'Partijen als netwerkoperators, leveranciers van mobiele apparaten en banken moeten zelf het initiatief nemen om het gsm-verkeer extra te beveiligen. Het duurt geen jaren meer voordat de eerste gerichte aanval op een sms-authenticatiedienst plaats kan vinden.' Dat zegt Ton Slewe, adviseur bij Govcert. Het computerincident-responsteam van de Nederlandse overheid adviseert om vertrouwelijke telefoongesprekken niet meer over gsm te laten verlopen. Ook roept het aanbieders van sms-authenticatiediensten op te onderzoeken of aanvullende maatregelen nodig zijn om gerichte aanvallen te voorkomen.
Publiek misbruik van het gsm-protocol is volgens Govcert dichterbij gekomen, nu onderzoeker Karsten Nohl in december aantoonde dat berichten en telefoongesprekken kunnen worden ontsleuteld. Dat betekent in principe ook dat kwaadwillenden de codes die banken via sms aan hun klanten sturen om er online transacties mee te kunnen bevestigen, in de toekomst kunnen afluisteren.
Bericht onderscheppen
Hoewel het volgens Slewe geen jaren meer duurt voordat de eerste gerichte aanval op een sms-authenticatiedienst kan plaatsvinden, is zo'n aanval niet voor iedereen weggelegd. 'De afluisterapparatuur die Nohl beschrijft, vangt al het gsm-verkeer af vanaf een zendmast in de buurt. Dan komt er dus zo'n 80 MB per seconde versleuteld naar je toe. Daar moet je dan wel het bericht in zien terug te vinden.'
'Nohl heeft de hackersgemeenschap in december opgeroepen om hardware te ontwikkelen die dat mogelijk kan maken. Maar het zal nog minstens enkele maanden duren voordat die er ook is', vervolgt Slewe. Hij verwacht niet dat iedereen bereid is de investering van vijftienhonderd euro te doen voor de aanschaf van de afluisterapparatuur.
In buurt van mast
Bovendien moet een aanvaller niet alleen het mobiele telefoonnummer, maar ook de gebruikersnaam en het wachtwoord van een online bankierende klant achterhalen. Wanneer hij daarmee inlogt, een bedrag overmaakt en de transactie bevestigt door een via sms verzonden code af te luisteren, moet hij er bovendien voor zorgen dat hij in de buurt van zijn slachtoffer is.
'Sms-berichten worden alleen verstuurd in de nabijheid vanaf de gsm-mast waarmee de mobiele telefoon van het slachtoffer is verbonden. Bovendien moet de mobiele telefoon van het slachtoffer aan staan'.
Ligt het niet veel meer voor de hand dat de Nederlandse Bank een dwingende richtlijn afgeeft waarin het gebruik van SMS / TAN codes domweg verbiedt voor banktransacties? Zover ik weet was/is de Postbank/ING de enige bank die dit systeem toepast.