IMSI-Catcher für 1500 Euro im Eigenbau

Auf der Hackerkonferenz Defcon hat Chris Paget erstmals seinen selbst gebauten IMSI-Catcher zum Belauschen von GSM-Netzen öffentlich auf ein Mobilfunknetz losgelassen.

In Pocket speichern vorlesen Druckansicht 98 Kommentare lesen
Lesezeit: 5 Min.
Von
  • Uli Ries
  • Dr. Oliver Diedrich

Lediglich ein Notebook und eine programmierbare Funkhardware (hinten im Bild) sind zum Aufbau einer GSM-Basisstation nötig.

(Bild: Uli Ries)

Auf der Hackerkonferenz Defcon hat Chris Paget erstmals seinen selbst gebauten IMSI-Catcher zum Belauschen von GSM-Netzen öffentlich auf ein Mobilfunknetz losgelassen. Der britische Hacker ließ seine Konstruktion, bestehend aus einer programmierbaren Funkhardware (USRP, Universal Software Radio Peripheral) und der Open-Source-Software OpenBTS, das Netz von AT&T nachahmen. Nach wenigen Minuten waren bereits über 30 Mobiltelefone mit seiner Basisstation verbunden. In früheren Demonstrationen – heise security konnte Paget bereits im Februar über die Schulter schauen – erzeugte der Hacker jeweils Netze mit Fantasienamen.

Bis zuletzt war unklar, ob Paget seine Demonstration so praxisnah gestalten kann. Erst kurz vor seinem Vortrag erreichte ihn eine lange Auflagenliste der FCC (Federal Communications Commission). Einer der zu erfüllenden Punkte war, dass die lediglich knapp 1500 Euro teure Hardware – kommerzielle IMSI-Catcher kosten mindestens einen sechs-, manchmal auch siebenstelligen Betrag – nicht auf einer Frequenz senden darf, die in den USA von Mobilfunknetzen verwendet wird. Also behalf er sich mit einem Trick: Das in Europa übliche Mobilfunk-Frequenzband 900 MHz ist in den USA für den Amateurfunk reserviert. Da moderne Handys auf allen vier gebräuchlichen Frequenzbändern (850 MHz, 900 MHz, 1800 MHz, 1900 MHz) funken, verbanden sich die Endgeräte klaglos mit dem Pagets Funkmast im Glauben, eine europäische Mobilfunk-Basisstation vor sich zu haben.

Zu Beginn der Vorführung ließ Paget die Hardware ein Funknetz mit der Kennung „Defcon18“ – von manchen iPhones nur mit der dahinter liegenden nummerischen Kennung „00101“ angezeigt – erzeugen, um die prinzipielle Funktionstüchtigkeit zu beweisen. Danach wechselte er den Namen auf „AT&T“. Durch Blick aufs Handy-Display war nicht mehr zu unterscheiden, ob es sich um ein legitimes oder ein bösartiges Funknetz handelt. Ironischerweise schreiben die US-Auflagen vor, dass eine von Funkamateuren betriebene Infrastruktur unverschlüsselt arbeiten muss.

Somit konnte das mit dem USRP verbundene Linux-Notebook alle über die Basisstation geführten Gespräche prinzipiell mitschneiden. Paget verzichtete natürlich darauf und zerstörte im Anschluss auch den USB-Stick, von dem er das Notebook gestartet hat. Um die von den gekaperten Handys aufgebauten Telefonate zum gewünschten Gesprächspartner zu leiten, verband Paget ein Mobiltelefon per USB mit dem Notebook. Das Gerät vermittelte die Gespräche dann per VoIP.

Möglich ist der komplette Angriff, da sich Mobiltelefone automatisch mit der Basisstation verbinden, die das kräftigste Funksignal ausstrahlt. Nachdem Pagets Aufbau im Zweifel immer näher an den Endgeräten ist als die Funkmasten der Netzbetreiber, gewinnt die Hacker-Hardware das Rennen. Simuliert wird ein 2G-Netz, um der bisher nicht geknackten 3G-Verschlüsselung aus dem Weg zu gehen. Nachdem selbst topmoderne Handys nach wie vor 2G-komptibel sind, machen sie das Herunterstufen einwandfrei mit. Dazu Paget: „Das ist, als würde ein PC versuchen, eine SSH-Verbindung aufzubauen und sich dabei automatisch auf Telnet zurückstufen lassen. GSM ist das Telnet unter den Mobilfunknetzen.“

Auch beim Lauschopfer eingehende Telefonate lassen sich abbilden. Die OpenBTS-Software schickt dazu die ohnehin schon gespeicherte IMSI des Opfers an das eigentliche Mobilfunknetz weiter. Die von dort übermittelte RAND-Challenge leitet die bösartige Basisstation an das Handy zurück. Der daraufhin vom Telefon bekannt gegebene Keystream kann dann geknackt und so der Session Key ermittelt werden. Letzterer wird wieder an das legitime Funknetz geschickt, das die Verbindung daraufhin herstellt. Paget geht davon aus, dass der komplette Prozess nur eine Verzögerung von wenigen Sekunden bedeuten würde. Noch ist eine solche Funktion nicht in OpenBTS implementiert. Chris Paget ist sich jedoch sicher, dass dies machbar ist.

Prinzipiell sieht der GSM-Standard vor, dass Handys bei unverschlüsselten Verbindungen eine Warnung anzeigen. Laut Chris Paget ist diese Option aber bei allen SIM-Karten durch das Setzen eines entsprechenden Bits deaktiviert. Die deutschen Netzbetreiber wussten auf Nachfrage auch nach längerer Recherche nichts zu dieser Option zu sagen. Als Grund, warum das Bit nicht gesetzt ist, nennt Paget die Netze in Ländern wie Indien. Dort darf das Handynetz nicht codiert werden. Wäre die Warn-Funktion aktiviert, würde bei jedem Wechsel der Funkzelle erneut eine Meldung auf dem Display ausgegeben – was wiederum für reichlich Support-Anrufe beim Provider sorgen würde.

Wirksamen, praxistauglichen Schutz vor dem Lauschangriff sieht Paget nicht. Einzig teure Krypto-Telefone oder die für manche Nokia-Modelle und Blackberrys angebotene Verschlüsselung zum Nachrüsten versprechen Abhilfe ­– vorausgesetzt, beide Seiten nutzen die gleiche Hard- oder Software. Für Android-Smartphones gibt es seit kurzem ebenfalls eine Gratis-Krypto-Software. Ansonsten kann nur der konsequente Umstieg auf 3G/UMTS Schluss machen mit dem Lauschangriff. Einen solch radikalen Schritt hält der Hacker aber in absehbarer Zeit für ausgeschlossen.

(odi)