Hopp til navigasjon Hopp til innhold

GSM-telefonen er ikke sikker

OSLO: Ikke gjør forretningsavtaler over GSM-mobiltelefonen din. Et amerikansk forskerteam, Smartcard Developers Association (SDA), har funnet alvorlige sikkerhetshull som gjør det mulig å avlytte dine mest private forretningssamtaler.

deskill.
Du trodde kanskje at din mobiltelefon for GSM-nettet var avlyttingssikker. Glem det! SDA har avslørt alvorlige hull i samtalesikkerheten for GSM-telefoni.

Avslørt i test
En test de amerikanske forskerne nylig utførte avslørte det de hevder er ”en bevisst svekkelse” av sikkerheten for å kunne føre fortrolige samtaler via GSM-nettet.

For å forhindre at samtaler i GSM-nettet kan avlyttes er overføringen fra mobiltelefon til basestasjon kryptert. Krypteringsalgoritmen som benyttes heter A5. Denne algoritmen benytter 64 bits nøkler. Men SDA kan avsløre at bare 54 bit er i bruk. De 10 siste bitene er erstattet med tallet 0.

– Bevisst svekkelse
– Dette er en bevisst svekkelse av konfidensialitet-nøkkelen. De eneste vi kan tenke oss har interesse av å svekke samtalesikkerheten er de nasjonale overvåkningstjenestene. For forbrukerne ønsker ingen innblanding i privatlivet, og produsenter og nettverksoperatører vil ikke pådra seg noen ekstra kostnader selv om alle bitene i krypteringsnøklene hadde vært benyttet, melder leder Marc Briceno i SDA.

SDAs forskerteam teller for tiden seks medlemmer, deriblant David Wagner og Ian Goldberg som tidligere har oppdaget sikkerhetshull i Netscapes programvare. SDA er en amerikansk sammenslutning av forsker som studere sikkerhet rundt brukt av smartkortteknologi.

Krever ressurser
– I en slik omtalt svakhet ligger det muligheter for avlytting. En 54-bits A5 er nok avlyttbar, men til det må du være en ressurssterk ”angriper”. Og avlytting er ikke mulig i sann tid – kun ved dekoding av opptak. Jeg vil tro at det kan ta et par dagers tid. Spesielt ressurssterke kan klare det raskere, sier forskningssjef Jon Ølnes ved Norsk Regnesentral i Oslo.

Den norske krypteringseksperten bekrefter at da den ”hemmelige” A5-algoritmen ble avslørt for to år siden, ble det påvist flere andre svakheter enn den som SDA nå avslører. Men det var den gang usikkert hvilke konsekvenser disse svakhetene kunne ha ved anvendelse av algoritmen i praktisk bruk.

Industrispionasje
Avlytting av GSM-samtaler i eteren er med andre ord ikke et gutteromsfenomen. Overvåkningspolitiet i Norge vil trolig uansett få tilgang på kablene som distribuerer samtalene mellom de enkelte basestasjonene.

Men avlytting av GSM-samtaler i eteren vil være desto mer aktuelt for bruk i industrispionasje. Internasjonal industrispionasje har nemlig trolig tilgang både på de nødvendige maskinressurser og den menneskelige kompetanse som skal til.
Stikkord: Mobil