Som ventet kom den nederlandske SIM-kortleverandøren Gemalto med en redegjørelse om forrige ukes rapport om tyveri og knekking av krypteringsnøklene som er integrert i selskapets SIM-kort. Allerede mandag kunngjorde selskapet at SIM-kortene fortsatt er sikre. Rapporten som The Intercept publiserte i forrige uke, var blant annet basert på lekkasjer fra Edward Snowden.
Les også: Stjal krypteringsnøklene til SIM-kort
Intet tyveri
Gemalto innleder pressemeldingen med å opplyser at selskapets etterforskning om rapporten og sofistikerte angrep som selskapet selv oppdaget i 2010 og 2011, gir det rimelig grunn til å tro at en operasjon i regi av NSA og GCHQ kan ha skjedd. Men angrepene mot selskapet skal «bare» ha ført til innbrudd i selskapets kontornettverk, altså nettverket som de Gemalto-ansatte bruker til å kommunisere med hverandre og omverdenen.
Selskapet oppbevarer verken SIM-krypteringsnøkler eller andre kundedata i dette nettverket. Selskapet beskriver sin nettverksarkitektur som en mellomting mellom en løk og en appelsin, med flere lag og segmenter som bidrar til å samle og isolere data. Disse andre nettverkene er ikke forbundet med eksterne nettverk.
– I egenskap av å være et selskap for digital sikkerhet, forsøker folk jevnlig å hacke Gemalto. Disse inntrengningsforsøkene er mer eller mindre sofistikerte, og vi er vant til å håndtere dem. De fleste av dem er mislykkede, mens noen få har trengt gjennom det ytre nivået i vår høyst sikre nettverksarkitektur, skriver selskapet.
Selskapet mener at disse angrepene ikke ha resultert i et massivt tyveri av SIM-krypteringsnøkler.
Avskjæring
Gemalto mener at operasjonen som omtales i rapporten, handlet om å avskjære krypteringsnøkler i det de ble utvekslet mellom mobiloperatører og deres leverandører globalt. I god tid før 2010 hadde Gemalto allerede installert et system for sikker overføring til kundene. Selskapet mener at bare sjeldne unntak fra denne ordningen ville kunne ha ført til tyveri. Det viser også til den opprinnelige rapporten hvor det opplyses at disse avskjæringsforsøkene ikke har lykkes så lenge operatørene har brukt de sikre overføringsmetodene. Men i 2010 fantes det fortsatt mobiloperatører som ikke hadde tatt i bruk disse metodene. I Pakistan, som nevnes spesielt i rapporten, var metodene derimot i bruk.
Andre leverandører
Gemalto viser til at det i rapporten nevnes detaljer som ikke kan ha noe med selskapet å gjøre. Blant annet opplyses det om mobiloperatører som Gemalto aldri har solgt SIM-kort til. Gemalto mener derfor at også andre parter enn de selv har blitt berørt av operasjonen.
Kun 2G
Selv om et slikt tyveri skulle ha funnet sted, ville etterretningstjenestene bare kunne spionere på kommunikasjon som overføres ved hjelp av 2G/GSM. Ifølge Gemalto er ikke 3G og 4G sårbare for denne aktuelle typen angrep. Selskapet skriver at i flere av de landene som er nevnt i rapporten – Afghanistan, Yemen, India, Serbia, Iran, Island, Somalia, Pakistan og Tadsjikistan – var SIM-kort for 2G fortsatt mye brukt i 2010 og 2011. Dette kan ha gjort det teknisk mulig å avlytte slike samtaler fordi den opprinnelige 2G-standarden hadde en kjent svakhet. Ifølge Gemalto har mange mobiloperatører tatt i bruk proprietære algoritmer som et ekstra sikkerhetslag i forbindelse med 2G. Det nevnes også at de fleste av SIM-kortene som i 2010 og 2011 utelukkende støttet 2G, var knyttet til forhåndsbetalte abonnementer med en typisk levetid på tre til seks måneder.
– Sikkerhetshetsnivået har blitt ytterligere forhøyet med 3G- og 4G-teknologiene som har mer kryptering. Dersom noen avskjærer krypteringsnøklene brukt i 3G eller 4G-SIM-kort, ville de likevel ikke kunne koble seg til nettet, og dermed heller ikke kunne spionere på kommunikasjonen. Derfor er 3G- og 4G-kortene ikke påvirket av angrepet som er beskrevet. Likevel, gjennom bakoverkompatibilitet med 2G, blir ikke disse nyere produktene brukt overalt i verden, ettersom teknologien er noe dyrere og fordi operatører noen ganger baserer sine innkjøpsavgjørelser kun på pris, skriver Gemalto.
Fragmentering
En del av Gemaltos kunder integrerer også egne algoritmer i SIM-kortene, i samarbeid med Gemalto. Selskapet mener at denne fragmenteringen av algoritmeteknologier bidrar til å øke sikkerheten ytterligere, blant annet ved at de fører til økt kompleksitet og pris på overvåkningssystemene.
– Uansett er vi beviste på at de fleste framstående, statlige byråer– spesielt når de samarbeider med hverandre – har ressurser og juridisk støtte som går mye lenger enn det som gjelder for typiske hackere og kriminelle organisasjoner. Vi er bekymret over at de kan være involvert i slike vilkårlige operasjoner mot private selskaper uten noen grunn til mistanke, skriver Gemalto.
Selv om selskapet vil fortsette å være årvåkne, anser det denne saken som avsluttet med mindre det skulle skje en betydelig utvikling.
