27C3: Abhören von GSM-Handys weiter erleichtert
Sicherheitsforscher haben auf dem Hackerkongress vorgeführt, wie sich Mobilfunkgespräche im GSM-Netz mithilfe einiger aufgerüsteter Billig-Handys und Open-Source-Software minutenschnell entschlüsseln und mitschneiden lassen.
Sicherheitsforscher haben auf 27. Chaos Communication Congress (27C3) in Berlin am heutigen Dienstag vorgeführt, wie sich Mobilfunkgespräche im GSM-Netz mithilfe einiger aufgerüsteter Billig-Handys und Open-Source-Software minutenschnell entschlüsseln und mitschneiden lassen. Mit einem gängigen Laptop und der selbstgebauten Abhöreinrichtung könne die Verschlüsselung des GSM-Funkverkehrs "in rund 20 Sekunden" geknackt werden, erklärte Teamchef Karsten Nohl von den Berliner Security Research Labs). Man könne damit ganze Anrufe im Klartext aufzeichnen und erneut abspielen.
Nohl und sein Team hatten bereits im vergangenen Jahr dargestellt, dass es ihnen gelungen sei, über einen verteilten Angriff den bei GSM zum Einsatz kommenden A5/1-Verschlüsselungsalgorithmus in zunächst drei Monaten mit 40 Rechnern zu brechen. Man habe mittlerweile die dafür benötigten umfangreichen Rainbow Tables deutlich verbessert und erneut über das Peer-to-Peer-Netzwerk BitTorrent veröffentlicht, führte der Sicherheitsexperte nun aus. Auch bei der restlichen Hard- und Software, die für den Angriff benötigt wird, habe man viele Fortschritte gemacht. Zudem sei das Szenario für die Attacke neu ausgerichtet und verfeinert worden.
Das Abhören wird laut Nohl zunächst durch die Tatsache erleichtert, dass alle Mobilfunkbetreiber über das sogenannte SS7-Netzwerk Informationen über den Standort eines Mobiltelefons austauschen. Dabei würden die privaten Nutzerinformationen nicht sonderlich gut geschützt. So ließe sich über spezielle Internet-Dienste das Home Location Register (HLR) abfragen, eine zentrale Datenbank des Mobilfunknetzes, die unter anderem die Rufnummer mit der IMSI verbindet und der Ausgangspunkt für die Ermittlung des Handy-Standords ist. Auch die Temporary Mobile Subscriber Identity (TMSI), die als örtlich und zeitlich begrenzte ID eines Teilnehmers zum Verbindungsaufbau verwendet wird, sei durch einen "SMS-Trick" herauszubekommen. Dabei sende man zahlreiche "stille" oder verstümmelte Kurzmitteilungen an eine Handynummer und versuche über die Rückmeldungen des Netzwerks herauszufinden, ob das zugehörige Gerät in einer speziellen Gegend beziehungsweise einer Funkzelle eingebucht sei.
Ist die genaue Adressierbarkeit eines Mobiltelefons über die TMSI gegeben, geht es an das Abfangen von Daten aus der Sprachkommunikation im Handy-Netzwerk und die anschließende Entschlüsselung. Bei einem Anruf oder dem Versand einer SMS wird das anzusprechende Mobiltelefon bei GSM zunächst über einen Signalisierungskanal ausgerufen. Meldet es sich, wird in einen Kontrollkanal oder zu einer anderen Frequenz gewechselt, wobei erstmals der Verschlüsselungsmechanismus greift. Sind die Kryptoverfahren am Laufen, erfolgt die eigentliche Gesprächsübertragung im Verkehrskanal. Dabei wird zur Reduzierung von Störungen in der Regel zwischen mehreren Frequenzen gesprungen (frequency hopping).
Waren für das Abhören bislang rund 35.000 Euro teure Gerätschaften nötig, gelang es Nohl zufolge in den vergangenen Jahren, die Kosten für vergleichbare Empfangsteile mit kommerziell einfach verfügbarer Hardware und Open-Source-Komponenten wie OpenBSC und OsmocomBB auf 5000 Euro zu drücken. Diese könnten bereits eine "große Menge an Spektrum" abhören und aufnehmen. Sein Team habe sich aber gedacht, dass jedes Handy letztlich die Möglichkeit haben müsste, GSM-Daten aufzuzeichnen. Mit dieser Idee im Hinterkopf sei es gelungen, ein für zehn Euro erwerbbares Wegwerfgerät von Motorola in ein leistungsfähiges Abhörgerät umzuwandeln.
Dafür sei es erforderlich gewesen, dem Telefon eine Open-Source-Firmware zu verpassen, den zur Signalverarbeitung verwendeten Code im Arbeitsspeicher anzupassen und die verschlüsselten Daten auszufiltern, erläuterte Nohls Helfer Sylvain Munaut. Mit einem schnelleren USB-Kabel und einem Filter für die Up- und Downlinks der Mobilfunkverbindungen zu einer Basisstation sei der "Sniffer" bereit für die Aufzeichnung umfangreicher GSM-Rahmendaten. In einer Demo zeigte Munaut, wie ein Rechner mithilfe vier entsprechend aufgebohrter Handys und einer aktuellen TMSI ein Ziel-Telefon ansteuerte und durch Versand einer SMS den Start einer verschlüsselten Kommunikation startete. Mit der gezielten Analyse abgefangener Bitbündel gelang das Abfangen eines Sitzungsschlüssels, der für die Aufnahme des Up- und des Downlinks eines in Folge durchgeführten Telefongesprächs mit dem kompromittierten Handy genutzt werden konnte. Dieses war mithilfe eines noch nicht veröffentlichten speziellen Audiowerkzeugs im Anschluss deutlich abhörbar.
Die Mobilfunkbetreiber und Netzwerkausrüster rief Nohl auf, die durchaus gegebenen einfachen Möglichkeiten zur Verbesserung des GSM-Verschlüsselungsschutzes endlich einzusetzen. So würde eine Kommunikationsentschlüsselung schon durch den Austausch eines derzeit als Füllmaterial verwendeten Standardbytes durch Zufallszahlen deutlich erschwert. Die großen Betreiber hätten sich auch bereits vor zwei Jahren auf einen entsprechenden Standard geeinigt, der aber anscheinend noch "bei der Qualitätssicherung von Nokia oder Siemens" liege und derzeit jedenfalls nicht in Basisstationen zum Einsatz komme. Der Ermittlung von Standortdaten könne zudem über den Versand aller SMS über ein nationales Heimverzeichnis ein kleiner Riegel vorgeschoben werden. Ein "Recyceln" einmal verwendeter Sitzungsschlüssel sei zu vermeiden, das Wechseln von Frequenzen durchgehend anzuwenden. An den vom Chaos Computer Club (CCC) im vorigen Jahr geforderten Austausch des kompletten Verschlüsselungsalgorithmus glaubt Nohl nicht mehr, da dieser zu lange dauern würde und zu teuer sei. Bei UMTS sieht der Experte einige Designfehler ausgebügelt. Dies bringe aber wenig, solange die neue Handygeneration häufig noch auf GSM zurückgreife.
(bo)