Predavanja na temo varnosti GSM telefonije in zaupanja prometnim podatkom

Kot ste na tem spletnem mestu že lahko prebrali, smo neodvisni varnostni raziskovalci Jaka Hudoklin, Matej Kovačič in Klemen Rupnik ob pomoči Primoža Brataniča izvedli varnostno analizo slovenskih GSM omrežij. Namen analize in člankov je opozoriti na varnostne ranljivosti v slovenskih GSM omrežjih, analiza pa je tudi pokazala na problematiko slepega zaupanja prometnim podatkom v mobilni telefoniji.

V enem izmed prispevkov smo namreč pokazali, kako je mogoče v mobilnem omrežju prevzeti mobilno identiteto drugega uporabnika in tako v njegovem imenu in na njegov račun vzpostavljati govorne klice in pošiljati SMS sporočila, v določenih okoliščinah pa tudi sprejemati klice in SMS sporočila namenjena njemu.

Pri vsem tem pa operater zabeleži tudi napačne prometne podatke o telefonskih klicih, saj operater ne zmore ločiti med klici legitimnega uporabnika in klici, ki jih je v njegovem imenu izvedel napadalec. Posebej zaskrbljujoče je tudi dejstvo, da se poleg običajnih podatkov o klicih (številka klicočega, številka klicane osebe, itd.) v zbirki prometnih podatkov zabeleži tudi (lažna) lokacija mobilnega uporabnika.

Sicer so po našem opozorilu nekateri operaterji svoja omrežja varnostno nadgradili, tako da opisani postopek na nekaterih omrežjih ne deluje več, kljub temu pa nevarnost (v nekoliko drugačni obliki) še vedno obstaja.

Podobno je bilo na tem spletnem mestu prikazano tudi kako je na zelo enostaven način mogoče pošiljati SMS sporočila z lažno identifikacijo pošiljatelja ter kako je mogoče izvajati klicanje z lažno klicno identifikacijo, prebrali pa ste si lahko tudi članek o tem, kako je mogoče z opremo v vrednosti nekaj EUR spreminjati digitalne dokaze na SIM karticah.

* * *

Ker je omenjena tematika pomembna tudi za kazenski postopek, sem za letošnjo Kazensko pravno šolo (gre za obvezno izobraževanje za kazenske sodnike in tožilce) pripravil predavanje na temo zaupanja digitalnim dokazom in prometnim podatkom v (mobilni) telefoniji.

Kazensko pravna šola 2012 poteka v mesecu novembru in sicer v dveh delih. Na prvem delu je predavanje med udeleženci poželo precej zanimanja (druga skupina se bo predavanja udeležila jutri), v debati pa smo se dotaknili številnih zanimivih vprašanj. Enako predavanje je bilo v mesecu novembru izvedeno tudi za sodnike Okrožnega sodišča v Novi Gorici in tudi tam je po končani predstavitvi sledila zanimiva in obširna debata.

Za udeležence (in vse, ki jih tematika zanima) so na voljo prosojnice iz predavanja, pripravil pa sem tudi nekoliko podrobnejši članek z naslovom Zaupanje digitalnim dokazom in prometnim podatkom v mobilni telefoniji.

Za Jakatom Hudoklinom pa sva v imela v mesecu novembru tudi dve predavanji na temo GSM varnosti. Prvo predavanje je bilo v Kiberpipi (na voljo je tudi video), drugo predavanje pa sva pripravila za konferenco Infosek 2012. Obe predavanji sta ravno tako doživeli pozitiven odziv.