Wat nu na de gemalto hack?

[ubremoved_2964]

Australian carriers are bracing for a mass recall after it was revealed that a Dutch SIM card manufacturer Gemalto was penetrated by the GCHQ and the NSA in an alleged theft of encryption keys, allowing unfettered access to voice and text communications. The incident is suspected to have happened in 2010 and 2011 and seems to be a result of social engineering against employees, and was revealed by yet another Snowden document. Telstra, Vodafone and Optus have all stated they are waiting for further information from Gemalto before deciding a course of action. Gemalto said in a press release that they "cannot at this early stage verify the findings of the publication" and are continuing internal investigations, but considering Gemalto provides around 2 billion SIM cards to some 450 carriers across the globe (all of which use the same GSM encryption standard) the impact and fallout for Gemalto, and the affected carriers, could be huge.

http://it.slashdot.org/story/15/02/23/1 ... ption-hack

allen een nieuwe sim vragen ?

hoe weten we dat de uitgeleverde simkaarten niet compromised zijn?

ik denk dat ze dit gaan downplayen, want de vervanging op zulke schaal is best een aardige kost

[Dafke]

Ik stel mij altijd de vraag:
wat hebt gij in godsnaam te verbergen of wat maakt u zo interessant dat ze u gesprekken zouden willen bekijken??

Ze mogen van mij weten waar ik ga MTB'n, wanneer ik de patatjes moet opzetten of wanneer we nog is een pint gaan pakken.

[Joe de Mannen]

wel, kijk naar onze russische vrienden: je zal daar maar homo zijn en dat een paar jaar terug ook zo bekend gemaakt hebben, nu is het ineens een probleem.


Of 'iemand met mindere bedoelingen' weet ineens ook wanneer jij gaat fietsen en pintjes aan 't pakken zijt en uw huis leeg staat. Komt ge terug en kunt ge uw bed niet meer vinden, dan is dat ofwel van te veel pinten na het fietsen ofwel is uw bed gepikt.


Ze moeten niks van mij weten zonder dat ik het weet, waddisda nu.

J.

[fredo66]

Ik stel mij altijd de vraag:
wat hebt gij in godsnaam te verbergen of wat maakt u zo interessant dat ze u gesprekken zouden willen bekijken??

Ze mogen van mij weten waar ik ga MTB'n, wanneer ik de patatjes moet opzetten of wanneer we nog is een pint gaan pakken.

Zoals joedemannen terecht opmerkt, jouw redenering gaat maar op zolang de huidige machthebbers min of meer jouw moraal hanteren ...

Als IS hier aan de macht zou zijn dan gaat alvast jouw kopje eraf ! (pintje pakken, zien we hier in je betalingsuitgaven) ...

[Kenw00t]

Als je denkt dat dit hun enige methode is om GSM-verkeer af te luisteren, denk dan nog meer eens goed na. Die mannen zijn de grootste controlefreaks die er bestaan, dus hoe meer methodes ze hebben, hoe beter. Op meerdere paarden wedden en zo...

[Dafke]

Als als als.. jongens..
Koop dan geen GSM? Sluit u op. Stop met WIFI te gebruiken?

En als IS hier zal komen, djeezes zeg... Wie zegt dat er in uwe auto geen tracking chip zit? Ook de auto aan de kant schuiven?
Of dat uwe aannemer geen speciaal chipke aan uw deur heeft gehangen om te zien wanneer ge weg gaat? Mss allemaal is een boek beginnen met complottheorieën of "hoe paranoia kan ik zijn"..

[Joe de Mannen]

DAfke,

Stuur me uw visa account met pincode en al de rest effe via PM.
Ik zal er niks mee doen.

J.

[Dafke]

Kan je mij de boom aanwijzen die je elke dag gaat knuffelen?

Edit: even idiote reply als de jouwe

Om verder te verduidelijken: al deze "technische middelen" maakt het alleen maar makkelijker om bepaalde gedragingen, codes, etc.. te achterhalen.
Jouw voorbeelden (inbreken door mijn afwezigheid te kennen) kan op tig andere manieren ook.

"Als" IS hier zou komen, hebben ze geen spyware op een chip nodig, ze hebben ook informanten etc.. om dingen te weten te komen. Het maakt het allemaal makkelijker.

Ik lig gewoon niet wakker van wat ze van mij weten en wat niet. Iemand met slecht bedoelingen kan hier uiteindelijk toch op een één of andere manier achter komen. In het geval van mijn VISA code moet mijn bank nog altijd kunnen bewijzen dat ik hier niet omzichtig mee omgesprongen heb.

Wanneer wordt dit wel een probleem: als het gaat gebruikt worden als BIG DATA.
Klein voorbeeld: weegschaal. Als daar een chip in zit, die bijhoudt wat jou vetpercentage is van je lichaam, en dat zal gaan verkopen aan ziekteverzekeraars... dat is gevaarlijk. Onlangs is er zo een reportage van geweest. Dat is big data gebruiken voor legale achteruitgang van persoon. Want daar is uiteindelijk niets aan te doen. Tegen een inbraak bestaan straffen.

[ITnetadmin]

Spijtig genoeg moet ik hem gelijk geven. Als je toch niks interesse hebt in privacy, vind je het vast niet erg om je hele leven hier online te smijten, incl pincodes en mss een webcam in de slaapkamer?

Punt is dat "als je niks te verbergen hebt, waarom zaag je dan over (gebrek aan) privacy" een BS argument is, en dat dit tegenargument op exact hetzelfde niveau zit.
Alsof privacy enkel nodig is voor mensen die iets illegaals doen.

Heb ik iets te verbergen? Jazeker. Ongeveer mijn ganse prive leven, thank you very much.

En op het risico af om dit topic te Godwinnen, effe dit (zeer extreem) voorbeeld:
In Nederland werd er rond de eeuwwissel (1900) opgetekend welke religie de inwoners hadden, met het idee dat mensen die geen familie meer hadden toen ze stierven, een juiste begrafenis zouden krijgen. Fast forward naar wereldoorlog 2, waar die lijsten massaal misbruikt zijn.

Die data kan lang blijven hangen, maar de politieke partijen die (meestal met goeie bedoelingen) ze begonnen te verzamelen zijn mss allang weg tegen dan.
En er komt alleen maar informatie bij, dit noemen we mission creep. Net zoals bv de flitspalen "enkel en alleen bedoeld waren om op gevaarlijke punten het verkeer af te remmen", zitten we nu al met trajectcontroles.

[ Post made via mobile device ]

[tb0ne]

Wat leesvoer bij het privacy gebeuren, uiteraard staat het iedereen vrij zijn eigen mening te hebben maar gezonde achterdocht kan geen kwaad denk ik.
https://decorrespondent.nl/209/Nee-je-h ... 4-ab2d5fc2

[Joe de Mannen]

Kan je mij de boom aanwijzen die je elke dag gaat knuffelen?

Even offtopic omdat je het zo lief vraagt:





Verder, als je inderdaad niks te verbergen hebt, zet alles dan open voor iedereen, maar dan ook echt alles.
En wat die Big Data betreft, wat niet is zal komen.

Mensen zetten nu domweg hun hele leven op facebook, maar denk eens na over wat ermee gebeurt. Ik weet bvb niets van wat mijn ouders en grootouders in hun jeugd gedaan hebben, tenzij ze het zelf hebben verteld. De volgende generaties kunnen alle stommiteiten van hun ouders en later grootouders op het internet vinden. Ook de minder leuke, ook de pesterijen van anderen, ... En dan hebben we het nog alleen maar over familie.

En nog een bedenking: je doet misschien niets fout, maar misschien ben je gewoon iets fout.

J.

[Doktor Avalanche]

ik zet al mijn video's op redtube, ga maar eens kijken

[Jack Daniels]

Wat nu na de gemalto hack? Uw aandelen verkopen tiens. Die zijn al flink gezakt sinds dit bekend raakte.

[Stroper]

Is het niet kopen als laag gaat en verkopen als ze hoog staan?
Mensen zullen immers SIM-kaarten blijven gebruiken.
Niet dat ik iets ken van beleggen(heb het nog nooit gedaan en niet van plan om ermee te beginnen).

[Jack Daniels]

Aandeel al ruim 6% gedaald. Dus wie voor 100 euro kocht houdt nu nog 94 over. Je kan de kat uit de boom kijken maar voor hetzelfde geld is dat aandeel volgende maand nog de helft waard. Waarmee je investering voor de helft verdampt is.

[Gluurbuur]

Dafke,

Dat jij weinig om privacy geeft, wil niet zeggen dat iedereen dat moet doen.
Onderstaande video (TED Talk) vind ik wel interessant omtrent het onderwerp privacy.

Glenn Greenwald -Why privacy matters:

[fredo66]

Mss allemaal is een boek beginnen met complottheorieën of "hoe paranoia kan ik zijn"..

Als de feiten (in dit geval afluisteren van) bewezen zijn, zijn het geen complottheorieën meer hé.

Je hoeft ook geen gangster te zijn om het slachtoffer te worden van afluisterpraktijken, ook bij ons. Verzekeringsmaatschappijen zullen zoals je trouwens zelf aangeeft heel veel interessen vertonen voor big data ...
Leuk hoor als je geen autoverzekering meer gaat krijgen omdat ze je afgeluisterd hebben en op basis daarvan besloten hebben je niet meer als klant te willen.
Idem met sociale verzekeringen maar misschien blijf jij je hele leven kerngezond ... ?

Joe, gelieve mijn tuin niet zomaar online te zetten, wat een gebrek aan privacy ! En doe daar eens normaal als je er toch bent.

[brubbel]

Idem met sociale verzekeringen maar misschien blijf jij je hele leven kerngezond ... ?

Step 1:
Benodigdheden:
- 1 reserve-gsm
- 1 vulnerable simkaart
- 1 raspberry pi

Step 2:
Heel de dag een bandje laten spelen "Ik eet enkel biolologisch geteelde halal wortelen".

Step 3:
???

Step 4:
PROFIT!!!

[Heronic]

[boran_blok]

Ik stel mij altijd de vraag:
wat hebt gij in godsnaam te verbergen of wat maakt u zo interessant dat ze u gesprekken zouden willen bekijken??

Ze mogen van mij weten waar ik ga MTB'n, wanneer ik de patatjes moet opzetten of wanneer we nog is een pint gaan pakken.

Even citeren, want Snowdon heeft het redelijk schoon verwoord

Well, when we look back on history, the progress of Western civilization and human rights is actually founded on the violation of law. America was of course born out of a violent revolution that was an outrageous treason against the crown and established order of the day. History shows that the righting of historical wrongs is often born from acts of unrepentant criminality. Slavery. The protection of persecuted Jews.

But even on less extremist topics, we can find similar examples. How about the prohibition of alcohol? Gay marriage? Marijuana?

Where would we be today if the government, enjoying powers of perfect surveillance and enforcement, had -- entirely within the law -- rounded up, imprisoned, and shamed all of these lawbreakers?

Ultimately, if people lose their willingness to recognize that there are times in our history when legality becomes distinct from morality, we aren't just ceding control of our rights to government, but our agency in determing thour futures.

Met andere woorden, je geeft het absolute moraalrecht aan de regering en niet meer aan de burgers. Je moet realiseren dat er correcte wetten zijn, en niet correcte wetten. Zoals MLK het zei:

I would be the first to advocate obeying just laws. One has not only a legal but a moral responsibility to obey just laws. Conversely, one has a moral responsibility to disobey unjust laws. I would agree with St. Augustine that "an unjust law is no law at all."

Een regering met absoluut inzicht in de mensen hun prive leven staat elke vorm van verandering in de weg.

[Jack Daniels]

Update door Gemalto zelf:
http://www.beurs.nl/nieuws/binnenland/3 ... ijk-update

[Jack Daniels]

2de update van Gemalto:
http://www.beurs.nl/nieuws/binnenland/3 ... -2e-update

[ubremoved_2964]

Deze firma zal dit uiteraard proberen minimaliseren/downplayen ... ipv eerlijk toe te geven dat ze gehacked zijn geweest.
Damage control, want hun volledige infrastructuur opnieuw securen en alle simkaarten opnieuw aanmaken zal wellicht onbetaalbaar zijn.

Op slashdot een interessante comment:

http://yro.slashdot.org/comments.pl?sid ... d=49126621

Chances are they have the IMSI Ki keys. This is the info that is given to the carriers with each IMSI(SIM). That's all that is needed to dupe a SIM or decrypt coms. The vast majority(probably all) of these will use the default A3 /A8 encryption, so this will be a walk in the park (load IMSI+Ki into new card) to spin off duplicate SIMs for the next few years. Once you can dupe a SIM, you can then fool the VLR/HLR into redirecting calls/SMS or access Voicemail. No need to monitor the local airwaves.

en

At a nameless telco I used to work for, the Kis for all users were in an internal tool than any employee could access. What was missing was the OP key, of which there is only one. There's a good chance it was also posted somewhere on the intraweb, just not in the same tool.

Dit zegt uiteraard niks over gemalto, maar een dump verkrijgen van deze IMSI Ki database moet niet zo extreem lastig zijn als inside job.

Ik heb ooit zelf systeembeheer gedaan voor een startup in de mobiele sector, ik kon alle logs gewoon bekijken met payment details ... was voor een firma die een mobile wallet maakte, en ik moest de logging securen. Niet dat die data mij interesseerde, maar erg lastig was het niet. Finaal hadden we wel een PCI compliant systeem waar zelf de systeembeheerde de logs niet meer kon meelezen zelfs als root (dankzij PKI en public key encryptie).