Beveiligingsleverancier Gemalto bevestigt dat Amerikaanse en Engelse geheime diensten hebben geprobeerd om toegang te krijgen tot de bedrijfssystemen van de beveiligingsleverancier. De diensten probeerden om de encryptie-sleutels van simkaaren te onderscheppen. Volgens Gemalto zijn de NSA en GCHQ daar niet op grote schaal in geslaagd.
Gemalto publiceert vandaag de uitkomsten van intern onderzoek naar de hack. Het bevestigt dat de diensten geprobeerd hebben om de bedrijfssystemen van Gemalto binnen te dringen. Die actie zou gericht zijn op het onderscheppen van encryptiesleutels die in 2010 tussen mobiele operators en telecomaanbieders zijn uitgewisseld.
‘We beschikten ook in die periode al over een goed beveiligd transfersysteem voor de uitwisseling van die gegevens. Slechts in uitzonderlijke gevallen kan sprake zijn van diefstal van gegevens’, schrijft Gemalto.
Het bedrijf stelt dat in het eventuele geval van diefstal van beveiligingssleutels de geheime diensten alleen 2G-netwerken konden bespioneren. Volgens de beveiligingsleverancier zijn 3G- en 4G-netwerken niet kwetsbaar voor het type aanval dat door de beveiligingsdiensten is gepleegd.
Snowden
Gemalto schrijft verder: ‘De beste tegenmaatregel voor een dergelijke aanval is het systematisch encrypten van data zowel als die gegevens verstuurd worden (in transit) als opgeslagen (stored/ data at rest).’ Daarbij benadrukt het bedrijf dat het gebruik van de laatste generatie simkaarten en maatwerk-algoritmes voor iedere operator gewenst zijn.
Gemalto startte het onderzoek nadat privacy-klokkenluider Edward Snowden vorige week documenten onthulde waaruit blijkt dat de Amerikaanse veiligheidsdienst NSA en de Britse dienst GCHO via een hack bij Gemalto probeerden om de encryptie van sim-kaarten te kraken en zo netwerkverkeer te bespioneren en mogelijk gesprekken af te luisteren.
Geen rechtszaak
Op de perconferentie in Parijs waar Gemalto-directeur Olivier Piou de onderzoeksresultaten bekend maakte meldde hij dat de simkaartfabrikant geen mogelijkheden ziet om een juridische procedure te starten tegen de Amerikaanse en Britse inlichtingendiensten. Volgens Piou is het te moeilijk om bewijslast van een mogelijke inbraakpoging door NSA en GCHQ rond te krijgen. Daarnaast zou een dergelijke zaak te lang duren en te ingewikkeld zijn.
Hmm… Er was laatst een ander bedrijf dat initieel aangaf dat de hack niet zoveel schade had opgelevert… hoe heette dat ook al weer ?
Wellicht toch ook een onafhankelijk, extern onderzoekje (FoxIT) ?
@Erwin: Sony perhaps?
En inderdaad lees ik dit “downplayen” met meer bezorgdheid dan voorheen.
En FoxIT is wel volledig onafhankelijk?
Ik bedoelde DigiNotar. Die vonden hun hack zelfs niet eens belangrijk genoeg om te melden…
Of FoxIT onafhankelijk is is niet de vraag. Zij hebben wel bewezen dermate diep te kunnen graven om te bepalen of wat Gemalto claimt ook daadwerkelijk zo is.
Wie garandeert dat de Gemalto uitspraak niet door de NSA gevoed is ? of door de NIVD ? uit angst voor het massaal willen vervangen van SIM kaarten ?
Ik begrijp hieruit dat het niet ernstig is als ik de auto van mijn buurvrouw jat, maar het is wel ernstig als ik de auto van de directeur jat.
Waar gaat dit in hemelsnaam over.
Gaan we criminele activiteiten van overheden goedpraten omdat ze niet succesvol waren ?
We gaan geen onderzoek doen, want dat duurt te lang en is te moeilijk maar we weten zeker dat er niets spannends is gebeurd.
IJzersterke argumentatie waar niets tegenin te brengen valt.
Ook zonder sim-hack kan de NSA de communicatie onderscheppen en decrypten, zie bijv. radio1.nl/item/273182-%27Sim-kaart
Sterke E2E encryptie (bijvoorbeeld PGP) is voor de NSA niet te kraken.