Artikel top billede

Sikkerhedsråd: Så høj er risikoen for GSM-aflytning

Dansk IT's Råd for It- og Persondatasikkerhed vurderer generelt ikke GSM-aflytning som nogen alvorlig trussel. Få forklaringen her.

Det kan være svært at få klarhed over, hvor sikkert det er at tale om fortrolige emner i en mobiltelefon på GSM-nettet.

Da den tyske krypteringsekspert Karsten Nohl i sidste uge meddelte, at han havde brudt den kode, der bruges til kryptering af GSM-samtaler, var reaktionen fra teleindustrien, at GSM-aflytning måske nok er "teoretisk muligt, men praktisk usandsynligt."

Tyskeren har dog fået opbakning af den internationalt anerkendte sikkerhedsguru Bruce Schneier og David Wagner, sikkerheds-professor ved Berkeley.

Også den danske sikkerhedskonsulent Carsten Jørgensen fra Devoteam Consulting sagde tidligere på ugen til Computerworld, at "GSM-kommunikation på ingen måder er sikkert."

Ifølge et "Notat om risiko for aflytning af mobiltelefoni" fra Dansk IT's Råd for It- og Persondatasikkerhed er problemet dog ikke så alvorligt, når det kommer til stykket.

"Det er Rådets indtryk, at der mangler fakta i offentligheden om, hvor stort problemet i virkeligheden er - tillige med vejledning og betryggelse til borgerne om, at deres samtaler ikke aflyttes vilkårligt," lyder det blandt andet i notatet.

Flere begrænsninger

Dansk IT's sikkerhedsråd forklarer, at aflytning af GSM-trafik teknisk set uden videre kan foretages af mobiloperatørerne, fordi de har kontrollen med eget netværk, og da samtalerne ikke er krypteret, så længe den transmitteres i kabler.

Derimod er det noget mere kompliceret af aflytte en mobiltelefon for andre, der måtte forsøge at hacke sig ind på det luftbårne signal, hvor samtalerne er krypterede.

Selvom tyske Karsten Nohl har bevist, at krypertings-algoritmen A5/1 kan brydes, så er der flere stopklodser mod en aflytning af mobiltelefoner, forklarer Dansk IT.

"Der er flere forhold, der vanskeliggør aflytning af GSM-trafik. For det første forudsætter det, at
der er tilgængeligt udstyr, der kan aflytte de frekvenser, som GSM-trafikken benytter, og at dette
udstyr kan følge de frekvensskift, der foretages under hver samtale," skriver Råd for It- og Persondatasikkerhed.

"Hertil kommer at hver samtale vilkårligt kan skifte til en anden mobilmast (og dermed også frekvens og
krypteringsnøgle) afhængigt af modtageforholdene ved håndsættet. Dette vil i praksis gøre aflytning af håndsæt, der flytter sig, meget vanskelig," lyder det videre.

Samtidig forklares det i notatet, at identiteten af mobiltelefonen i form af det såkaldte IMSI-nummer er skjult, fordi der ved hver samtale benyttes en midlertidig identitet i form af et pseudonym, TMSI, til
identifikation af håndsættet.

"Det betyder, at det ikke umiddelbart er muligt ud fra en almindelig aflytning uden afkodning at afgøre hvilken håndsæt, der aflyttes. Dermed bliver det i praksis også vanskeligt at målrette aflytning mod enkeltpersoner."

Sådan bør du forholde dig til GSM-sikkerhed

Endelig er der selve krypteringen af samtalen, som altså nu ser ud til at være blevet brudt.

Selvom Dansk IT peger på, at der ikke er offentliggjort viden, der viser, at det er muligt at "afkode indholdet af en samtale indenfor rimelig tid og helst i realtid (dvs. i samme hastighed som selve samtalen, red.)," må det formodes at være et spørgsmål om relativt få år, måske måneder, før det bliver muligt.

"Tilbage står, at den teknologiske udvikling og ikke mindst udviklingen i computernes regnekraft bevirker, at praktisk gennemførlige aflytninger af samtaler kommer tættere på. I den forstand at de kan gennemføres af ikke særligt teknisk kyndige personer og med udstyr, der er almindeligt
tilgængeligt for et overkommeligt pengebeløb," står der i notatet.

Dansk IT peger på, at en løsning er, at mobiloperatørerne skifter til A5/3 standarden, der giver en bedre beskyttelse end A5/1 og A5/2 og ikke er brudt
hverken teoretisk eller i praksis og således er "signifikant mere sikker."

Herefter lyder vejledningen til borgere og virksomheder fra Dansk IT, at man generelt skal huske at tale i mobiltelfon med omtanke, så længe andre personer inden for fysisk rækkevidde og kan høre samtalen.

Selvom teknisk aflytning umiddelbart kun kan finde sted, hvis mobiloperatørerne er indblandet, og der dermed fra myndighedernes side er konkret og begrundet mistanke om strafbare forhold, lyder det alligevel, at "særligt følsomme oplysninger bør man dog generelt ikke drøfte i mobiltelefoner."




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
TIETOEVRY DENMARK A/S
Udvikler, sælger og implementerer software til ESDH, CRM og portaler. Fokus på detailhandel, bygge- og anlæg, energi og finans.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

21. november 2024 | Læs mere


Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere