diff options
Diffstat (limited to 'updates')
-rw-r--r-- | updates/2009/gsm-nicht-mehr-sicher.md | 68 |
1 files changed, 68 insertions, 0 deletions
diff --git a/updates/2009/gsm-nicht-mehr-sicher.md b/updates/2009/gsm-nicht-mehr-sicher.md new file mode 100644 index 00000000..af581604 --- /dev/null +++ b/updates/2009/gsm-nicht-mehr-sicher.md | |||
@@ -0,0 +1,68 @@ | |||
1 | title: Chaos Computer Club: Gespräche über das Mobiltelefon nicht mehr sicher | ||
2 | date: 2009-12-29 19:22:00 | ||
3 | updated: 2009-12-29 19:43:56 | ||
4 | author: erdgeist | ||
5 | tags: update, pressemitteilung | ||
6 | |||
7 | Nach den auf dem 26. Chaos Communication Congress (26C3) vorgestellten Erkenntnissen hält es der Chaos Computer Club (CCC) nicht mehr für verantwortbar, sensitive Informationen über das Mobiltelefon im GSM-Netz als Gespräch oder Kurznachricht auszutauschen. | ||
8 | |||
9 | <!-- TEASER_END --> | ||
10 | |||
11 | Der zwanzig Jahre alte Verschlüsselungsalgorithmus, der von über 200 | ||
12 | Mobilnetzen weltweit eingesetzt und von der Industrievereinigung der | ||
13 | GSM-Mobilfunkanbieter (GSMA) vertreten wird, galt schon kurz nach seiner | ||
14 | Einführung als theoretisch gebrochen. Auf dem 26C3 [wurde nun der erste | ||
15 | praktikable Angriff | ||
16 | vorgestellt](http://events.ccc.de/congress/2009/Fahrplan/events/3654.en.html "GSM: SRSLY?"), | ||
17 | der mit Amateurmitteln durchführbar ist und keinen erheblichen | ||
18 | finanziellen oder technischen Aufwand mehr bedeutet. | ||
19 | |||
20 | Heutzutage werden Mobiltelefone neben dem bloßen Telefonieren auch | ||
21 | zunehmend für neue sicherheitskritische Anwendungen wie | ||
22 | Banktransaktionen benutzt. So ist es ohne weiteres möglich, Waren zu | ||
23 | bezahlen, sensible Informationen und Zutrittscodes abzurufen oder | ||
24 | Überweisungsaufträge zu versenden – einzig geschützt durch diesen | ||
25 | schwachen Verschlüsselungsstandard. | ||
26 | |||
27 | Die Geschichte des verwendeten GSM-Verschlüsselungsalgorithmus "A5/1" | ||
28 | war von Anfang an von dem Wunsch geprägt, den Polizeien und | ||
29 | Geheimdiensten mit entsprechenden Mitteln den Zugriff auf die | ||
30 | Gesprächsdaten nicht zu verwehren und gute Verschlüsselung möglichst von | ||
31 | Zivilisten und damals noch "dem Russen" fernzuhalten. | ||
32 | |||
33 | "*Mit dem gezeigten Angriff rücken die bisher nur mit teuren | ||
34 | kommerziellen Lösungen möglichen Angriffe auf wirtschaftliche und | ||
35 | private Geheimnisse in einen für alle Neugierigen erschwinglichen | ||
36 | Bereich*", erklärt Karsten Nohl, Mitglied des CCC und | ||
37 | Sicherheitsforscher, der den Angriff auf dem 26C3 zeigte. Nunmehr seien | ||
38 | sie "*von ausreichend motivierten privaten Angreifern zu stemmen, die | ||
39 | bereit sind, die Grenzen des Gesetzes zu übertreten*", kommentierte er | ||
40 | weiter. Das aktuell laufende Projekt habe keine tatsächlichen GSM-Daten | ||
41 | verwendet, um rechtliche Konflikte zu vermeiden. Doch alles, was ein | ||
42 | Krimineller nun noch zum Abhören und Entschlüsseln braucht, sind ein | ||
43 | handelsüblicher PC und eine im Internet erhältliche Empfängerhardware | ||
44 | für die entsprechenden Frequenzbereiche, ähnlich wie eine zum Empfang | ||
45 | von Digitalfernsehen notwendige DVBT-Box. | ||
46 | |||
47 | Der Chaos Computer Club fordert die GSMA auf, endlich die längst | ||
48 | überfälligen Schritte einzuleiten, den gebrochenen Standard durch einen | ||
49 | zeitgemäßeren auszutauschen. Pläne dazu liegen seit Jahren in den | ||
50 | Schubladen der Mobilfunkanbieter. "*Da der Leidensdruck offensichtlich | ||
51 | noch nicht groß genug war, sahen sich die Betreiber bisher nicht bereit, | ||
52 | den Verschlüsselungsstandard zu ersetzen. Die zum Teil horrenden Preise, | ||
53 | die von den Herstellern der Mobilfunkstationen für die – in der | ||
54 | restlichen IT-Welt normalerweise kostenlosen – Sicherheitsupdates | ||
55 | verlangt werden, wollten sie nicht zahlen*", kommentierte Nohl die | ||
56 | Versäumnisse in der Mobiltelefoniebranche. Mit einem solchen Update | ||
57 | könnte auf einen sichereren – in Frankreich bereits getesteten – | ||
58 | Algorithmus umgeschwenkt werden, bis in fünf Jahren die ohnehin geplante | ||
59 | Umstellung auf das Netz der dritten Generation mit einem neuen | ||
60 | kryptographischen Verfahren mehr Sicherheit bietet. Erfahrungsgemäß kann | ||
61 | dann für rund fünf bis zehn Jahre ausreichender Schutz gegen Angriffe | ||
62 | angenommen werden. | ||
63 | |||
64 | Die GSMA gerät durch die Veröffentlichung des konkreten Angriffes unter | ||
65 | Druck, endlich den veralteten Algorithmus zu ersetzen. "*Die | ||
66 | Verschlüsselung bei den betroffenen Mobiltelefonen ist nicht mal mehr | ||
67 | auf dem Niveau, daß sie Sicherheit gegen den voyeuristischen Nachbarn | ||
68 | bietet*", kommentiert CCC-Sprecher Dirk Engling. | ||