SIM-kaartidesse õnnestus lõpuks sisse häkkida

Nohli teatel testis ta koos oma meeskonnaga pea tuhandet SIM kaarti, saates neile varjatud SMS-e. Kaheosaline turvaauk, mis põhineb vanal turvastandardil ja halvasti koostatud tarkvarakoodil, lubaks häkkeritel nakatada SIM-kaarti eemalt tasulisi tekstisõnumeid saatva viirusega, ümber suunata ja salvestada kõnesid ning õigete turvavigade koosesinemise korral ka läbi viia maksesüsteemide pettuseid.

Nohl peab tõenäoliseks, et umbes iga kaheksas SIM kaart võib olla ohus, samas on  krüpteerimisnõuded  ja -standardid riigiti erinevad, seega täpset osakaalu ei osanud ta pakkuda.

Nohli sõnul on maksepettuste puhul eriliselt ohus Aafrika mobiilikasutajad, kuna seal on SIMi- põhised maksed eriti laialt levinud.

Teadlane ei usu, et küberkriminaalid oleks samad turvavead juba avastanud ning tema sõnul kulub peale avalikustamist vähemalt pool aastat, enne kui osatakse antud vigu nende poolt ära kasutada. Selleks ajaks peaks olema praegu esinevad turvavead aga juba operaatorite poolt lapitud.

Saksa krüptograaf esitleb ametlikult oma uuringutulemusi 31. juulil Las Vegases toimuval küberturvalisuse konverentsil.

Järgneb Riigi Infosüsteemi Ameti infoturbe spetsialisti  Anto Veldre kommentaar:

27. juulist 1. augustini Las Vegases toimuv järjekordne BlackHat turvakonverents on maailma kõige esinduslikum infoturbekogunemine. Loomulikult üritavad infoturblased just sel üritusel maha saada mõne olulise avastuse või paljastusega. Juuli alguses ilmus sel moel meediasse Androidi turvamure ning täna on lööv uudis telefoni SIM-kaardi turvamure. Arvata võib, et seoses BlackHatiga tuleb sääraseid uudiseid veelgi.

SIM-kaarte pole kunagi varem sellises mahus turvatestitud kui Karsten Nohl seekord ette võttis. Seetõttu pole imestada, kui välja tulevad mõned turvavead. Kindlasti on Karsten Nohl vastutustundliku infoturblasena saatnud juba ammu oma info kõigile SIM-kaarte valmistavatele firmadele ja vigu (kui neid on) tegelikult juba parandatakse. Kuivõrd tegemist on miljardi dollari turuga, siis ilmselt tehakse vajalikud parandused suhteliselt kiiresti.

Niipalju kui saadaoleva katkendliku info põhjal on võimalik öelda, asub arvatav probleem SIM-kaardi sisemuses paiknevas nirus tarkvaras. Teatud juhtudel räägib see tarkvara pisut liiga palju - annab lisainfot, mille põhjal muutub võimalikuks mõne kaardi krüptovõtmete väljaarvutamine. Teine avastatud puudus oli võimalus mõnele SIM-kaarditüübile lisaprogramme salvestada.

Tegemist ei ole ühe kindla tootja tarkvaraga, SIM-kaarte toodavad suures mahus vähemalt paarkümmend firmat. Info selle kohta, mis tüüpi SIM-kaarte Eesti telefonioperaatorid kasutavad, ei ole avalik. Seetõttu pole võimalik isegi kaudselt hinnata, kas mõnel Eestis kasutataval SIM-kaardil on osutatud puudusi küljes või mitte. Seda saab öelda vaid iga mobiilifirma ise.

Kasutaja ei saa oma SIM-kaardi marki valida - see on tema telefonioperaatori tehnoloogiline valik. Järelikult ei saa kasutaja ka kuidagi vastutada SIM-kaardi kui tehnilise seadme turvalisuse eest.

Reaalne oht ei ole sugugi nii suur kui paistab. Juhul kui mõnel meie mobiiloperaatoril peaksid ilmnema probleemid, jääb telefoni SIM-kaardini viiv sidekanal ikkagi operaatorite kontrolli alla. Saame teha kaks olulist järeldust. Esiteks, võimalikest rünnakutest tekib logifaili kujul selge ülevaade ning teiseks, kui rünnakud peaksidki algama, siis operaatorile jääb võimalus neid märgata ning murdmis- ja ümberprogrammeerimiskatseid tõkestada.

Ühtlasi ei maksa alahinnata teadmust ja vahendeid, mis on vajalikud säärase rünnaku läbiviimiseks - koolipoisile pole see jõukohane, liiga palju tööoskusi jääb vajaka. Karsten Nohl ütleb, et võtmete murdmiseks kasutatakse nn vikerkaaretabeleid, kuid sääraste maht ulatub gigabaitidesse. Mõnevõrra paneb imestama, et 3DES algoritm, mille on hinnanud vananenuks ka kohalik Eestis tehtud uuring, on SIM kaartidel endiselt kasutuses.