<div dir="ltr">Very interesting turn the discussion has taken. Understandably, Equitel is something to watch as it could disrupt the market. many hope it will.  Are techies here telling us that the security of using Equitel SIM  cannot be guaranteed unless there are strict internal controls? <div>Does this mean we already need laws for what is quite a novel application in Kenya? And how does ethics as mentioned by Jaco come in here if at all? </div></div><div class="gmail_extra"><br><div class="gmail_quote">2015-07-21 16:17 GMT+03:00 Lesley Leposo via Security <span dir="ltr"><<a href="mailto:security@lists.my.co.ke" target="_blank">security@lists.my.co.ke</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word"><div>Cool Steve.</div><div><br></div><div>Now from a policy and regulation standpoint, the fundamental isssue (by far) is that….</div><div><br></div><div>A *proprietary* technology is being deployed by a public utility/service.</div><div><br></div><div>There are always major risks with going “proprietary” vs. standardized/open/open-source.</div><div><div><br></div>
<br><div><blockquote type="cite"><div><div class="h5"><div>On Jul 21, 2015, at 4:11 PM, Stephen Munguti <<a href="mailto:kamitu.sm@gmail.com" target="_blank">kamitu.sm@gmail.com</a>> wrote:</div><br></div></div><div><div><div class="h5"><div dir="ltr"><div><div><div>@ fredrick,<br><br></div>I don't think the issue is with Equitel (given that they have normal sim cards in use), I think the issue is the thin sim<br><br></div>@lesley <br><br></div>noted<br></div></div></div><div class="gmail_extra"><br><div class="gmail_quote"><div><div class="h5">On Tue, Jul 21, 2015 at 3:52 PM, fredrick Wahome <span dir="ltr"><<a href="mailto:frewah85@gmail.com" target="_blank">frewah85@gmail.com</a>></span> wrote:<br></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="h5"><div dir="ltr"><div class="gmail_default" style="font-family:verdana,sans-serif;color:rgb(11,83,148)">They would not have prevented thin SIM adoption but they would have played some politics using science. For now lets hope that Mwangi is going to disrupt this market and deliver us from monopolization. <br></div></div></div></div><div class="gmail_extra"><div><div class="h5"><br><div class="gmail_quote"><div><div>On Tue, Jul 21, 2015 at 3:36 PM, Stephen Munguti via Security <span dir="ltr"><<a href="mailto:security@lists.my.co.ke" target="_blank">security@lists.my.co.ke</a>></span> wrote:<br></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div><div dir="ltr"><div>@lesley,<br><br></div>The key issue is the data exchange between the Safaricom SIM card and the phone (this has nothing to do with the Safaricom Servers), bearing in mind that there exists a third party between the Safaricom SIM and the Phone <br></div></div></div><div><div><div class="gmail_extra"><br><div class="gmail_quote"><div><div>On Tue, Jul 21, 2015 at 3:28 PM, Lesley Leposo <span dir="ltr"><<a href="mailto:leposo@unoasystems.com" target="_blank">leposo@unoasystems.com</a>></span> wrote:<br></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word"><div><div><div>Everyone is griping about the keys (i.e. triplets and session keys derived from that).</div><div>I think someone needs to be very specific about the security threat involved here and both players aren’t revealing much.</div></div></div><div><div><div><div><br></div><div>IMHO, there are at least 3 areas where security threats can emerge:</div><div><br></div><div>1) Normally EAP-SIM would be used to authenticate the client/phone vs. the telco server (Safaricom in this case).</div><div>The valuable information in this case would be the SIM triplets (and derived session key). Hence, this baseline EAP-SIM needs to be protected (Safaricom knows how this is done).</div><div>If it isn’t, then we already have a problem that’s not due to thin-siim.</div><div><br></div><div>2) For the thin-sim, another EAP-SIM negotiation between the client/phone vs. the overlay sever (Equity in this case).</div><div>The valuable information again would be the thin-SIM triplets (and derived session key). Hence this overlay EAP-SIM needs to be protected in a manner that Safaricom can’t even see it… this is totally in the domain of how Equity has designed their network and their provisioning. (e.g. by encrypted negotiation & tunnelling directly between the client/phone and the Equity server).</div><div><br></div><div>3) For the handsets, they would have to make sure that the telco applications can’t snoop or inject traffic/data into each other’s walled garden - there are 2 walled gardens in this case. The walled garden includes the sim triplets (and derived session key) along with each telco network routes, policies, arp-cache and tcp/ip connections. There exists a possibility of threats due to backwards incompatibility (with phones that can’t fully manage these walled gardens). Perhaps this is what Safaricom is complaining about?</div><div><br></div></div></div><div><div><blockquote type="cite"><div><div><span><div>On Jul 21, 2015, at 2:20 PM, Mwendwa Kivuva via Security <<a href="mailto:security@lists.my.co.ke" target="_blank">security@lists.my.co.ke</a>> wrote:</div><br></span></div></div><div><div><div><span><div style="font-family:HelveticaNeue;font-size:12px;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px"><br></div><p dir="ltr" style="font-family:HelveticaNeue;font-size:12px;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px">> @mwendwa,<br>><br>> Its possible for the owner of the network of the thin sim to be privy to information that only the host network sim should be having. It all comes back to someone internal at Equitel having the proper technical skills and motivation to use the same</p><p dir="ltr" style="font-family:HelveticaNeue;font-size:12px;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px">Stephen,<span> </span><br>Then we have a major problem right there. I would not like Safaricom to disown any responsibility on their part when my security is compromised because I used thin sim. Therefore any security conscious users would not dare jeopardize their transactions by using thin sim. The question then is, how many of us care about their transaction security?<span> </span><br><br><br></p></span></div></div><div style="font-family:HelveticaNeue;font-size:12px;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px"><br></div><div><div><span>>><br>>> On Tue, Jul 21, 2015 at 1:52 PM, Mwendwa Kivuva via skunkworks <<a href="mailto:skunkworks@lists.my.co.ke" target="_blank">skunkworks@lists.my.co.ke</a>> wrote:<br>>>><br>>>> Then the trending issue of the day. Equitel. Safaricom had taken Equity to court and sounded a big warning on the use of thin sim.<span> </span><a href="http://www.businessdailyafrica.com/Corporate-News/Safaricom-sounds-warning-to-users-of-Equity-s-thin-SIM/-/539550/2462110/-/cqwoby/-/index.html" target="_blank">http://www.businessdailyafrica.com/Corporate-News/Safaricom-sounds-warning-to-users-of-Equity-s-thin-SIM/-/539550/2462110/-/cqwoby/-/index.html</a><br>>>><br>>>> London-based GSMA, the global association of telecoms operators using the GSM technology, wrote to the Kenyan authorities warning of the risks that use of the slim SIM cards pose to the integrity of the mobile telecommunications platforms.The GSMA said the overlay SIM (which is embedded between a normal SIM card and the device) has the potential of harvesting and revealing sensitive data passing the system.<br>>>><br>>>> Of course we all know Safaricom failed miserably in stopping Equity from progressing with its plans.<br>>>><br>>>> Now the thin sim is here, and Equitel has said it will encrypt all data to and from the thin sim. Can experts in this area assure us that the use of thin sims will not affect the integrity of M-Pesa transactions?<br>>>><br>>>> Regards<br>>>><br>>>><br>>>> _______________________________________________<br>>>> skunkworks mailing list<br>>>><span> </span><a href="mailto:skunkworks@lists.my.co.ke" target="_blank">skunkworks@lists.my.co.ke</a><br>>>> ------------<br>>>> List info, subscribe/unsubscribe<br>>>><span> </span><a href="http://lists.my.co.ke/cgi-bin/mailman/listinfo/skunkworks" target="_blank">http://lists.my.co.ke/cgi-bin/mailman/listinfo/skunkworks</a><br>>>> ------------<br>>>><br>>>> Skunkworks Rules<br>>>><span> </span><a href="http://my.co.ke/phpbb/viewtopic.php?f=24&t=94" target="_blank">http://my.co.ke/phpbb/viewtopic.php?f=24&t=94</a><br>>>> ------------<br></span>>>> Other services @<span> </span><a href="http://my.co.ke/" target="_blank">http://my.co.ke</a></div></div><span><div><div><br>>><br>>><br>>><br>>><br>>> --<span> </span><br>>><br>>> Best Regards,<br>>> Stephen Munguti.<br>>><br></div></div>>> <a href="tel:%2B254720425104" value="+254720425104" target="_blank">+254720425104</a><span><br>><br>><br>><br>><br>> --<span> </span><br>><br>> Best Regards,<br>> Stephen Munguti.<br>><br></span>> <a href="tel:%2B254720425104" value="+254720425104" target="_blank">+254720425104</a><br></span><div><br></div><span><span style="font-family:HelveticaNeue;font-size:12px;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;float:none;display:inline!important">_______________________________________________</span><span><br style="font-family:HelveticaNeue;font-size:12px;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px"><span style="font-family:HelveticaNeue;font-size:12px;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;float:none;display:inline!important">Security mailing list</span><br style="font-family:HelveticaNeue;font-size:12px;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px"><a href="mailto:Security@lists.my.co.ke" style="font-family:HelveticaNeue;font-size:12px;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px" target="_blank">Security@lists.my.co.ke</a><br style="font-family:HelveticaNeue;font-size:12px;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px"><a href="http://lists.my.co.ke/cgi-bin/mailman/listinfo/security" style="font-family:HelveticaNeue;font-size:12px;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px" target="_blank">http://lists.my.co.ke/cgi-bin/mailman/listinfo/security</a></span></span></div></blockquote></div><br></div></div></div></blockquote></div><br><br clear="all"><br>-- <br><div><br>Best Regards,<br>Stephen Munguti.<br><br><span style="color:rgb(0,204,204);font-family:tahoma,sans-serif"><a href="tel:%2B254720425104" value="+254720425104" target="_blank">+254720425104</a></span><br></div>
</div>
</div></div><span><br>_______________________________________________<br>
Security mailing list<br>
<a href="mailto:Security@lists.my.co.ke" target="_blank">Security@lists.my.co.ke</a><br>
<a href="http://lists.my.co.ke/cgi-bin/mailman/listinfo/security" rel="noreferrer" target="_blank">http://lists.my.co.ke/cgi-bin/mailman/listinfo/security</a><br></span></blockquote></div><br><br clear="all"><br>-- <br></div></div><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><span style="font-family:comic sans ms,sans-serif;color:rgb(102,0,0)"><br><br><br><br><span style="font-family:arial,helvetica,sans-serif"><b>-------------------------------------</b><br><b>Kind Regards</b></span></span><span style="font-family:arial,helvetica,sans-serif"><b>;</b><span><br><br><b style="color:rgb(102,0,0)"><div><div class="h5">Fredrick Wahome Ndung'u<br>Team Leader<br>Secunets Technologies Ltd<br></div></div>Website: <a href="http://www.secunets.com/" target="_blank">www.secunets.com</a><span class=""><br>Cell: <span style="color:rgb(11,83,148)">+254725264890</span><br>Email: <a href="mailto:fred@secunets.com" target="_blank">fred@secunets.com</a><br></span></b><span class=""><b><span style="color:rgb(102,0,0)">Facebook: <span style="color:rgb(11,83,148)">secunetstech</span></span></b><b style="color:rgb(102,0,0)"><br></b><b><span style="color:rgb(102,0,0)">Twitter: <span style="color:rgb(11,83,148)">@secunets</span></span></b><b style="color:rgb(102,0,0)"><br>Skype: <span style="color:rgb(11,83,148)">secunets.technologies</span><br>Experts in: </b><span style="color:rgb(102,0,0)"></span><span><span style="color:rgb(102,0,0)"><span style="color:rgb(11,83,148)">Domain Registration, Web Hosting</span></span><span style="color:rgb(102,0,0)"><span style="color:rgb(11,83,148)">,</span></span><b style="color:rgb(102,0,0)"><span style="color:rgb(11,83,148)"> </span></b></span><span><span style="color:rgb(102,0,0)"><span style="color:rgb(11,83,148)"><span><span style="color:rgb(102,0,0)"><span style="color:rgb(11,83,148)"><span>Open Source Solutions,</span></span></span></span> </span></span></span><span style="color:rgb(11,83,148)"><span>Information Security & Training, </span></span></span></span></span><span style="color:rgb(102,0,0)"><span style="font-family:arial,helvetica,sans-serif"><span style="color:rgb(11,83,148)"><span><span>Digital Forensic Investigations</span></span>, </span></span></span><span style="color:rgb(102,0,0)"><span style="font-family:arial,helvetica,sans-serif"><span style="color:rgb(11,83,148)">Web 2.0 Applications & I.C.T </span></span><span style="font-family:comic sans ms,sans-serif"><span style="font-family:arial,helvetica,sans-serif"><span style="color:rgb(11,83,148)">Consultancy.</span></span></span></span><span class=""><span><b style="color:rgb(102,0,0)"><span style="font-family:comic sans ms,sans-serif"><br><br style="font-family:comic sans ms,sans-serif"></span></b><div style="text-align:center"><b style="color:rgb(102,0,0)">"<span style="color:rgb(11,83,148)"><font size="4"><i>Secure Business Technology</i></font></span>"</b><br></div><br><br>------------------------------------------------------------------------------------------------------------------------------------------------<br><div style="text-align:center"><span style="font-family:comic sans ms,sans-serif"><b style="color:rgb(102,0,0)">SECUNETS TECHNOLOGIES DISCLAIMER:</b></span><br></div><br><span style="color:rgb(11,83,148)">This email message and any file(s) transmitted with it is intended solely for the individual or entity to whom it is addressed and may contain confidential and/or legally privileged information which confidentiality and/or privilege is not lost or waived by reason of mistaken transmission. If you have received this message by error you are not authorized to view disseminate distribute or copy the message without the written consent of Secunets Technologies and are requested to contact the sender by telephone or e-mail and destroy the original. Although Secunets Technologies takes all reasonable precautions to ensure that this message and any file transmitted with it is virus free, Secunets Technologies accepts no liability for any damage that may be caused by any virus transmitted by this email. </span><br><br></span></span></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div>
</div>
</blockquote></div><span class=""><br><br clear="all"><br>-- <br><div><br>Best Regards,<br>Stephen Munguti.<br><br><span style="color:rgb(0,204,204);font-family:tahoma,sans-serif">+254720425104</span><br></div>
</span></div>
</div></blockquote></div><br></div></div><br>_______________________________________________<br>
Security mailing list<br>
<a href="mailto:Security@lists.my.co.ke">Security@lists.my.co.ke</a><br>
<a href="http://lists.my.co.ke/cgi-bin/mailman/listinfo/security" rel="noreferrer" target="_blank">http://lists.my.co.ke/cgi-bin/mailman/listinfo/security</a><br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature">Grace L.N. Mutung'u <br>Nairobi Kenya<br>Skype: gracebomu<br>Twitter: @Bomu<br><br><<a href="http://www.diplointernetgovernance.org/profile/GraceMutungu" target="_blank">http://www.diplointernetgovernance.org/profile/GraceMutungu</a>><br><br></div>
</div>