27C3

GSM-Gespräche können leicht abgehört werden

Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Für nur zehn Euro Handytelefonate abzuhören, scheint ein guter Deal zu sein. Geheimdienste kosten da deutlich mehr.

Ein technisch versierter Anwender besitzt bereits mit einem Zehn-Euro-Mobiltelefon aus dem Supermarkt und frei verfügbarer Open-Source-Software alles Nötige, um Gespräche fremder Menschen im GSM-Netz abzuhören, wenn er nur deren Rufnummer kennt. Den Beweis traten Sicherheitsforscher auf dem 27. Chaos Communication Congress in Berlin an.

SS7 FTW

Mit etwas Sachverstand und wenig Geld lassen sich GSM-Telefonate belauschen.
Mit etwas Sachverstand und wenig Geld lassen sich GSM-Telefonate belauschen.
Foto: Fotolia/Iosif Szasz-Fabian

Da alle Carrier über das SS7-Netzwerk Informationen über den Standort eines Handys austauschen und diese Daten nicht angemessen schützten, lasse sich das Telefon zunächst leicht lokalisieren - so Karsten Nohl, Teamleiter beim Berliner Sicherheitsdienstleister Security Research Labs. Dazu würden Internet-Dienste benötigt, die das Home Location Register (HLR) abfragen - die zentrale Datenbank eines Netzes, in der die Kombination aus Rufnummer und IMSI (International Mobile Subscriber Identity) hinterlegt ist. Im zweiten Schritt sei die TMSI (Temporary Mobile Subscriber Identity) zu recherchieren - die nur zwischenzeitlich zugewiesene Teilnehmer-ID, die für einen Verbindungsaufbau benötigt wird. Durch "stille" SMS lasse sich laut Nohl herausfinden, in welcher Funkzelle das gesuchte Telefon aktiv sei.

Verschlüsselung kein Problem

Sobald ein Handy über die TSMI identifizierbar ist, geht es ans eigentliche Abhören der Gespräche. Wird das Handy per Sprachanruf oder SMS kontaktiert, baut sich ein unverschlüsselter Kanal zur Signalisierung auf. Wenn das Gerät antwortet, wechselt der Kontakt in einen verschlüsselten Kontrollkanal. Erst wenn die Verschlüsselung steht, kann das Gespräch über den eigentlichen Verkehrskanal vonstatten gehen. Anfällig sind diese Gespräch nun vor allem deshalb, da zur Störungsvermeidung fortlaufend zwischen verschiedenen Frequenzen gesprungen wird (Frequency Hopping).

Open Source, mehr nicht

Mit kostenlosen Open-Source-Tools lassen sich weite Teile des Frequenzspektrums abhören - mit dem von den Sicherheitsforschern Hohl und seinem Kollegen Sylvain Munout mit selbstprogrammierter Firmware umgebauten Motorola-Billighandy können nun auch die bisher vermeintlich abhörsicheren GSM-Frequenzen belauscht werden. In der Live-Demonstration auf dem Hacker-Kongress gelang es, ein mehrsekündiges Gespräch über ein zuvor geortetes Dritthandy in verständlicher Sprache aufzuzeichnen und wiederzugeben. Dazu wurde über ein Notebook neben der TSMI auch der Sitzungsschlüssel abgefangen, um die Verschlüsselung außer Kraft zu setzen. Die von den Experten verwendeten Tools und Werkzeuge wurden bisher nicht veröffentlicht. Karsten Hohl appellierte an die TK-Industrie, den unsicheren GSM-Standard zu den Akten zu legen und endgültig auf sichere Funkstandards wie UMTS umzusteigen.