De hack van het Nederlandse bedrijf Gemalto heeft de wereld laten schrikken. Ik was er zelf ook wel verrast door. Ik dacht dat de onthullingen uit de Snowden-documenten wel een neergaande lijn vertoonden. Maar ik ben vooral verbaasd over de lauwe reacties.
Over deze blogger
Ronald Prins is directeur en medeoprichter van Fox-IT. Hij studeerde Technische Wiskunde aan de TU Delft en heeft zich daarna gespecialiseerd als cryptograaf. Bij het Nederlands Forensisch Instituut was hij werkzaam als wetenschappelijk onderzoeker. In het kader hiervan heeft hij vele beveiligingen doorbroken waar de politie tegenaan liep bij het uitvoeren van hun onderzoeken. Daarnaast is hij medeverantwoordelijk voor de inzet van nieuwste methoden om digitale informatie voor rechercheonderzoeken te verkrijgen. In 1999 heeft hij samen met Menno van der Marel Fox-IT opgericht.
Gemalto is volgens onthullingen van NSA-klokkenluider Edward Snowden gehackt door de Amerikaanse en Britse inlichtingendiensten: NSA en GCHQ. Het in Nederland gevestigde bedrijf produceert miljarden sim-kaarten voor meer dan 450 telecomproviders wereldwijd. Bij de hack zouden de encryptiesleutels voor die kaarten zijn geoogst en opgeslagen voor later gebruik bij inlichtingenoperaties.
Heel grote broek
Ik vind het gek dat de Nederlandse overheid niets doet. Via de rechtbank moet hier civielrechtelijk wel wat mee te doen zijn. Maar dat doet niemand. Daar zit ik wel mee. Stel dat dit was gedaan door China of Noord-Korea, dan is de wereld te klein. Amerika trekt een wel heel grote broek aan. Als mijn bedrijf dit was overkomen, zou ik serieus een civielrechtelijke claim overwegen.
Gemalto heeft na de onthulling al gelijk verklaard: ‘Wij worden regelmatig aangevallen, en dat zien we ook’. Het gaat dan om diverse aanvallers, vanuit en door verschillende landen. Dat ervaren wij bij Fox-IT ook. Maar het gaat niet om de aanvallen die je ziet en afslaat. Het gaat om diegene die je níet ziet. Hoe je reageert, is ook belangrijk, erg belangrijk. Vervolgens heeft Gemalto in een persbericht verklaard dat de beveiliging van zijn sim-kaarten niet gekraakt is.
Klaar hebben staan
Natuurlijk is dat zo! Als de NSA de encryptiesleutels in handen heeft gekregen, is daarmee de beveiliging formeel gezien niet gekraakt. Als je een sleutel hebt, kun je de deur immers opendoen in plaats van openbreken. Maar encryptie kraken kan ook, hoor. Alleen dat duurt wat lang: zeg een weekje met de middelen die de NSA tot zijn beschikking heeft.
Er wordt nu veel gepraat over de privacy van Nederlanders, maar daar is het de NSA volgens mij niet om te doen. Het gaat erom dat ze ergens een jeep of truck met antennemast kunnen plaatsen om belverkeer in de omgeving te pakken. Het handige aan het hebben van een complete database met vooraf vergaarde sleutels voor sim-kaarten is, dat je als NSA realtime kunt tappen. Dus zonder eerst te hoeven achterhalen wie je wilt afluisteren. De operatie kan dan ‘andersom’ gaan: gelijk in een bepaald gebied het mobiele gespreksverkeer van personen daar opvangen om dan zo hun identiteiten te kunnen achterhalen.
Kijk naar de keten
Zelf heb ik naar aanleiding van de Gemalto-hack niet mijn sim-kaart verwisseld. Als ik beveiligd wil communiceren dan zorg ik voor end-to-end encryption. Vergeet niet: Gemalto is weliswaar een grote leverancier op het gebied van sim-kaarten, maar het is één van de spelers. Verder hebben de telecomproviders natuurlijk elk ook de sleutels voor sim-kaarten die in gebruik zijn op hun netwerken.