Artikel top billede

Ny rapport afslører: Sikkerheds-sårbarheder blev bevidst plantet i 2G-netværket

En ny rapport afslører to sårbarheder i to telenetværksalgoritmer, der er så gamle som 2G. Og forskning viser, at de to sårbarheder er plantet med vilje.

En ny rapport, der handler om sikkerheden i to gamle krypteringsalgoritmer, der er lige så gamle som 2G-netværket, har sendt chokbølger gennem det internationale cybersikkerhedssamfund.

Rapporten, der er udarbejdet af europæiske forskere, kortlægger hvordan sårbarheder i de to krypteringsalgoritmer kan udnyttes til spionage af telefonens internettrafik.

Det skriver Vice

Algoritmerne stammer helt tilbage fra 1990'erne og 2000'erne, og forskerne bag rapporten mener, at den matematiske sandsynlighed for at sårbarhederne er opstået ved en fejl er meget lille.

Sagt med andre ord: Ssårbarhederne var plantet i algoritmerne med vilje.

De to algoritmer med hver sin sårbarhed hedder GEA-1 og GEA-2, og de blev brugt i mobiltelefoner da teleindustrien, tilbage i 2G-netværkets tid vedtog GPRS-standarder.

I forsøget på at klarlægge, hvor sandsynligt det var, at nogen havde plantet sårbarhederne, har forskere forsøgt at designe en lignende krypteringsalgoritme ved hjælp af en talgenerator, der genererede tilfældige numre.

Men under eksperimentet, konstaterede forskerne, at "i en million forsøg kom vi ikke engang tæt på en så svag instans."

Dermed kunne de graverende sårbarheder kun være plantet.

Dette har har den arbejdsgruppe, der designede algoritmerne, efterfølgende bekræftet. Men, der var en grund, fortæller en talsmand for European Telecommunications Standards Institute (ETSI), der designede GEA-1-algoritmen.

Vedkommende indrømmede, at algoritmen indeholdt en svaghed, men sagde, at den blev indført, fordi eksportbestemmelserne på det tidspunkt ikke tillod stærkere kryptering.

"Vi fulgte regler: Vi fulgte eksportkontrolbestemmelser, der begrænsede styrken af ​​GEA-1," skriver vedkommende i en mail.

Svagheden i GEA-1, der blev udviklet i 1998, er, at den kun giver 40-bit sikkerhed.



Premium
Tech-giganters regnskaber overgik forventningerne, men investorerne frygter for fremtiden
Computerviews: De store tech-giganter har igen haft et kvartal med massiv vækst. Men selskabernes regnskaber blev modtaget køligt på aktiemarkeder, der frygter, at tiden efter coronakrisen vil byde på lavere vækstrater.
Computerworld
Hent opdateringerne nu: Apple lapper gabende sikkerhedshuller til iPhone, iPad og Mac
En sårbarhed gjorde det muligt for hackere at overtage kontrollen med din iPhone, iPad eller Mac. Det er 13. gang i år, at Apple lukker en nuldagssårbarhed.
CIO
Årets CIO 2021: Nu skal Danmarks dygtigste CIO findes - er det dig? Eller kender du en, du vil indstille?
Det er den mest eftertragtede titel for danske it-chefer og CIO'er, der er på spil, når Årets CIO kåres 16. september 2021. Søg selv eller prik til en, som du kender - og læs mere om prisen her.
Job & Karriere
Så meget kan du tjene: Disse stillinger giver den højeste løn i den danske it-branche lige nu
Du skal have ledelsesansvar, hvis du vil helt tops i lønhierakiet i den danske it-branche, viser nye tal. Se hvor meget du kan tjene i de stillinger i it-branchen, der giver den højeste månedsløn lige nu.
White paper
Er det nu? Eller skal vi vente? Optimér udskiftning af servere i koncernen
Denne analyse giver dig svar på, hvordan du rammer ”the sweet spot”, der sikrer maksimal udnyttelse af eksisterende hardware i koncernens IT-miljø, inden du skifter til nye servere.