26C3: GSM-Hacken leicht gemacht

Sicherheitsforscher haben eine Anleitung zum Knacken des Mobilfunk-Verschlüsselungsalgorithmus A5/1 sowie zum Bau eines IMSI-Catchers für das Abhören der Handy-Kommunikation auf Open-Source-Basis veröffentlicht.

In Pocket speichern vorlesen Druckansicht 104 Kommentare lesen
Lesezeit: 6 Min.

Sicherheitsexperten halten eine Runderneuerung des GSM-Konzepts für notwendig.

Am gestrigen Sonntag, dem 27. Dezember, haben Sicherheitsforscher auf dem 26. Chaos Communication Congress (26C3) in Berlin eine Anleitung zum Knacken des gängigen Mobilfunk-Verschlüsselungsalgorithmus A5/1 sowie Tipps zum Bauen eines IMSI-Catchers für das Abhören der Handy-Kommunikation auf Open-Source-Basis veröffentlicht. Das von rund vier Milliarden Menschen in über 200 Ländern als Standard für digitale Mobilfunknetze benutzte Global System for Mobile Communications (GSM) sei überaus unsicher, erläuterte der Kryptographie-Experte Karsten Nohl vor der zahlreich erschienenen Hackergemeinde. Dies sei in Akademikerkreisen zwar bereits seit 1994 bekannt. Doch mit den jetzt erbrachten Nachweisen gebe es "keinen Platz für Versteckspiele mehr".

Nohl hat sein Projekt zum öffentlichen Nachweis der Sicherheitslücken bei der Handy-Kommunikation im Sommer gestartet. Im Kern geht es um einen verteilten passiven Angriff auf A5/1. Dieser in der Fachwelt seit langem als unsicher geltende Krypto-Algorithmus verwende einen Schlüssel, der klein genug sei, um ihn für vergleichsweise einfache Attacken nach dem Muster des Durchprobierens von Nummern aus einem Telefonbuch anfällig zu machen. Um einen solchen – an sich sehr zeitraubenden – Angriff zu beschleunigen, greift die von Nohl frei zur Verfügung gestellte Software auf einige Tricks zurück. So nutzt sie moderne Grafikkarten mit CUDA-Unterstützung für die Berechnungen, verteilt die Aufgaben auf mehrere Rechner übers Netz und komprimiert das Codebook respektive die Tabellen mit bestimmten Verfahren wie dem Anlegen sogenannter Rainbow Tables, sodass sie weniger Platz brauchen und schneller ablaufen.

Den geheimen Schlüssel für A5/1, der die Tür zur abgehörten GSM-Kommunikation öffnet, fanden Nohl und seine Mitstreiter nach eigenen Angaben mit weniger Aufwand als zunächst erwartet. "Wir rechneten mit sechs Monaten, schafften es aber mit 40 Rechnern in drei Monaten", freute sich der Hardware-Hacker, der das konkrete Knacken des Algorithmus am Mittwoch in einem separaten Workshop auf dem 26C3 vor Publikum vorführen will. Geholfen habe den Tüftlern unter anderem der Umstand, dass GSM einen größeren Strom an Schlüsseldaten offenbare als bei früheren Angriffen angenommen.

Das "Global System for Mobile Communications" ist der klassische Standard für digitale Mobilfunknetze.

Auch die hinter GSM stehende Industrievereinigung, die GSMA, hat laut Nohl nach ersten Hinweisen auf die neu entdeckten Unsicherheiten unfreiwillig Tipps für das erforderliche weitere Vorgehen gegeben. So habe sie darauf verwiesen, dass das hauptsächliche Sicherheitsmerkmal von GSM nicht der Verschlüsselungsstandard selbst, sondern das angewandte Verfahren zum Wechseln von Übertragungskanälen sei. Ein Hacker bräuchte daher eine Empfangsstation und eine Software zum Verarbeiten der Rohdaten. Die GSMA war sich dabei wohl noch nicht im Klaren darüber, dass ein solches Computersystem mit der freien Software OpenBTS, die sich zum Aufbau einer GSM-Basisstation verwenden lässt, bereits existiert.

Damit könne man große Teile des Spektrums eines Netzbetreibers abhören und mit zwei entsprechenden Geräten den Kanaländerungen sowie dem geheimen Schlüssel auf die Spur kommen, meinte Nohl. Man arbeite derzeit noch an einer entsprechenden Umsetzung.

OpenBTS und die freie Telefonanlagen-Software Asterisk haben den Sicherheitsexperten bereits beim Bau eines kostengünstigen IMSI-Catchers für sogenannte aktive Angriffe auf GSM hilfreiche Dienste geleistet. Entsprechende Geräte, die Polizei und Geheimdienste hierzulande hauptsächlich zum Orten von Mobilfunknutzern verwenden, gibt es Nohl zufolge zwar bereits für rund 1500 US-Dollar zu kaufen. Mit der Open-Source-Lösung gehe es aber noch deutlich billiger.

Man brauche dafür letztlich nur noch ein USRP-Board (Universal Software Radio Peripheral) und eine gesonderte 52-MHz-Uhr, da die ursprünglich zum Einsatz kommende 64-MHz-Variante nicht stabil genug sei, führte Nohls Kollege Chris Paget aus. Den IMSI-Catcher Marke Eigenbau müsse man dann so konfigurieren, dass er den öffentlich verfügbaren Mobile Country Code (MCC) und den Mobile Network Code eines Betreibers aussende. Sollte das Signal stärker sein als das einer Basisstation eines offiziellen Mobilfunknetzwerks, würden sich die erreichten Handys mit ihrer IMSI-Nummer einklinken. Abgefangene Daten könne man dann mit dem Programm Wireshark decodieren oder mit der Software Airprobe einfangen.

An arbeitende Netzwerke von Mobilfunkbetreibern habe man sich mit dieser Open-Source-Lösung noch nicht herangemacht, betonte Paget. Das sei auch verboten. Mit dem IMSI-Catcher habe man aber in Heimversuchen schwere GSM-Implementierungsfehler ausfindig machen können. So habe sich ein iPhone der aktuellen Generation problemlos mit einem von dem Abhörgerät frei erfundenen Netzwerk verbunden. Selbst beim Vorspiegeln einer gänzlich anderen, in den USA genutzten GSM-Frequenz habe die Verbindung geklappt. Außerdem habe man den Authentisierungsprozess zwischen Mobiltelefon und Basis so beeinflussen können, dass ein betroffenes Handy den Dienst komplett versagt habe und von der Stromversorgung getrennt werden musste. Aus China sei ferner zu hören gewesen, dass Kollegen eines Studenten auch nach dem raschen Beenden eines Tests mit einem vergleichbaren IMSI-Catcher noch längere Zeit "OpenBTS" als ihren vermeintlichen Netzwerkbetreiber auf ihren Handys angezeigt bekommen hätten.

Für Paget ist damit klar: "Es gibt unglaubliche Fehler in jedem GSM-Protokollstapel." Die Gerätehersteller und die Mobilfunkprovider würden offenbar nur prüfen, ob ein Handy das Protokoll beherrsche. Das Zusammenspiel mit der Basisstation werde dagegen nicht geprüft. Insgesamt glaubt Nohl, dass "die GSM-Sicherheit rundum erneuert werden muss". Dabei sei es zweifelhaft, ob ein Umstieg auf A5/3 wirklich Abhilfe schaffe. Auch dieser Nachfahre von A5/1 könnte sich gemäß einem Vortrag von Experten auf der Konferenz Asiacrypt vor wenigen Wochen als zu schwach erweisen. Solange gemeinsame Schlüssel für beide Methoden verwendet würden, könne man zudem immer einen Rückgriff auf den unsicheren A5/1 lancieren. Die vergleichsweise einfache Knackbarkeit des Algorithmus dürfte laut Nohl auch Kettenwirkungen etwa auf GPRS und 3G-Netzwerke ausüben, da dort ebenfalls Verschlüsselungsstandards aus der A5-Familie im Spiel seien. (psz)