Mellékleteink: HUP | Gamekapocs
Keres
Július 19-én SYSADMINDAY: egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket!

"Nincs nagy baj" - állítja a Gemalto

Voith Hunor, 2015. február 25. 11:48
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

A gyártó állítja, a külső hálózatoktól elzárt szervereiről ügyféladatok vagy titkosítási kulcsok nem kerültek ki, de a kevésbé biztonságos transzferfolyamatok tényleg kompromittálódhattak. A megszerzett kulcsokkal csak 2G hálózaton üzemelő mobilokat lehetett lehallgatni - ez a technológia viszont 2010-ben még nagyon elterjedt volt, különösen a fejlődő országokban.

hirdetés

"Alapos okunk van azt hinni, hogy az amerikai Nemzetbiztonsági Ügynökség (NSA) és a brit Kormányzati Kommunikációs Központ (Government Communications Headquarters, GCHQ) 2010-ben és 2011-ben tényleg megpróbálta megszerezni a SIM kártyák titkosítási kulcsait" - jelentette be az elsődleges biztonsági átvilágítás eredményeit a Gemalto. A vállalat ugyanakkor kiemelte, hogy eddigi információik szerint a támadók csak az irodai rendszereikbe tudtak bejutni, az ezektől elszigetelt, kritikus adatokat (tehát a "Ki-kulcsokat" is) tároló szerverekre nem. Álláspontjuk szerint ezért közvetlenül tőlük nem kerültek ki kulcsok - amikhez a művelet végrehajtására létrehozott Mobile Handset Exploitation Team (MHET) csoport hozzáfért, azt a Gemalto és a mobilszolgáltatók közötti, esetenként nem biztonságos transzferfolyamatok során tudta megtenni.

Nem mi vagyunk a hunyók

A Gemalto szerint 2010-ben érték a rendszereit olyan kifinomult, sikeres támadások illetve behatolási kísérletek, melyek fejlettségi szintje alátámaszthatja egy állami hírszerző ügynökségek által támogatott kiterjedt művelet létét. A cég vezetői ennek alapján tényként kezelik, hogy a néhány napja nyilvánosságra hozott titkos dokumentumok valódiak, ugyanakkor azok tartalmát az általuk kiadott közleménnyel sem megerősíteni, sem cáfolni nem akarják.

Júniusban egyik francia oldalukon keresztül próbáltak bejutni az irodai hálózatba. A Gemalto magyarázata szerint ez csak az alkalmazottak közötti belső kommunikációra, illetve az ügyfelekkel történő kapcsolattartásra szolgál, a kritikus szerverekkel nincs kapcsolatban. A vállalat ragaszkodik azonban ahhoz az álláspontjához, hogy az MHET-nek nem sikerült bejutnia a "kincses kamrába". Az irodai rendszerekre a vállalat szerint azért utazhattak a titkosszolgálatok, hogy fel tudják térképezni bizonyos kulcspozícióban dolgozó emberek rutinjait. Erre szolgált a Gemalto által azonosított második támadási kísérlet is, melynek során a cég bizonyos partnerei kamu gemaltós e-maileket kaptak malware-t tartalmazó csatolmánnyal.

A gyártó leszögezi, hogy a visszamenőleges vizsgálat során nem tártak fel olyan nyomot ami arra utalna, hogy a támadók az ügyféladatokat és a titkosítási kulcsokat tároló szerverekhez is hozzá fértek volna. A Gemalto egyéb rendszereiben sem találtak arra vonatkozó utalást, hogy az egyéb termékek - például bankkártyák vagy elektronikus személyazonosító okmányok - adatai kikerültek volna. "Ezek mindegyike a külső hálózatoktól elszigetelve működik" - állítja a vállalat. (Bár amint az a The Equation Group tevékenységének ismertetésekor kiderült, ezek az úgynevezett légmentesen lezárt szerverek sincsenek teljes biztonságban).

A transzferfolyamat volt a gyenge láncszem

A hírbe hozott kártyagyártó azt viszont nem tagadja, hogy a Gemalto és a mobilszolgáltatók közötti adatátadási folyamat nem minden esetben volt megfelelően védett, így ezeket a támadók akár kompromittálhatták is. A cég szerint az iratokban szereplő szolgáltatók között volt, amelyik a Gemalto által használt biztonságos transzferfolyamatot használta (például a pakisztániak) - az ilyen esetekben a kiszivárgott dokumentumok szerint nem is működött az hírszerző ügynökségek módszere. Ahol viszont nem alkalmazták a biztonságos csatornát, ott történhetett adatszivárgás.

A Gemalto azt is kiemelte, hogy az említett 12 afgán, indiai, iráni, izlandi, jemeni, pakisztáni, szerb, szomáliai és tádzsikisztáni szolgáltató közül néggyel (például az elvileg 300 ezer lemásolt kulccsal rendelkező szomáliai) sosem volt üzleti kapcsolatban, és akkoriban Olaszországban, Japánban és Kolumbiában sem működtettek a SIM kártyákat az ügyfelek egyedi igényeire szabó telephelyeket. Az is a SIM gyártók (és ezáltal a Gemalto) szerepének jelentőségét csökkenti, hogy a kulcslopási akciók mindössze 2 százaléka érintette közvetlenül ezeket a vállalatokat, a kulcsok túnyomó többségét az ügynökségek a könnyebb célpontoktól szerezték meg.

Csak a 2G hálózatokat lehet így lehallgatni

A holland gyártó egyik legfontosabb állítása, hogy a nyilvánosságra került módszerrel (tehát a Ki-kulcsok megszerzésével és a szolgáltatói adótornyoknak álcázott mobil bázisállomásokkal) csak a 2G hálózatokon kommunikáló eszközöket lehet lehallgatni. A 3G-től felfele ugyanis kliensoldalon megjelent az adott mobilhálózat hitelesítése is, így a telefonokat nem lehet átverni hamis adótornyokkal, és a kommunikációs csatornához való hozzáférés nélkül a Ki-kulcsokat nem lehet hasznosítani.

A hírszerzési művelet végrehajtói minden bizonnyal tisztában voltak ezzel - attól, hogy az információ csak most került napvilágra, 2010-ben a megcélzott mobilszolgáltatók többsége még 2G hálózatot üzemeltetett. Európában is csak akkoriban indult be igazán a hálózatfejlesztési tevékenység, az Egyesült Államok az iPhone sikerének köszönhetően némileg előrébb járt, de még ott sem volt teljes az átállás. A jóval kevésbé fejlett mobilkommunikációs infrastruktúrával rendelkező régiókban a 2G még szinte egyeduralkodónak számított.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
A IT-üzemeltetők világnapján egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket az Ankertbe.