دزدی اطلاعات سیم کارت ها امکان پذیر است؟!
سال هاست که آژانس امنیتی GCHQ بریتانیا و متحدانش سیم کارت های شرکت Gemalto (سازنده سیم کارت) را هک کرده و به اطلاعات حساس دسترسی پیدا کرده اند. این خبر را ادوارد اسنودن، افشاگر معروف آمریکایی در اسنادش فاش کرده است و مجله The Intercept هم آن را منتشر کرد ه است. در مقاله ای در این مجله می خوانیم: «ما اخیرا توانسته ایم با موفقیت چندین ماشین را پیاده سازی کنیم و بر این باوریم که توانسته ایم کل شبکه Gemalto را تحت کنترل درآوریم». این هک گسترده بوده و آژانس امنیتی GCHQ علاوه بر دسترسی به سیستم های صدور قبض و فروش، به سرور احراز هویت و کلیدهای Ki, K و OTA هم دسترسی داشته است. جاسوسان این آژانس دولتی به کمک این اطلاعات می توانسته اند ارتباطات موبایلی را بدون ارایه درخواست به سازنده سیم کارت یا اپراتور تلفن همراه زیر نظر بگیرند.
این یعنی این آژانس دیگر نیازی به حکم قضایی برای این کار نداشته است. آن ها همچنین هیچ نشانی از خود به جا نگذاشته اند که بتوان با آن محکومشان کرد. با نگاهی از نزدیک به بازار سیم کارت، گستره این هک روشن تر می شود.
سیم کارت ها را اپراتورهای تلفن همراه نمی سازند، بلکه این سیم کارت ها در تنها چند شرکت تولید می شوند. شرکت فرانسوی - هلندی Gemalto شرکت پیشرو در زمینه تولید سیم کارت است و سیم کارت هایی که شرکت آلمانی Giesecke & Devriet می سازد هم در آلمان تحت استفاده گسترده قرار می گیرد. این خبر، سازندگان سیم کارت را بهت زده کرد. شرکت Gemalto به مجله Intercept اعلام کرد که هیچ نشانه ای وجود ندارد که شبکه اش هک شده باشد.
آن ها در بیانیه ای که بعدتر منتشر کردند گفتند که این حمله احتمالا روی داده است، اما اثر آن زیاد نبوده است. به گفته این شرکت، دزدی اطلاعات رمزگذاری سیم کارت های Gemalto در مقیاس بزرگ امکان پذیر نیست. آن ها همچنین گفته اند که از سال 2010، آن ها از روش نو و ایمنی برای دادن کلیدها به اپراتورهای تلفن همراه استفاده کرده اند و تنها در موارد استثنایی این سیم کارت ها هک شدنی هستند. Gemalto همچنین اعلام کرده که اخبار منتشر شده کاملا صحیح نیست و این شرکت تامین کننده سیم کارت برای تنها برخی از شرکت هایی است که اسمشان برده شده است.
کارشناسان می گویند که این شرکت بیانیه اش را بسیار زود و تنها چند روز پس از اطلاع از حمله صادر کرده است و معلوم نیست آن ها توانسته باشند در این مدت کوتاه ماجرا را کاملا بررسی کنند.
Giesecke & Devriet هم اعلام کرده که نشانه ای از هک شدن سیم کارت های این شرکت وجود ندارد. اشتفان آورباخ، رییس بخش امنیت موبایل G&D گفته که سیستم های شرکت را بررسی کرده و نشانی از حمله نیافته است. در این میان، اپراتورهای تلفن همراه Telekom و Vodafone اعلام کرده: «ودافون سال هاست که الگوریتم رمز گذاری خودش را به عنوان فایروال ثانویه روی سیستم کارت های Gemalto پیاده سازی کرده است. پس از مشورت با Gemalto چیزی یافت نشد که نشان دهد به این رمزگذاری حمله شده باشد». در Telekom اما خوش بینی در این حد بالا نبود. آن ها هم اقداماتی امنیتی ثانویه ای روی این سیم کارت ها انجام داده اند و بر این باور هستند که برای الگوریتم امنیتی آن ها مشکلی پیش نیامده است اما با این حال آن ها گفته اند که احتمال هک شدن را به طور کامل رد نمی کنند. در حال حاضر این دو اپراتور تلفن همراه قصد ندارند سیم کارتهایشان را که شرکت Gemalto ساخته تعویض کنند.
منسوخ شدن رمزگذاری 2G
این ماجراها پرده از میزان امنیت ارتباطات موبایلی برمی دارد؛ به ویژه ارتباط نسل دوم یا 2G، یعنی ارتباطی که در آن تنها تماس تلفنی برقرار می شود. پس از توسعه گسترده موبایل در دهه 1990 بود که از رمزگذاری روی سیم کارت ها استفاده شد. اما این رمزگذاری بسیار قدیمی و منسوخ است. در سال 2010 در نمایشگاه هکری Defcon، کریس پیجت، کارشناس امنیتی نشان داد که چگونه می توان با دستگاه هایی به قیمت تنها 1000 دلار شبکه GSM و 2G را هک کرد. برای این کار کافی است کاری کرد که گوشی ها به «ایستگاه های پایه دستکاری شده» متصل شوند. چنین کاری باعث می شود هکر از خود رد پا به جا بگذارد. فناوری های مدرن تر مانند 3G یا 4G/LTE امنیت بهتری دارند اما می توان آن ها را هم به روش خاصی هک کرد، به این ترتیب که با ارسال امواج خاصی، طیف رادیویی مورد استفاده آن ها را اشغال کرد. در این صورت اکثر گوشی ها هنگامی که متوجه می شوند قادر به ارتباط 3G یا 4G نیستند روی به ارتباط 2G می آورند که قابل هک است. در هر حال پس از این حمله، بحث درباره میزان امنیت استانداردهای ارتباطات مدرن مطرح شده است. هرچند Gemalto اعلام کرده که کلیدهای 3G و 4G آن هک نشده اند، اما متیو گرین، کارشناس رمزنگاری از کاربران خواسته که مراقب باشند: «هیچ مکانیزم رمزگذاری ای پس از یک سرقت، امن نمی ماند. Gemalto یا مطمئن است که هیچ کلید دیگری به سرقت نرفته، یا فرض را بر این گذاشته که مکانیزم های امنیتی ثانویه را GCHQ نمی تواند هک کند.» Gemalto حتی پس از آگاهی از حمله هم هیچ کاری برای شکایت انجام نداده است. الیور پیو، مدیر ارشد اجرایی این شرکت می گوید: «سخت بتوان این جمع بندی ها را اثبات کرد» و به همین دلیل شرکت اقدامی قانونی انجام نمی دهد.
جرمی لیندن، از موسسه امنیتی Lookout می گوید: «تهدیدات امنیتی نمی تواند برای برنامه هایی که از رمزگذاری استفاده می کنند خطرساز باشد.» او از کاربران خواسته به سراغ رمزگذاری های قدرتمندتر در نرم افزارها و سرویس ها بروند.
به نقل از مجله رایانه خبر.
www.SAMSUNGCENTER.ir