Zabezpieczenia kart SIM nic nie warte, ich największy producent padł ofiarą cyberataku USA i Wielkiej Brytanii

Zabezpieczenia kart SIM nic nie warte, ich największy producent padł ofiarą cyberataku USA i Wielkiej Brytanii20.02.2015 12:48

Te wszystkie szpiegowskie historie z NSA w roli głównej, o jakichsłyszymy od czasu ujawnienia przez Edwarda Snowdena aferypodsłuchowej PRISM, trochę nas już znieczuliły. Pogodziliśmy się ztym, że pracownicy tej agencji nie tylko dobrze się bawią podczaspolowania na terrorystów w World of Warcraft, ale też robią zakrojonena wielką skalę operacje, takie jak choćby infekowanie złośliwymkodem firmware twardych dysków. A jednak nawet na tym tle osiągnięciezespołu agentów amerykańskich i brytyjskich (z siostrzanej dla NSAagencji GCHQ) robi wrażenie. Serwis The Intercept ujawnił, żedziałający pod nazwą Mobile Handset Exploitation Team (MHET) zespółzdołał wykraść ogromną liczbę kluczy szyfrujących do kart SIM zholenderskiej firmy Gemalto, będącej największym na świecie ichproducentem.

Gemalto rocznie produkuje ok. 2 miliardów kart SIM, z którychkorzysta około 450 operatorów telekomunikacyjnych na całym świecie.Motto firmy brzmi Security to be Free. Niestety,chyba niewiele ma ono wspólnego dziś z rzeczywistością. Obezpieczeństwie w obecnej sytuacji trudno mówić, a jego brak sprawił,że niejeden człowiek mógł utracić wolność. W końcu karty SIM służądziś m.in. do przechowywania kluczy służących do szyfrowaniakomunikacji głosowej, tekstowej i internetowej między abonentem asiecią operatora.

Serwisowi The Intercept udało sięuzyskać tajny dokument brytyjskiej agencji GCHQ, przedstawiającyoperację, dzięki której te wszystkie klucze szyfrujące znalazły się wrękach agentów MHET. Zanim przejdziemy do szczegółów samej operacji,wyjaśnijmy znaczenie tych kluczy. Obecnie każda karta SIM zawiera wswoim czipie osadzony unikatowy 128-bitowy klucz o nazwie Ki.Do klucza tego nie można uzyskać dostępu przez normalny interfejskarty. Zamiast tego karta zapewnia funkcję pozwalającą na podpisanienim danych przekazywanych przez telefon do karty. Podczas logowaniado sieci komórkowej przeprowadzana jest procedura powitalna (tzw.handshake), mająca z grubsza celu porównanie Kikarty SIM z Kiposiadanym przez operatora. Jeśli wyliczone na podstawie obu kluczyodpowiedzi są zgodne, telefon otrzymuje dostęp do sieci, akomunikacja zostaje zaszyfrowana wyliczonym z nich kluczem Kc.Jeśli napastnik posiada taki klucz szyfrujący, to korzystając zfałszywej stacji bazowej może podsłuchiwać komunikację ofiary wczasie rzeczywistym.

Amerykańscy i brytyjscy agenci, by uzyskać dostęp do kluczy zkart, posunęli się do działań, które wykonane przez zwykłychobywateli byłyby powodem do powiadomienia prokuratury. Nie włamanosię co prawda do samej fabryki, ale przeprowadzono włamanie dokorporacyjnej sieci Gemalto. W większości wypadków producent, zamiastkorzystać z kurierów, wysyłał bowiem telekomom klucze Ki przez Internet, zwykłym e-mailem czy po FTP. Jak jednakdostać się do dobrze zabezpieczonej sieci? Wykorzystano słynnyXKEYSCORE agencji NSA, biorąc na celownik kluczowych pracowników, nietylko Gemalto ale i telekomów oraz producentów sprzętutelekomunikacyjnego. Ofiarami padli także Polacy – sporezainteresowanie wywołała m.in. fabryka Gemalto w Tczewie, w której od2001 roku produkuje się karty SIM.

Narzędzie NSA, pozwalające na zaawansowaną analizę pakietów IP,potrafiące nawet odtworzyć pełną sesję aktywności sieciowej międzydowolnymi dwoma adresami, zapewniło dostęp do ich poczty i kont naFacebooku. Ich skrzynki okazały się prawdziwą kopalnią interesującychdanych. Co ciekawe, w wielu wypadkach sygnałem, że natrafiono na cościekawego, było samo wykorzystanie szyfrowania przez ofiary, lubkorzystanie z technicznego słownictwa w treści wiadomości. Topodejście okazało się bardzo owocne, w ciągu kilku miesięcy udało sięzestawić w pełni zautomatyzowany proces, dzięki któremu wykradzionomiliony kluczy, używanych przez operatorów w takich krajach jak Iran,Afganistan, Jemen, Indie, Irlandia, Serbia, Somalia, Islandia czyTadżykistan. Podobne operacje przeprowadzone zostały następnieprzeciwko konkurentowi Gemalto, niemieckiej firmie Giesecke undDevrient.

Ujawnienie tych rewelacji sprawiło, że w samym Gemaltoprzeprowadzono wewnętrzny audyt bezpieczeństwa. Wiceprezes firmy PaulBeverly zapewnił, że podjęto wszystkie kroki, by zrozumieć, co sięfaktycznie stało, zabezpieczyć się na przyszłość przed takimi atakamii chronić telekomy, którym Gemalto służy od wielu lat. Rząd Holandiinie wydał żadnego oficjalnego komunikatu. Widać, że sytuacja dlasojuszników Wielkiej Brytanii i Stanów Zjednoczonych jest kłopotliwa.Holenderska europarlamentarzystka Sophie in’t Veld mówiotwarcie – władze tych krajów przeprowadzają na ogromną skalęnielegalne operacje. Gdyby robił to zwykły cywil, skończyłby zwyrokiem trzydziestu lat więzienia. Agencjom wywiadowczym nikt jednaknic nie zrobi, robią co chcą, niczym kowboje na Dzikim Zachodzie.

Sami napastnicy, mimo dokonanych cyberprzestępstw, mogą czuć siębezpiecznie. Brytyjskie GHCQ, choć odmówiło komentarza w tej sprawie(nie komentujemy operacji wywiadowczych), to zapewniło, że wszystkieprowadzone operacje wywiadowcze odbywają się w zgodzie z prawem i sąpoddane odpowiedniemu nadzorowi. Co więcej, przechwytywanieinformacji ma być według Brytyjczyków w pełni zgodne z EuropejskąKonwencją Praw Człowieka. NSA jak zwykle nie powiedziało niczego.

Artykuł The Great Sim Heist możecie w całości przeczytać nastronachThe Intercept.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na