debelejšimi zidovi. Če tako osebi, ki ji hočemo prisluškovati, sledimo na nepokrito območje ali smo z osebnim računalnikom in opremo zunaj stavbe, v katero signal UMTS ne seže, ji lahko brez težav prisluškujemo oziroma beremo njena vhodna in izhodna sporočila SMS. Takšno prestrezanje podatkov je nemogoče zaznati oziroma se nikjer ne zabeleži, zato ga je tudi nemogoče dokazati.
Telekom Slovenije je na vprašanje o varnosti njihovega omrežja in uporabi slabšega standarda kriptiranja podatkov odgovoril, da je »Mobitelovo omrežje izjemno kakovostno, zanesljivo in varno«. Poudarjajo, da zadostuje najstrožjim merilom in da kljub navedbam o vdorih in zlorabah v Mobitelovem omrežju teh niso zaznali. Sporočili so tudi, da imajo nekateri stari terminali težave s standardom A5/3.
Slovenija ni izjema
Tudi večina drugih evropskih operaterjev še ni vpeljala potrebnih varnostnih standardov, ki onemogočajo prestrezanje podatkov, je pokazala analiza 105 operaterjev omrežij GSM, predstavljena maja letos na konferenci o varnosti telekomunikacij Sigint v nemškem Kölnu. A pri mnogih operaterjih širša vpeljava standardov, ki onemogočajo prestrezanje podatkov, ni mogoča. Večina mobilnih telefonov, ki so v uporabi v njihovih državah, jih namreč ne podpira.
Novejše standarde na primer podpira le od 10 do 25 odstotkov telefonov, ki jih uporabljajo Nemci. A za naša operaterja Mobitel in Tušmobil ta izgovor ne velja, saj novejše standarde uporablja več kot tri četrtine telefonov v lasti Slovencev. Razmeram se je bolje prilagodil Simobil, ki uporablja boljši sistem kriptiranja A5/3 na vseh telefonih, ki ta sistem podpirajo.
V spodnjem videu, ki je dostopen tudi na spletni strani http://slo-tech.com/, si oglejte prestrezanje SMS sporočil.
http://www.youtube.com/watch?v=elFK90VRdAk
Nastanek tega članka ste omogočili bralci z donacijami. Podpri Pod črto
Deli zgodbo 0 komentarjev
0 komentarjev