Hekanje kartic SIM: Slovenski uporabniki so lahko mirni

Nemški kriptograf Karsten Nohl je pred dnevi razkril metodo razbijanja varnosti kartic SIM v mobilnih telefonih. Z njo je mogoče povsem prevzeti nadzor nad »shekanim« mobilnikom. Toda metoda deluje le pri karticah, ki uporabljajo najbolj osnoven način šifriranja.

Ugotovitev Karstena Nohla, ustanovitelja nemškega podjetja Security Research Labs, gre poenostavljeno povedano takole. Če telefonu pošljemo lažno operatersko sporočilo, ki zahteva avtomatski odgovor, je ta v četrtini primerov kartic SIM s šifriranjem DES razkril 56-bitni varnostni ključ kartice. S tem ključem je nato možno na kartico z sms-om poslati virus, ki omogoča krajo identitete, prestrezanje kratkih sporočil in celo opravljanje nakupov.

Celoten postopek »okužbe« po Nohlovih navedbah traja vsega dve minuti, zanj pa ni potrebno nič drugega, kot običajen osebni računalnik. Šifriranje DES naj bi uporabljale približno tri milijarde kartic SIM, in glede na Nohlove preizkuse hekanja približno tisoč kartic v ZDA in Evropi, ki je dal omenjen delež kartic (25 odstotkov), jih je menda ranljivih približno 750 milijonov. Kako zaskrbljeni morajo biti slovenski uporabniki mobilnih telefonov?

Če sodimo po odgovorih glavnih štirih operaterjev, so lahko precej mirni. V Telekomu Sloveniji so zagotovili, da ne uporabljajo navadnega šifrirnega algoritma DES - ranljiv je samo ta, saj obstaja tudi močnejše šifriranje DES, ki ga Nohlova metoda ne prizadane. V Telekomu so se še pohvalili, da uporabljajo tehnologijo USIM v vseh delih omrežja. Ta pa je po zagotovilih, ki jih ima vodilni slovenski operater, popolnoma varna.

Hkrati v Telekomu pripravljajo še dodatne varnostne ukrepe. Niso pa eksplicitno odgovorili na naše vprašanje, ali so kdaj svojim uporabnikom dajali kartice SIM z običajnim šifriranjem DES in koliko takih kartic je še v omrežju. »Podrobnosti glede algoritmov za zaščito različnih transakcij in o drugih varnostnih ukrepih, ki jih uporabljamo ali smo jih uporabljali, iz razumljivih razlogov ne razkrivamo,« so odgovorili.

Podobno nedoločni so bili v Tušmobilu, kjer so zatrdili, da so kartice sim njihovih uporabnikov »varne in zavarovane skladno z vsemi sodobnimi varnostnimi standardi, primerljivimi z ostalimi slovenskimi in evropskimi operaterji.«

Nekoliko bolj konkretna so bila zagotovila Simobila in T-2. V slednjem so pojasnili, da zaradi svojega dokaj poznega vstopa na trg mobilne telefonije nikoli niso uporabljali ranljivih kartic. In še: »V mobilnem omrežju T-2 uporabljamo algoritem šifriranja AES, ki ga ni mogoče obiti z opisanimi mehanizmi.«

Medtem ko so iz Simobila odgovorili, da glede na njim znane podrobnosti njihove kartice nimajo varnostne luknje. Uradno tega sicer (še) niso potrdili, vendar pa po neuradnih podatkih tudi v Simobilu nikdar niso uporabljali kartic SIM s preprostim šifriranjem DES.

Tako lahko zaključimo, da so vsaj uporabniki z novejšimi karticami SIM lahko pomirjeni. Morda bi se kje našla kakšna stara, ranljiva kartica, če jih je kdaj uporabljal Mobitel, vendar bi bil že zaradi drugih razlogov - neomogočanje novejših storitev in neprimerna velikost za današnje pametne mobilnike - čas za njeno zamenjavo.