Erstellt am: 2. 12. 2010 - 05:50 Uhr

Die Tricks der Handyhacker

Abhören leicht gemacht: Die veralteten Verschlüsselungssysteme der GSM-Mobilfunknetze lassen sich heute mit relativ bescheidenem technischem Know-how, Handys vom Flohmarkt und einem handelsüblichen PC knacken.

1999 veröffentlichten die Verschlüsselungsexperten Alex Birjukow und Adi Schamir Ergebnisse einer Analyse, die eigentlich alarmierend waren. Sie wiesen darin nach, dass der Verschlüsselungsalgorithmus A5/1, der im weltweit führenden Mobilfunkstandard GSM (80 Prozent aller Mobiltelfone global) für "Abhörsicherheit" sorgt, angreifbar ist.

Ihre Schlussfolgerung damals: "Sein Sicherheitsniveau macht ihn gegen hardwaregestützte Attacken durch große Organisationen verwundbar, aber nicht durch softwarebasierte Hackerangriffe auf multiple Ziele." Sprich: Nur große Player im Geheimdienstgeschäft hatten beim Angriff auf die Luftschnittstellen (Funkmasten) der weltweiten GSM-Netze damals eine Chance.

Diese Aussage ist inzwischen überholt. "Seit einem Jahr ist es für jeden Interessierten möglich, GSM-Handys, die sich in derselben Funkzelle befinden, zeitversetzt abzuhören", so der Sicherheitsexperte Karsten Nohl im Gespräch mit ORF.at. Die zum Knacken der abgefangenen und aufgezeichneten verschlüsselten Anrufe notwendige Hardware ist längst auf dem Markt - und das zu erschwinglichen Preisen: Mit weniger als tausend Euro ist man dabei, die Software ist Open Source.

Die Softwareradios

Der Empfangsteil der Gerätschaft ist ein FPGA-Board, das als Software Defined Radio (SDR) funktioniert, wie es zum Beispiel im Open-Source-Projekt GNUradio zum Einsatz kommt. Verkürzt gesagt: Field Programmable Gate Arrays (FPGA) sind einfach gestrickte, aber hochflexible Bauteile, die via Software für praktisch jeden Frequenzbereich und jedes (bekannte) Übertragungsprotokoll programmiert werden können.

Sämtliche Funkgeräte der US-Armee arbeiten mittlerweile nach diesem Prinzip, das es zum Beispiel ermöglicht, den gesamten Funkverkehr eines Bataillons binnen kürzester Zeit von einer Serie von Kanälen auf andere umzustellen. Die Benutzer brauchen überhaupt nicht zu wissen, dass sie in einem völlig anderen Frequenzbereich funken als am Tag davor, sie merken von der Umstellung nichts.

Wie es funktioniert

Mit einem solchen Softwareradio lassen sich - wiederum abgekürzt ausgedrückt - zum Beispiel sämtliche Frequenzen, die eine bestimmte Funkzelle in den GSM-Bändern 900 bzw. 1.800 MHz verwendet, überwachen. Bei der Kontaktaufnahme eines Handys mit einer Funkzelle gehen aber auch Daten über den Äther, die im Klartext dort nichts zu suchen hätten. Die Standortdaten etwa werden unverschlüsselt vom Mobiltelefon zum jeweils nächsten Base-Station-Controller alias "Luftschnittstelle" oder "Handymast" übermittelt.

Dazu halten sich viele Mobilfunkbetreiber nicht an die Empfehlungen des European Telecom Standards Institute (ETSI) und benutzen statt einer temporären Identifikationsnummer gleich die "International Mobile Subscriber Identity" (IMSI). Die IMSI ist eine weltweit einmalige "Kundennummer", also ein unverwechselbares Mittel zur Identifikation eines Handys.

Spiel mit Regenbogentabellen

Damit lässt sich von einem Angreifer also schon eine Vorauswahl der abzuhörenden Gespräche treffen, ohne dass dieser noch irgendeinen Code knacken müsste. Dann wird das Gespräch mitgeschnitten, um hinterher entschlüsselt zu werden. Dazu braucht es einen handelsüblichen PC mit zwei Terabyte Speicherplatz. Ein schneller Prozessor verkürzt die Wartezeit auf das zu entschlüsselnde Telefongespräch. Der große Speicherplatz ist für die Arbeit mit den "Rainbow Tables" nötig.

Diese "Regenbogentabellen" müsse man sich als eine Art "Kryptografie-Telefonbuch" vorstellen, sagt Nohl, denn in komprimierter Form seien darauf alle möglichen Schlüssel enthalten, die mit dem A5/1-Algorithmus erzeugt werden können. Mit der Entwicklung des GSM-Standards wurde in den späten 80er Jahren - also am Ende des Kalten Kriegs - begonnen, die vergleichsweise nicht hochkomplexe Verschlüsselungsmethode wurde nach Meinung des studierten Kryptologen Nohl bewusst gewählt, "um den Russen nicht allzu viel über den damailigen Wissenstand des Westens bezüglich Kryptografie zu verraten".

Lücken im Protokoll

Dazu wurden auch absichtlich Lücken im Standard offen gelassen. Für die Anmeldung eines Handys an einer Basisstation ist im GSM-Protokoll nur eine einseitige Authentifizierung vorgesehen, sprich: Das Mobiltelefon identifiziert sich gegenüber dem Handymast, aber dieser nicht beim Mobiltelefon. Dass sich die Basisstation beim Handy nicht authentifiziert, nützt ein Abhörgerät namens IMSI-Catcher aus.

Technisch gesehen arbeitet ein IMSI-Catcher ähnlich wie eine GSM-Basisstation. Bei einem Angriff tut der IMSI-Catcher so, als wäre er ein Handymast - die Angriffsweise entspricht also einer klassischen "Man in the Middle"-Attacke. Dieses Gerät, das Polizei, Geheimdienste, so manche Detektive, aber auch Kriminelle einsetzen, zieht einfach alle Telefonate aus der nächsten Umgebung an sich.

Diese "Basisstation" teilt dem Zielhandy dann mit - freilich ohne Wissen des Besitzers -, dass momentan leider keine Verschlüsselung möglich sei, worauf das Gespräch im Klartext mitgeschnitten werden kann. Die Mobilfunker haben mit IMSI-Catchern überhaupt keine Freude, da sie Störungen verursachen und nur schwer entdeckt werden können. Aber möglich ist es, während die oben geschilderte, rein passive Angriffsweise absolut unsichtbar bleibt.

Praktische Möglichkeiten

"Der deutsche Bundestag in Berlin liegt zum Beispiel genau zwischen der Schweizer und amerikanischen Botschaft. Theoretisch wäre es für beide möglich, Telefonate aus den umliegenden GSM-Funkstationen mitzuschneiden", sagt Nohl. Die einzige Abwehrmaßnahme bestünde darin, ein Handy zu verwenden, das mit der Gegenstelle eigenständig "End-to-End" verschlüsselt, doch was im Internet - etwa beim Onlinebanking - Alltagsroutine ist, hat im GSM-Bereich noch Raritätenstatus. Nohl schätzt, dass seitens der deutschen Behörden insgesamt gerade einmal 2.000 solche Handys im Einsatz sind, die sowohl gegen IMSI-Catcher wie auch gegen passive Mitsniffer gefeit sind.

Um diese Angriffe, die auf längst überholter Verschlüsselung sowie an der Vorhersagbarkeit des Inhalts bestimmter GSM-Datenpakete basieren, zu unterbinden, würde eine leichte Modifikation des GSM-Protokolls genügen, sagt der Experte. Dazu ein besserer Algorithmus, und die Abhörsicherheit würde schlagartig und signifikant erhöht.

Gemeint ist allerdings damit nur Abhörsicherheit gegen Attacken von außen. Kommen sie aus dem Mobilfunknetz selbst, hilft wiederum nur eigene "End-to End"-Verschlüsselung gegen Abhören. Verkehrsdatenprofile aus dem Netzwerk selbst - wer mit wem wann wo telefoniert - können auch dadurch nicht unterbunden werden.

Abhören mit Flohmarkthandys

Was 1999 nur für "große Organisationen" - deren Namen man sich denken mag - möglich war, nämlich GSM-Telefonate aus der Luft aufzuzeichnen und zu knacken, ist also heute schon so gut wie jeder interessierten Person möglich, die über mäßige technische Fähigkeiten und ein Budget von tausend Euro verfügt. Doch auch da gibt es noch "Potenzial nach unten". Anstelle des relativ teuren SDR lassen sich auch bestimmte Handys - allesamt Flohmarktware - als "Empfangsteil" einsetzen. Zum Packet-Sniffen, also zum Abfangen der gesendeten Datenpakete, taugen alle Handys, die über den integrierten Trace-Modus am Beacon-Channel die Kommunikation mit der Basisstation aufzeichnen können.

Nohl und die anderen Forscher des "AirProbe"-Projekts haben relativ betagte Motorola-Handys umprogrammiert, mit denen sie, im Set geschaltet, mehrere Kanäle parallel aufzeichnen können. Kostenpunkt: 15 Euro pro Stück.

UMTS-Netze sind von dieser Angriffsform übrigens nicht betroffen, UMTS-taugliche Handys nur dann, wenn sie veranlasst werden, auf GSM zurückzuschalten, weil etwa keine höherwertige Netzverbindung möglich ist.