Angriff der Klonkrieger

Im ersten Teil unseres Berichts ging es um die Geschichte der SIM-Karten. Lassen Sie uns jetzt zu ihrer Sicherheit kommen. Eine der ersten Schwachstellen von SIM-Karten, die je entdeckt wurde,

Im ersten Teil unseres Berichts ging es um die Geschichte der SIM-Karten. Lassen Sie uns jetzt zu ihrer Sicherheit kommen. Eine der ersten Schwachstellen von SIM-Karten, die je entdeckt wurde, war die Möglichkeit, sie zu klonen. In diesem Fall bedeutet Klonen, dass die Inhalte einer SIM-Karte ausgelesen und in den Speicher einer anderen SIM-Karte geschrieben werden. Das ist leicht verständlich, da eine SIM-Karte – vom Hardware-Standpunkt aus gesehen – nur eine ganz gewöhnliche, billige Chipkarte ist, wie man sie überall findet.

Als Telefone mit mehreren SIM-Karten noch Science Fiction waren, war Klonen die Lösung für all jene, die mehrere SIM-Karten benötigten. Um zu vermeiden, mühevoll die SIM-Karten wechseln zu müssen, hat man das sogenannte MultiSIM-Format entwickelt. Bei MultiSIM handelt es sich, einfach gesagt, um eine Chipkarte mit erweitertem Speicher, um die Daten, die üblicherweise auf mehreren SIM-Karten gespeichert sind, auf einer unterzubringen.

Man konnte leicht zwischen den SIM-Karten hin- und herspringen, ohne tatsächlich die Karten wechseln zu müssen. Die Lösung war einfach: Bei jedem Reboot wurde der Speicherblock, der zur nächsten SIM-Karte gehört, ausgewählt. Natürlich konnte man damit SIM-Karten nicht gleichzeitig verwenden. Ein Handy ging davon aus, dass es ausgeschaltet wurde, um die SIM-Karte zu wechseln, und dann wieder eingeschaltet wurde.

Diese Lösung stellte sich als ohne praktischen Nutzen heraus (sogar heute ist es noch bequemer, eine alternative SIM-Karte und ein günstiges Handy zu kaufen, statt ein vollausgestattetes Zwei-Karten-Handy zu verwenden). Allerdings waren MultiSIMs vor 10 Jahren in Benutzung. Interessanterweise gab es sogar Selbstbaulösungen, die einen Smart-Card-Dummy, einen PC-Adapter zum Auslesen und Beschreiben von Smart-Cards und entsprechende Software enthielten.

Allerdings konnte diese Möglichkeit, SIM-Karten zu klonen, auch für schädliche Zwecke missbraucht werden. Wenn man kurzzeitigen Zugriff auf die SIM-Karte eines Opfers bekommen konnte, war es möglich, sie zu kopieren und damit die echte SIM-Karte zu kompromittieren. Wenn eine geklonte SIM-Karte aktiv ist, während der legitime Nutzer in seinem mobilen Netzwerk registriert ist, wird dessen Verbindung gekappt, ohne dass er es bemerkt. In diesem Fall werden alle eingehenden Anrufe und Nachrichten an den Täter geschickt, der wiederrum selbst im Namen des Opfers Anrufe tätigen, SMS verschicken oder im Internet surfen kann.

Das nichts ahnende Opfer würde dabei sogar die normale Netzwerkanzeige und den Namen des Netzwerks sehen, und dadurch davon ausgehen, dass eine Verbindung bestehe. Allerdings würde er keine Anrufe tätigen können, solange das Handy nicht neu gestartet oder das Netzwerk den Registrierungsstatus erneuern würde — das passiert meist automatisch alle paar Stunden.

Ein Klon konnte zunächst im Grunde überall registriert werden, sogar auf einem anderen Kontinent. Doch dann machten die Netzwerkbetreiber ihre Hausaufgaben und führten ein paar primitive Sicherheitsmaßnahmen ein. Wenn ein Kunde sich plötzlich von einem weit vom letzten Registrierungspunkt entfernten Ort anmeldete, erhielten die Administratoren eine Benachrichtigung: Hey Jungs, jemand hat gerade einen Teleporter erfunden.

Allerdings konnten sich Übeltäter immer noch in der Nähe des Opfers anmelden, was diese Sicherheitsmaßnahme relativ nutzlos machte.

Die Frage war also: Warum ist das SIM-Klonen überhaupt möglich? Vielleicht sollte das verboten oder die Möglichkeit entfernt werden?

Der Ki-Schlüssel (Key Identification), der für die Autorisierung eines Anwenders im Netzwerk verantwortlich ist, wird normalerweise nie von der SIM-Karte gelesen. Ein SIM-Karten-Prozessor nennt das „innen“ und der Key ist nicht dazu da, per Funk übertragen zu werden. Er wird in einem geschützten Teil der Karte gespeichert und es gibt keine APIs, die ihn auslesen könnten.

Aber hier kommen Verschlüsselungsanalyse-Methoden ins Spiel. Wenn ein Täter eine Software nutzt, die wiederholt den A3-Algorithmus auf der SIM-Karte aufruft und ihn zufällige RAND-Passwörter verarbeiten und SRES-Antworten produzieren lässt, können bestimmte Abhängigkeiten entdeckt und damit der Ki-Schlüssel berechnet werden.

Schon vor 10 Jahren reichte die PC-Leistung, um so etwas in wenigen Minuten zu schaffen. Allerdings ist das nicht ganz so einfach. Jede SIM-Karte hat eine Art Selbstzerstörungs-Timer, der mitzählt, wie oft der Algorithmus gestartet wird. Das Limit einer Karte kann zum Beispiel bei 65.536 Mal liegen. Sobald dieses Limit erreicht wird, hört der SIM-Karten-Prozessor auf, die SRES-Antworten zu berechnen.

Wenn ein Hacker bis dahin nicht geschafft hat, den Ki-Wert zu berechnen, wird die SIM-Karte nutzlos und muss ersetzt werden. Manchmal passiert das auch mit legitimen SIM-Karten, wenn sie für lange Zeit verwendet werden und das Limit von Haus aus recht niedrig angesetzt war.

Und noch etwas Gutes: Die Verschlüsselungsanalyse kann nur auf SIM-Karten, die den veralteten AR-Algorithmus COMP128v1 verwenden, zur Berechnung des Ki-Werts verwendet werden. Manche Netzbetreiber nutzen diesen noch, so dass dessen Karten dadurch kopiert werden können. Die meisten Netzbetreiber sind allerdings bereits auf COMP128v2- und COMP128v3-Algorithmen umgestiegen, die die Zahl der RAND-SRES-Pakete erhöhen, so dass der Ki-Schlüssel mit der beschriebenen Methode nicht berechnet werden kann.

Wenn ein Täter jedoch Zugriff auf die SIM-Datenbank eines Netzbetreibers oder die speziellen Tabellen bekommt, die ein SIM-Karten-Hersteller an die Netzbetreiber sendet, kann er vielleicht auch auf Schlüssel für eine bestimmte Anzahl von SIM-Karten zugreifen. Dafür bräuchte er aber einen Komplizen auf Seite des SIM-Karten-Herstellers oder des Netzbetreibers, der die entsprechenden Informationen stiehlt.

Und es gibt noch urbane Legenden, denen zufolge ein Schlüssel per Funk abgefangen und mit einem aktuellen PC direkt entschlüsselt werden kann. Da wir aber wissen, dass Ki-Schlüssel nicht über Funk übertragen werden und lokal auf der SIM-Karte gespeichert sind, muss man sich fragen, welche Daten da abgefangen werden sollten. Nun, dazu kommen wir beim nächsten Mal.

 

Tipps
Abonnieren Sie uns und bleiben Sie auf dem neuesten Stand mit unseren Beiträgen
  • Für alle anderen Länder