1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
|
title: Chaos Computer Club: Gespräche über das Mobiltelefon nicht mehr sicher
date: 2009-12-29 19:22:00
updated: 2009-12-31 18:17:07
author: erdgeist
tags: update, pressemitteilung, gsm
Nach den auf dem 26. Chaos Communication Congress (26C3) vorgestellten Erkenntnissen hält es der Chaos Computer Club (CCC) nicht mehr für verantwortbar, sensible Informationen über das Mobiltelefon im GSM-Netz als Gespräch oder Kurznachricht auszutauschen.
<!-- TEASER_END -->
Der zwanzig Jahre alte Verschlüsselungsalgorithmus, der von über 200
Mobilnetzen weltweit eingesetzt und von der Industrievereinigung der
GSM-Mobilfunkanbieter (GSMA) vertreten wird, galt schon kurz nach seiner
Einführung als theoretisch gebrochen. Auf dem 26C3 [wurde nun der erste
praktikable Angriff
vorgestellt](http://events.ccc.de/congress/2009/Fahrplan/events/3654.en.html "GSM: SRSLY?"),
der mit Amateurmitteln durchführbar ist und keinen erheblichen
finanziellen oder technischen Aufwand mehr bedeutet.
Heutzutage werden Mobiltelefone neben dem bloßen Telefonieren auch
zunehmend für neue sicherheitskritische Anwendungen wie
Banktransaktionen benutzt. So ist es ohne weiteres möglich, Waren zu
bezahlen, sensible Informationen und Zutrittscodes abzurufen oder
Überweisungsaufträge zu versenden – einzig geschützt durch diesen
schwachen Verschlüsselungsstandard.
Die Geschichte des verwendeten GSM-Verschlüsselungsalgorithmus "A5/1"
war von Anfang an von dem Wunsch geprägt, den Polizeien und
Geheimdiensten mit entsprechenden Mitteln den Zugriff auf die
Gesprächsdaten nicht zu verwehren und gute Verschlüsselung möglichst von
Zivilisten und damals noch "dem Russen" fernzuhalten.
"*Mit dem gezeigten Angriff rücken die bisher nur mit teuren
kommerziellen Lösungen möglichen Angriffe auf wirtschaftliche und
private Geheimnisse in einen für alle Neugierigen erschwinglichen
Bereich*", erklärt Karsten Nohl, Mitglied des CCC und
Sicherheitsforscher, der den Angriff auf dem 26C3 zeigte. Nunmehr seien
sie "*von ausreichend motivierten privaten Angreifern zu stemmen, die
bereit sind, die Grenzen des Gesetzes zu übertreten*", kommentierte er
weiter. Das aktuell laufende Projekt habe keine tatsächlichen GSM-Daten
verwendet, um rechtliche Konflikte zu vermeiden. Doch alles, was ein
Krimineller nun noch zum Abhören und Entschlüsseln braucht, sind ein
handelsüblicher PC und eine im Internet erhältliche Empfängerhardware
für die entsprechenden Frequenzbereiche, ähnlich wie eine zum Empfang
von Digitalfernsehen notwendige DVBT-Box.
Der Chaos Computer Club fordert die GSMA auf, endlich die längst
überfälligen Schritte einzuleiten, den gebrochenen Standard durch einen
zeitgemäßeren auszutauschen. Pläne dazu liegen seit Jahren in den
Schubladen der Mobilfunkanbieter. "*Da der Leidensdruck offensichtlich
noch nicht groß genug war, sahen sich die Betreiber bisher nicht bereit,
den Verschlüsselungsstandard zu ersetzen. Die zum Teil horrenden Preise,
die von den Herstellern der Mobilfunkstationen für die – in der
restlichen IT-Welt normalerweise kostenlosen – Sicherheitsupdates
verlangt werden, wollten sie nicht zahlen*", kommentierte Nohl die
Versäumnisse in der Mobiltelefoniebranche. Mit einem solchen Update
könnte auf einen sichereren – in Frankreich bereits getesteten –
Algorithmus umgeschwenkt werden, bis in fünf Jahren die ohnehin geplante
Umstellung auf das Netz der dritten Generation mit einem neuen
kryptographischen Verfahren mehr Sicherheit bietet. Erfahrungsgemäß kann
dann für rund fünf bis zehn Jahre ausreichender Schutz gegen Angriffe
angenommen werden.
Die GSMA gerät durch die Veröffentlichung des konkreten Angriffes unter
Druck, endlich den veralteten Algorithmus zu ersetzen. "*Die
Verschlüsselung bei den betroffenen Mobiltelefonen ist nicht mal mehr
auf dem Niveau, daß sie Sicherheit gegen den voyeuristischen Nachbarn
bietet*", kommentiert CCC-Sprecher Dirk Engling.
|
