Zabezpieczenia kart SIM a bezpieczeństwo informacyjne

Niedawno świat obiegła wiadomość o złamaniu zabezpieczeń niektórych kart SIM. O sprawie poinformował „New York Times”, publikując raport, wedle którego lukę odkrył niemiecki specjalista ds. urządzeń mobilnych, Karoten Pohl. Problem dotyczy starszych kart, chronionych 56-bitowym szyfrowaniem DES. Mimo że nie należy on od najnowszych, to wciąż cieszy się dużą popularnością. Problem jest poważny, ponieważ po złamaniu zabezpieczeń kart SIM, można zdalnie przejąć kontrolę nad urządzeniem.

Wyniki niemieckiego testu pokazały, że włamanie zajęło zaledwie dwie minuty i zostało wykonane ze zwykłego peceta. Wystarczyło wysłać sygnał przez fałszywego operatora komórkowego, by aż 25% kart z zabezpieczeniem DES udzieliło odpowiedzi, podając tym samym kod szyfru. Mając do dyspozycji klucz, niemiecki specjalista był w stanie wysłać wirusa ukrytego w wiadomości tekstowej, co w konsekwencji doprowadziło do objęcia kontroli nad urządzeniem. Okazuje się, że wysyłanie SMS-ów, przekierowanie rozmów czy wgrywanie różnych aplikacji, umożliwia taki atak. O sprawie została poinformowana organizacja GSMA, która wraz z producentami kart SIM pracuje nad rozwiązaniem problemu.

Powyższe doświadczenie nasuwa wniosek, że niedostateczne zabezpieczenie kart SIM, może mieć poważne konsekwencje, zwłaszcza w przypadku firmowych środowisk IT. Kiedy mówimy o bezpieczeństwie bankowości elektronicznej, sytuacja może okazać się szczególnie groźna, jeśli zostaną przechwycone wiadomości SMS. Łamanie karty SIM polega na wysłaniu wiadomości tekstowej poprzez OTA (over-the-air), która jest bezpośrednio dostarczana do karty. W jaki sposób można uchronić się przed takim atakiem? Specjaliści dostrzegają tutaj trzy możliwości, z których pierwsza to wymiana karty SIM. Kolejna metoda sprowadza się do używania Handset SMS Firewall, zabezpieczającego nas również przed tzw. „Silent SMS”. Ostatnia opcja, która może unieszkodliwić atak, to zastosowanie „Home Routing”. Pozwala on na filtrowanie wiadomości tekstowych oraz definiowanie zaufanych źródeł. Minus polega na tym, że możliwość ta nie jest jeszcze powszechnie wykorzystywana przez operatorów sieci. Z drugiej strony, niektórzy eksperci zwracają uwagę na głośną sprawę Snowdena, która ma niekwestionowany wpływ na to, że część firm będzie skutecznie oferowała swoim klientom, nowe i bezpieczne urządzenia.

Źródła

Zabezpieczenia kart SIM, a bezpieczeństwo informacyjne

Złamano zabezpieczenia karty SIM. Problem dotyczy milionów telefonów.