27 nov. 2016
2 minuten
Een continu wisselend simkaartnummer zorgt ervoor dat je GSM niet meer volg- en afluisterbaar is, én dat je telefoon kan controleren of hij in contact staat met een authentieke zendmast. Informaticus Fabian van den Broek werkte deze oplossing voor de grootste GSM-beveiligingsfout uit, en hij is in gesprek met de GSM Association om de aanpassing op te nemen in internationale standaarden. Hij promoveert op 14 december aan de Radboud Universiteit.
Wanneer je mobiele telefoon verbinding maakt met een netwerk, bewijst de simkaart zijn echtheid aan dat netwerk. Andersom werkt het helaas niet zo: je GSM krijgt geen bewijs dat de zendmast die het netwerk uitzendt authentiek is. Daardoor is de communicatie via je GSM volg- en afluisterbaar voor nepzendmasten: een serieus veiligheidsprobleem voor systemen die van het netwerk gebruik maken, zoals per SMS verstuurde transactiecodes van banken en identificatieservices als DigiD.
Wisselende IMSI
Fabian van den Broek, Digital Security onderzoeker aan de Radboud Universiteit, analyseerde de protocollen en encryptietechnieken van de verbinding tussen GSM en zendmast. Bovendien bestudeerde hij de veiligheid van de software die de mobiele communicatie afhandelt.
Het belangrijkste veiligheidsprobleem is volgens hem eenvoudig op te lossen door het simkaartnummer automatisch te laten wisselen. Dit vijftiencijferige nummer, de International Mobile Subscriber Identity (IMSI) is je identiteit in het mobiele netwerk.
Van den Broek: "Als je IMSI regelmatig wisselt, kan een illegale nepzendmast er niets mee omdat je identiteit in het netwerk niet permanent is, zoals momenteel het geval is. Als gebruiker kun je daardoor niet meer gevolgd worden." De oplossing stelt telefoons bovendien in staat om te controleren of zij in verbinding staan met een authentieke zendmast.
"De informatie om het IMSI-nummer te veranderen zou je eigen provider gemakkelijk kunnen verstoppen in informatie die ze toch al naar je GSM sturen, zonder dat je daar als gebruiker last van hebt", aldus Van den Broek. Momenteel is zijn team in gesprek met de GSM Association (GSMA) om de voorgestelde aanpassing op te nemen in de internationale standaarden.
Veilig én bruikbaar
Fabian van den Broek blijft zich ook na zijn promotie richten op het oplossen van beveiligingsproblemen, waarbij hij oog heeft voor de eindgebruikers die geen informatici zijn. "Computerwetenschappers verzinnen vaak goede oplossingen voor beveiligingsproblemen, maar we houden niet genoeg rekening met de eindgebruikers", vertelt hij. "Aanvallers snappen gebruikers vaak beter dan wij, daarom zijn ze zo succesvol." Samen met zijn collega’s van de Digital Security groep van de Radboud Universiteit werkt hij verder aan een nieuw en veilig identificatiesysteem voor persoonsgegevens dat wel gebruiksvriendelijk is: Irma, I Reveal My Attributes. Deze app bewaart allerlei attributen van de gebruiker – persoonsgegevens zoals leeftijd, bankrekeningnummer en lidmaatschappen – en geeft alleen het hoognodige vrij wanneer dat nodig is.
Lees meer over de IRMA app in dit interview met Bart Jacobs, hoogleraar Beveiliging en correctheid van programmatuur aan de Radboud Universiteit.
Anderen lazen ook
