De Informaticus Fabian van den Broek werkt aan een oplossing voor de grootste GSM-beveiligingsfout.
Met een continu wisselend simkaartnummer wordt de GSM telefoon niet meer volg- en afluisterbaar, en toch dat de telefoon kan controleren of hij in contact staat met een authentieke zendmast, wellicht gaat de oplossing opgenomen worden in de internationale standaarden (t de GSM Association). Fabian promoveert op 14 december aan de Radboud Universiteit.
GSM Beveiligingsfout
Als de mobiele telefoon verbinding maakt met het gsm netwerk, wordt met de simkaart zijn echtheid aan dat netwerk geverifieerd.
Andersom werkt het niet zo: de GSM telefoon krijgt geen juiste informatie, dat de zendmast, die het netwerk uitzendt ook authentiek is.
Dit maakt dat de communicatie via je GSM volg- en afluisterbaar kan worden voor nepzendmasten. Dit is een serieus veiligheidsprobleem voor systemen die van het gsm netwerk gebruik maken, zoals per SMS verstuurde transactiecodes van banken en identificatieservices als DigiD.
Wisselende IMSI
Fabian van den Broek, Digital Security onderzoeker aan de Radboud Universiteit, analyseerde de protocollen en encryptietechnieken van de verbinding tussen GSM telefoon en de GSM zendmast.
Bovendien bestudeerde hij de veiligheid van de software, die de mobiele communicatie verder afhandelt.
Het belangrijkste veiligheidsprobleem is eenvoudig op te lossen door het simkaartnummer automatisch te laten wisselen.
Met het vijftiencijferige nummer, de International Mobile Subscriber Identity (IMSI) wordt de identiteit van de GSM telefoon in het mobiele GSM netwerk vastgesteld.
Als je IMSI regelmatig wisselt, kan een illegale nepzendmast er niets mee, omdat je identiteit in het netwerk niet permanent is, zoals dit nu well het geval is.
Als gebruiker kun dan niet meer gevolgd worden.
Deze oplossing stelt gsm telefoons bovendien in staat om te controleren of zij in verbinding staan met een authentieke zendmast.
De informatie om het IMSI-nummer te veranderen zou je eigen provider gemakkelijk kunnen verstoppen in informatie, die ze toch al naar de GSM telefoon sturen, zonder dat de gebruiker er last van heeft".
Veilig én bruikbaar
Fabian van den Broek blijft zich ook na zijn promotie richten op het oplossen van beveiligingsproblemen, waarbij hij oog heeft voor de eindgebruikers die geen informatici zijn.
"Computerwetenschappers verzinnen vaak goede oplossingen voor beveiligingsproblemen, maar we houden niet genoeg rekening met de eindgebruikers", vertelt hij. "Aanvallers snappen gebruikers vaak beter dan wij, daarom zijn ze zo succesvol."
Samen met zijn collega's van de Digital Security groep van de Radboud Universiteit werkt hij verder aan een nieuw en veilig identificatiesysteem voor persoonsgegevens, dat wel gebruiksvriendelijk is.
IRMA staat voor "I Reveal My Attributes".
Deze IRMA app bewaart allerlei attributen van de gebruiker - persoonsgegevens zoals leeftijd, bankrekeningnummer en lidmaatschappen - en geeft alleen die informatie vrij, die echt nodig is.
Lees meer over de IRMA in dit interview met Bart Jacobs, hoogleraar Beveiliging en correctheid van programmatuur aan de Radboud Universiteit.
