Aanbieders van sms-authenticatiediensten, bijvoorbeeld voor online bankieren, moeten op korte termijn aanvullende maatregelen nemen om te voorkomen dat kwaadwillenden gerichte aanvallen kunnen uitvoeren op gebruikers van die diensten. Dat zegt het computerincident-responsteam van de Nederlandse overheid Govcert. Volgens de instantie is het uitvoeren van gerichte aanvallen gemakkelijker geworden nu onderzoekers Karsten Nohl en Sacha Kriβler in december een methode presenteerden voor het afluisteren van gsm-verkeer.
Dat maakt Govcert bekend in een factsheet met de titel Afluisteren van gsm-communicatie dichterbij. De organisatie adviseert om geen nieuwe sms-authenticatietoepassingen te ontwikkelen die afhankelijk zijn van versleuteling tussen een gsm-basisstation en de mobiele telefoon van een gebruiker.
De factsheet verschijnt naar aanleiding van de aankondiging van beveiligingsonderzoeker Karsten Nohl dat inmiddels alle kennis aanwezig is om gsm-gesprekken af te luisteren. Die aankondiging deed hij op de op de beveiligingsconferentie CCC, die de laatste week van december werd gehouden in Berlijn.
Misbruik dichtbij gekomenOnderzoekers Karsten Nohl en Sacha Kriβler presenteerden in oktober 2009 een methode voor het afluisteren van gsm-verkeer. De twee riepen de hackersgemeenschap toen op om gezamenlijk rekenwerk te doen, waarmee dat raden naar sleutels sneller verloopt. Die arbeid is inmiddels voltooid. Kwaadwillenden kunnen de resulterende 'rainbowtabellen' misbruiken om gsm-gesprekken en sms-berichten af te luisteren.
Na voor enkele duizenden euro's een gsm-basisstation te hebben aangeschaft, kunnen ze zich voordoen als een nieuw gsm-netwerk. Publiek misbruik is volgens Govcert dan ook 'dichtbij gekomen'.
Bron: security / Nieuws11-01-2010 10:54 | Door Jolein de Rooij (Computable)
No comments:
Post a Comment