Totale Überwachung: GSM-Netzwerke werden per Luftangriff gehackt

Wie Hacker Zugriff auf Telefongesprächen bekommen.

In einem unserer vorherigen Blogbeiträge der GSM-Saga erwähnten wir die moderne Legende vom unmittelbaren Diebstahl von Verschlüsselungscodes. Dies setzt voraus, dass jemand Ihre SIM-Karte ohne jegliche physische Manipulation klonen kann, auch wenn dies nur ein vorläufiger Klon wäre. Jedoch ist der Ki-Schlüssel lokal in der SIM-Karte und in der Datenbank des Anbieters gespeichert. Wie also gelingt es Kriminellen, an den benötigten Ki-Schlüssel zu kommen?

Theoretisch kann ein Angreifer eine Basisstation nachbilden, die ein starkes Signal sendet und legitime Anfragen an SRES imitiert, indem sie zufallsbedingte RAND-Anfragen sendet (falls Sie Verständnisschwierigkeiten haben, können Sie hier den ersten Teil der GSM-Saga lesen).  Anhand dieser Methode ist es dem Angreifer möglich, den Ki mithilfe von Kryptoanalyse zu ermitteln — genauso als hätten sie direkten Zugriff zur SIM-Karte.

Allerdings ist diese Methode sehr kompliziert: die Kryptoanalyse ist zeitaufwendig und erfordert viele gescheiterte Anfragen. Während der Angreifer damit beschäftigt ist, das Opfer mit RANDs zu bombardieren, kann es passieren, dass der Besitzer des Mobilgerätes den Funkbereich der falschen Basisstation verlässt, so dass der Kriminelle mitsamt seiner Ausrüstung dem Opfer folgen müsste. Wenn wir nun von gut organisierten und gezielten Angriffen sprechen, ist es wahrscheinlich, dass die Ausrüstung in der Nähe des Wohnorts installiert wird. Ob ein Angriff erfolgreich ist, hängt vom Verschlüsselungsalgorithmus ab: wenn der Anbieter COMP128v2 benutzt, kann es sein, dass der Hackerangriff scheitert.

Tatsächlich sind Angriffe über die Luftschnittstelle in erster Linie dazu entwickelt worden, um dem Angreifer zu erlauben, die Gespräche des Abonnenten abzuhören. Wie wir bereits wissen, ist die Kommunikation über Funk und über Internet hauptsächlich aus einem Grund verschlüsselt (mit Ausnahme von Sonderfällen, wie bei Strafverfolgungsmaßnahmen, für die die Verschlüsselung aufgehoben wird): um zu verhindern, dass private Gespräche abgehört werden können. Zur Verschlüsselung wird ein A5-Algorithmus mit einem 64-Bit-Schlüssel verwendet. Es gibt zwei Versionen des A5-Algorithmus: die tragfähigere A5/1-Version und die weniger belastbare A5/2-Version, die ohne jegliche Beschränkungen in alle „potenziell feindlichen“ Länder verkauft wird.

Genau genommen ist nicht einmal die A5/1-Version ein 64-Bit-, sondern vielmehr ein 54-Bit-Schlüssel: Die ersten 10 Bits sind „niedrige Bits“, die eine einfache Handhabung ermöglichen sollen. Die A5/2-Version wurde entwickelt, um Geheimdiensten die Arbeit im Ausland zu erleichtern.

Früher bestand das Hacken der A5/1-Version darin, lokal gespeicherte Daten mit brachialer Gewalt zu knacken und erforderte so viel Zeit, dass die fragliche Information ihre Relevanz verlor, bevor der Hackerangriff abgeschlossen war. Jedoch sind die heutigen PCs (nicht einmal die heutigen, da der entsprechende Machbarkeitsnachweis 2010 vorgestellt wurde) im Stande, innerhalb von Sekunden Systeme zu knacken und Datenschlüssel mithilfe der so genannten „Regenbogentabellen“ zu erstellen. Das 1.7-TB-Set der Tabellen kann schnell auf Festplatten mit hoher Datenübertragungskapazität gespeichert werden, welche relativ günstig und überall erhältlich sind.

Ein solcher Luftangriff verläuft normalerweise passiv und überträgt keinerlei Dateien, wodurch die Angreifer schlichtweg unauffindbar sind. Um diese Schlüssel zu knacken, benötigt man nur die Software Kraken samt der Regenbogentabellen und ein „getuntes“ Nokia-Handy mit Blitzlichtfunktion. Mit diesen Tools ausgestattet ist der Angreifer in der Lage, Gespräche abzuhören und Kurznachrichten abzufangen, zu blockieren oder gar zu verändern (deshalb sollten Sie Zwei-Faktor-Authentifizierung für Ihr Onlinebanking nicht als „digitale Festung“ ansehen).

Ausgestattet mit diesem Schlüssel, kann ein Angreifer darüber hinaus Gespräche führen und sich dabei als das Opfer ausgeben. Eine weitere Möglichkeit ist das dynamische Klonen. Der Straftäter kann eine Anfrage über ein ausgehendes Telefongespräch an das Handynetzwerk schicken, während das Opfer ebenfalls gerade einen Anruf tätigt. Sobald das Netzwerk die Autorisierungsanfrage bestätigt, kann der Angreifer diese abfangen und an das Opfer weiterleiten, und so den Kc-Schlüssel erhalten. Sobald dies erledigt ist, und das Gespräch des Opfers beendet ist, kann der Angreifer seinen eigenen Anruf über dieses Netzwerk starten und sich dabei als das Opfer ausgeben.

Dies macht es unter anderem möglich, Gespräche auf Kosten des Opfers zu führen, Textnachrichten an Premiumnummern zu senden und Geld mithilfe von Partnerprogrammen der Informationsanbieter abzuzweigen. Diese Methode wurde in Moskau angewendet: Als eine kleine Gruppe von Leuten in einem Minivan an stark frequentierten Plätzen umherfuhr, um im großen Stil SIM-Karten zu klonen und damit die Mobiltelefone der Betroffenen mit kleinen Summen zu belasten.

Die Kriminellen schafften es, für lange Zeit unentdeckt zu bleiben: die betrügerischen Vorgänge wurden erst bemerkt, als die rechtmäßigen Nutzer ihre Geräte in Betrieb nahmen. Das Einzige was half, um das betrügerische Schema zu identifizieren, bestand darin, eine auffällig große Anzahl von ähnlichen Anfragen an einen bestimmten Premium-Content-Anbieter innerhalb der Reichweite einer spezifischen Basisstation zu stellen.

Um den Datentransfer (GPRS/EDGE) zu verschlüsseln, benötigt man einen anderen Kc-Schlüssel. Auch wenn sich dieser von dem Kc-Schlüssel unterscheidet, der zur Übermittlung von Sprachnachrichten benutzt wird, wird er mithilfe desselben Algorithmus erstellt — GPRS-A5, auch bekannt als GEA (GPRS-Verschlüsselungsalgorithmus); dieser existiert in den Varianten GEA1, GEA2 und GEA3. Das bedeutet, dass man sogar mobilen Internetverkehr abfangen kann. Heutzutage ist dieses Problem nicht mehr so gravierend, da die Internetdatenübermittlung normalerweise über 3G und LTE abgewickelt wird. Auf der anderen Seite wird für viele telematische Systeme wie Geldautomaten, POS-Zahlungssysteme und Ähnliches nach wie vor die 2G-Datenübertragung benutzt.

Es gibt eine Möglichkeit, diese Angriffe zu vermeiden: indem man den solideren und aktuelleren A5/3-Algorithmus benutzt, welcher nicht mit den Regenbogentabellen zu knacken ist. Allerdings sind die Anbieter eher abgeneigt, diese neue Technologie einzusetzen. Erstens, weil dies einen Kostenfaktor darstellt und keinen zusätzlichen Profit einbringt. Zweitens unterstützt die Mehrheit der Mobilfunkgeräte den A5/3-Algorithmus nicht, oder nur unzureichend, was zu Systemfehlern führen kann.

Drittens wird der A5/3-Algorithmus die Kontrahenten nicht davon abhalten, Nutzer abzuhören: Wenn die Angreifer eine manipulierte Basisstation benutzen, wird diese dazu befähigt, den Verschlüsselungsalgorithmus, der vom Telefon verwendet wird, niedriger einzustufen. Dies hilft den Hackern schließlich den Schlüssel zu erhalten (wohlgemerkt ist der Schlüssel für alle Algorithmen der Gleiche). Wenn die Bedrohung dennoch fortbesteht — warum sollte man dann mehr Geld und Aufwand in die Implementierung von besseren Verschlüsselungsalgorithmen investieren? Viertens ist es teuer. Fünftens ist es unvorstellbar teuer.

Das Gute ist, dass alle Angriffe die wir bis heute identifiziert haben, bald obsolet sein werden. Die Ära der virtuellen SIM-Karten und der eSIMs hat bereits begonnen, und diese neuen Lösungsansätze werden zumindest einige der Sicherheitslücken der heutigen SIM-Karten schließen können.

Tipps