Blog Infradata - Tom Poes, verzin een list!

Blog Infradata - SecuritySpionage hack

Deze week werd er weer een fraai hoofdstuk toegevoegd aan de serie spionageonthullingen van Edward Snowden. Na de Belgen eerder (de hack van Belgacom) is nu Nederland het doel: het zou gaan om het hacken van Gemalto, één van de grootste leveranciers ter wereld van simkaarten die in mobiele telefoons zitten. Het hoofdkwartier van Gemalto zit in Amsterdam. Volgens het bericht zouden GCHQ en NSA uit zijn op sleutels die gebruikt worden in het beveiligen van mobiele telecommunicatie. Die sleutels zitten opgeslagen in de SIM kaarten die het bedrijf levert aan mobiele operators. 

De sleutel tot geheimen

Wanneer je deze sleutels in bezit hebt kun je een groot gedeelte van de mobiele communicatie afluisteren. De signalen vang je immers uit de lucht en zijn relatief eenvoudig te ontsleutelen als je de sleutel bezit. Van de encryptie van het aloude GSM (A5-1) was jaren geleden al aangetoond dat die te kraken is. De encryptie van 3G en 4G is veel beter en daarvoor heb je nog wel de sleutel nodig. Met gestolen encryptiesleutels krijg je toegang tot een groot gedeelte van het mobiele telefoon en mobiele dataverkeer wereldwijd.

Digitale spionage

De werkwijze van de inlichtingendienst leek overigens op die van de digitale bankrovers die eerder deze week naar schatting 1 miljard (!) dollar buitmaakten met digitale aanvallen op banken, aldus een rapportage van Kaspersky. Medewerkers van het bedrijf werden geïnfecteerd met malware en daar vandaan werd gewerkt aan digitale infiltratie van het bedrijf. Geavanceerde digitale spionage die security experts 'Advanced Persistent Threat' noemen.
 
Ik vrees dat we nog heel veel van dit soort voorbeelden gaan zien. Het punt is dat de digitale infrastructuur die we in een rap tempo hebben opgebouwd niet transparant is, waardoor we het overzicht tussen oorzaak en gevolg niet meer kunnen overzien (zie bijvoorbeeld ook de casus Diginotar).

Betrouwbare software

We denken dat we controle hebben over wat computers doen, maar de programmeur bepaalt hoe een computer of netwerk zich gedraagt. Wanneer je niet 100 procent zeker weet wie de software geschreven heeft is het onmogelijk zeker te weten of een systeem betrouwbaar is of doet wat je verwacht. Daarvoor geldt hetzelfde: de code die een systeem draait is meestal zó enorm complex geworden en van zóveel bronnen afkomstig dat het vrijwel onmogelijk is om zeker te weten dat de software veilig is.
 
Wat we nodig hebben is een manier om de betrouwbaarheid en veiligheid van software aan te tonen. Er bestaan wel methoden voor, bijvoorbeeld de 'Common Criteria', maar die zijn gebaseerd op uitgebreide analyse waarbij de mogelijkheid bestaat dat je iets over het hoofd ziet. Daarbij komt dat de software verandert (regel één van security: pas patches en updates toe), dus de software die je bekeken hebt is na de eerste patch al niet meer hetzelfde. Een bijkomend nadeel van 'Common Criteria' is dat, dat soort analyses erg kostbaar is en daarom alleen in het hoogste segment wordt toegepast.
 
Met de stapel rapporten die concluderen dat er meer samenwerking, 'information exchange', 'management commitment' en 'situational awareness' nodig is, heb ik inmiddels de gracht gedempt. Het is hoog tijd voor een échte oplossing. Tom Poes, verzin een list!
 
Ron van Paassen is projectleider bij Infradata. Hij houdt zich momenteel bezig met datacenter migraties en implementatie projecten van anti DDOS maatregelen. Ron heeft een bijzondere interesse voor IT security en was hiervoor werkzaam als security consultant bij TNO.
 
Geïnteresseerd in de diensten van Infradata omtrent Network Security vraag dan hier vrijblijvend een adviesgesprek aan of neem contact op met 071-750 1525 of mail naar info@infradata.nl.