Hack securityspecialist Gemalto compromitteert mobiele communicatie

AlgemeenGemalto, de in Nederland gevestigde Franse digitale securityspecialist, is in 2010 door twee buitenlandse inlichtingendiensten gehackt. Het zou gaan om het Amerikaanse National Security Agency (NSA) en het Britse Government Communications Headquarters (GCHQ). Door de hack heeft het duo zich toegang weten te verschaffen tot encryptiesleutels die Gemalto onder andere voor de versleuteling van data op sim-kaarten, bankpassen en biometrische paspoorten produceert. Dit staat in een geheim document dat de Amerikaanse klokkenluider Edward Snowden heeft laten lekken aan de website The Intercept.

De Gemalto-encryptiesleutels hebben de Amerikaanse en de Britse inlichtingendiensten sinds 2010 in staat geweest om bijvoorbeeld ‘real time’ mobiele communicatie (2G, 3G en 4G), zowel data als spraak, af te luisteren zonder dat hiervoor voorafgaande toestemming nodig is geweest van nationale autoriteiten of operators. Ook is het hierdoor mogelijk geweest om ouder onderschept mobiel data- en spraakverkeer alsnog te ontcijferen. Gemalto produceert circa 2 miljard sim-kaarten en telt vrijwel alle grote mobiele operators tot de klantenkring.

Volgens het document dat Edward Snowden naar buiten heeft gebracht, is de hack in een gezamenlijke NSA-GCHQ-operatie tot stand gebracht. Daarbij zou zowel geavanceerde software (zoals speciaal voor dit doel geschreven malware) als ‘klassieke’ spionnen zijn ingezet. Daarnaast heeft het inlichtingenduo diverse systemen van niet met name genoemde mobiele operators weten te penetreren. Het zou daarbij gaan om factureer- en authenticatiesystemen. De NSA houdt vooralsnog de kaken stijf op elkaar, dit in tegenstelling tot GCHQ. De Britse inlichtingendienst heeft inmiddels via een e-mail laten weten dat het heeft gehandeld ‘binnen het daarvoor bedoelde wettelijke kader’. Ook meent het GCHQ dat zijn werkzaamheden ‘in overeenstemming is met de Europese wetten op het gebied van mensenrechten’. Inmiddels wordt er druk gespeculeerd over soortgelijke hacks door het duo bij andere securityspecialisten en fabrikanten van sim-kaarten.

De Nederlandse politiek heeft tot dusver geschokt gereageerd. Zo laat Tweede Kamerlid Gerard Schouw (D66) in een reactie aan The Intercept weten dat er hierover op korte termijn door hem andere Kamerleden vragen in het parlement zullen worden gesteld. De grote telecomafnemers in Nederland zeggen eveneens ‘verontrust te zijn’ door het Gemalto-nieuws. BTG, de onafhankelijke Nederlandse vereniging van grote telecomafnemers in de profit- en non-profit-sectoren laat het volgende weten:

Teus van der Plaat, woordvoerder van BTG:

'Dit is een zeer ernstige hack die wellicht niet op zichzelf staat. Er circuleren inmiddels berichten over andere sim-kaart leveranciers die gehackt zijn. Dit voorval onderstreept wat ons betreft de urgentie voor het creëren van mogelijkheden voor organisaties om met een ‘bedrijfseigen’ sim-kaart te kunnen komen. Dankzij een in 2014 doorgevoerde wetswijziging is dit in Nederland mogelijk. BTG is hier volop bezig om en zal veel aandacht besteden aan de beveiliging van het productieproces van een dergelijke ‘bedrijfseigen sim-kaart’.'

Security-experts wijzen er desgevraagd op dat een dergelijke ‘business sim-kaart’ ruimte zou kunnen bieden voor de implementatie van door organisaties zelfontwikkelde encryptiemethoden. Hiermee kan een extra drempel voor kwaadwillenden worden opgeworpen.

Het door Edward Snowden gelekte document over de Gemalto-hack is hier in te zien.

BTG: Verbinding, verbreding en verdieping

Branchevereniging ICT en Telecommunicatie Grootgebruikers (BTG) behartigt de belangen van Nederlandse bedrijven en instellingen door kennis over te dragen en ervaringen uit te wisselen o.a. tijdens events

BTG in beeld en geluid

Expertsessies

Magazine

BTG in Business - Najaar 2021
Lees de laatste editie

Meld je aan voor onze nieuwsbrief!

Op de hoogte blijven van evenementen en het laatste nieuws? Schrijf je dan nu in voor onze nieuwsbrief.
  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.