27C3: Hacker wollen GSM-Netz weiteren Härtetests unterziehen

Harald Welte vom Open-Source-Projekt OsmocomBB hat die Hackergemeinde aufgerufen, ihre Sicherheitstests vom Internet stärker auf mobile Netzwerke auszudehnen. Mit frei verfügbarer Software könne mittlerweile etwa dem vielfach eingesetzten GSM-Protokoll genau auf den Zahn gefühlt werden. "GSM-Netzwerke sind mindestens genauso weit verbreitet wie das Internet, aber ihre Protokolle werden nicht im gleichen Maße überprüft", monierte der Programmierer auf dem 27. Chaos Communication Congress (27C3) in Berlin. Es gebe noch kein ausreichendes Wissen, wie etwa die von den Netzwerkbetreibern oder Mobiltelefonherstellern verwendete Ausrüstung funktioniere und welche Sicherheitsauswirkungen damit verbunden seien. Die gesamte Mobilfunkindustrie arbeite nach wie vor weitgehend abgeschottet, Hardware-Dokumentationen etwa würden nur in Ausnahmefällen veröffentlicht.

Um eine unabhängige Sicherheitsforschung rund um GSM-Protokolle zu erleichtern und den Fokus der Tester über die Beschäftigung mit Verschlüsselungssystemen und mobiler Schadsoftware hinaus auszuweiten, hat Welte OsmocomBB ins Leben gerufen. Dabei handelt es sich um eine Plattform für den Betrieb von Mobiltelefonen, die vollständig auf freier Software basiert. Es bestünden damit mittlerweile verschiedene Lösungen, um willkürliche Protokolldaten von einem Netzwerk an ein Mobiltelefon oder von Proxy-Servern an ein Netzwerk beziehungsweise ein Handy zu senden. Auf diese Weise könnten mobile Netze erstmals ausgiebigen Härtetests unterzogen werden. Mit OsmocomBB halte der Sicherheitsforscher das Äquivalent zu einer Ethernet-Karte zum Anschluss an die IP-Welt in den Händen.

Das Projekt setzt auf bekannten Schwachstellen im GSM-Netz und Vorarbeiten wie dem OpenBSC-Konzept zur freien Implementierung einer Basisstation nebst zusätzlicher Kontrolleinheiten auf. Zugute kommt OsmocomBB, dass bei GSM-Übertragungen keine gegenseitige Authentisierung zwischen Telefon und Netzwerk erfolgt. Dies macht unter anderem auch den Einsatz von IMSI-Catchern zur Ortung von Teilnehmern und zur Vorbereitung von Abhörmaßnahmen möglich. Darüber hinaus gelten die eingesetzten Verschlüsselungsalgorithmen als schwach und vergleichsweise einfach umgehbar, was ein anderes Forscherteam auf der Hackerkonferenz bereits vorführte.

Die Osmocom-Tüftler machten sich mit diesem Wissen im Hinterkopf zunächst auf die Suche nach einem geeigneten Basisband-Prozessor, in dem das GSM-Protokoll auf einem Mobiltelefon abläuft. Diese Schnittstellentechnik zum GSM-Netz umfasst Welte zufolge keinen Speicherschutz zwischen einzelnen Aufgaben. Auch der enthaltene Signalprozessor enthalte keine modernen Sicherheitsfunktionen. Für die Projektimplementierung griff das Team letztlich auf ein TI-Calypso-Modul zurück, da der zugehörige Protokoll-Stack und eine Dokumentation bereits offen verfügbar gewesen seien. Auf der Softwareseite habe man unter anderem Bibliotheksteile von OpenBSC verwenden können.

Dank OsmocomBB sei es so mit Testgeräten von Motorola möglich, Kanäle zu einem Netzwerk aufzubauen und beliebige Kontrollbotschaften zu senden, führte Welte aus. Weiter könne man eine falsche Standortangabe simulieren, Zellinformationen scannen und protokollieren oder GPS-Positionen aufzeichnen. Mithilfe weiterer Werkzeuge könnten entsprechende Protokolldaten verarbeitet und Positionen in einer Funkzelle berechnet werden. Auch die Signalstärke sei überprüfbar. Systeminformationen könnten zudem an den Wireshark-Sniffer weitergeleitet und ausgewertet werden.

In einer Demovorführung schafften es Osmocom-Teammitglieder schließlich tatsächlich, sich in das kongresseigene GSM-Netzwerk einzubuchen, das die Hacker mit dem Segen der Bundesnetzagentur zum zweiten Mal vor Ort mit drei Basisstationen aufgebaut haben. Ein Anruf darüber klappte problemlos. Es sei überdies möglich, eine eigene Gerätekennung einzugeben oder dem Netzwerk vorzugaukeln, dass das Telefon keine Verschlüsselung unterstütze oder schon zehn Jahre alt sei, erklärte ein Kollege Weltes. Letzterer geht davon aus, dass auch das Einklinken mit der selbstgebauten Testumgebung in die offiziellen Netzwerke der großen Betreiber hierzulande legal ist. Solange man die öffentliche Kommunikation nicht unterbreche, sehe er keine Probleme. Es sei aber zu prüfen, ob ein Verstoß gegen die Geschäftsbedingungen eines Mobilfunkunternehmens vorliegen könnte. (ola)