summaryrefslogtreecommitdiff
path: root/updates/2009
diff options
context:
space:
mode:
authorerdgeist <erdgeist@erdgeist.org>2009-12-29 19:43:56 +0000
committererdgeist <erdgeist@erdgeist.org>2020-05-23 13:38:47 +0000
commitf190f1bd1a0e88ced7464a9e80267c8b4e63668b (patch)
tree747be485d88042db8f539562232118bce9080316 /updates/2009
parent67d3f4a74128de25c66492e100d3eb8f5bb74cda (diff)
committing page revision 1
Diffstat (limited to 'updates/2009')
-rw-r--r--updates/2009/gsm-nicht-mehr-sicher.md68
1 files changed, 68 insertions, 0 deletions
diff --git a/updates/2009/gsm-nicht-mehr-sicher.md b/updates/2009/gsm-nicht-mehr-sicher.md
new file mode 100644
index 00000000..af581604
--- /dev/null
+++ b/updates/2009/gsm-nicht-mehr-sicher.md
@@ -0,0 +1,68 @@
1title: Chaos Computer Club: Gespräche über das Mobiltelefon nicht mehr sicher
2date: 2009-12-29 19:22:00
3updated: 2009-12-29 19:43:56
4author: erdgeist
5tags: update, pressemitteilung
6
7Nach den auf dem 26. Chaos Communication Congress (26C3) vorgestellten Erkenntnissen hält es der Chaos Computer Club (CCC) nicht mehr für verantwortbar, sensitive Informationen über das Mobiltelefon im GSM-Netz als Gespräch oder Kurznachricht auszutauschen.
8
9<!-- TEASER_END -->
10
11Der zwanzig Jahre alte Verschlüsselungsalgorithmus, der von über 200
12Mobilnetzen weltweit eingesetzt und von der Industrievereinigung der
13GSM-Mobilfunkanbieter (GSMA) vertreten wird, galt schon kurz nach seiner
14Einführung als theoretisch gebrochen. Auf dem 26C3 [wurde nun der erste
15praktikable Angriff
16vorgestellt](http://events.ccc.de/congress/2009/Fahrplan/events/3654.en.html "GSM: SRSLY?"),
17der mit Amateurmitteln durchführbar ist und keinen erheblichen
18finanziellen oder technischen Aufwand mehr bedeutet.
19
20Heutzutage werden Mobiltelefone neben dem bloßen Telefonieren auch
21zunehmend für neue sicherheitskritische Anwendungen wie
22Banktransaktionen benutzt. So ist es ohne weiteres möglich, Waren zu
23bezahlen, sensible Informationen und Zutrittscodes abzurufen oder
24Überweisungsaufträge zu versenden – einzig geschützt durch diesen
25schwachen Verschlüsselungsstandard.
26
27Die Geschichte des verwendeten GSM-Verschlüsselungsalgorithmus "A5/1"
28war von Anfang an von dem Wunsch geprägt, den Polizeien und
29Geheimdiensten mit entsprechenden Mitteln den Zugriff auf die
30Gesprächsdaten nicht zu verwehren und gute Verschlüsselung möglichst von
31Zivilisten und damals noch "dem Russen" fernzuhalten.
32
33"*Mit dem gezeigten Angriff rücken die bisher nur mit teuren
34kommerziellen Lösungen möglichen Angriffe auf wirtschaftliche und
35private Geheimnisse in einen für alle Neugierigen erschwinglichen
36Bereich*", erklärt Karsten Nohl, Mitglied des CCC und
37Sicherheitsforscher, der den Angriff auf dem 26C3 zeigte. Nunmehr seien
38sie "*von ausreichend motivierten privaten Angreifern zu stemmen, die
39bereit sind, die Grenzen des Gesetzes zu übertreten*", kommentierte er
40weiter. Das aktuell laufende Projekt habe keine tatsächlichen GSM-Daten
41verwendet, um rechtliche Konflikte zu vermeiden. Doch alles, was ein
42Krimineller nun noch zum Abhören und Entschlüsseln braucht, sind ein
43handelsüblicher PC und eine im Internet erhältliche Empfängerhardware
44für die entsprechenden Frequenzbereiche, ähnlich wie eine zum Empfang
45von Digitalfernsehen notwendige DVBT-Box.
46
47Der Chaos Computer Club fordert die GSMA auf, endlich die längst
48überfälligen Schritte einzuleiten, den gebrochenen Standard durch einen
49zeitgemäßeren auszutauschen. Pläne dazu liegen seit Jahren in den
50Schubladen der Mobilfunkanbieter. "*Da der Leidensdruck offensichtlich
51noch nicht groß genug war, sahen sich die Betreiber bisher nicht bereit,
52den Verschlüsselungsstandard zu ersetzen. Die zum Teil horrenden Preise,
53die von den Herstellern der Mobilfunkstationen für die – in der
54restlichen IT-Welt normalerweise kostenlosen – Sicherheitsupdates
55verlangt werden, wollten sie nicht zahlen*", kommentierte Nohl die
56Versäumnisse in der Mobiltelefoniebranche. Mit einem solchen Update
57könnte auf einen sichereren – in Frankreich bereits getesteten –
58Algorithmus umgeschwenkt werden, bis in fünf Jahren die ohnehin geplante
59Umstellung auf das Netz der dritten Generation mit einem neuen
60kryptographischen Verfahren mehr Sicherheit bietet. Erfahrungsgemäß kann
61dann für rund fünf bis zehn Jahre ausreichender Schutz gegen Angriffe
62angenommen werden.
63
64Die GSMA gerät durch die Veröffentlichung des konkreten Angriffes unter
65Druck, endlich den veralteten Algorithmus zu ersetzen. "*Die
66Verschlüsselung bei den betroffenen Mobiltelefonen ist nicht mal mehr
67auf dem Niveau, daß sie Sicherheit gegen den voyeuristischen Nachbarn
68bietet*", kommentiert CCC-Sprecher Dirk Engling.