Moeten we nu wel of niet de simkaart vervangen na het bekend worden van de hack op het in Nederland gevestigde Gemalto? Uit de documenten van Edward Snowden blijkt dat het Britse GCHQ heeft ingebroken om vervolgens de sleutels voor GSM-verkeer te stelen. Daarmee is het mogelijk versleutelde gesprekken te ontcijferen. Gemalto deed intern onderzoek naar het verhaal. Het bedrijf stelt in een persbericht dat er een inbraak heeft plaatsgevonden, maar dat het niet zo erg is. Men acht het onwaarschijnlijk dat er daadwerkelijk sleutels in handen van inlichtingendiensten zijn gekomen.
Misschien is het goed te beseffen dat alle documenten van Snowden inmiddels verouderd zijn. De hacks waarover dit gaat hebben plaatsgevonden in de periode 2010 tot 2011. Om hacks goed te kunnen bewijzen moet je beschikken over logboeken. Bij de meeste organisaties zijn die na vier jaar verdwenen dus dat Gemalto nog in staat is geweest een volledig onderzoek uit te voeren, is twijfelachtig.
Daarbij bevestigt het bedrijf dat de informatie uit de Snowden-documenten klopt voor het gedeelte waar het gaat over de manier van inbreken. Met andere woorden: als je zoekt op de manier die de klokkenluider aangeeft dan vind je de hack. Daarbij zijn er ook meerdere inbraken gevonden. Mogelijk van criminelen en mogelijk ook van andere landen. Zeker weten doen we dat opnieuw niet.
Daarbij moet je ook bedenken dat het bedrijf de inbraken niet zelf heeft ontdekt. Mogelijk gaat het dus om een veel grotere zaak dan tot nu toe bekend is. Want als dit niet is ontdekt, dan rechtvaardigt dat de vraag wat er nog meer niet is ontdekt.
Verder blijkt het bedrijf in het persbericht een meester in het downplayen van de gebeurtenissen. Allereerst stelt Gemalto dat het onwaarschijnlijk is dat er toegang tot de sleutels is verkregen. Waarop men dat baseert blijft onduidelijk. Maar als het de inlichtingendiensten wel is gelukt dan hoeven we ons geen zorgen te maken over 3G en 4G verkeer, maar alleen 2G. Een mededeling die voor het afluisteren van gesprekken irrelevant is. Het bellen gaat met de sleutels van de 2G-technieken en niet van modernere datatechnieken.
Tegenover NRC Handelsblad stelt de topman dat het bedrijf in staat is ons te beschermen tegen cybercriminelen, maar niet tot doel stelt ons te beschermen tegen inlichtingendiensten. Daarom volgen er ook geen juridische stappen.
Dat is mooie retoriek, want in de praktijk gebruiken inlichtingendiensten dezelfde hacking-technieken als criminelen. Er wordt in hackingtools geen onderscheid gemaakt. Hoogstens hebben cybercriminelen wat kleinere budgetten. Wel maakt Gemalto duidelijk waar de loyaliteit ligt en dat is duidelijk niet bij de gebruiker van de simkaarten.
De vraag of je de simkaart moet vervangen is een lastige. Op zich is het in cryptografie logisch dat je de sleutels vervangt als de integriteit niet meer gewaarborgd is. Of je kunt bewijzen dat de sleutels echt gestolen zijn, is niet relevant. De redelijke twijfel – en die is hier – is dan voldoende. Het advies van de dienst automatisering van de Tweede Kamer is uit dat oogpunt heel logisch.
Een kennis van mij, Dennis Kuit, vroeg vlak na het bekend worden van de hack bij T-Mobile een nieuwe kaart aan. Die mogelijkheid bieden de providers niet of tegen betaling.
Overigens moet je jezelf wel afvragen in hoeverre een nieuwe kaart helpt als deze van Gemalto afkomstig is. Zij detecteren de hack niet, daarnaast geven ze aan niet tegen spionage te willen strijden.
Ook minister van Binnenlandse Zaken Ronald Plasterk (PvdA), die leiding geeft aan de AIVD, schrijft aan de Tweede Kamer dat vervangen niet nodig is. Die houding is vanuit beveiligingsoogpunt heel vreemd, maar vanuit het financieel aspect prima te verklaren.
Net als bij de DigiNotar-crisis in 2011 wil de overheid een probleem pas accepteren als ze er echt niet meer omheen kan. Ook toen werd een week lang ontkend dat certificaten (ook een digitale sleutel) niet vervangen hoefden te worden. Pas toen er onomstotelijk bewijs was, veranderde die houding. Met de hack van Gemalto is het opnieuw duidelijk dat we zelf onze weg moeten kiezen en daarvoor hebben we simpelweg te weinig informatie.
Beschouw je mobiele gesprekken daarom niet als veilig.