Sikkerheten i GSM-nettet har vært omdiskutert i mange år. Krypteringen som benyttes i mobilnettet for 3 milliarder mennesker i over 200 land stammer fra 1987.
Svakheter i beskyttelsen som skal hindre avlytting av mobilsamtaler og SMS har vært omtalt siden midt på nittitallet.
- Å knekke sikkerheten i GSM-nettet krever ikke lenger den samlede kraften til mange tusen datamaskiner. GSM-krypteringsalgormitmen A5/1 er utdatert. Systemet er sprengt. Det er null sikkerhet igjen.
Det hevder den norske utvikleren og hobbykryptografen Frank A. Stevenson i et intervju med digi.no denne uken. Han deltar i et internasjonalt prosjekt for å knekke GSM-krypteringen.
Vi konfronterte norske mobilselskaper med hackergruppens fremgang. Hvilke implikasjoner vil dette få, og kan kundene deres stole på at kriminelle ikke avlytter dem etter dette?
- Hvor sikker er egentlig GSM-krypteringen?
- Det må vel være et par år siden vi for første gang hørte om denne gruppen som angivelig har knekt GSM-krypteringskoden. Siden har vi heldigvis ikke registrert at det har skjedd. Men i teorien kan alle krypteringsalgoritmer knekkes, dersom det settes inn nok ressurser på å gjøre det, sier informasjonssjef Anders Krokan i Telenor.
- Tåkelegger
Frank A. Stevenson sier at dette svaret bærer preg av å tåkelegge situasjonen. Og han er beredt på å vise mobilselskapet alvoret i situasjonen:
- Telenor er velkommen til å sende en representant hjem til meg for å «registrere at krypteringskoden er knekt». Vi snakker ikke lenger om et teoretisk angrep, men et praktisk angrep som kan gjennomføres rimelig enkelt på gutterommet, med en kraftig spill-PC.
Telenor bør kanskje følge opp denne invitasjonen. Informasjonssjef Anders Krokan sier de setter sikkerheten høyt.
- For Telenor er sikkerhet ekstremt viktig, det skal være et konkurransefortrinn for oss. Når vi nå snart igangsetter utskiftning av alt utstyr i mobilnettet vårt, har vi sørget for at den sterkeste krypteringsalgoritme i GSM skal benyttes. Dermed vil Telenors mobilnett få en meget høy grad av kryptering.
- Hvis A5/1 er den sterkeste krypteringen som Telenor kan tilby, så har vi et problem, svarer Stevenson.
- Sårbare Norge
Norge står i en særstilling, der både landets og næringslivets ledere tilbringer mye tid på hytta - der de er avhengig av GSM-dekning for kontakt med omverdenen. Her er de svært sårbare for målrettet avlytting, mener den norske hackeren, som peker på at kriminelle krefter kan ha økonomiske motiv for å gjøre dette.
Netcom henviser til den internasjonale organisasjonen GSM Association (GSMA) og svarer i en kort kommentar at de forholder seg til deres ekspertise.
- GSM er en global standard, og GSM-eksperter fra flere land møtes jevnlig i felles forum (GSMA). Vi forholder oss til kompetansen de besitter og eventuelle uttalelser derfra, sier kommunikasjonssjef Øyvind Vederhus i Netcom til digi.no.
GSMA er kjent med angrepene mot A5/1-krypteringen.
I deres siste uttalelse om problemstillingen sier organisasjonen at de har en sterk mistanke om at hackere som vil knekke A5/1 kan ha undervurdert hvor komplisert dette er i praksis.
Her sammenligner de også datagrunnlaget som kreves, 2 terabyte med tabeller, med så mye data som finnes i en 20 kilometer høy stabel med bøker. I tillegg peker de på at utviklingen av kommersielt tilgjengelige knekkeverktøy nødvendigvis vil bryte med immaterielle rettigheter.
- Tøvete
- Det er betegnende at GSMA først avfeier angrepene på A5/1 med tildels tøvete uttalelser om papirberg, før de påstår at kriminelle vil måtte ta hensyn til patentbeskyttelse. De avslutter med et avsnitt som sier at de på sikt vil erstatte A5/1 med A5/3, sier Frank A. Stevenson.
Sistnevnte er krypteringsalgoritmen som benyttes i 3G-mobilnett, også kjent som Kasumi.
- Dette er i praksis en innrømmelse om at A5/1 ikke lenger holder mål, fastslår den norske hackeren.
Les også:
- [15.12.2014] PST-sjef: – Svært vanskelig å avdekke
- [10.01.2014] GSM-krypto ble bevisst svekket
- [25.11.2010] Hacker GSM fra scenen
- [02.08.2010] Hacker med falske GSM-tårn
- [21.07.2010] Klart for GSM-avlytting
- [06.05.2010] Telenor innrømmer at GSM kan avlyttes
- [04.05.2010] Han knekker GSM-koden
- [26.08.2009] Dødsstøt for all mobilsikkerhet
- [07.12.1999] GSM-krypteringen angivelig knekket