GCHQ heeft Gemalto gehackt om de authenticatiesleutels van SIM kaarten in handen te krijgen. Gemalto reageerde in eerste instantie laconiek. Nu zijn ze plotseling heel stellig over de beperkte impact van de hack. Dit was ook de strekking van de rapportage van het NOS journaal over dit onderwerp. Een iets kritischer opstelling van het journaal was echter wel op zijn plaats geweest.
De suggestie die Gemalto wekt, en die klakkeloos door het NOS journaal is overgenomen, is dat er niet zoveel aan de hand is:
In the case of an eventual key theft, the intelligence services would only be able to spy on communications on second generation 2G mobile networks. 3G and 4G networks are not vulnerable to this type of attack
Verderop in het persbericht wordt gesproken over 'encryption keys'. Daar is enige verwarring over: het oorspronkelijke Intercept artikel noemt de sleutels die GCHQ in hand kreeg ook encryptie sleutels. Maar GCHQ kreeg de authenticatie sleutels in handen. (Zie voor een nadere uitleg van het verschil deze blog, die ook verder zeer goede dingen te zeggen heeft over de impact van de hack.) Ook de mobiele operators (zoals Vodafone) reppen over additionele beveiligingsmaatregelen waardoor het mobiele telefoon verkeer niet af te tappen zou zijn door GCHQ. Ik kan dat met mijn kennis van de 2G en 3G specificaties niet plaatsen. Het is jammer dat de operators niet meer, technische, details over deze extra maatregelen geven. Zo moeten we ze op hun woorden geloven. Dat is teveel security by obscurity naar mijn smaak.
Zoals ik ook al aangaf in mijn interview in de Nieuwsshow op Radio 1, heeft deze hack consequenties die verder gaan dan het feit dat mogelijk kamerleden door de NSA worden afgeluisterd.
Het verraste mij toch wel dat Gemalto, als producent van SIM kaarten, ook de personalisatie van die kaarten (ook voor grote mobiele operators) verzorgt. (Tijdens de personalisatie fase worden chipkaarten uniek gemaakt en onder mer voorzien van uniek sleutelmateriaal.) Normaal gesproken zijn productie en personalisatie gescheiden processen die, uit beveiligingsoogpunt, door verschillende partijen gedaan moeten worden. Door dit alles door één partij te laten doen, voor een groot aantal grote telecom operators, creëert een gigantische hotspot die een zeer aantrekkelijk doelwit is voor zowel inlichtingendiensten als criminelen.
In tegenstelling tot wat de Amerikaanse overheid altijd heeft beweerd, laat deze hack zien dat de inlichtingendiensten ook onschuldige en nietsvermoedende burgers die in dienst zijn van een beveiligingsbedrijf in de gaten houdt. Sterker nog: hun email accounts en Facebook accounts zijn gehackt. En kennelijk zijn bedrijven van bevriende naties legitieme doelwitten om te hacken. Als het doel werkelijk het bestrijden van terroristen in Afghanistan is, waarom zou je dan niet gewoon de koninklijke weg bewandelen en via de Nederlandse overheid om die informatie vragen. Dan had zo'n verzoek ook nog getoetst kunnen worden, ook.
Eigenlijk had de minister president in scherpe bewoordingen officieel zijn beklag hebben moeten doen bij de Engelse overheid over deze aantasting van onze soevereiniteit. Het is interessant te constateren dat wij met z'n allen dit niet zo lijken te voelen. Ook de Tweede Kamer had wel wat meer haar tanden mogen laten zien.
De hack ondermijnt daarnaast het vertrouwen in bedrijven die beveiligingsdiensten of producten leveren, en in die producten zelf. Gemalto produceert niet allen SIM kaarten, maar ook bankpassen, creditcards, toegangspassen. In hoeverre kunnen we er van uitgaan dat niet ook deze producten op een of andere manier gecompromitteerd zijn? Het punt is vooral dat we geen enkele onafhankelijk te verifiëren informatie hebben om zo'n vraag te beantwoorden. De handelswijze van de inlichtingendiensten creëert daarnaast ook daadwerkelijk beveiligingsproblemen (waarom zouden we anders onze kamerleden van nieuwe SIM kaarten voorzien?). Dit alles leidt tot concrete economische schade. De dag na het bekend worden van de hack daalde de koers van Gemalto met zeven procent.
Het is daarnaast naïef om te denken dat alleen de 'eigen' diensten gebruik kunnen maken van de door hun geïntroduceerde zwakheden in beveiligingssystemen, of van de door hun verzamelde cryptografische sleutels. Als de onthullingen van Snowden iets hebben laten zien, dan is het wel dat de NSA en anderen zeer slecht hun interne beveiliging op orde hebben. Dit is ook precies de reden waarom backdoors of 'golden keys' een slecht idee zijn. Het is niet eens zozeer een technisch probleem. De problemen zijn vooral van organisatorische (en normatieve) aard: hoe voorkom je misbruik van de technische mogelijkheid om ongemerkt iemand te hacken of af te luisteren. Dit blijft een heikel punt, ook in de plannen voor het uitbreiden van de bevoegdheden van de AIVD en de MIVD om ongericht ook kabelgebonden verkeer te men tappen.
Goed verhaal Jaap-Henk! Onze politici kunnen nog iets leren van de Australische senator in dit filmpje:
https://www.youtube.com/watch?v=7Nt7Fhv_uWo
Mocht je nooit de Australische politieke satire “The Hollow Men” gekeken hebben: nu gaan doen :-)
Dag Jan Jaap,
Een interessant detail van deze hack is dat Gemalto ook de producent is van het nieuwe rijbewijs. Dit nieuwe rijbewijs is een kandidaat voor het “publieke middel” dat men in eID wil inzetten.
Zonder de suggestie te willen wekken dat deze kaart ook al gehackt is, blijkt uit het bericht wel dat Gemalto en daarmee het voorgestelde publieke middel niet onfeilbaar is.
Voor mij toont dit aan dat het onverstandig is om een eID stelsel op te bouwen op basis van één technologie en/of één leverancier. Toch lijkt dit het voornemen van het kabinet met de introductie van één publiek middel.
Hier heb jij vast ook een mening over ;-)
Martijn