Qgelm

Zuletzt angesehen: wb2paypal-und-kreditkarten_wer-alles-wei_-wenn-du-online-bezahlst experten-zur-datenschutzreform_-betroffenen--und-kontrollrechte-werden-massiv-eingeschrnkt wb2fairness-und-knstliche-intelligenz_-warum-metriken-nicht-ausreichen tracksoar-v2_-aprs-board-fr-drohnen-und-modellflugzeuge experten-kritisieren-massiv-geplante-bayerische-polizeirechtsreform maschinelle-bersetzer_-deepl-macht-google-translate-konkurrenz the-roads-of-the-roman-empire-as-a-subway-map wb2ccc-ersteigert-ungeschtzte-biometrie-datenbank-des-us-militrs-auf-ebay wb2ki_-studie-findet-viele-falsche-beschreibungen-in-machine-learning-datenstzen 34c3_-auch-4g-mobilfunk-ist-einfach-abzuhren-und-zu-berwachen

34C3: Auch 4G-Mobilfunk ist einfach abzuhören und zu überwachen

Originalartikel

Backup

<html> <p class=„printversionback-to-article printversion–hide“><a href=„https://www.heise.de/newsticker/meldung/34C3-Auch-4G-Mobilfunk-ist-einfach-abzuhoeren-und-zu-ueberwachen-3928496.html“>zur&#252;ck zum Artikel</a></p><figure class=„printversionlogo“><img src=„https://1.f.ix.de/icons/svg/logos/svg/heiseonline.svg“ alt=„heise online“ width=„180“ heigth=„40“/></figure><figure class=„aufmacherbild“><img src=„https://1.f.ix.de/scale/geometry/700/q75/imgs/18/2/3/4/3/4/5/6/34c3-dschungel-mobilfunknetzwerke-protokolle-ab3eba1e63f1b05b.jpeg“ alt=„34C3: Auch 4G-Mobilfunk ist einfach abzuh&#246;ren und zu &#252;berwachen“/></figure><p><strong>GSM war sehr einfach zu knacken, 3G stand &#252;ber das SS7-Protokoll offen wie ein Scheunentor. Bei 4G sollte mit dem neuen Roaming- und Abrechnungsprotokoll Diameter alles besser werden, doch viele Angriffsfl&#228;chen sind geblieben.</strong></p> <p>Die Sicherheitsforscherin Dr. Silke Holtmanns hat am Donnerstag auf dem 34. Chaos Communication Congress in Leipzig Angriffsm&#246;glichkeiten auf das Diameter-Protokoll erl&#228;utert, das f&#252;r die Authentifizierung, Autorisierung und Abrechnung vor allem in 4G- und LTE-Mobilfunknetzen eingesetzt wird. Diameter werde von den Netzwerkbetreiber immer unter dem Aspekt angepriesen, dass damit unter Sicherheits- und Datenschutzgesichtspunkten alles besser werde als beim Vorg&#228;nger Signalling System 7 (SS7) f&#252;r 3G-Netzwerke, berichtete die Mitarbeiterin der Nokia Bell Labs. Dies konnte sie so aber nicht best&#228;tigen.</p> <figure class=„rteinlinebild akwa-inline-img rtepos_right col-lg-6 col-md-6 col-sm-6 col-xs-12 akwa-inline–right“><img src=„https://1.f.ix.de/scale/geometry/350/q75/imgs/18/2/3/4/3/4/5/6/34c3-silke-holtmanns-a7d14f23b7738872.jpeg“ alt=„34C3: Silke Holtmanns“ class=„img-responsive akwa-inline-imgimg“/><figcaption class=„rteinlinebild_source akwa-caption“>Silke Holtmanns, Sicherheitsforscherin bei den Nokia Bell Labs, nahm sich auf dem 34C3 das Diameter-Protokoll zur Authentisierung und Abrechnung in Mobilfunknetzen vor: Es hat manche Schw&#228;chen vom Vorg&#228;nger Signalling System 7 geerbt.</figcaption></figure><p><strong>Diameter[1]</strong> sei im Hinblick auf die LTE-Sicherheit „anders“ aufgestellt als <strong>SS7[2]</strong>, dr&#252;ckte sich Holtmanns vorsichtiger aus. Das Protokoll arbeite prinzipiell &#228;hnlich wie sein Vorg&#228;nger und erlaube es dem Nutzer eines Mobiltelefon etwa auch, sich ohne Verbindungsverlust von einer Funkzelle zur n&#228;chsten zu bewegen (Roaming). Die Logik der &#220;bergabe sei dabei vergleichbar zu der bei SS7. Einige der <strong>vielfach belegten Schw&#228;chen des fr&#252;heren Signalisierungssystems[3]</strong> seien so in den Nachfolger quasi „&#252;berf&#252;hrt“ worden.</p> <p>Sicherheitsexperten wie Karsten Nohl oder Tobias Engel hatten auf fr&#252;heren Hackerkonferenzen gezeigt, dass <strong>SS7 f&#252;r Attacken offen steht wie ein Scheunentor[4]</strong>. Da SS7 keine Authentifizierungsfunktionen kennt, kann jeder mit Zugriff auf das Netz damit anstellen, was er will. So lassen sich etwa Gespr&#228;che und SMS umleiten, entschl&#252;sseln und abh&#246;ren. Grunds&#228;tzliche Sicherheitsvorteile von 3G-Netzen wie UMTS gegen&#252;ber dem <strong>besonders leicht knackbaren GSM[5]</strong> werden damit wieder aufgehoben.<br/></p> <h3 class=„subheading“ id=„nav_ss7_immer_noch1“>SS7 immer noch in Gebrauch<br/></h3> <p>Diameter setzt zwar auf verl&#228;ssliche Transport-Protokolle wie TCP oder SCTP sowie eine Verschl&#252;sselung des Datenverkehrs im Internet mit IPsec oder TLS. Aber gewisse Stufen von Abw&#228;rtskompatibilit&#228;t blieben bestehen, erl&#228;uterte Holtmanns. Es gebe in einem Mobilfunknetz schlie&#223;lich nach wie vor nicht nur IP-Verkehre. SS7 bleibe so f&#252;r das Zusammenschalten von Netzwerken nach wie vor relevant und nicht alle Betreiber weltweit h&#228;tten Experten an der Hand, um dessen Einsatz abzusichern. Es bestehe zudem kein Schutz gegen das Outsourcing grundlegender Betriebsfunktionen an teils zweifelhafte Dienstleister, um Kosten zu sparen.</p> <p>Seit 2015 seien verschiedene Attacken auch auf Diameter publik geworden, f&#252;hrte die Expertin aus. Dazu geh&#246;rten Szenarien, in denen Angreifer Standorte von Mobilfunknutzern verfolgten (Location Tracking) oder den Einsatz von SS7 durch „Downgrading Attacks“ erzwangen, was durch spezielle &#220;bersetzungsboxen zwischen den beiden Protokollen erleichtert werde. Auch Denial-of-Service-Angriffe und Betrug blieben bei dem LTE-Advanced-Authentisierungsprotokoll vergleichsweise einfach, das Abfangen von SMS mit Passw&#246;rtern oder Banking-TANs sowieso, da Kurzmitteilungen generell nicht auf Sicherheit ausgerichtet seien. Auch Abfragen der Mobilfunk-Teilnehmerkennung IMSI, die Mobilfunkbetreiber als eindeutiges Erkennungsmerkmal verwenden, seien bereits dokumentiert worden.</p> <h3 class=„subheading“ id=„nav_diameter_schw&#228;ch2“>Diameter-Schw&#228;chen im Labor ausgenutzt</h3> <p>Holtmanns und einige ihrer Kollegen stellten sich nun die Frage, inwieweit auf Basis dieser Vorarbeiten 4G-Mobilfunk abgeh&#246;rt werden k&#246;nne. Im Mobilfunkverband <strong>GSMA[6]</strong> sei passend dazu gerade ein Angriff zum Mitschneiden von GPRS-Verkehr diskutiert worden, den die Sicherheitsfirma Adaptive Mobile beobachtet habe. Diese und Holtmanns' Team bei Nokia Bell Labs h&#228;tten gleichzeitig an einem Fall gearbeitet, in dem es um das &#196;ndern von Kundenprofilen gegangen sei. Es habe nahegelegen, beide Attacken f&#252;r das &#220;berwachung von Kommunikationsinhalten zu kombinieren. Dazu habe man die Details und m&#246;gliche Hindernisse in einem Testnetzwerk anhand der Konfigurationen aus einer realen Umgebung herausgearbeitet.</p> <p>Tats&#228;chlich gelang das Vorhaben laut der Forscherin, wobei den Sicherheitspr&#252;fern mehrere Schwachstellen rund um Diameter-Implementierungen zu Hilfe kamen. So gebe es im Einklang mit der Spezifikation mehrere Schnittstellen wie <strong>S6a[7]</strong>, <strong>Sh[8]</strong> oder <strong>S6c[9]</strong>, &#252;ber die etwa verschl&#252;sselt Login- und andere Nutzerdaten von einem Netzwerk zum anderen &#252;bertragen w&#252;rden. Diese k&#228;men vor allem beim Roaming zum Einsatz, wiesen aber h&#228;ufig Verwundbarkeiten in der Konfiguration auf. Der Preisdruck im Mobilfunk f&#252;hre auch dazu, dass interner und externer Verkehr etwa zur Aufl&#246;sung von DNS-Anfragen &#252;ber ein- und denselben Netzknoten geleitet oder Server, die auf ein Land ausgerichtet seien, in ganz unterschiedlichen Regionen weltweit genutzt w&#252;rden.</p> <h3 class=„subheading“ id=„nav_kundendatenausku3“>Kundendatenauskunft ohne Kontrolle</h3> <p>F&#252;r den konkreten Angriff sei es zun&#228;chst n&#246;tig, sich Daten wie die IMSI eines Abh&#246;rziels zu beschaffen, erl&#228;uterte Holtmanns. Daf&#252;r eigne sich etwa die Sh-Schnittstelle, da man dar&#252;ber mit einer Nutzeranfrage alle ben&#246;tigten Informationen erhalte und &#252;ber ein Datenanalyseprogramm wie Wireshark auslesen k&#246;nne. Alternativ sei etwa eine Standortabfrage &#252;ber S6a f&#252;r diesen Zweck nutzbar. Das Netzwerk sei in diesem Fall so nett, das gew&#252;nschte Kundenprofil ohne Authentisierung zur&#252;ckzusenden.</p> <p>&#220;ber weitere Anfragen in diesem Stil lasse sich der Zugangspunkt zwischen dem Mobilfunknetz und dem Internet setzen und etwa auf GPRS &#228;ndern oder das Nutzerprofil updaten, skizzierte die Wissenschaftlerin die weiteren Schritte. Letztlich gel&#228;nge es dem Angreifer durch Ausprobieren, einen vorget&#228;uschten Zugangspunkt zu kontrollieren. Das Protokoll helfe dabei, weil es gegebenenfalls von einem Vertipper ausgehe und diesen automatisch korrigiere. F&#252;r die Kommunikations&#252;berwachung seien so T&#252;r und Tor ge&#246;ffnet.</p> <h3 class=„subheading“ id=„nav_vortragsank&#252;ndig4“>Vortragsank&#252;ndigung machte Provider nerv&#246;s</h3> <p>„Alle Netzwerke werden st&#228;ndig angegriffen, aber nicht alle sind in gleicher Weise verwundbar“, res&#252;mierte Holtmanns. Die meisten &#220;belt&#228;ter zielten nach wie vor auf SS7. Diameter mache ihnen das Leben zwar etwas schwerer, aber viele Mobilfunkbetreiber erleichterten es ihnen wiederum. Dabei seien Schutzmechanismen durchaus vorhanden: Die Sh-Schnittstelle k&#246;nne etwa nur f&#252;r interne Nutzungen freigegeben werden, der Verkehr k&#246;nnte an den R&#228;ndern der Netzwerke und durch Roaming-Provider gefiltert oder Whitelists eingespielt werden. Auch spezielle Firewalls f&#252;r das Signalisierungssystem, das Aufzeichnen von Aktivit&#228;ten im Netzwerk oder Penetrationstests sowie der st&#228;rkere Austausch &#252;ber Sicherheitsl&#252;cken seien sehr hilfreich.<br/></p> <p>Allein die Ank&#252;ndigung des Vortrags hat einige Betreiber laut der Referentin zu hektischen Anrufen bei ihren Roaming-Anbietern veranlasst, ob diese derartige Vorkehrungen bereits getroffen h&#228;tten. Vor allem Geheimdienste wie die NSA und das Milit&#228;r s&#228;hen den Mobilfunk aber generell nach wie vor als „All you can eat“-Datenb&#252;ffet, sodass es schwer sei, verbesserte technische Sicherheitsbedingungen auch praktisch in voller Breite umzusetzen. (<em>Stefan Krempl</em>) / (<strong>ea[10]</strong>)<br class=„clear“/></p> <hr/><p><strong>URL dieses Artikels:</strong><br/><small> 

http://www.heise.de/-3928496

</small></p> <p><strong>Links in diesem Artikel:</strong><br/><small> 

<strong>[1]</strong>&#160;https://de.wikipedia.org/wiki/Diameter_(Protokoll)

</small><br/><small> 

<strong>[2]</strong>&#160;https://de.wikipedia.org/wiki/Signalling_System_7

</small><br/><small> 

<strong>[3]</strong>&#160;https://www.heise.de/meldung/Studie-TK-Infrastruktur-hoffnungslos-unsicher-Verschluesselung-Fehlanzeige-3671794.html

</small><br/><small> 

<strong>[4]</strong>&#160;https://www.heise.de/meldung/31C3-Mobilfunk-Protokoll-SS7-offen-wie-ein-Scheunentor-2506892.html

</small><br/><small> 

<strong>[5]</strong>&#160;https://www.heise.de/meldung/28C3-Neue-Angriffe-auf-GSM-Handys-und-Schutzmechanismen-1401633.html

</small><br/><small> 

<strong>[6]</strong>&#160;https://www.gsma.com/

</small><br/><small> 

<strong>[7]</strong>&#160;http://diameter-protocol.blogspot.de/2012/07/s6as6d.html

</small><br/><small> 

<strong>[8]</strong>&#160;http://diameter-protocol.blogspot.de/2013/09/sh-interface.html

</small><br/><small> 

<strong>[9]</strong>&#160;https://www.developingsolutions.com/products/s6c-interface/

</small><br/><small> 

<strong>[10]</strong>&#160;mailto:ea@ct.de

</small><br/></p> <p class=„printversion__copyright“><em>Copyright &#169; 2017 Heise Medien</em></p> </html>

Cookies helfen bei der Bereitstellung von Inhalten. Diese Website verwendet Cookies. Mit der Nutzung der Website erklären Sie sich damit einverstanden, dass Cookies auf Ihrem Computer gespeichert werden. Außerdem bestätigen Sie, dass Sie unsere Datenschutzerklärung gelesen und verstanden haben. Wenn Sie nicht einverstanden sind, verlassen Sie die Website.Weitere Information
Zuletzt geändert: 2021/12/06 15:24
CC Attribution-Noncommercial-Share Alike 4.0 International Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-Noncommercial-Share Alike 4.0 International