Der er for alvor kommet gang i debatten om sikkerheden i GSM, efter at den tyske krypteringsekspert Karsten Nohl i sidste uge meddelte, at han har brudt den kode, der anvendes til kryptering af GSM-samtaler.
Selvom teleindustriens interesseorganisation GSM Association forsøger at nedtone problemet og kalder det "teoretisk muligt, men praktisk usandsynligt," så bakker flere internationalt anerkendte sikkerhedseksperter op om Karsten Nohls budskab om, at der er et problem med sikkerheden i GSM.
Det gælder også danske Carsten Jørgensen, sikkerhedskonsulent hos Devoteam Consultning, der rådgiver større virksomheder om it.
"GSM-kommunikation er på ingen måder sikkert. Som almindelig bruger af en mobiltelefon har man en følelse af, at det egentlig er mere sikkert end internettet, men det er det på ingen måder. Sikkerheden har ikke været opdateret i tyve år," siger han.
"Jo mere vi bruger telefonerne, jo større bliver risikoen, og jo flere angreb vil der også komme. Så når man begynder at bruge dem til bank (telefonerne, red.) og kan købe flere ting over telefonen, bliver det selvfølgelig også mere interessant for de kriminelle," forklarer Carsten Jørgensen.
Algoritme-sårbarhed
Kryptering af GSM-samtaler sker i dag ved hjælp af en 64-bit algoritme kaldet A5/1, mens 3G-netværk anvender A5/3, en nyere 128-bit version.
Tyske Karsten Nohl er i stand til at bryde GSM-krypteringen ved hjælp af det, der kaldes et 'rainbow table', hvormed man kan regne sig frem til krypteringskoden.
Carsten Jørgensen peger på, at det i sikkerhedskredse langt fra er nyt, at GSM-krypteringen kan brydes.
"Jeg tror, at det var i 1994, at de første sårbarheder kom frem, så man har haft 15 år til at kigge på det indtil videre. Man har muligvis været lidt i samme situation som Apple; der har ikke været nogen angreb, og så har man ikke taget det så alvorligt, som det egentlig er. Men nu ændrer det sig."
"Det er en helt anden situation, så man er nødt til at kigge på den her krypterings-algoritme," mener Carsten Jørgensen.
Han forklarer, at en mulighed er at opdatere til den krypterings-algoritme, der anvendes på 3G-telefoner, men at det ser ud til, at der også kan være sikkerhedsproblemer med den.
"Hvis man bruger 3G i dag, er man ikke sårbar over for de her angreb, men det er et spørgsmål om tid, inden det også bliver brugt. Så de er nok nødt til at finde på en ny algoritme."
Sådan skal du forholde dig
Der er i dag flere end tre milliarder mennesker, der kommunikerer via GSM-teknologien (Global System for Mobile communications), og 80 procent af alle samtaler i flere end 200 lande foregår via GSM.
Men selvom der altså er tale om en netværksteknologi, der anvendes vidt og bredt, er det vigtigt, at man tænker sig om, når man kommunikerer via en mobiltelefon på et GSM-netværk, mener Carsten Jørgensen. Det gælder ikke mindst virksomhederne.
"Når man taler om almindelige forretningshemmeligheder, samtaler om hvordan det går med regnskabet og den slags, er der nogen, der kan have en interesse i at høre det."
Hvordan skal man forholde sig til det som virksomhed?
"Det første er, at man er opmærksom på det. Når man taler i telefonen, skal man se det som en ukrypteret e-mail eller som et postkort, man sender med posten. Hvis virksomheden mener, at man ikke skal sende det i en ukrypteret e-mail, så skal man nok heller ikke sige det i en telefon," lyder rådet fra Carsten Jørgensen.
Han oplever generelt ikke, at GSM-sikkerhed er noget, man bruger meget tid på ude i virksomhederne.
"Blandt virksomheder er det det samme som blandt normale brugere; der er meget få, der egentlig ved, hvor lav sikkerheden er. Det er få virksomheder, hvor man informerer om det og har fokus på, at der kan være et problem."
"Man skal tage sikkerheden seriøst og blive opmærksom på, at situationen har ændret sig i forhold til for bare nogle år siden. Både hvordan folk bruger telefonerne, og hvordan angrebene sker," siger Carsten Jørgensen fra Devoteam Consulting.
Telebranche afviser problem
Brancheorganisationen GSM Association (Global System for Mobile communications) skrev i sidste uge på sin hjemmeside, at Karsten Nohls bevis på, at GSM-samtaler kan aflyttes, ikke ændrer ved, at GSM-kommunikationen generelt er sikker.
"Over de seneste år er der blevet publiceret en række akademiske rapporter, der forklarer, hvordan A5/1-algoritmen i teorien kan blive brudt. Ikke desto mindre har ingen af dem indtil videre ført til udviklingen af et egentligt angreb imod A5/1, der kan bruges på virkelige, kommercielle GSM-netværk," skrev GSM Association blandt andet.
Det fik dog blandt andre den internationalt anerkendte sikkerhedsekspert Bruce Schneier til at blande sig.
"Virksomheder benægter altid, at det er praktisk (muligt)," udtalte han.
"Sandheden om kryptografi er, at angrebene altid bliver bedre, aldrig dårligere."