De nieuwe waarschuwing zit verpakt in een nieuwe versie (1.2) van een gezamenlijke factsheet (PDF). De twee overheidsinstanties die gaan over security hebben die bijgewerkte factsheet eind vorige maand uitgebracht. Reden voor de update is de in juli verfijnde gsm-kraak die eind vorig jaar al is geopenbaard.

Vervolgstappen

Naar aanleiding van die kraak, die in december is onthuld door hacker Karsten Nohl, heeft de AIVD in april al een waarschuwing uitgevaardigd. Nieuw is nu dat Nohl zijn methode aanmerkelijk makkelijker heeft gemaakt. Die vereenvoudiging heeft hij deze zomer onthuld op security-conferentie Black Hat (PDF).

De AIVD en Govcert waarschuwen nu dat wijdverbreid misbruik van Nohls gsm-kraak dichterbij is gekomen. Het afluisteren van gsm's op grote schaal praktisch is namelijk praktisch uitvoerbaar geworden. Nohl geeft op zijn blog meer uitleg.

Dergelijk misbruik is in Nederland verboden, stellen ze nog in de factsheet. Daar melden de overheidsorganisaties: " In juli 2010 heeft Nohl laten zien dat hij in staat is een versleutelde telefoonconversatie in verschillende losse stappen te ontsleutelen en af te spelen. Het opvangen van de versleutelde telefoonconversatie was geen onderdeel van deze demonstratie."

Meer gekraakt

Dat afluisteren is al wel mogelijk. Dat heeft een andere hacker afgelopen zomer onthuld, op een andere conferentie. Security-onderzoeker Chris Paget heeft op Defcon zijn eigen kraak van het gsm-systeem onthuld en ook meteen een demonstratie gegeven.

Pagets methode om mobiele telefoongesprekken af te luisteren, is niet alleen werkbaar maar ook goedkoop; er is apparatuur van slechts een paar duizend dollar nodig. Het afluisteren gebeurt met een relatief eenvoudige antenne die zich voordoet als legitieme gsm-zendmast en die de verbonden telefoons hun encryptie laat uitschakelen.

Niet afwimpelen

In december vorig jaar reageerde de branchevereniging GSMA (GSM Association) nog dat het gsm-netwerk helemaal niet zo makkelijk te kraken is. Nohl overdrijft, vertelde woordvoerster Claire Cranton aan de New York Times. De kraak is volgens haar theoretisch wel mogelijk, maar in de praktijk onwaarschijnlijk.

De AIVD en Govcert denken daar dus heel anders over. De Nederlandse inlichtingendienst heeft deze zaak eind vorig jaar al serieus genomen. Het heeft toen al alle ministeries al ingelicht over de gsm-kraak.

Daarbij is het advies gegeven aan overheidsinstanties om alternatieven te zoeken voor mobiel bellen. Zo'n alternatief kan de Tiger-telefoon zijn die al door sommige overheidsinstanties wordt gebruikt. Ook de EU heeft onlangs gekozen voor de Nederlands-ZweedseTiger-telefoon.

Andere organisaties - en ook individuen zoals demissionair minister van Buitenlandse Zaken Maxime Verhagen - gebruiken echter gewone telefoons of smartphones.