Simkaartfabrikant bevestigt: Wij zijn gehackt door de diensten
Digitaal beveiliger en simkaartfabrikant Gemalto bevestigt vandaag dat ze zijn gehackt door Britse en Amerikaanse veiligheidsdiensten. Dat nieuws deed vorige week de beurskoers van het bedrijf al kelderen, maar hiertegen neemt Gemalto geen juridische stappen, zo meldde topman Olivier Piou vanmorgen.
Simkaartfabrikant Gemalto bevestigt dat het waarschijnlijk is gehackt door Britse en Amerikaanse geheime diensten. Het bedrijf onderzocht een aantal aanvallen op de eigen systemen, nadat de website The Intercept vorige week op basis van documenten van klokkenluider Edward Snowden, over de kwestie schreef.
Gemalto erkent dat er in de periode 2010 en 2011 een aantal hacks plaatsvonden die zo geavanceerd waren dat er 'gegronde redenen' zijn te geloven dat de NSA en GCHQ erachter zaten. Toen lukte het bedrijf niet de bron van de cyberaanvallen te achterhalen. De puzzelstukken vielen pas op hun plek nadat de geheime documenten van de NSA vorige week openbaar werden. Wat betekent dit? Vier vragen en antwoorden over de kwestie.
Wat is er aan de hand?
De Britse geheime dienst GCHQ lijkt erin geslaagd samen met de Amerikaanse collega's van de NSA het netwerk van Gemalto te hacken. Dat bedrijf maakt jaarlijks twee miljard simkaarten en is in 85 landen actief, waaronder Nederland. Providers als T-Mobile, KPN en Vodafone zijn klant. Gemalto beveiligt de simkaarten via versleuteling. Bel je met je mobiele telefoon, dan zorgt die versleuteling ervoor dat het gesprek veilig de zendmast bereikt. Dat betekent dat ook als het gesprek op weg naar de mast wordt onderschept, de inhoud niet zomaar af te luisteren is. Afluisteren is wel mogelijk voor degene die over de juiste sleutel beschikt. En dat is precies waar de veiligheidsdiensten het op gemunt hadden bij Gemalto: de sleutels van al die simkaarten die in omloop zijn.
Hoe erg is dit?
Wie de juiste sleutel heeft van simkaarten die in gebruik zijn, kan gesprekken afluisteren, bevestigde Gemalto vanochtend in een persverklaring. Maar het bedrijf vraagt zich wel af of de omvang van de hack zo groot is als The Intercept vorige week beschreef. The Intercept sprak over mogelijk miljarden gestolen sleutels. Volgens Gemalto is het de hackers alleen gelukt het bedrijfsnetwerk binnen te komen waarin werknemers met elkaar en de buitenwereld communiceren. De sleutels van de simkaarten worden daar niet opgeslagen.
De simkaartfabrikant vraagt zich daarom af het de geheime diensten is gelukt om grote hoeveelheden sleutels te stelen. Volgens The Intercept hadden de geheime diensten het gemunt op de communicatie tussen Gemalto en diens klanten: de sleutel van een simkaart wordt verstuurd naar providers. Dat lijkt te kloppen, aldus Gemalto, al is die communicatie volgens het bedrijf wel goed beveiligd.
De maker van simkaarten relativeert nog meer: als het al gelukt is om sleutels van simkaarten te stelen, dan zouden die alleen toegang geven tot verouderde kaarten met 2G. Inmiddels gebruiken we de 3G en 4G-simkaarten, die veel beter beveiligd zijn. Daarbij is het wel belangrijk te realiseren dat telefoons automatisch terugschakelen op 2G als het 3G of 4G netwerk niet beschikbaar is.
Betekent dit dat we nog gewoon privé kunnen bellen?
Niet iedereen zal zomaar doel zijn geweest van afluisterpraktijken van de Amerikaanse GCHQ en NSA. Wel is het in theorie mogelijk dat Nederlandse telefoontjes afgetapt zijn. "We weten natuurlijk niet of dat ook gebeurd is", zegt Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit Nijmegen. "Maar de veiligheidsdiensten hadden potentieel toegang tot simkaarten uit Nederland. Zo heeft de Nederlandse overheid een contract met Vodafone."
Wat Jacobs verder verontrust is de agressiviteit waarmee de buitenlandse veiligheidsdiensten te werk gaan. De kwestie bij Gemalto laat volgens hem opnieuw zien dat de diensten bezig zijn de beveiliging van ICT systematisch kapot te maken.
Ook Gemalto vindt de kwestie zorgelijk. Geheime diensten van verschillende landen zijn, zeker als ze samenwerken, in staat veel verder te gaan dan de gemiddelde hacker of criminele organisatie kan gaan.
Mogen de Amerikanen en Britten dit doen?
Buitenlandse veiligheidsdiensten mogen niet zomaar inbreken in computersystemen van bedrijven in Nederland, zei minister Ronald Plasterk gisteren in de Tweede Kamer. Als dat wel gebeurt, is dat illegaal en dan zal het kabinet de betrokken landen daarop aanspreken en maatregelen nemen, aldus Plasterk. Of dat ook gebeurt is bij de Amerikanen en Britten, kon hij niet zeggen omdat hij in het openbaar niets los laat over operationele kwesties. De minister, in Nederland verantwoordelijk voor de AIVD, zei gisteren wel dat hij de Tweede Kamer daarover vertrouwelijk wil informeren.
