• 金雅拓现已成为泰雷兹集团的一部分, 了解更多内容。

金雅拓公布英国政府通信总部(GCHQ)和美国国家安全局(NSA)攻击 SIM 卡密钥事件的调查结果

 

​ 

  • Ÿ 基于所披露文件所描述的入侵方法的调查结果和金雅拓在 2010 年及 2011 年间所监测到的精心策划 的攻击,使我们有理由相信 NSA 和 GCHQ 的行动有可能已经发生

  • 针对金雅拓的攻击仅破坏了其办公网络,不会导致大规模的 SIM 加密密钥被盗用

  • 此次攻击行动旨在拦截加密密钥,因为它们会在全球的移动运营商和其供应商之间进行 传输。 2010 年,金雅拓已为其客户广泛部署了安全传输系统。在这种部署下,只有极少的例外情况有可能 导致盗用的发生

  • 即使密钥最终被盗,情报部门也只能窥探到第二代 2G 移动网络的通信。  3G 4G 网络则不易受到 这类攻击的侵害

  • 金雅拓其他产品均不会受到这此攻击的影响

  • 对这些类型攻击的最好应对措施就是在数据存储和传输时对其进行系统加密,采用最新型的  SIM 卡, 以及针对每次操作的定制算法

2015 年 2 月 25 日,中国北京  – 继 2015 年 2 月 19 日某网站发布的一份报告之后,金雅拓

(Euronext    NL0000400653    GTO)根据以下两个因素展开了全面彻底的调查:一、该网站上公布的声 称源自 NSA 和 GCHQ 的报告;二、金雅拓内部监测工具和以往监测到的尝试性攻击的记录。 

文中所有评论建立这样一个假定之上,即在所公布的文件是真实的,且准确参考了 2010 年和

2011 年间所发生的事件。我们在此公布的内容既不认可这些网站上所公布文件的部分或全部内容,也不 提供反驳它们的理由。 

金雅拓是一个致力于数字安全的公司,他人时不时地尝试攻击我们。这些入侵尝试或多或少都是精 心策划的,而且我们也已习惯应对。这其中大部分的入侵都未成功,只有极少数穿透了金雅拓高度安全的 网络架构的外层。

参照 NSA 和 GCHQ 报告中所涵盖的时间段,我们可以确认,金雅拓经受了多次攻击。尤其在

2010 年和 2011 年间,我们监测到两个可能与此攻击行动有关的精心策划的入侵。 

2010 年 6 月,我们注意到金雅拓法国的一个站点有可疑活动,其中有第三方试图窥探办公网络。 这里的"办公室网络"指我们的员工进行内部或外部沟通所使用的网络。我们立即采取了措施,应对这一 威胁。 

2010 年 7 月,金雅拓安全团队发现了第二个安全事件。有人盗用了金雅拓的合法电子邮件地址向 我们的一个移动运营商客户发送了邮件。此伪造电子邮件包含可下载恶意代码的附件。 我们立即通知该 客户,并向有关当局报告此次事件以及所用的恶意软件类型。 

在同一时间段,我们也发现了多次尝试访问金雅拓员工电脑的攻击,这些员工都是与客户保持定期 联系的人员。 

当时我们无法确定肇事者,但现在我们认为他们可能与 NSA 和 GCHQ 行动有关。这些入侵仅影 响了我们网络的外层,即与外界联系所使用的办公网络。 一般来说,SIM 加密密钥和客户数据并不存储 在这些网络上。 金雅拓网络架构的设计就像洋葱和橙子的交叉,具有多层次和多分段,有助于分类聚集 和隔离数据,认识到这一点非常重要。 

以上这些严重的、精心策划的攻击并没有在我们网络的其他部分被监测到。在运行 SIM 的基础架 构上以及管理金雅拓其他产品,如银行卡、身份证或电子护照等,的安全网络中,并没有发现任何破坏活 动。这些网络彼此独立,且不与外部网络连接。 

除此以外,个别的,针对大量 SIM 卡的远程攻击也是极其困难的。这一事实加上金雅拓复杂的网 络架构促使情报部门将数据作为首选目标,即如报告所述,数据在供应商和移动运营商之间进行传输时进 行攻击。 

早在 2010 年前我们已经部署了高度安全的传输流程,大大降低了客户共享数据时遭到拦截的风险。 此报告表明,这些攻击的目标是阿富汗、也门、印度、塞尔维亚、伊朗、冰岛、索马里、巴基斯坦和塔吉 克斯坦的移动运营商。报告还指出,当运营商使用安全数据传输方法时,拦截技术根本不起作用,尤其是 "无法对巴基斯坦网络产生结果"。我们可以证实,在当时巴基斯坦运营商和金雅拓之间的数据传输采用 了非常安全的传输流程。 然而在 2010 年,这些数据传输方法并未被普遍使用,某些运营商和供应商选择 不去使用它们。在金雅拓,安全传输系统是标准的做法,只有在特殊情况下才不会使用它。 

对该报告的分析显示除金雅拓外,NSA 和 GCHQ 还将许多其他各方作为目标。而作为市场领导者, 金雅拓可能一直是情报部门的首选目标,以便他们入侵尽可能多的手机。。即便如此,我们在该报告中可 以看到,有许多方面都与金雅拓无关,例如:

  • Ÿ 金雅拓从未向文档所列的 12 个运营商之中的 4 家运营商销售过 SIM 卡,特别是索马里运营商,据报 道该运营商有 30 万个密钥被盗。
  • Ÿ声称是我们个人化中心所处位置的列表所显示的 SIM 卡个人化中心位于日本、哥伦比亚和意大利。然 而,当时金雅拓尚未在这些国家运营个人化中心。
  • Ÿ​表 2 显示,只有 2%的加密密钥交换(38/1719)来自 SIM 供应商,并指出,SIM 供应商使用强大的加密 方法意味着其他群体(98%)更容易遭受这些类型的攻击。

 

2010-2011 年期间,攻击的目标国家的大多数运营商仍在使用 2G 网络。第二代技术的安全水平的 开发最初始于 20 世纪 80 年代,到 2010 年被认为过于薄弱和过时。如果 2G SIM 卡加密密钥被情报部门 侦听,那么从技术上说他们能够在手机使用 SIM 卡时窥探通信。这是众所周知的、旧的 2G 技术弱点, 多年来我们一直建议运营商增加安全机制的部署。然而,即使加密密钥被情报部门侦听,其利用价值也有 限。这是因为当时在这些国家,大部分正在服务中的 2G SIM 卡都是预付费卡,生命周期非常短,通常为 3 至 6 个月。 

随着专有算法的引入,原有 2G 标准的已知弱点被消除了,目前专有算法仍然被主要的网络运营商 用作额外的安全保护机制。随着拥有额外加密的 3G 和 4G 技术的到来,安全水平获得了进一步的提高。 如果有人侦听到 3G 或 4G SIM 卡所使用的加密密钥,也无法连接网络,从而无法窥探通信。因此,3G 和 4G 卡不会受到上述攻击的影响。然而,虽然与 2G 向下兼容,但这些新产品并未在全球使用,原因是 这些产品较为昂贵,而有时运营商仅据价格做出采购决策。 

数字安全并非一成不变的。随着时间的流逝,目前一流的技术会逐渐丧失其有效性,因为新的研 究和日益增强的处理能力可能催生新型攻击。所有值得信赖的安全产品必须定期进行重新设计和升级。 SIM 卡也不例外,它们一直随着时间而演进。特别值得一提的是,针对 3G 和 4G 网络,技术已经进行了 大规模的重新开发。 

对于和金雅拓一起在 SIM 卡中嵌入了定制算法的移动运营商来说,这样的安全性水平更高。金雅 拓客户所使用算法的多样性和碎片化进一步增加了部署大规模全球监控系统的复杂性和成本。这是我们反 对替代技术的原因之一,替代技术可能会限制运营商自定义其安全机制的能力。如果此类技术不幸被破坏 或失效,则会使组织大规模监控变得更加轻松简单。 

金雅拓希望重申我们提供民用领域最高安全水准的承诺。我们的安全产品、基础架构和流程旨在 确保全球的、开放的商业环境的最高安全水平。这些一直由第三方私人和公共机构定期进行审核和认证。

然而,我们意识到,最顶级的国家机关,尤其是当他们协同工作时,拥有的资源和法律支持远远 超过普通黑客和犯罪组织所能企及的。而且我们担心,这些国家机关可能参与对私营企业进行毫无理由的 任意操作。 

鉴于最近的事件,金雅拓关注的焦点始终是我们的客户。我们的团队特别感谢客户在过去几天来 给予我们的支持。这些事件激励我们的员工更加紧密地与客户及业界合作,以研发出更加先进的解决方案, 满足最终用户的需求。 

在当今世界,任何组织都可能遭受网络攻击。因此,遵循安全最佳实践和采用最新技术比以往任 何时期都更加重要,这包括先进的数据加密,即使网络被破坏,第三方也无法访问任何被盗信息。 

金雅拓将一如既往地监测网络,完善流程。除非有重大进展,我们将不对此事再做进一步的沟通。 

关于金雅拓

 金雅拓(泛欧交易所代码:NL 0000400653 GTO) 是全球数字安全领域的领导厂商,2013 年营业收入 达 24 亿欧元,全球拥有 12,000 多名员工。在 44 个国家设立了 85 个办事处以及 25 个研发中心。

金雅拓定位于快速革新的数字安全领域的核心。全球数十亿人日益需要和期望能够以安全、愉悦的 方式随心所欲地与他人沟通、旅行、购物、处理银行事务、娱乐及工作。金雅拓致力于满足人们对个人移

动服务、支付安全、云认证访问服务、身份与隐私保护、高效的电子医疗保健和电子政务、便捷票务、可 靠的机器对机器(M2M)应用等方面不断增长的需求。我们开发安全的嵌入式软件,同时设计并个人化安

全产品。我们的平台和服务管理着这些产品及其中的机密数据,还有在此之上运行的可信终端服务。 金雅拓锐意创新,致力于为我们的客户提供更多的创新方案,从而为人们带来更加便捷和安全的数

字生活。越来越多的人正在通过金雅拓的软件及安全设备在数字和无线世界中进行互动,金雅拓亦随之蓬 勃发展。

垂询详情,请访问: www.gemalto.com/china www.justaskgemalto.com,blog.gemalto.com

 

新闻媒介查询请联系:

 金雅拓亚洲区
Pierre Lelievre
电话: (65) 6317 3333
Pierre.LELIEVRE@gemalto.com 

梁向农
电话:(86 10) 5937 3046
Vivian.liang@gemalto.com 

科闻一百 耿丽娟
电话: (86 10) 5900 1180-106
Maggie.geng@text100.com.cn