TELEKOM

Hacker GSM fra scenen

DIGI-TV: Slik avlytter Frank Stevenson mobilnettet.

25. nov. 2010 - 13:23

AKER BRYGGE/OSLO (digi.no): En billig mobiltelefon til drøyt 160 kroner. Stort mer trenger ikke hackeren Frank Stevenson for å avlytte alle tekstmeldinger fra en basestasjon.

Innholdet er kryptert med A5/1, men som digi.no har skrevet en rekke ganger kan ikke GSM-mobilnettet lenger anses som sikkert.

Stevenson deltar i det internasjonale hackerprosjektet «A5/1 Security project», og har generert såkalte rainbow-tabeller for å knekke krypteringen. Prosjektet oppfordrer teleselskapene verden over til å ta funnene på alvor, men har så langt møtt lite gehør.

- GSM har gått ut på dato

Hele samtaler kan ifølge Stevenson avlyttes med relativt enkle midler.

Tekstmeldinger er enda enklere å knekke. På tirsdag demonstrerte han dette under sikkerhetskonferansen Paranoia 2010.

- Motivasjonen er å vise at dette er skremmende enkelt. Jeg ønsker å formidle at GSM-nettet ikke er sikkert. Krypteringen som benyttes har gått ut på dato, sier Stevenson.

Under sitt foredrag sporer han opp og dekrypterer en tekstmelding sendt til egen mobiltelefon, i dette tilfellet et engangspassord fra nettbanken.

Ved å bare avlytte egen melding unngår han straffelovens bestemmer om at det er ulovlig å avlytte andre.

Her er foredraget og demonstrasjonen i sin helhet. (Vi beklager dårlig kvalitet på opptaket). Se gjerne også intervjuet over saken.

Tabellene som er nødvendige for å knekke krypteringen er allerede utgitt, som en komprimert fil på 1,6 terabyte. I tillegg har nordmannen for lengst publisert sitt knekkeprogram «Kraken».

Overfor digi.no påpeker Frank Stevenson at det eneste som mangler før metoden kan benyttes av alle er «limet» – som binder det hele sammen.

Andre skal imidlertid være i ferd løse den oppgaven, slik at det om kort tid trolig vil finnes komplette løsninger med grafisk brukergrensesnitt som knekker GSM-krypteringen i sanntid.

    Les også:

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.