diff options
| author | erdgeist <erdgeist@erdgeist.org> | 2009-12-29 19:43:56 +0000 |
|---|---|---|
| committer | erdgeist <erdgeist@erdgeist.org> | 2020-05-23 13:38:47 +0000 |
| commit | f190f1bd1a0e88ced7464a9e80267c8b4e63668b (patch) | |
| tree | 747be485d88042db8f539562232118bce9080316 /updates/2009 | |
| parent | 67d3f4a74128de25c66492e100d3eb8f5bb74cda (diff) | |
committing page revision 1
Diffstat (limited to 'updates/2009')
| -rw-r--r-- | updates/2009/gsm-nicht-mehr-sicher.md | 68 |
1 files changed, 68 insertions, 0 deletions
diff --git a/updates/2009/gsm-nicht-mehr-sicher.md b/updates/2009/gsm-nicht-mehr-sicher.md new file mode 100644 index 00000000..af581604 --- /dev/null +++ b/updates/2009/gsm-nicht-mehr-sicher.md | |||
| @@ -0,0 +1,68 @@ | |||
| 1 | title: Chaos Computer Club: Gespräche über das Mobiltelefon nicht mehr sicher | ||
| 2 | date: 2009-12-29 19:22:00 | ||
| 3 | updated: 2009-12-29 19:43:56 | ||
| 4 | author: erdgeist | ||
| 5 | tags: update, pressemitteilung | ||
| 6 | |||
| 7 | Nach den auf dem 26. Chaos Communication Congress (26C3) vorgestellten Erkenntnissen hält es der Chaos Computer Club (CCC) nicht mehr für verantwortbar, sensitive Informationen über das Mobiltelefon im GSM-Netz als Gespräch oder Kurznachricht auszutauschen. | ||
| 8 | |||
| 9 | <!-- TEASER_END --> | ||
| 10 | |||
| 11 | Der zwanzig Jahre alte Verschlüsselungsalgorithmus, der von über 200 | ||
| 12 | Mobilnetzen weltweit eingesetzt und von der Industrievereinigung der | ||
| 13 | GSM-Mobilfunkanbieter (GSMA) vertreten wird, galt schon kurz nach seiner | ||
| 14 | Einführung als theoretisch gebrochen. Auf dem 26C3 [wurde nun der erste | ||
| 15 | praktikable Angriff | ||
| 16 | vorgestellt](http://events.ccc.de/congress/2009/Fahrplan/events/3654.en.html "GSM: SRSLY?"), | ||
| 17 | der mit Amateurmitteln durchführbar ist und keinen erheblichen | ||
| 18 | finanziellen oder technischen Aufwand mehr bedeutet. | ||
| 19 | |||
| 20 | Heutzutage werden Mobiltelefone neben dem bloßen Telefonieren auch | ||
| 21 | zunehmend für neue sicherheitskritische Anwendungen wie | ||
| 22 | Banktransaktionen benutzt. So ist es ohne weiteres möglich, Waren zu | ||
| 23 | bezahlen, sensible Informationen und Zutrittscodes abzurufen oder | ||
| 24 | Überweisungsaufträge zu versenden – einzig geschützt durch diesen | ||
| 25 | schwachen Verschlüsselungsstandard. | ||
| 26 | |||
| 27 | Die Geschichte des verwendeten GSM-Verschlüsselungsalgorithmus "A5/1" | ||
| 28 | war von Anfang an von dem Wunsch geprägt, den Polizeien und | ||
| 29 | Geheimdiensten mit entsprechenden Mitteln den Zugriff auf die | ||
| 30 | Gesprächsdaten nicht zu verwehren und gute Verschlüsselung möglichst von | ||
| 31 | Zivilisten und damals noch "dem Russen" fernzuhalten. | ||
| 32 | |||
| 33 | "*Mit dem gezeigten Angriff rücken die bisher nur mit teuren | ||
| 34 | kommerziellen Lösungen möglichen Angriffe auf wirtschaftliche und | ||
| 35 | private Geheimnisse in einen für alle Neugierigen erschwinglichen | ||
| 36 | Bereich*", erklärt Karsten Nohl, Mitglied des CCC und | ||
| 37 | Sicherheitsforscher, der den Angriff auf dem 26C3 zeigte. Nunmehr seien | ||
| 38 | sie "*von ausreichend motivierten privaten Angreifern zu stemmen, die | ||
| 39 | bereit sind, die Grenzen des Gesetzes zu übertreten*", kommentierte er | ||
| 40 | weiter. Das aktuell laufende Projekt habe keine tatsächlichen GSM-Daten | ||
| 41 | verwendet, um rechtliche Konflikte zu vermeiden. Doch alles, was ein | ||
| 42 | Krimineller nun noch zum Abhören und Entschlüsseln braucht, sind ein | ||
| 43 | handelsüblicher PC und eine im Internet erhältliche Empfängerhardware | ||
| 44 | für die entsprechenden Frequenzbereiche, ähnlich wie eine zum Empfang | ||
| 45 | von Digitalfernsehen notwendige DVBT-Box. | ||
| 46 | |||
| 47 | Der Chaos Computer Club fordert die GSMA auf, endlich die längst | ||
| 48 | überfälligen Schritte einzuleiten, den gebrochenen Standard durch einen | ||
| 49 | zeitgemäßeren auszutauschen. Pläne dazu liegen seit Jahren in den | ||
| 50 | Schubladen der Mobilfunkanbieter. "*Da der Leidensdruck offensichtlich | ||
| 51 | noch nicht groß genug war, sahen sich die Betreiber bisher nicht bereit, | ||
| 52 | den Verschlüsselungsstandard zu ersetzen. Die zum Teil horrenden Preise, | ||
| 53 | die von den Herstellern der Mobilfunkstationen für die – in der | ||
| 54 | restlichen IT-Welt normalerweise kostenlosen – Sicherheitsupdates | ||
| 55 | verlangt werden, wollten sie nicht zahlen*", kommentierte Nohl die | ||
| 56 | Versäumnisse in der Mobiltelefoniebranche. Mit einem solchen Update | ||
| 57 | könnte auf einen sichereren – in Frankreich bereits getesteten – | ||
| 58 | Algorithmus umgeschwenkt werden, bis in fünf Jahren die ohnehin geplante | ||
| 59 | Umstellung auf das Netz der dritten Generation mit einem neuen | ||
| 60 | kryptographischen Verfahren mehr Sicherheit bietet. Erfahrungsgemäß kann | ||
| 61 | dann für rund fünf bis zehn Jahre ausreichender Schutz gegen Angriffe | ||
| 62 | angenommen werden. | ||
| 63 | |||
| 64 | Die GSMA gerät durch die Veröffentlichung des konkreten Angriffes unter | ||
| 65 | Druck, endlich den veralteten Algorithmus zu ersetzen. "*Die | ||
| 66 | Verschlüsselung bei den betroffenen Mobiltelefonen ist nicht mal mehr | ||
| 67 | auf dem Niveau, daß sie Sicherheit gegen den voyeuristischen Nachbarn | ||
| 68 | bietet*", kommentiert CCC-Sprecher Dirk Engling. | ||