Digitale Selbstverteidigung mit dem IMSI-Catcher-Catcher

Inhaltsverzeichnis

Einst waren IMSI-Catcher große, teure Anlagen, mit denen die International Mobile Subscriber Identity (IMSI) eines Mobilfunk-Endgerät ausgelesen werden konnte. Aus Kostengründen waren sie in der Regel Polizeibehörden und Geheimdiensten vorbehalten. Heute sind IMSI-Catcher weitaus mächtiger, kleiner und billiger. Auch gewöhnliche Kriminelle können sie verwenden.

Ein Team um den Wiener Sicherheitsforscher Adrian Dabrowski vom Forschungszentrum SBA-Research sucht nach Spuren, die IMSI-Catcher hinterlassen. Um die Theorie in der Praxis zu beweisen, wurde ein IMSI-Catcher-Catcher (ICC) entwickelt. Er eignet sich für einen stationären Gegen-Überwachungschirm, doch es mangelt an Geld für den Netzausbau.

Im Herbst soll eine Android-App für den mobilen Einsatz herauskommen. Beide Systeme werden Open Source.

IMSI-Catcher

Ein Endgerät registriert sich in einem GSM-Netz mit drei Kennziffern: Der IMEI (für das Gerät selbst), der IMSI (aus der SIM-Karte) und mit einem geheimen Schlüssel, der auf der SIM-Karte hinterlegt ist. Das Netz teilt dann noch eine Temporäre Mobile Subscriber Identity (TMSI) zu. Die Authentifizierung ist aber leider eine Einbahnstraße: Es ist nicht vorgesehen, dass das Endgerät überprüft, ob das GSM-Netz echt ist.

Und das nützen IMSI-Catcher weidlich aus. Sie geben vor, Teil des echten Netzes zu sein. Auf diese Weise versuchen sie, Endgeräte an sich zu ziehen. Dabei sind zwei Betriebsmodi bekannt: Der Identifzierungsmodus und der Camping-Modus.

IMSI-Catcher: Identifizierungsmodus

Im Identifizierungsmodus wartet der IMSI-Catcher auf den Versuch des Handys, sich einzubuchen, was mehrere Minuten dauern kann. Kommt dann die Anfrage vom Handy, lehnt der IMSI-Catcher sie umgehend ab. Das Handy wandert nach weniger als zwei Sekunden zurück ins echte Mobilfunknetz und der Nutzer merkt nichts. Der Verbindungsversuch beschert dem Betreiber des IMSI-Catchers aber wertvolle Daten wie IMSI und IMEI.

Eine Behörde kann anhand dieser Daten die Überwachung des Endgerätes über das echte Netz einleiten. Das ist viel einfacher, als stundenlang mit einem IMSI-Catcher einem mobilen Endgerät nachzulaufen. Weil aus der IMEI aber auf den genauen Typ des Endgeräts geschlossen werden kann, sind diese Daten auch für Kriminelle und Geheimdienste interessant: Sie können einen maßgeschneiderten Angriff starten, um das Endgerät selbst zu hacken.

IMSI-Catcher: Camping-Modus

Im Camping-Modus führt der IMSI-Catcher eine länger andauernde Man-In-The-Middle-Attacke aus. Dem Zielgerät wird das Einbuchen in die falsche Mobilfunkzelle nicht nur gestattet, es soll auch möglichst lange darin eingebucht bleiben. Ausgehende Telefonate und SMS, eventuell auch Datenverkehr, werden weitergeleitet. Sie werden abgehört während dem User nichts auffallen soll. Die GSM-Verschlüsselung wird dabei abgeschaltet oder auf die unsicheren Methoden A5/1 und A5/2 beschränkt. Im Fall von gemischten UMTS/GSM-Netzen wird die Verbindung auf GSM herabgestuft.

Der Camping-Modus wird von Angreifern benutzt, die entweder grundsätzlich unbefugt sind, oder denen der Behördenweg zu langwierig ist. Andere Einsatzzwecke sind das Abfangen von mTANs beim Online-Banking, Angriffe auf SIM-Karten mittels verschlüsselter SMS, das Zustellen falscher Konfigurationsmitteilungen für das Endgerät (um Datenverkehr dauerhaft über einen Proxy zu leiten), oder schnöde Spam-SMS.

Verräterische Spuren

Inzwischen gibt es IMSI-Catchern von zahlreichen Herstellern. Sie verraten keine technischen Details. Außerdem gibt es Selbstbauanleitungen auf Open-Source-Basis, wo die Hardware nur noch gut Tausend Euro kostet. Die Geräte sind so geschrumpft, dass sie sich leicht am Körper versteckt tragen lassen. Doch Spuren hinterlassen die IMSI-Catcher trotzdem.

Die Gruppe um Dabrowski hat rund ein Dutzend Merkmale herausgearbeitet, die auf das Vorhandensein eines IMSI-Catchers in der näheren Umgebung hinweisen können. Auf dieser Basis wurde der IMSI-Catcher-Catcher entwickelt. Je mehr dieser Merkmale auftreten, umso eher ist ein Überwachungsgerät im Einsatz. Zu den verräterischen Spuren zählen:

• Frequenzen
  Nutzt eine Mobilfunkzelle eine ungewöhnliche Frequenz, gerne aus einem Schutzband, sollte das hinterfragt werden. Und starke Störungen auf anderen Frequenzen deuten auf den zusätzlichen Einsatz eines Störsenders hin, der das Zielgerät auf die Frequenz der falschen, nicht gestörten Zelle treiben soll.
• Auftauchen unbekannter Mobilfunkzellen
  In der Realität ändern sich Identifikationsnummern in Mobilfunknetzen nur sehr selten. Wenn plötzlich eine bisher unbekannte Zelle auftaucht, vielleicht auch noch mit einer ungewöhnlichen Angabe zur Location Area, ist Vorsicht angezeigt. Und besonders kurzlebige Zellen sind womöglich IMSI-Catcher im Identifizierungsmodus.
• Downgrades
  Die Mobilfunk-Verbindung wird von UMTS auf GSM herabgestuft, und/oder die Verschlüsselung wird abgeschaltet oder auf unsichere Methoden reduziert? Finger weg! Auch wenn ein Teil des Netzes plötzlich nicht alle gewohnten Funktionen (wie GPRS, EDGE oder HSPA) anbietet, oder sich technische Parameter vom Rest des Netzes unterscheiden, ist das auffällig.
• Festhalten des Handys in einer Zelle
  Ein Angreifer im Camping-Modus wird versuchen, das Handy an sich zu binden. Ein Trick: Dem Handy wird mitgeteilt, dass es keine benachbarten Zellen gibt, oder es werden nicht verfügbare Nachbarzellen gemeldet. Eine andere Vorgehensweise ist die Manipulation der Signalstärken-Messwerte.
• Auffälligkeiten im Mobilfunk-Verkehr
  Das Zustellen eingehender Anrufe und SMS stellt viele IMSI-Catcher vor Probleme. Aber auch bei ausgehenden Verbindungen kann es Auffälligkeiten geben, etwa wenn plötzlich keine Caller-ID übertragen wird. Eine besonders aufwändige Man-In-The-Middle-Attacke ist auf diese Weise aber schwer zu entlarven: Wenn der IMSI-Catcher das Endgerät des Opfers emuliert und die GSM-Übertragungen unverändert vom beziehungsweise an das echte Netz weitersendet.

Stationäre IMSI-Catcher-Catcher

Um die theoretischen Erkenntnisse in der Praxis zu beweisen, möchte Dabrowski gerne ein Netz von IMSI-Catcher-Catchern aufspannen. Für die etwa 20 Quadratkilometer der Wiener Innenstadt wären 20-30 ICC auf Dächern oder Dachgeschoßen erforderlich. Das Team musste zahlreiche Modems testen bevor eines gefunden wurde, das überhaupt die wichtigsten Daten preisgab. Detaillierte Unterlagen rücken die Hersteller nämlich nicht heraus. Nach erfolgreichen Labortests wurde im Juli 2013 der erste Wiener ICC in Betrieb genommen. Drei weitere folgten Anfang 2014.

In dem Gehäuse werken ein GSM-Modem von Telit (ohne SIM-Karte) sowie ein Raspberry Pi Linuxcomputer. Die Materialkosten eines ICC liegen bei gut Hundert Euro. Eine spätere Version mit Software Defined Radio könnte günstiger und mächtiger sein, hätte aber vielleicht Probleme mit der fernmelderechtlichen Zulassung.

Das aktuelle Modell scannt passiv alle sieben Minuten das gesamte österreichische GSM-Spektrum (900 und 1800 MHZ) ab. Die gewonnen Informationen werden in einer Datenbank gespeichert und dann mit alten Daten verglichen. Die vier ICCs haben Dutzende Millionen Datensätze gesammelt. Je nach Tageszeit und Wetterlage werden 270 bis 400 Basisstationen empfangen. Entdeckt wurden Netzumstrukturierungen, ein (inzwischen behobener) Fehler in der veröffentlichten Frequenzliste der Regulierungsbehörde, und andere Merkwürdigkeiten. Der im Labor gelungene Nachweis eines IMSI-Catchers steht in der freien Wildbahn Wiens aber noch aus.

Mobile IMSI-Catcher-Catcher für Android

Zum Schutz einfacher User ist eine App für Android in Arbeit, die ohne root-Rechte und ohne zentrale Datenbank auskommt. Diese App erfasst regelmäßig die Identifikationsnummern der benutzten Mobilfunkzellen und einiger Nachbarn. Außerdem wird gespeichert, welche Datenübertragungsmethoden die Mobilfunk-Basisstationen unterstützen. Diese Informationen werden mit GPS-Koordinaten verknüpft im Handy hinterlegt.

Die Umgebung wird in 150x100 Meter große Kacheln geteilt. Wurden der aktuelle Aufenthaltsort sowie die ringsum gelegenen acht Kacheln jeweils zweimal durchschritten gilt der Ort als erfasst. Dann meldet die App im Ampelsystem Grün/Gelb/Rot welche Gefährdungsstufe sie erkennt. Grau bedeutet: Zuwenig Daten; der Ort wurde also noch nicht ausreichend erfasst.

Für tiefgehende Analysen mittels Handy wären Root-Rechte erforderlich, was viele Personen von der Nutzung abhielte. Außerdem müssten die Schnittstellen jedes Baseband-Chips separat erarbeitet werden. Eine Sisyphusarbeit. Auch ob die Verbindung verschlüsselt ist, verrät Android nicht. Ein entsprechender Request lag seit fast fünf Jahren auf Halde. Erst diese Woche hat das Android Security Team Freiwillige dazu eingeladen, ein solches Feature zu entwickeln.

Für iOS ist keine App geplant. Apps, die Nachbarschaftseinträge einer Mobilfunkzelle abfragen, sind bei Apple nicht willkommen. "Auf iPhones besteht also keine Chance auf verbreitete Nutzung", stellte Dabrowski gegenüber der c't fest, " Daher verfolgen wir das nicht weiter."

Die nächsten Schritte

Dabrowski wird die Forschungsergebnisse auf der Annual Computer Security Applications Conference (ACSAC) im Dezember in New Orleans veröffentlichen. Bis dahin soll es auch eine öffentliche Betaversion der Android-App geben.

Die Software für ICC, stationär wie mobil, wird unter einer Open Source Lizenz veröffentlicht werden. Dann können Interessierte sie weiterentwickeln, was auch erforderlich sein wird. "Die IMSI-Catcher werden ihre Systeme verbessern, um weniger Spuren zu hinterlassen. Das wird wahrscheinlich ein Rüstungswettlauf", glaubt Dabrowski, "Das ist bei fast allen Computersicherheitsthemen seit Jahrzehnten so." (ds)