Govcert na gsm-kraak: Koop alleen umts-toestellen

Het staatsorgaan dat let op de ict-veiligheid in Nederland komt met dat advies nadat deze week duidelijk werd dat het gsm-verkeer relatief makkelijk is te kraken. Inmiddels is al software op het internet in omloop dat het afluisteren van gsm-verkeer en het kraken van telefoons mogelijk maakt.

Govcert komt met technische analyse

De ontsleuteling van de encryptie op gsm-telefoons werd gisteren en vandaag pregnant duidelijk gemaakt door onderzoekers die de techniek op het hackersfestival CCC demonstreerden. Govcert heeft er nu met een factsheet op gereageerd.

Daarin staan alle kwetsbaarheden opgenoemd en worden adviezen gegeven aan consumenten, ambtenaren en bewindvoerders. Die laatsten moeten bij het bespreken van staatsgeheimen aparte cryptotelefonietoepassingen gebruiken. "Door beperkte dekking is het echter niet altijd mogelijk van umts gebruik te maken", waarschuwt Govcert wel.

Gsm nIet meer kopen

Telefoons die niet beschikken over umts-only, dat gebruikt maakt van een betere encryptie, moeten niet meer gekocht worden, vindt Govcert. Als er namelijk geen umts-only mogelijkheid op zit, kan de telefoon gedurende het gesprek overgaan op gsm indien het bereik van umts minder wordt.

Via de gsm-kraak kan niet alleen de gesprekken worden afgeluisterd, ook is er spoofing mogelijk. Daardoor kan een aanvaller doen alsof hij de eigenaar van de telefoon van een argeloze burger is en zo belfraude plegen. Ook is het mogelijk de identiteit van iemand te stelen.

Vertrouwen klant ernstig geschaad

Govcert doet de aanbieders van sms-authenticatiediensten de aanbeveling maatregelen te nemen om te voorkomen dat de dienst wordt afgeluisterd of gespoofd. "Ontwikkel geen nieuwe diensten die afhankelijk zijn van versleuteling tussen BTS en mobiele telefoon", zegt Govcert, die er aan toevoegt dat die aanbieders "voorbereid moeten zijn op vragen van klanten." Govcert is bevreesd voor het vertrouwen van klanten, die ernstig kan worden geschaad.