Telecomoperator Vodafone heeft een derde sluipweg om de voicemail van abonnees af te luisteren de pas afgesneden. Vorige week moest het bedrijf al vol aan de bak nadat bleek dat voicemailboxen wagenwijd openstonden door gebruik van standaard pincode 3333 of via CallerID spoofing.

Bruteforce aanval

Er is ook nog een derde methode: bruteforce, door achter elkaar verschillende codes uit te proberen totdat de juiste code wordt achterhaald. Zo achterhaalde Revu in december 2008 ook het wachtwoord van de privéwebmail van staatssecretaris Jack de Vries.

Het achterhalen van de voicemailpin via bruteforce is relatief bewerkelijk omdat de verbinding na 3 foute codes wordt verbroken. Maar een nieuw belletje gaf wel weer steeds drie nieuwe pogingen. Met een pincode van 4 cijfers zijn er maximaal 10.000 combinaties mogelijk.

Behoorlijk omslachtig, maar wel te doen. En voor een belangrijk persoon als een topmanager of minister absoluut de moeite waard. Dat stelt een expert op het gebied van telecom, security en privacy tegenover Webwereld. Hij wil anoniem blijven.

Low tech

“Stel je bent een Chinees die geïnteresseerd is in wat Uri Rosenthal of een andere minister aan berichten binnenkrijgt, terwijl er een duikboot aan Taiwan verkocht gaat worden. Je schakelt even (heel goedkoop) 10 landgenoten in en die laat je elk maximaal 1000 keer bellen. Heel low tech, gewoon vanuit China (al dan niet met spoofing) en binnen hooguit 8 uur heb je de pin. Zonder veel kans op ontdekking.”

Volgens Ronald Prins, directeur van securitybedrijf Fox-IT, is deze methode inderdaad goed te doen. “Gemiddeld heb je 5000 pogingen nodig. Dus binnen een paar uur bellen kom je er wel achter. En grote kans dat mensen een voorspelbare code hebben, dus die moet je eerst proberen.” Dat bleek ook vorige week, toen EenVandaag na paar keer proberen de voicemailcode van Rosenthal te pakken had.

Toch denkt Prins dat professionele cyberspionnen deze methode mijden, omdat het toch erg kan opvallen. “Dit is meer iets voor de media of een hackertje. Geheime diensten zullen eerder proberen het netwerk van de telco zelf te penetreren. Dan heb je ook meer keuze wie je af wilt luisteren.”

Pinblokkade

Bruteforcen van Vodafone voicemails kon tot enkele dagen geleden dus wel, maar nu niet meer, benadrukt de operator. Na 6 foute codes is de voicemailbox een paar uur lang niet meer bereikbaar vanaf een ander netwerk. De eigenaar kan dan trouwens nog wel met zijn eigen telefoon voicemail afluisteren via 1233.

Ook heeft het concern een maximum gesteld aan het aantal foute pincodes dat door een klant kan worden ingevoerd. Hoeveel precies wil het bedrijf niet kwijt. De kans dat de juiste code wordt geraden is hiermee gedecimeerd.

T-Mobile laat desgevraagd weten dat het vaak invoeren van foute voicemailpincodes "bij ons in het systeem wordt gezien." Daarnaast kunnen T-Mobile klanten ook een langere code aanmaken, tot 6 cijfers. "En met 6 cijfers heb je dus al een miljoen combinaties." KPN kon nog niet zeggen of ze maatregelen hebben genomen tegen de bruteforce methode.

Onderzoek naar staatsveiligheid

Minister Donner heeft eind vorige week in een reactie (pdf) een onderzoek aangekondigd naar mogelijk misbruik van de gaten in het voicemailsysteem van Vodafone en in hoeverre hierdoor “de staatsveiligheid in het geding is geweest.” Er komt ook nog een spoeddebat in de Tweede Kamer over de kwestie.