Artikel top billede

Krypteringsekspert: Jeg kan aflytte din GSM-samtale

En tysk krypteringsekspert har brudt den kode, der bruges til kryptering af GSM-samtaler, for at dokumentere, at sikkerheden halter. Teleindustrien kalder det ulovligt.

Den teknologi, der anvendes til langt de fleste mobilsamtaler i Danmark og i verden i det hele taget, GSM, er ikke så sikker, som man måske skulle tro.

I hvert fald ikke hvis man skal tro en tysk krypteringsekstert ved navn Karsten Nohl. Han hævder ifølge blandt andre New York Times at have brudt den kode, der anvendes til kryptering af GSM-samtaler.

"Dette viser, at den eksisterende GSM-sikkerhed er utilstrækkelig," udtalte Karsten Nohl tidligere på ugen, da han holdt en tale for omkring 600 mennesker ved en hacker-konference i Berlin.

"Vi prøver at presse operatørerne til at tage bedre sikkerhedsforanstaltninger for mobil-samtaler i brug," sagde han ifølge New York Times.

Populær teknologi

Der er i dag flere end tre milliarder mennesker, der kommunikerer via GSM-teknologien (Global System for Mobile communications), og 80 procent af alle samtaler i flere end 200 lande foregår via GSM.

Teknologimediet Ars Technica skriver, at kryptering af GSM-samtaler i dag typisk sker ved hjælp af en 64-bit algoritme kaldet A5/1, mens mange 3G-netværk anvender en A5/3, en nyere 128-bit version.

Karsten Nohl er i stand til at bryde krypteringen ved hjælp af det, der kaldes et "rainbow table," hvormed man kan regne sig frem til krypteringskoden.

Grundlæggende sker det ved at lave en database over, hvordan passwords ser ud, når de sendes krypteret for på den måde at kunne regne sig frem til den hemmelige kode.

Allerede i september meddelte Karsten Nohl, at han og krypterings-kollegerne var i færd med at bryde GSM-krypteringen for at skabe opmærksomhed om de GSM-sikkerhedsproblemer, der allerede eksisterer, og som kriminelle allerede udnytter til at kompromittere virksomheders forretningshemmeligheder, folks kontooplysninger og kendte menneskers privatliv.

Mest en teoretisk trussel

Teleanalytiker Torben Rune udtalte i forbindelse med Karsten Nohls annoncerede planer, at selvom GSM-samtaler måske nok teoretisk kan aflyttes, behøver vi generelt ikke frygte for vores tele-sikkerhed.

"Algoritmerne er så tilpas stærke til, at den begrænsning, der trods alt er blandt almindelige hackere, som ikke har adgang til disse mega-kraftige regnemaskiner, betyder, at det er uinteressant for dem at bruge så store ressourcer på det," udtalte Torben Rune blandt andet.

Ifølge New York Times kalder GSM Association Karsten Nohls bevis på, at GSM-samtaler kan aflyttes, for ulovligt og overdrevet.

"Dette er teoretisk muligt, men praktisk usandsynligt. Det, han gør, ville være ulovligt i England og i USA. At gøre det, mens man tilsyneladende er bekymret for privacy, går ud over min fatteevne," udtaler Claire Cranton, talskvinde for GSM Association, der holder til i London.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
JN Data A/S
Driver og udvikler it-systemer for finanssektoren.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Drukner din sikkerhed i et hav af falske advarsler?

Der er et konstant våbenkapløb i gang mellem de værktøjer, din IT-sikkerhedsafdeling har til rådighed og et stigende antal komplekse og mangeartede cybertrusler. Men når sikkerhedsinfrastrukturen udbygges, stiger kompleksiteten og mængden af advarsler også. Hermed får du svært ved at skelne mellem et stort antal falsk positive og de få – men reelle og kritiske! – advarsler, du skal prioritere at håndtere. Bliv klogere på hvordan du håndtere det.

15. juni 2021 | Læs mere


Datadrevet forretning 2021: Sæt automatisering og data på den strategiske dagsorden

Ved at anvende data på den korrekte måde, kan du og din virksomhed for alvor sætte skub i konkurrencen. Der ligger en værdifuld viden om kunder, kundeadfærd, konkurrenter, markeder og meget andet i den data, der svæver rundt omkring os. Med den nyeste teknologi er det endda blevet nemmere at automatisere disse processer.

16. juni 2021 | Læs mere


Cloud giver dig fleksibilitet, skalerbarhed og agilitet – men hvordan håndterer man sikkerheden?

Cloudsikkerhed handler om effektiv orkestrering og automatisering for at muliggøre hurtig detektion af og reaktion på incidents. Det handler om at eliminere kompleksitet, det handler om at fortsat sikre smidighed og fleksibilitet. På dette seminar bliver du klogere på hvordan du planlægger, designer, implementerer og kører dit cybersikkerhedsprogram effektivt.

23. juni 2021 | Læs mere






Premium
Test: Duer Samsungs første Pro-pc'er til noget?
Samsung Galaxy Book Pro serien er et bevis på, at de etablerede pc-producenter får sig en formidabel udfordrer i den sydkoreanske supersværvægter.
CIO
Der findes ikke noget vigtigere for din virksomhedskultur end psychological safety
Klumme: Forskningen er entydig: Vidensarbejde er mere effektiv, når du tør stille spørgsmål, rejse kritik og indrømme fejl helt uden frygt for at blive straffet eller gjort til grin. Hvis du ikke har fokus på denne del af din virksomhedskultur, så lever din virksomhed og dine medarbejdere ikke op til deres fulde potentiale.
White paper
Sådan sikrer du hovednøglen til jeres data
80% af alle ransomwareangreb skyldes misbrug af privilegerede brugeradgange. Ved at begrænse og overvåge adfærden på de privilegerede konti samt kontrollere mængden af tildelte rettigheder kan du mindske skaden ved hackerangreb mod din virksomhed og i visse tilfælde helt blokere dem. Internt kan du bruge kontrollen med brugeradgange til at dokumentere, hvem der bevæger sig i hvilke systemer, og hvad der foregår derinde. Privilegeret brugerstyring har de seneste to år stået øverst på Gartners Top10-liste over it-sikkerhedsprojekter, der bør få højeste prioritet. Alligevel er teknologien kun så småt ved at finde fodfæste i Danmark. Det kan viden om åbenlyse gevinster, relativ kort implementeringstid og yderst rimeligt budget være med til at ændre på. I dette whitepaper folder vi temaet privilegeret brugerstyring ud og placerer teknologien i det væld af prioriteringer, som CISO’en hver dag skal foretage.