BERLIJN – Op een hackersconferentie in Berlijn is programmatuur vrijgegeven om telefoongesprekken te kraken. Daarmee is het mogelijk gesprekken in veel landen af te luisteren.

Door zwakheden in de versleuteling is het mogelijk om deze in luttele seconden te kraken.

Omdat de sleutel doorgaans niet meer wordt veranderd, is het mogelijk iedere SMS of e-mail af te tappen. Dat tonen beveiligingsonderzoekers Kasten Nohl en Luca Melette.

In een demonstratie wordt niet alleen het afluisteren getoond, maar ook dat het mogelijk is om een toestel zich als een ander telefoontoestel voor te laten doen. Het gevolg daarvan is dat onschuldige mensen op kosten worden gejaagd.

Tools voor kraken

Vorig jaar werd op de CCC-hackersconferentie al duidelijk dat de versleuteling gekraakt kan worden, maar dat dit relatief snel is op te lossen. Nu wordt op de 2011-editie van de conferentie duidelijk dat de kraak echt te standaardiseren valt.

Eerder waren al tools beschikbaar om goedkope telefoons aan te sturen. Nu komt er een handleiding beschikbaar om de aanvallen uit te voeren.

Daarbij wordt niet de code vrijgegeven om daadwerkelijk gesprekken af te luisteren, maar wel alle ondersteunende bouwstenen. “Dat zorgt ervoor dat we niet de cel ingaan”, stelt Nohl.

Tijdens de presentatie is voldoende technische informatie gegeven dat het waarschijnlijk is dat ook gesprekken binnenkort door iedereen af te luisteren zijn. “Iedereen kan dit onderzoek voortzetten.”

In kaart

Dat de software beschikbaar is gemaakt, dient volgens de onderzoekers vooral voor het verzamelen van informatie over mobiele telefoonproviders. Daarmee willen ze in kaart brengen welke spelers de moeite nemen om beveiligingsmaatregelen te nemen.

De uitkomsten komen vervolgens beschikbaar op een internationale kaart met veilige en onveilige spelers.

Oplossing beschikbaar

Dat het mogelijk is om gesprekken af te luisteren heeft te maken met zwakheden in het protocol om GSM-gesprekken te versleutelen. De oplossing hiervoor is al voorhanden, maar is door veel providers nog niet toegepast. In Europa blijkt geen provider alle vijf beschikbare verbeteringen toe te passen.

“Besef dat dit 20 jaar oude technologie is, waarbij de makers een oplossing voor problemen hebben gemaakt om de privacy van u en mij te beschermen. Het is nu tijd dat deze verbeteringen worden uitgerold”, zegt Nohl.

Volgens hem is er ook reden om kritiek te hebben op de makers van telefoontoestellen, die het nalaten om een simpele verbetering door te voeren.

Interessante industrie

Hij verwacht dat de industrie voor afluisteren heel snel zal groeien, omdat de apparaten steeds goedkoper worden. “Afluisteren is dus een interessante industrie”, meent hij dan ook.

Het oplossen van de problemen kan niet ingewikkeld zijn. “Na onze toespraak vorig jaar heeft een Duitse provider meer dan de helft van onze verbeteringen doorgevoerd in januari.”