Prvič objavljeno 15. oktobra 2012 v časniku Delo

Komisija državnega zbora za nadzor obveščevalnih in varnostnih služb je prejšnji teden ugotovila, da so slovenska omrežja GSM ustrezno zaščitena.

Tako je epilog dobilo prvo odmevnejše javno razkritje varnostnih ranljivosti naših informacijsko-komunikacijskih sistemov, ki so jo izvedli trije državljani brez skritih interesov.

Razplet je, tudi zaradi pavšalne ugotovitve komisije DZ, sladko-kisel: eden izmed slovenskih operaterjev GSM je ranljivosti odpravil takoj in brez ugovarjanja, drugi po daljšem upiranju in negodovanju, tretji pa se izboljšav še ni lotil.

Za osvežitev: junija letos smo skupaj s spletnim portalom Slo-Tech v Delu razkrili, da Tušmobil in Telekom Slovenije uporabljata zastarel standard kriptiranja prenosa podatkov v omrežju GSM, imenovan A5/1, Simobil pa v svojem omrežju omogoča celo nešifriran prenos podatkov.

Zato je mogoče z nekaj računalniškega znanja in opremo, vredno manj kot tisoč evrov, prisluškovati pogovorom, prestrezati sporočila SMS in celo ukrasti mobilno identiteto posameznika.

Predvsem zadnje ima lahko precej neprijetne učinke: od klicanja in plačevanja nakupov na tuj mobilni račun, do hujših zlorab, kot je, na primer, pisanje grozilnih pisem v imenu nekoga drugega.

Še posebno skrb vzbujajoče je dejstvo, da takega vdora ni mogoče dokazati. Kot dokaz smo na spletni strani objavili videodokaze vdora in kraje identitete v omrežjih GSM vseh treh operaterjev, ki so jih pripravili omenjeni trije računalničarji.

Odzivi: od pragmatičnega do žolčnih

Odziv mobilnih operaterjev ne bi mogel biti bolj različen.

Simobil je brez ugovorov takoj ukinil nešifriran prenos podatkov in vzpostavil dodatne varnostne mehanizme za tiste mobilne povezave, ki so šifrirane s standardom A5/1 (Simobil je edini naš operater, ki mogoča tudi prenos podatkov v standardu A5/3, ki ga še ni mogoče razbiti).

Odziv Telekoma je bil bolj žolčen. Najprej so sporočili, da so trditve o kraji identitete v Mobitelovem omrežju neresnične in tri računalničarje ter Delo in Slo-Tech obtožili, da z objavo videov o vdorih »povzročajo škodo«. Čeprav so bili predstavniki Telekoma Slovenije pred objavo videov nanje opozorjeni, dana pa jim je bila tudi možnost, da omrežje pred objavo varnostno nadgradijo. Pri Telekomu so si drznili še zatrditi, da »boljše zaščite, kot jo imamo v našem omrežju GSM, nima nobeno omrežje na svetu«. In se nato sami demantirali, ko jim je v nekaj tednih po objavi novic in osebni predstavitvi kraje mobilne identitete v njihovem omrežju uspelo dodatno varnostno nadgraditi. Te nadgradnje krajo identitete v Mobitelovem omrežju navadnim smrtnikom brez pregrešno drage in težko dostopne opreme preprečujejo.

Najostrejši je bil odziv Tušmobila. Na pisanje Dela so se odzvali z zahtevo po objavi popravka, v katerim zapišejo, da je »omrežje Tušmobila varno in zavarovano v skladu z vsemi sodobnimi varnostnimi standardi, primerljivimi z drugimi slovenskimi in evropskimi operaterji«.

A dodatnih varnostnih mehanizmov, ki bi onemogočali vdore, Tušmobil v nasprotju s Telekomom in Simobilom do danes ni vpeljal.

Dodatni varnostni ukrepi le priporočeni

Če lahko buren odziv dveh mobilnih operaterjev še delno razumemo – v strahu po negativni publiciteti in izgubi poslov jih je nekoliko zaneslo –, pa je odziv nadzornih institucij bolj skrb vzbujajoč.

Več javnih uradnikov, povezanih z informacijsko varnostjo, je izrazilo prepričanje, da bi morali tri računalničarje, ki so želeli opozoriti na ranljivost omrežij, kazensko preganjati. Ali pa so se vsaj strinjali s Telekomom, da je bila objava videodokazov škodljiva.

Ob tem so pozabili na dejstvo, da je Telekom Slovenije do objave videov in še po objavi trdil, da je takšen vdor v Mobitelovo omrežje nemogoč.

Agencija za pošto in elektronske komunikacije (Apek) ter komisija za nadzor obveščevalnih in varnostnih služb sta se odzvala na zapise v Delu in na Slo-Techu tako, da sta mobilne operaterje pozvala na zagovor.

A izkupiček je bil bolj majhen. Apek je prejšnji mesec v svojem poročilu o varnosti omrežij GSM objavil ugotovitev, da je varnost slovneskih omrežij GSM primerljiva, saj uporabljajo standard A5/1 tudi druge evropske države. Z dodatnimi varnostnimi ukrepi, ki precej izboljšajo varnost omrežij, se ni pretirano ukvarjal.

Zapisal je le, da bo te ukepe mobilnim operaterjem priporočil, ne bo pa jih zahteval. Apekovo mnenje o ustrezni varnosti omrežij GSM so nekritično povzeli tudi politiki, ki so člani komisije DZ za nadzor obveščevalnih in varnostnih služb. Njen podpredsednik, Srečko Meh, je uporabnike storitev GSM le dobrohotno pozval, naj redno preverjajo njihov račun in izpiske storitev GSM ter ob morebitnih neskladjih z dejansko uporabo storitev takoj opozorijo mobilne operaterje.

Z dodatnimi varnostnimi ukrepi pri uporabi standarda A5/1, ki dejansko preprečijo krajo identitete uporabnikov, se na komisiji niso ukvarjali. Po besedah Srečka Meha zato, ker jih nanje nihče ni opozoril. Čeprav o njihovi uporabi v Delu pišemo že več tednov, nazadnje smo o njih pisali tudi dan pred sejo komisije o varnosti omrežij GSM.

Skratka, z razpletom smo lahko le delno zadovoljni. Kljub začetnim pritiskom in upiranju nekaterih sta dva mobilna operaterja omrežje ustrezno zavarovala, tretji pa do danes na tem področju ni storil nič omembe vrednega.

Nadzorni mehanizmi pa so odpovedali – odgovornosti, zakaj so bila naša omrežja več let pred demonstracijo vdora slabo zavarovana (navodila za razbitje algoritma A5/1 so na svetovnem spletu dostopna že tri leta), ne bo ugotavljal nihče. Izboljšav varnosti omrežja pa od tretjega operaterja ne bodo zahtevali.

Uspeh s cmokom v grlu

Glavno sodbo o uspešnosti prvega odmevnejšega javnega poskusa opozarjanja na varnostne ranljivosti velikih sistemov bo izrekla prihodnost. Če bo dejanje treh računalničarjev opogumilo druge strokovnjake, da bodo tudi sami dobronamerno začeli odkrivati varnostne luknje v pomembnih sistemih in nanje opozarjati, potem je bila misija uspešna.

Pri tem bodo morali ključno vlogo igrati tudi ponudniki informacijsko-komunikacijskih sistemov, ki morajo takšno iskanje lukenj aktivno podpirati. Podobno kot tuje informacijsko-tehnološke korporacije, ki ne le, da omogočajo varnostna preverjanja svojih izdelkov, temveč odkritelje varnostnih pomanjkljivosti celo denarno nagradijo.