Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.733.931 Produkten

Stefan Krempl 22

34C3: Auch 4G-Mobilfunk ist einfach abzuhören und zu überwachen

34C3: Auch 4G-Mobilfunk ist einfach abzuhören und zu überwachen

GSM war sehr einfach zu knacken, 3G stand über das SS7-Protokoll offen wie ein Scheunentor. Bei 4G sollte mit dem neuen Roaming- und Abrechnungsprotokoll Diameter alles besser werden, doch viele Angriffsflächen sind geblieben.

Die Sicherheitsforscherin Dr. Silke Holtmanns hat am Donnerstag auf dem 34. Chaos Communication Congress in Leipzig Angriffsmöglichkeiten auf das Diameter-Protokoll erläutert, das für die Authentifizierung, Autorisierung und Abrechnung vor allem in 4G- und LTE-Mobilfunknetzen eingesetzt wird. Diameter werde von den Netzwerkbetreiber immer unter dem Aspekt angepriesen, dass damit unter Sicherheits- und Datenschutzgesichtspunkten alles besser werde als beim Vorgänger Signalling System 7 (SS7) für 3G-Netzwerke, berichtete die Mitarbeiterin der Nokia Bell Labs. Dies konnte sie so aber nicht bestätigen.

Anzeige
Silke Holtmanns, Sicherheitsforscherin bei den Nokia Bell Labs, nahm sich auf dem 34C3 das Diameter-Protokoll zur Authentisierung und Abrechnung in Mobilfunknetzen vor: Es hat manche Schwächen vom Vorgänger Signalling System 7 geerbt.

Diameter sei im Hinblick auf die LTE-Sicherheit "anders" aufgestellt als SS7, drückte sich Holtmanns vorsichtiger aus. Das Protokoll arbeite prinzipiell ähnlich wie sein Vorgänger und erlaube es dem Nutzer eines Mobiltelefon etwa auch, sich ohne Verbindungsverlust von einer Funkzelle zur nächsten zu bewegen (Roaming). Die Logik der Übergabe sei dabei vergleichbar zu der bei SS7. Einige der vielfach belegten Schwächen des früheren Signalisierungssystems seien so in den Nachfolger quasi "überführt" worden.

Sicherheitsexperten wie Karsten Nohl oder Tobias Engel hatten auf früheren Hackerkonferenzen gezeigt, dass SS7 für Attacken offen steht wie ein Scheunentor. Da SS7 keine Authentifizierungsfunktionen kennt, kann jeder mit Zugriff auf das Netz damit anstellen, was er will. So lassen sich etwa Gespräche und SMS umleiten, entschlüsseln und abhören. Grundsätzliche Sicherheitsvorteile von 3G-Netzen wie UMTS gegenüber dem besonders leicht knackbaren GSM werden damit wieder aufgehoben.

Diameter setzt zwar auf verlässliche Transport-Protokolle wie TCP oder SCTP sowie eine Verschlüsselung des Datenverkehrs im Internet mit IPsec oder TLS. Aber gewisse Stufen von Abwärtskompatibilität blieben bestehen, erläuterte Holtmanns. Es gebe in einem Mobilfunknetz schließlich nach wie vor nicht nur IP-Verkehre. SS7 bleibe so für das Zusammenschalten von Netzwerken nach wie vor relevant und nicht alle Betreiber weltweit hätten Experten an der Hand, um dessen Einsatz abzusichern. Es bestehe zudem kein Schutz gegen das Outsourcing grundlegender Betriebsfunktionen an teils zweifelhafte Dienstleister, um Kosten zu sparen.

Seit 2015 seien verschiedene Attacken auch auf Diameter publik geworden, führte die Expertin aus. Dazu gehörten Szenarien, in denen Angreifer Standorte von Mobilfunknutzern verfolgten (Location Tracking) oder den Einsatz von SS7 durch "Downgrading Attacks" erzwangen, was durch spezielle Übersetzungsboxen zwischen den beiden Protokollen erleichtert werde. Auch Denial-of-Service-Angriffe und Betrug blieben bei dem LTE-Advanced-Authentisierungsprotokoll vergleichsweise einfach, das Abfangen von SMS mit Passwörtern oder Banking-TANs sowieso, da Kurzmitteilungen generell nicht auf Sicherheit ausgerichtet seien. Auch Abfragen der Mobilfunk-Teilnehmerkennung IMSI, die Mobilfunkbetreiber als eindeutiges Erkennungsmerkmal verwenden, seien bereits dokumentiert worden.

Holtmanns und einige ihrer Kollegen stellten sich nun die Frage, inwieweit auf Basis dieser Vorarbeiten 4G-Mobilfunk abgehört werden könne. Im Mobilfunkverband GSMA sei passend dazu gerade ein Angriff zum Mitschneiden von GPRS-Verkehr diskutiert worden, den die Sicherheitsfirma Adaptive Mobile beobachtet habe. Diese und Holtmanns' Team bei Nokia Bell Labs hätten gleichzeitig an einem Fall gearbeitet, in dem es um das Ändern von Kundenprofilen gegangen sei. Es habe nahegelegen, beide Attacken für das Überwachung von Kommunikationsinhalten zu kombinieren. Dazu habe man die Details und mögliche Hindernisse in einem Testnetzwerk anhand der Konfigurationen aus einer realen Umgebung herausgearbeitet.

Tatsächlich gelang das Vorhaben laut der Forscherin, wobei den Sicherheitsprüfern mehrere Schwachstellen rund um Diameter-Implementierungen zu Hilfe kamen. So gebe es im Einklang mit der Spezifikation mehrere Schnittstellen wie S6a, Sh oder S6c, über die etwa verschlüsselt Login- und andere Nutzerdaten von einem Netzwerk zum anderen übertragen würden. Diese kämen vor allem beim Roaming zum Einsatz, wiesen aber häufig Verwundbarkeiten in der Konfiguration auf. Der Preisdruck im Mobilfunk führe auch dazu, dass interner und externer Verkehr etwa zur Auflösung von DNS-Anfragen über ein- und denselben Netzknoten geleitet oder Server, die auf ein Land ausgerichtet seien, in ganz unterschiedlichen Regionen weltweit genutzt würden.

Für den konkreten Angriff sei es zunächst nötig, sich Daten wie die IMSI eines Abhörziels zu beschaffen, erläuterte Holtmanns. Dafür eigne sich etwa die Sh-Schnittstelle, da man darüber mit einer Nutzeranfrage alle benötigten Informationen erhalte und über ein Datenanalyseprogramm wie Wireshark auslesen könne. Alternativ sei etwa eine Standortabfrage über S6a für diesen Zweck nutzbar. Das Netzwerk sei in diesem Fall so nett, das gewünschte Kundenprofil ohne Authentisierung zurückzusenden.

Anzeige

Über weitere Anfragen in diesem Stil lasse sich der Zugangspunkt zwischen dem Mobilfunknetz und dem Internet setzen und etwa auf GPRS ändern oder das Nutzerprofil updaten, skizzierte die Wissenschaftlerin die weiteren Schritte. Letztlich gelänge es dem Angreifer durch Ausprobieren, einen vorgetäuschten Zugangspunkt zu kontrollieren. Das Protokoll helfe dabei, weil es gegebenenfalls von einem Vertipper ausgehe und diesen automatisch korrigiere. Für die Kommunikationsüberwachung seien so Tür und Tor geöffnet.

"Alle Netzwerke werden ständig angegriffen, aber nicht alle sind in gleicher Weise verwundbar", resümierte Holtmanns. Die meisten Übeltäter zielten nach wie vor auf SS7. Diameter mache ihnen das Leben zwar etwas schwerer, aber viele Mobilfunkbetreiber erleichterten es ihnen wiederum. Dabei seien Schutzmechanismen durchaus vorhanden: Die Sh-Schnittstelle könne etwa nur für interne Nutzungen freigegeben werden, der Verkehr könnte an den Rändern der Netzwerke und durch Roaming-Provider gefiltert oder Whitelists eingespielt werden. Auch spezielle Firewalls für das Signalisierungssystem, das Aufzeichnen von Aktivitäten im Netzwerk oder Penetrationstests sowie der stärkere Austausch über Sicherheitslücken seien sehr hilfreich.

Allein die Ankündigung des Vortrags hat einige Betreiber laut der Referentin zu hektischen Anrufen bei ihren Roaming-Anbietern veranlasst, ob diese derartige Vorkehrungen bereits getroffen hätten. Vor allem Geheimdienste wie die NSA und das Militär sähen den Mobilfunk aber generell nach wie vor als "All you can eat"-Datenbüffet, sodass es schwer sei, verbesserte technische Sicherheitsbedingungen auch praktisch in voller Breite umzusetzen. (Stefan Krempl) / (ea)

22 Kommentare

Themen:

Anzeige
  1. 5G-Mobilfunk: EU-Cybersicherheitsbehörde warnt vor "extremen" Gefahren

    Was 5G-Mobilfunk bringt

    Die EU-Agentur Enisa befürchtet, dass der kommende Mobilfunkstandard 5G Sicherheitsschwächen der Roaming- und Abrechnungsprotokolle seiner Vorgänger "erbt" und die Angriffsflächen sich damit deutlich vergrößern.

  2. Studie: TK-Infrastruktur hoffnungslos unsicher – Verschlüsselung Fehlanzeige

    US-Studie: TK-Infrastruktur hoffnungslos unsicher - Verschlüsselung Fehlanzeige

    Das amerikanische Pendant zur Bundesnetzagentur hat die Sicherheit des für die Telekommunikations-Infrastruktur unverzichtbaren SS7-Protokolls untersucht. Die Bilanz ist haarsträubend; die Arbeitsgruppe empfiehlt Ende-zu-Ende-Verschlüsselung.

  3. Ernstzunehmende Lücken im LTE-Protokoll aufgedeckt, kaum Hoffnung auf Absicherung

    Ernstzunehmende Lücken im LTE-Protokoll aufgedeckt, kaum Hoffnung auf Absicherung

    Zehn neue und neun alte Lücken in der 4G-Technik LTE können nach Belieben kombiniert werden, um Notfall-Nachrichten zu verschicken, Nutzer zu verfolgen und sich als andere Teilnehmer auszugeben. Auch wenn sich diese in einem anderen Land aufhalten.

  4. Details zur KRACK-Attacke: WPA2 ist angeschlagen, aber nicht gänzlich geknackt

    KRACK-Attacke: WPA2 ist angeschlagen, aber nicht gänzlich geknackt

    Schwachstellen im WPA2-Protokoll führen dazu, dass Angreifer eigentlich geschützten Datenverkehr mitlesen könnten. Davon sind im Grunde alle Geräte mit WLAN-Chip bedroht. Das WLAN-Passwort ist aber nicht gefährdet.

  1. Die Neuerungen von Linux 4.7

    Kernel-Log-Logo

    Die neue Kernel-Version unterstützt AMDs neue Grafikchips. Ferner soll Linux 4.7 das Stromsparpotenzial moderner Prozessoren stärker ausschöpfen und Wartezeiten vermeiden, die bislang bei hoher Netzwerklast auftraten.

  2. Mosul: Die Befreiung und die hässliche Fratze des Krieges

    Der irakische Premierminister al-Abadi hat die Offensive auf die dichtbesiedelten Viertel im Westen der Stadt befohlen

  3. IEEE-News: 10-GBit-WLAN, Light Communication, Ethernet im Auto

    IEEE-News: 10-GBit-WLAN, Light Communication, Ethernet im Auto

    Die IEEE treibt eine enorme Menge an Spezifikationen voran: Das 10-GBit-WLAN könnte schon Ende 2018 auf den Markt kommen. Messungen zeigen, wie gut Ethernet eigentlich ins Auto passen würde.

  1. Test: Citroёn C3 Aircross BlueHDI 100

    Citroen C3 Aircross

    Mit dem C3 Aircross will Citroёn ein Stück vom boomenden Mini-SUV-Segment mit hochgebockten Frontantriebskleinwagen abhaben. Der expressive Franzose soll besonders komfortabel und praktisch sein. Kann er das im Alltag bestätigen?

  2. Breitbandausbau: Bauern klagen über langsames Internet

    LTE auf dem Land

    Langsames Internet, schlechtes Mobilfunknetz – das ist auf dem Land oft noch Alltag. Auch für Landwirte ist das ein Problem. Der Bauernverband fordert die Bundesregierung zu mehr Anstrengungen auf.

  3. Private Videoüberwachung: Illegaler Einsatz ist strafbar

    Überwachung im Innenhof: Beschwerden von Nachbarn nehmen zu

    Private Überwachungskameras hängen in Hauseingängen oder an Balkonen, filmen den Innenhof oder Besucher im Hausflur. Immer mehr Menschen sehen sich dadurch belästigt. Berlins Datenschutzbeauftragte bekommt es zu spüren.

  4. Missing Link: Im Takt der Maschine, oder: Wenn Roboter regieren

    Missing Link: Im Takt der Maschine, oder: Wenn Roboter regieren

    Weltuntergangsszenarien sind en vogue, wenn die Stichworte Künstliche Intelligenz und Roboter fallen. Die Machtergreifung der Maschinen aber findet bereits statt. Dabei ist eine Mensch-Maschine-Beziehung möglich, die uns von entfremdeter Arbeit befreit.

Anzeige