Novinári z britskej BBC súhlasili s malým experimentom. Nechali sa odpočúvať.
Ukázali to dvaja výskumní pracovníci Karten Nohl a Sylvain Munaut. Tým sa podarilo nájsť jednoduchý a lacný spôsob, ako hovory odpočúvať. Sami hovoria, že potom, čo si na svete najpoužívanejšie technológii GSM preklepli, zistili, že z hľadiska dnešných bezpečnostných štandardov je vo všetkých aspektoch bezpečnosti a ochrany súkromia dosť zaostalá.
GSM (Global System for Mobile Communications / Globálny Systém pre Mobilnú komunikáciu) je pritom štandardne využívanou technológiou na všetkých kontinentoch. Používajú ju miliardy ľudí. Nohl s Munautem sieť vyvinutou v 80. rokoch nástrojmi z 21. storočia však označujú za ľahko zraniteľnú. (Technické prevedenie GSM bolo hotovo v roku 1987, roku 1990 potom technická špecifikácia.)
Postup Nohla a Munauta bol pritom celkom jednoduchý – použili tak ako mnohí iní hackeri a cracker v rôznych oblastiach techniku ??reverzného inžinierstva. Skrátka otočili matematický algoritmus, ktorý sa stará o šifrovanie v systéme. Vďaka tomu potom už bolo ľahké vybrané hovory sledovať a odpočúvať.
Hovorí sa, že v jednoduchosti je sila – obom expertom na odpočúvanie stačil notebook a upravený mobilný telefón. Pre svoje účely použili určitý typ mobilu značky Motorola, v ktorého operačnom systéme boli vykonané potrebné zmeny a získané informácie potom využili k napísaniu vlastného softvéru, ktorý je schopný získať skryté technické informácie zo základňových mobilných staníc. Taktiež je možné využiť aj spec. príjimač USRP od f. Market.sk, bohužial zatial bez soft. podpory.
Potom novinárom z BBC predviedli, ako možno nájsť vybrané mobilné zariadenia, ako sledovať jeho pohyb na viac ako pol kilometra a ako z neho vydolovať informácie vrátane hovorov.
BBC uviedla, že Nohl ani Munaut nemajú v pláne svoju techniku ??detailne popísať na webe ani uvoľniť potrebné nástroje pre sledovanie. Obaja však varujú, že je len otázkou času, až to namiesto nich urobí niekto iný. Situácia vraj nie je nepodobná tomu, keď išlo hovory cez analógové telefóny ľahko odpočúvať len pomocou obyčajných rádiových scannerov (prijímačov).
Oslovenie odborníci na telekomunikačné bezpečnosť slabiny GSM a techniku ??Nohla a Munauta označujú za reálny a vážny problém. “Nebude trvať dlho, než si tú prácu s tým dá niekto iný,” povedal Oliver Crofton, riaditeľ spoločnosti Vigilante Beskope.
Crofton BBC tiež prezradil, že keď jeho firma preskúmala rôzne mobilné zariadenia, sa zistilo, že asi štvrtina z nich obsahuje modifikovaný softvér alebo hardvér tak, že telefón o sebe môže ľahko posielať informácie, ako je poloha, textové správy alebo kontakty. “Nehovoríme tu o hrách pubertiakov, ale o organizovanom zločine, záludných novinároch a vydierači,” dodal.
Na slabinu, ktorú odhalili Karten Nohl a Sylvain Munaut, reagovala aj asociácia GSMA (GSM Association). Tá uviedla, že chyba sa týka staršie implementácie GSM. To však neznamená, že by nebola používaná celosvetovo. Stále je (ostatne ako Nohl s Munautem dokázali).
Chybou je tiež to, že keď bolo GSM vo svete koncom 80. rokov nasadzované, nikto si nemyslel, že tá istá technológia bude používaná aj za viac ako 20 rokov. Toto BBC povedal aj Charles Bookson, šéf bezpečnostné skupiny z Asociácie GSM. “Vedeli sme, že ako bude technológia starnúť, bude sa objavovať čoraz viac dier.” Ohľadne použitého zabezpečenia, v tomto prípade už slabého šifrovania, povedal, že v tej dobe použité algoritmy boli silné a nič nebránilo ich nasadenie. Že niektoré algoritmy a ich implementácia časom “starnú”, a preto už bezpečné nie sú, vedia aj užívatelia bezdrôtových sietí, ktorým nie je doporučované pre zabezpečenie WiFi siete používať starý typ WEP (Wired Equivalent Privacy), ale najlepšie WPA2. Asociácia GSM všetkým svojim 750 členom z radov mobilných operátorov v minulosti radila, aby v záujme väčšieho zabezpečenia svojej siete inovovali. Ako je zrejmé, niektorí operátori ale zastaranosť sietí podcenili.
Brookson si ale nemyslí, že by spôsob útoku, ktorý predviedli Karten Nohl a Sylvain Munaut, nejako udomácnil. “Áno, tento typ útokov sa dá urobiť, ale nie sú práve tým, čo by robil normálny človek.” Tento argument však nerieši ten základný problém, a to že odpočúvanie sú relatívne jednoduché a dostupné pre tých, kto je sú schopní vykonať. Nie totiž každý človek o odpočúvanie ľudí stojí. Kto áno, má ale šancu.
Brooksonova slová potvrdil analytik Nigel Stanley, ktorý sa sám testovaním bezpečnosti mobilných prístrojov zaoberá. Ani on si nemyslí, že by sa tento typ útokov nejako zásadne rozšíril – domnieva sa, že v rámci laboratórneho testovania je síce možné diery v GSM študovať a zneužiť vcelku dobre, pretože má človek prístup ku všetkým pomôckam, ale v teréne už to také ľahké nie je. “Ak si ľudia pôjdu von, prejdú sa ulicou a budú sa snažiť odpočúvať niečí rozhovory v reálnom čase, bude to trochu ťažšie.”
Ak ľudia chcú zvýšiť bezpečnosť svojich hovorov, majú možnosť dnes používať moderné telefóny so softvérom, ktorý ich komunikáciu šifruje ďaleko lepšie, a taky majú použiť mobilnú sieť tretej generácie.
Čo sa softvéru pre šifrovanie hovorov a SMS týka, pripomeňme vlaňajšiu kauzu, kedy česká softvérová spoločnosť CircleTech vyšla na verejnosť s tým, že na ňu Bezpečnostná informačná služba (BIS) vyvíjala nátlak, aby do svojho softvéru pre šifrovanie komunikácie zabudovala zadné vrátka – teda aby sa komunikácia dala odpočúvať. S informáciou prišiel vlani v septembri denník Mf Dnes.
Firma hovorila o vydieranie – BIS chcela zisťovať obsah šifrovaných krátkych textových správ i hovorov a za odmenu spoločnosti CircleTech ponúkala peniaze. Spolumajiteľ firmy Jiří Šatánek si zo schôdzok s dôstojníkmi ale zaobstaral skrytý zvukový záznam. “Máte možnosť si zabezpečiť príjem, ktorý nemusíte zdaniť. Dajme tomu, “povedal v nahrávke, ktorú firma zverejnila, jeden z dôstojníkov BIS.
Keď to nešlo po dobrom, BIS to skúsila aj akosi po zlom, keď jej dôstojník pánovi Šatánkovi povedal, že “my s ľuďmi a firmami normálne komunikujeme. Operatívny činnosť sa robí inak. Tam potom nastupujú iní ľudia, ktorí nemajú chuť sa s niekým baviť. “
