Známy bezpečnostný expert Karsten Nohl a jaho spoločnosť SRLabs vykonali počas tohto roka pomocou mobilnej aplikácie sériu testov na zabezpečenie mobilných sietí po celom svete. Fatálnu absenciu akéhokoľvek šifrovania zistili iba pri piatich 3G sieťach, pričom jednou z nich je aj tá, ktorú prevádzkuje operátor O2. Testy prebiehali v súvislosti so zraniteľnosťou cez štandard SS7, o ktorej sme vás už informovali. "Spomedzi 20 európskych 3G sietí, pre ktoré máme dáta, je O2 SK jedinou bez patričného šifrovania. Toto je príšerná bezpečnostná praktika," uviedol Nohl pre server DSL.sk, ktorý o situácii na Slovensku informoval. Nešifrované 3G siete sa nachádzajú aj v Indii, Kambodži a v Južnej Kórei.
"Posledné merania, ktoré sme dostali zo Slovenska, sú z júna. V tomto čase sieť O2 neposkytovala šifrovanie žiadnemu 3G užívateľovi, nezávisle na SIM karte," uviedol Nohl.
Nešifrovaná 3G sieť je vlastne otvorená hackerským útokom a neponúka im žiadne prekážky v odpočúvaní hovorov, SMS či inej komunikácie. Na odchyt potrebných dát vám treba iba špeciálne softvérovo-orientované rádio za približne 400 dolárov. Problémy s bezpečnosťou ale nemá iba O2. Podľa zistení SRLabs sú na tom s bezpečnosťou zle aj staršie 2G siete, a to u všetkých 3 aktuálnych operátorov na Slovensku. Problémom je používanie už dávno prekonaného štandardu A5/1. Ako však analýza zistila, najhoršie je na tom opäť 2G sieť od O2, ktorej chýba aj ochrana "preskakovania" medzi frekvenciami, ktorú Orange a Telekom ponúkajú. Na druhej strane, O2 ponúka najlepšie zabezpečenie pre zistenie polohy účastníka cez mobilnú sieť.
SRLabs: Bezpečnosť slovenských mobilných sietí
SRLabs využívajú na odhalenie bezpečnostných chýb vlastnú mobilnú aplikáciu s názvom GSMMap. Už dnes je ale dostupná aj novšia verzia aplikácie pre zariadenia so Snapdragon procesorom. Jej názov je SnoopSnitch a je voľne dostupná v obchode Play. Sme zvedaví, ako sa k situácii postavia slovenskí operátori a či po tomto odhalení začnú so zvyšovaním bezpečnosti svojich sietí. Situáciu na Slovensku budeme aj naďalej sledovať.
O vyjadrenie k tejto téme sme požiadali aj slovenských operátorov O2, Orange a Telekom. Ich vyjadrenia doplníme do článku neskôr.
Stanovisko O2: "Sieť od O2 je štandardne zabezpečená a šifrovaná."
Aké sú vyjadrenia operátorov?
Aké sú potrebné technologické znalosti na využitie tejto “bezpečnostnej čiernej” diery?
Aké rozmery ma toto zariadenie za tie 400, je potrebné aj niečo iné, ako napr antena?
“Článok” aspoň podľa mňa neodpovedal ani na jednu dôležitú otázku.
Operátorov sme požiadali o oficiálne stanovisko, doplníme ho neskôr. O znalostiach ani podrobnostiach o spomínanom zariadení neviem, vychádzal som z informácií od SRLabs, ktoré sú v tomto smere všeobecné, bez detailov.
ked sa tak zaujimas o mobilny svet licko tak aj presne vies popisat mechanizmus toho testu ak tvrdis ze je nieco nesifrovane? alebo len nevies inak zaujat ako takymto bulvarnym typom clanku ? ty si naozaj myslis ze ktorykolvek operator v europe ma standardne nezabezpecenu svoju mobilnu siet? zblaznil si sa uplne alebo len ciastocne? poziadal si aj druhu stranu o vyjadrenie alebo si sa uspokojil s vlatnou tvorbou o tom ako ty budes sledovat bezpecnost sieti na slovensku? co ty chces sledovat? kto si ty?
a nebuď pokadený a nemaž to stále.
Ak je toto bulvárny typ článku, tak ja už potom neviem :-)
Operátorov sme požiadali o oficiálne stanovisko, ktoré do článku doplníme ihneď, ako ho obdržíme.
Prajem aj tebe pekný Nový rok, preži ho v pokoji :-)
Nemaj obavy. Ja som úplne pokojný. Áno, toto je bulvárny článok jako prase. Der Spiegel ako aj dsl sú bulvár ako vyšitý Ondrej. To si nevedel? Karsten zbieral údaje odosielané z aplikácie ktorá beží len na dvoch typoch samsungov a vyžaduje root práva. Karsten dostal údaje v čase kedy bola sieť v servisnom móde. To je taký kedy beží údržba a pre bežných účastníkov je sieť alebo niektoré jej časti nedostupná. Ale už bola senzácia na svete a ty si mal námet na tento paškvil ktorý ty považuješ za vrcholné dielo svojej tvorby. Anjelik – seriózna novinárčina sa robí tak že najprv sa opýtam druhej strany a potom vydám článok. Nie tak ako si to urobil ty. Tak to práve robí bulvár Ondrejko. Vieš? Opakujem: nie je v Európe operátor ktorý by mal štandardne nezabezpečenú svoju 3G sieť. To že sa v 2G stále používa prelomený algorimtus je dané použitou technológiou. Daj si nôžky do tepla. evidentne to potrebuješ. A keď budeš naozaj vedieť o čom píšeš potom sa prihlás.
Kua, nie si tak trochu hater? Už s tým prosím ťa prestaň. Redaktor uviedol že je to správa od nejakej bezpečnostnej agentúry. Tento portál iba tu správu zverejnil. Tak čo riešiš? Ak ťa to zaujíma, tak kontaktu priamo toho kto robil výskum a za akých podmienok a ne##b tu redaktora. Všetko dobré do nového roku, tebe aj celému kolektívu tohto portálu.
Namiesto tolkych debilnym utokov, kritiky si radsej mohol zaslat svoje “odborne” stanovisko a vypracovany clanok do redakcie, ktora ho mohla uverejnit a pochvalit sa lepsim clankom.
A na koho mobile tie testy bezali,ked sa dokazali prihlasit do tej “servisnej nikomu nepristupnej” siete? A ze ta servisna siet fungovala nahodou zrovna vtedy ked to oni testovali.
Mne je jedno v akom mode bola ta siet. Dolezite je ci vzduchom “tiekli” zakaznicke data bez sifrovania tak, ze si ich precitam so SDR za par supov…
Fuuuha, ten nadpis je na žalobu Ondrej; rýchlo by som ho zmenil na minimálne “O2 malo v lokalite XY nešifrovanú 3G sieť”, O2 má celkom schopné právne oddelenie ;)
To nie je moje vyjadrenie, je tam uvedené “tvrdí bezpečnostná agentúra SRLabs”. Môžu žalovať jedine ich :)
Nevieš o čom píšeš. Na tom trvám. Nikdy z teba nebude dobrý novinár a odborník už tobôž.
Pravidlá diskusie: Portál MojAndroid.sk si vyhradzuje právo zmazať neslušné, rasistické a vulgárne príspevky, ako aj osobné útoky na redakciu, či diskutérov v komentároch pod článkom bez ďalšieho upozornenia. V prípade uverejňovania odkazov na externé stránky, je komentár automaticky preposlaný do redakcie na schválenie.
Načo mi tu cituješ vaše pravidlá cenzúry? Nedokážeš obhájiť svoju prácu sám bez takýchto barličiek? Téme vôbec nerozumieš. Myslsl som si že tu nebudem nachádzať len tupé články ktoré preženiete translatorom ale pridáte k tomu aj kus odbornosti. Očakávania sa žiaľ nenaplnili. Ondro nehnevaj sa ale na to aby si písal akékoľvek odborné články ktoré pojednávajú o údajnej nezabezpečenej sieti si fakt nedorástol. K tomu nemáš potrebné vzdelanie. To nie je ani rasistická urážka a ani osobný útok na redakciu. To je jednoducho holá pravda. Či sa ti to páči alebo nie.
Tento clanok ale nie je o tom, co ja viem alebo neviem. Ide o analyzu bezpecnostnej agentury, pre ktoru ja nerobim, ja som iba distribuoval ich vyjadrenie. Ak mas problem s tym, co je napisane vyssie, tak sa obrat na spominanu agenturu a neponizuj sa tu osocujucimi komentarmi, na ktore nie je nikto zvedavy. Hovori to iba o tvojej posadnutosti napadnut moju osobu za akukolvek cenu. Tvoje nazory ti neberiem, nestaram sa do tvojej prace, tak sa prosim ta nestaraj ani ty do mojich nazorov a mojej prace. Nebudem viac reagovat na tvoje komentare, pokial sa nebudu tykat danej problematiky. Tvoje osobne utoky ma nedokazu urazit :-) Pekny posledny den v roku ti prajem ;-)
Ja sa nemám prečo obracať na nejaké kreatúry ktoré vydali túto svoju prácu ako svätý grál na hekerskej konferencii bez toho aby sa pýtali na podrobnosti ktoré im ten ich zber údajov nepriniesol. To sú rovnakí amatéri ako ty ktorá sa už teraz tváriš že len distribuuješ ich obsah. To je na redaktora odborného média o androide veľmi málo Ondrejko. Veľmi málo.
Distribuovať obsah môžeš ako fanúšik na svojom facebooku, ale od redaktora sa vyžaduje podstatne viac ako len tupé distribuovanie obsahu, ktorému vôbec nerozumie.
Je mi ľúto že sa z tohoto média tvojim pričinením stáva amatérsky blog. Je mi rovnako ľúto, že kritiku neberieš, pretože to považuješ za útok. Aj to svedčí o tom, že nevieš kde je sever. Uži si Silvester, ktorý je štandardným pracovným dňom. Ak chceš písať naozaj odborné články, ktoré nebudú len bezduchým distribuovaním obsahu niekoho iného, musíš na sebe veľa pracovať. Tento odpad , ktorý si tu dnes distribuoval môžeš nabudúce smelo vynechať.
Do budúcnosti sa budem určite snažiť, aby som uspokojil aj takých bezpečnostných expertov, ako si ty :-)
Nepochopil si. Len sa ďalej naparuj. Viac bohužiaľ nedokážeš.
Poviem ti len toľko: ak sa ti nepáči, drž ústny otvor a padaj si distribuovať rozumy sám… Bude tu o jednu otravu menej. Ako starať sa do cudzej práce takýmto spôsobom vypovedá len a len o tvojej vychovanosti a slušnosti. Takýchto mudrcov tu bolo veľa a nikto nič nedokázal =)
Mal by si aj niečo k téme?
Alebo si si prišiel len udrieť a Ondrík ťa nezmaže, lebo toto sa mu páči?
K téme nemám nič, lebo sa do toho nevyznám a žiadny svoj výskum som nespravil. Len som si prečítal článok tak, ako každý iný človek. Takí nároční čitatelia ako si ty, len ťažko nájdu článok hodný ich “inteligencie”… Skús napísať článok na túto tému ty, tak ako si ho predstavuješ, ako by mal vyzerať a potom ho budeme môcť porovnať s týmto. Potom ti uznám za pravdu…
Takže keď sa do toho nevyznáš, to odporúčanie , ktoré si mi dal a ktoré tu Ondrík ako som predpokladal nechal, aplikuj na seba. Ak sa do toho nevyznáš, prečítaj si , čo som o tom celom napísal – nájdeš tam dôvod prečo v zbere údajov z rootnutej appky boli namerané také dáta čo už ten expert Karsten nemal ako zistiť a ako vidíš ani nezisťoval. Preto je to celé postavené na vode. Neočakávam, že to pochopíš, ale aspoň pre to urobíš všetko, čo bude v tvojich silách. Ak o téme nič nevieš, nemusíš sa za každú cenu zviditeľniť tým, že zaútočíš na niekoho, kto o nej niečo vie. Len toľko. Tiež ti prajem pekný *Silváč.
Mne nešlo o to, kto má pravdu a kto nie, to môže posúdiť len O², ale o ten tvoj spôsob “kritiky”… Vyznela skôr ako útok. Ja si cením Ondrejovu prácu (a celkovo prácu celej redakcie) a cením si to, že nám prinášajú každý deň články po slovensky… Taktiež by som ho mohol vybičovať za chybu hneď v prvej vete, ale nespravím to týmto spôsobom, že ho najprv celého zvozím v diskusii pred ostatnými ľuďmi, potom celú redakciu a nakoniec “ohodnotím” celú jeho prácu… Slušne som upozornil na chybu pomocou tlačítka “Nahlásiť chybu v článku”…
//Edit// Ďakujem a tiež ti želám všetko najlepšie do Nového roku =)
Emile, emile ty si ale debile :)
O2 ma nejaku siet?