Experten zerpflücken Gemalto-"Untersuchung" zu SIM-Key-Hack

Gestern hat der niederländische SIM-Karten-Hersteller Gemalto die Ergebnisse seiner internen Untersuchung zu den von NSA und GCHQ (angeblich) entwendeten SIM-Karten-Verschlüsselungskeys präsentiert. Die Kernaussage dabei war: Alles halb so wild, ... mehr... Handy, Sim, Sim-Karte Bildquelle: GeoSIM Handy, Sim, Sim-Karte Handy, Sim, Sim-Karte GeoSIM

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Was hätten sie denn sagen sollen "Der Eingriff ist signifikant und hat folgen für jeden europäischen Sim Karten Nutzer"? Will man so einige hundert Millionen Nutzer aufschrecken und das System kollabieren lassen? Glaube nicht, dass man das Netzwerk so anpassen kann, dass der Hack unbrauchbar wird, jedenfalls nicht in so kurzer Zeit. Erinnert mich an die Antwort der Gemeinschaft die unsere Gesundheitskarten für die Versicherungen entworfen haben, die wurden auch für die Prüfung der Sicherheit jener Chips engagiert. Die sind ja auch sicher.
 
@DerTürke: das System wird nicht Kolabieren... Hunderte in meinem Umfeld werden sagen, ich werde nie mehr mit diesen SIM-Karten Telefonieren... und 2 Wochen Später habens alle vergessen

Beweise gibt es dafür als WhatsApp zu Facebook überging oder als Facebook die neuen AGBs veröffentlicht hat...
=> laut waren Sie alle, gemacht hat keiner was ^^
 
@baeri: Also ich habe WhatsApp nie genutzt und mein Facebook Acc ist seit der AGB änderung gelöscht. Und stell euch vor ich lebe immernoch und bekomme immernoch alles mit von meinen Freunden :)
 
@baeri: Klar ist es den Leuten egal, aber wenn es genug Wind macht und wenn ich die Nachrichten so verfolge, macht es das anscheinend nicht, werden die Provider aktiv. Das ist jetzt viel "wenn" und "könnte" "möglich wäre es". Tagesschau "es gibt Anzeichen, dass die NSA zugriff auf die SIM Karten haben könnte. Weiter zu der Ukraine"...WATT? Wenn man schon lauter schlürft hat man die "Meldung" überhört. Kern bei dem was ich sagen wollte ist einfach "Sie sagen es ist sicher, die Meldung versickert im Schlamm"
 
@DerTürke: Zu Deiner Eingangsfrage: JA! Notfalls mit einer Rückruf-/Austauschaktion. Aber die kostet ja Geld.
 
@Tjell: Wenn die Keys einmal weg sind, dürfte das auch nichts nutzen...
 
@MaikEF_: Doch: neue Verschlüsselungen, neue SIM-Karten.
 
@Tjell: "Mein Job ist es, 'Rückruf-Koordinator' bei einer großen Auto-Firma zu sein. Was das ist?

Nehmen wir folgendes Szenario: Ein Wagen ist mit normaler Geschwindigkeit auf nasser Fahrbahn unterwegs und kommt ins Schleudern.
Das Hinterachs-Differenzial blockiert, der Wagen fährt gegen einen Baum, alle Insassen verbrennen.

Frage an dieser Stelle: Sollen wir eine Rückruf-Aktion starten? In diesem Fall ist es meine Aufgabe, 'DIE FORMEL' anzuwenden. 'DIE FORMEL' lautet: Man nehme die Menge der zugelassenen Fahrzeuge A, die anzunehmende Defektrate B und die durchschnittlichen Kosten einer außergerichtlichen Einigung C.

A mal B mal C ergibt X.

Ist X kleiner als die Kosten einer Rückrufaktion - wird keine durchgeführt.

Fight Club"
 
@DerTürke: Welchen Wert hat "Kundenzufriedenheit"? In exakten Zahlen lässt sich diese nicht ermessen. Ich persönlich bin ein absoluter Gegner von reinen Kostenrechnungen, da ich meine, das ein Gut wie Kundenzufriedenheit nicht mit Kosten/Erträgen verrechnet werden sollte. Bestes Beispiel ist, ein großer Konzern (u. a. Waschmittel), der vor ein paar Jahren eine ganze Serviceabteilung mit der Begründung geschlossen hat, dass jene zuwenig Umsatz bei zu hohen Kosten verursacht hat. Mittelfristiges (aber aus meiner Sicht erwartbares) Ergebnis war dann tatsächlich, dass die Umsätze in Folge schlechter Kundenzufriedenheit in diesem Segment massiv eingebrochen sind, was man mit allen Mitteln ( ;-) versucht, wieder in die andere Richtung zu lenken. Was unterm Strich günstiger gewesen wäre, kann man sich an einer Hand abzählen.
 
@DerTürke: Ja! Ich finde es auch besser, dass gelogen wird :-D Ist mir doch egal was für Probleme sie dadurch haben. Es gibt nun mal K.O. Kriterien, die dafür sorgen sollen, dass solche Firmen sich in den Ruin treiben. Das ist ein ausgezeichneter, würd ich mal behaupten. Erst recht, wenn dann noch eiskalt gelogen wird und den Konsumenten nicht selbst überlassen wir zu entscheiden, was sie denn jetzt machen wollen. Ausreichende Kundgebung der tatsächlichen Lage hat oberste Priorität. So können auch noch andere Unternehmen ausspioniert werden und der Schaden nimmt um ein Vielfaches zu.
 
@mil0: Ja aber wenn das Unternehmen nicht informiert, sollten es vielleicht die Medien tun, passiert aber auch nicht. Naja bei o2 beruft man sich auf die Aussage von Gemalto und ist dabei die Sachlage zu überprüfen. Ich werde mal gucken ob man Brieftauben auch so trainieren kann, dass sie zurück fliegen.
 
@mil0: Diese Ansicht ist absolut fatal. Man denke mal daran, dass eine gewaltige Zahl an Mobilfunknutzern in nahezu Echtzeit überwacht werden können ohne auch nur ansatzweise herausfinden zu können ob man betroffen ist oder nicht.
z.B. theoretischer Hack von 2010. Alle Keys bis dahin und der aktuellen Produktionssparte geklaut, somit sind die alle kompromittiert. Sind die SIMS von nach diesem Zeitraum nun i.O.? Ist meine/unsere SIM eine dieser "sicheren"? Hat NSA etc. ggf. noch immer Zugriff auf die aktuell produzierten Keys?
-> Alles Informationen die Gemalto noch klären und vermitteln MUSS!

Denn, welche Firma kann sich denn nun eigentlich noch leisten Ihren Mitarbeiter das Nutzen von Mobilfunktechnologien zu erlauben um z.B. Geschäftsgespräche führen zu können?
 
@tapo: War doch auch der Kern meiner Aussage? Bis auf den ersten sarkastischen Satz.
 
@DerTürke: Was sie hätten sagen sollen? Wie wäre es mit: 'Wir werden eine ausführliche Untersuchung einleiten, wir werden keine Kosten und Mühen scheuen dem auf den Grund zu gehen, diese Untersuchung wird einige Zeit in Anspruch nehmen, wir bitten um Geduld.' So oder so ähnliche wäre es vertretbar gewesen
 
Der Ganze Artikel ist fürn Ar.... die sogenannten Experten sollten doch etwas recherchieren bevor man sowas verfassen tut.

Hier mal eine Richtigstellung

Alles nicht so schlimm, sagt Gemalto und reagiert damit auf die jüngsten Meldungen, die NSA und das GCHQ hätten sich Zugriff auf sein Netzwerk verschafft und Millionen von Schlüsseln von SIM-Karten erbeutet. Ohnehin hätten die staatlichen Datendiebe nur Schlüssel von SIM-Karten für das 2G-Netzwerk erbeuten können, da sie ihre Angriffe 2010 und 2011 getätigt hätten. Die laut GCHQ erbeuteten Schlüssel seien außerdem in der Mehrzahl für Prepaid-Karten gedacht gewesen, die meist nach drei bis sechs Monaten verfallen.

Inzwischen werde weltweit das sicherere 3G- oder sogar 4G-Netzwerk verwendet und Gemalto habe keine Hinweise darauf, dass es den Geheimdiensten gelang, nach 2011 in ihre Netzwerke einzudringen. Der SIM-Karten-Hersteller habe die Einbrüche 2010 und 2011 bemerkt und danach entsprechende Maßnahmen ergriffen, um sie abzusichern. Bereits zuvor habe das Unternehmen ein sicheres Transfersystem implementiert, über das der Großteil der Schlüssel weitergegeben worden sei.

Danke an Golem

Also hat Gemalto nicht 6 Tage Zeit gehabt sondern mehrere Jahre. Das einzige was man ihnen vorwerfen kann ist das sie nicht die Öffentlichkeit informiert haben. Ich denke aber das AIVD (niederländischer geheimdienst) bescheid wusste
 
@Quasyboy: PrePaid kartenschlüssel verfallen nach drei bis 6 Monaten? Seit wann?
3g und 4g gibt es erst seit 2011? Von dem ab hab ich den zusammenhang immer noch nicht, auch mit einer alten karten funktionieren diese netze...
Was bringt es wenn der aivd bescheid wusste?
Das "sichere transferverfahren" welches in "Ausnahmefällen" nicht so sicher ist?
 
@0711: Die Aussage das PrePaid Kartenschlüssel nach 3 bis 6 Monaten verfallen kommt direkt von Gemalto und natürlich können diese verfallen sobald du aber eine Prepaid Karte mit verfallenem Kartenschlüssel aktivierst wird dir einfach ein neuer zugeteilt.
3G gibt es seit 2001-2002 in Deutschland

Und es ging mir darum das Gemalto nicht wie oben im Artikel geschrieben 6 tage zeit hatte sondern mehrere Jahr um zu Untersuchen wie weit die Hacker vordringen konnten.
Gemalto weiß warscheinlich erst seit der veröffentlichung der nsa depesche wer hinter der Hacker Attacke steckte
 
@Quasyboy: schon die Tatsache dass sie das damals verschwiegen haben ist grund genug an einer ernsthaften Aufklärung zu zweifeln...ob heute oder vor jahren
 
Kann man die Keys nicht ändern für die zukunft?
 
@rush: Wenn sie alles haben nicht wirklich. Da bräuchte es Kartentausch und neue Verschlüsselung (wie damals bei den Smartcards von Premiere)

Siehe o4 - da steht auch wieder mehr
 
@rush: vorhandene karten müssten getauscht werden...dass sie es nicht tun (auch nicht die alten) zeugt für deren "Qualität" und vertrauenswürdigkeit
 
Das ist doch eh alles Wurscht... !
Die Geheimdienste haben die Schlüssel und wenn die uns ausspähen wollen, dann schaffen sie es eh...
Seien es nun die Telefonate, SMS oder Whatsapp...
Wenn die wirklich Interesse an einem haben, dann ist man eh am Ar..., da ist dann so oder so nichts sicher!
Kommentar abgeben Netiquette beachten!