Snart vil alle kunne avlytte mobilen din

På den nederlandske hackersamlingen «Hacking at Random» i forrige uke ble det manet til en internasjonal aksjon for å fjerne grunnlaget for all sikkerhet i GSM-nettverket.

To IT-eksperter vil lage tabeller som skal kunne brukes til å hacke seg inn på nettverket. Disse skal deretter frigis. Hvem som helst vil dermed ved hjelp av en pc, et radiokort og disse tabellene kunne hacke seg inn, lytte til samtalene dine og lese data som blir overført via GSM.

- Offentliggjør en mangel

Karsten Nohl og Sascha Krissler står bak aksjonen. Nohl er doktorgradstipendiat ved University of Virginia i USA.

Se presentasjonen til Karsten Nohl her.

Målet til Nohl og Krissler er å tvinge mobilbransjen til å bedre sikkerheten.

- Vi skaper ikke en sårbarhet, men offentliggjør en mangel som allerede har blitt utnyttet i et stort omfang. Selvfølgelig gjør vi hackingen langt mer praktisk og billig, og selvfølgelig er det et moralsk spørsmål om vi burde gjøre det eller ikke, sier Karsten Nohl i et intervju med CNET News.

I dag krypteres GSM-kommunikasjon med algoritmen A5/1. Teknologien bak sikkerheten i dagens system stammer tilbake til 1987, og sikkerheten har vært omdiskutert i lang tid.

Ifølge Nohl og Krissler vil de kunne generere tabellene for å praktisk knekke A5/1 innen juletider. Dette ved hjelp av 80 såkalte CUDA-noder.

- Problemet ligger i telefonene

Telenor opplyser at dette er et problem de har jobbet lenge med å løse, og som må løses når dette blir en trussel.

- Problemet ligger i telefonene. Per i dag støtter de aller fleste telefonene A5/1. De telefonene må byttes slik at de støtter A5/2 og A5/3. Så må nettet tilpasses slik at det støtter A5/1 -2 og -3, sier dekningsdirektør Bjørn Amundsen i Telenor til ABC Nyheter.

Problemet ser også ut til å gjelde SMS.

- Teoretisk er SMS-er på samme algoritme som tale. Men vi har ikke per i dag fått noen indikasjon om at sms er lest av andre, og det er ikke testet av oss. Den dagen vi legger om fra A5/1 til A5/2 eller A5/3 vil dette selvfølgelig også gjelde for sms, sier Amundsen.

Dekningsdirektør Bjørn Amunsen i Telenor sier dette er et problem de jobber med å løse.

Halvparten bruker GSM

Han understreker at problemet gjelder kun for GSM.

- Hvis du ringer en som er på 3G-nettet og selv er på 3G-nettet, vil ikke dette være noe problem. Det samme gjelder SMS sendt over 3G-nettet, sier Amundsen.

Det er imidlertid bare halvparten av Telenors kunder som har 3G-telefoner.

Ingen garanti

- Vi er hele tiden på jakt etter å lage ting så sikkert som mulig. Derfor har vi også holdt på lenge med denne standardendringen, men det tar tid, sier Amundsen.

Telenor benytter i tillegg frekvenshopping, som også i stor grad skal gjøre det vanskeligere å lytte til samtaler. Men Amundsen sier man ikke kan forvente seg hundre prosent sikkerhet ved bruk av mobil.

- Mobilen er ikke et sikret system; det er ikke et system vi kan garantere at ingen får tilgang til. Det beste rådet er å ikke diskutere ting over telefonen som man ikke ønsker at allmennheten skal få vite, sier Amundsen.

Mobilbanken ikke truet

Ifølge Amundsen skal ikke denne eventuelle hackingen kunne true bruken av mobilbank, da bankene har en tilleggssikkerhet som ligger i bånn. Dette bekreftes av DnB NOR, som tilbyr denne tjenesten til sine kunder.

- Hacking av GSM-nettverket vil ikke ha noe å si for bruken av mobilbank. Dette på grunn av en ekstra kryptering mellom nettleseren og banken, sier informasjonsrådgiver Marit Giske i DnB NOR til ABC Nyheter.

Konfidensiell informasjon

Det har vært en langvarig diskusjon om sikkerheten burde vært skjerpet. Forskere har ved flere anledninger har påvist svakheter i A5/1. Det har også blitt påvist hvordan det lar seg knekke.

- Alle har kjent til den teoretiske muligheten for å hacke GSM-krypteringen en stund. Denne nyheten betyr at den teoretiske muligheten kan bli virkelig innen de neste seks månedene, sier Simon Bransfield-Garth i Cellcrypt i en pressemelding.

Ifølge Nohl er det allerede fire kommersielle verktøy tilgjengelige for hacking av GSM-nettverket som selges for mellom 100.000 og 250.000 amerikanske dollar. Forskjellen nå er at de vil gjøre det mulig for alle med en pc og et radiokort til kun 500 dollar å hacke seg inn i nettverket.

Ferske undersøkelser utført av ABI Research viser at svært mange deler konfidensiell informasjon i mobilsamtaler.

- Hvis ingenting blir gjort, vil vi sannsynligvis høre om avsløringer av sensitiv informasjon, beskyldninger om lekkasjer og at private anliggende blir kjent. Det igjen kan føre til trusler og pengeutpressing i stor skala, sier visepresident i ABI Research.

Netcom ønsker så langt ikke å uttale seg om saken, men sier på generelt grunnlag «at alle våre kunder kan føle seg sikre».