Harald Welte: Genau. Damit ist das hinfällig. Das hängt natürlich von der konkreten Lösung ab, aber gerade bei den integrierten Lösungen von Qualcomm ist das der Fall - und die stecken in einer Vielzahl von Geräten. Ein weiteres Problem ist, dass klassischerweise all die Dinge wie Videokamera, Mikrofon und Lautsprecher direkt am Baseband Processor hängen. Was ja auch klar ist, weil das ist der eigentliche Telefonieteil des Mobiltelefons, während der Application Processor quasi der PDA ist. In dem Moment wo dann aber jemand in den Baseband Processor einbricht, kann er dann auch das Mikrofon aufdrehen und mithören - ohne dass das nach außen irgendwie sichtbar ist.

derStandard.at: Sind solche Angriffe auf den Baseband-Processor jetzt rein theoretischer Natur, oder gibt es da auch reale Beispiele?

Harald Welte: Es gibt tatsächlich bis jetzt keine offiziell dokumentierten Vorfälle. Aber: Es gibt hier auf der Konferenz auch einen Vortrag von Ralf Philipp Weinmann von der Universität Luxemburg, der es geschafft hat, in alle gängigen, weitverbreiteten Baseband-Prozessoren einen Exploit reinzubringen. Das ist also keine rein theoretische Möglichkeit.

derStandard.at: In den letzten Monaten und Jahren wurde immer wieder vorgezeigt, wie mit einer eigenen Basisstation Telefongespräche abgefangen werden können. Ist dies tatsächlich so einfach?

Harald Welte: Ja. Bei GSM und Edge - also alles kleiner 3G - gibt es keine "Mutual Authentication", das heißt, das Telefon hat keine Möglichkeit zu wissen, ob es mit einem echten oder einem falschen Netz verbunden ist. Ich kann hier also einfach eine eigene Mobilfunkzelle hinstellen, sagen ich bin "A1" oder "T-Mobile Austria" und die Telefone in der Umgebung werden diese benutzen, wenn es das für sie stärkste Signal hat. Dadurch, dass es dagegen keinerlei Absicherung gibt, ist natürlich allen möglichen Dingen Tür und Tor geöffnet.
Das ist dann eben wieder so eine fundamentale Geschichte, die aus der Historie der Netze bedingt ist. Damals konnte man sich einfach nicht vorstellen, dass irgendwer jenseits einiger weniger Monopolbetriebe jemals ein Netz betreiben wird. Oder auch dass sich jemand Privater jemals eine eigene Mobilfunkzelle basteln kann - und heute ist das ziemlich einfach möglich. Und dann hat man es auch verpasst, die Systeme im Laufe der Zeit zu reformieren und entsprechende Systeme einzubauen. Es ist ja nicht so, dass heute noch wo Basisstationen stehen, die 20 Jahre alt sind, die Hersteller machen ja ohnehin alle paar Jahre ein Upgrade ihres Equipments. Man hätte sich also schon vor Jahren um die bekannten Probleme kümmern können - aber es gibt halt kein Interesse daran.
Um ein Beispiel zu bringen: Der Nachfolger der jetzt verwendeten Verschlüsselungsalgorithmus bei GSM wurde bereits 2002 spezifiziert, 2010 hat ihn noch kein einziger Operator im Einsatz. Und auch wenn diese neue Lösung noch genug Probleme hat, so wäre sie doch ein Fortschritt, acht Jahre lang ist aber aber mal nichts passiert.

derStandard.at: Wenn ich das richtig in Erinnerung habe, ist selbst die sehr schwache heute eingesetzte Verschlüsselung nicht wirklich verpflichtend, oder?

Harald Welte: Ja. Im GSM-Netz ist es so, dass alle Sicherheitsfeatures optional sind. Das heißt das Netzwerk entscheidet, mach ich Authentifizierung oder nicht, verwende ich Verschlüsselung oder nicht, welchen Algorithmus verwende ich. Und der Anwender hat nicht nur keine Einfluss darauf, er wird auch gar nicht informiert. Softwareseitig wäre es natürlich super-einfach da eine Anzeige zu machen, was jetzt gerade für eine Verschlüsselung verwendet wird - wie es ja etwa bei Browsern gängig ist. Das gibt es hier nicht. Nur bei ein paar alten Mobiltelefonen gab es diese Möglichkeit, aber das bringt auch nichts, da der Netzbetreiber die Anzeige dieser Informationen wieder durch eine Konfiguration der SIM-Karte unterdrücken kann.

derStandard.at: Und machen das die Netzbetreiber auch?

Harald Welte: Ja. Bei allen SIM-Karten die ich mir bisher angesehen habe, war das so konfiguriert. Aber wie gesagt, unterstützen das aktuelle Mobiltelefone ohnehin nicht mehr.

derStandard.at: Aber warum verbergen die Betreiber diese Information?

Harald Welte: Weil sie die Anwender nicht aufregen möchten. Es gibt da eine gute Dokumentation dazu: Es gab ja bis vor einigen Jahren mit dem A5/2 noch einen schlechteren Verschlüsselungsstandard, der wurde 2006 verboten. Und wenn man sich da die Unterlagen der Standardisierungsgremien anschaut, dann waren insbesondere amerikanische Operator extrem aufgeregt und nervös darüber, dass ihre Kunden bemerken könnten, dass da schlechte Verschlüsselung zum Einsatz kommt - also entsprechende Informationen unter keinen Umständen den Kunden gezeigt werden.
Und dann gibt es natürlich ein Problem mit der Motivation: Der Netzbetreiber hat keinerlei Motivation dem Anwender Privatsphäre oder Vertraulichkeit der Information zu bieten - das gibt es einfach nicht. Davon hat er kein Geschäft, der Operator verdient kein Geld durch zusätzliche Sicherheit - also warum sollte er das tun?
derStandard.at: Bietet UMTS zumindest für die Datenübertragung eine höhere Sicherheit?
Harald Welte: Prinzipiell schon. Das Problem ist allerdings, dass es bei einem Angriff leicht ist, das 3G-Netz zu stören, wodurch das Mobiltelefon automatisch auf 2G zurückfällt - und die ganze zusätzliche Sicherheit wieder weg ist. Zusätzlich ist 3G ja auch noch immer nicht flächendeckend verfügbar

derStandard.at: Sind diese Lücken im GSM-Netz eigentlich rein theoretischer Natur oder werden diese auch aktiv ausgenutzt?

Harald Welte: Aber natürlich sind die real. Kein IMSI-Catcher (der von der Polizei zu größeren Abhöraktionen eingesetzt werden kann, Anm.) würde funktionieren wenn es diese Lücke in der Authentifizierung nicht gäbe. So ein IMSI-Catcher ist ja auch nichts anderes als eine gefälschte Basisstation, die alle Gespräche in der Umgebung auf sich zieht. Es gibt zumindest sei zehn Jahren Techniken, die diese Fehler ganz aktiv ausnutzen.

derStandard.at: Machen sich auch nicht-staatliche Organisationen diese Fehler zu nutze?

Harald Welte: Ja. Es ist zum Beispiel dokumentiert, dass in Afghanistan auf beiden Seiten IMSI-Catcher verwendet werden.
Darüber hinaus gibt es aber noch eine ganze weitere Klasse von Problemen. So ḱann jeder einzelne Netzbetreiber weltweit Anfragen an alle anderen Netze stellen. Dafür gibt es eigene Schnittstellen - und das macht ja prinzipiell auch Sinn, weil die Netze miteinander kommunizieren können müssen. Aber diese Schnittstellen wurden halt auch spezifiziert als man sich kaum Gedanken über Sicherheit gemacht hat. So kann also etwa jeder beliebige Betreiber herausfinden, wo sich eine einzelne Person derzeit aufhält. Das ist nicht sehr genau, das Land findet man immer, meistens auch die Stadt, bei größeren Städten auch Teile davon. Hat nun etwa ein Auslandsgeheimdienst irgendwo die Telefonnummer eines Politikers reicht das um über diesen Reiseprofile zu erstellen.

derStandard.at: Gibt es aktive Bestrebungen den GSM-Standard zu verbessern?

Harald Welte: Wenige. Es gab zwar über die Jahre immer wieder kleinere Verbesserungen an der Spezifikation, das Problem ist, dass man der Kompatibilität wegen viele Lücken drinnen lässt. Es gibt zum Beispiel im GSM-Standard schon seit einigen Jahren eine Spezifikation für die zuvor erwähnte "Mutual Authentication", aber es gibt keine Möglichkeit, dass das Endgerät diese einfordern kann. Die Entscheidung bleibt also beim Netz, was die Sicherheitsverbesserung effektiv zunichte macht. Denn wenn ich eine falsche Basisstation aufstelle, sag ich natürlich, dass ich keine beidseitige Authentifizierung will - und damit gibt sich das Telefon zufrieden, ohne dass der Anwender je davon erfährt.
Es wäre also auch jetzt schon ganz einfach möglich, dass Mobiltelefone zumindest einen gewissen Mindeststandard zur Verschlüsselung verlangen, was ja etwa gerade für Unternehmen durchaus interessant sein sollte, um die Sicherheit der Mitarbeiter zu erhöhen. Aber das geht halt dann wieder nicht, weil die Hersteller der Geräte bzw. der benutzten Chipsets diesen Eingriff nicht erlauben.

derStandard.at: Ist das Aufstellen einer gefälschten Basisstation eigentlich die einzige Möglichkeit für Dritte ein Gespräch mitzuhören, oder gibt es hier noch andere Lücken?

Harald Welte: Gibt es. Ich kann beispielsweise passiv mithören, indem ich einfach einen Funkempfänger in der Nähe aufstelle und dann die Verschlüsselung knacke. Auf halbwegs gängiger PC-Hardware sollte das in so ca. 35 Sekunden erledigt sein. Das ist auch schon lange bekannt.
Mithören kann ich weiters an der Verbindung zwischen der Basisstation und den nächsthöheren Netzwerkelementen. Diese sind ja auch oft über Mikrowellen-Richtfunkstrecken realisiert, spezifiziert war das aber mal für Kabel, also wird hier in aller Regel nicht verschlüsselt. Da hab ich dann nicht nur ein Gespräch sondern gleich hunderte bis tausende Gespräche, die völlig unverschlüsselt quer durch die Stadt gehen. Da ist zwar der technische Anspruch für das Abhören etwas höher, weil diese Mikrowellentechnik mit "Hausmitteln" etwas schwerer beherrschbar ist, aber da gibt es auch Leute, die sich aktuell damit beschäftigen und da kann man sicher sein, dass da in den nächsten Jahren noch etwas kommen wird.
Eine weitere Abhörmöglichkeit sind die "Lawful Interception"-Schnittstellen, über die normalerweise die Polizei bei Gesprächen mitlauschen kann - im jeweiligen rechtlichen Rahmen. Es gibt aber auch belegbare Beweise, dass diese Schnittstellen schon von Dritten zum Abhören benutzt wurden.

derStandard.at: Zum Beispiel?

Harald Welte: Es gab den Fall Vodafone Griechenland im Jahr 2004, wo diese Schnittstellen von der organisierten Kriminalität benutzt wurden, um Spitzenpolitiker abzuhören - über mehrere Monate hinweg.

derStandard.at: Wenn ich das mal so zusammenfasse, gibt es also mittlerweile eine Fülle von Möglichkeiten Telefongespräche abzuhören - und das dazu noch ohne sonderlich großen finanziellen Aufwand.

Harald Welte: Ja. Das mangelnde Wissen ist eigentlich das Hauptproblem, warum so wenig öffentliches Bewusstsein über diese Lücken da ist. Es gibt halt fünf Hersteller auf der Netzwerkseite, fünf Hersteller auf der Telefonseite, die die entsprechenden Implementationen machen, und wenn man jetzt nicht gerade für eine dieser Firmen arbeitet, dann weiß man nichts davon. Und auf Universitäten wird das ja auch nicht gelehrt.
Das ist auch alles nicht neu, es gibt Hersteller die entsprechende Geräte zum Abhören seit vielen Jahren anbieten, das beginnt so bei 200.000 Dollar und geht dann in die Millionen hinauf. Neu ist nur dass wir das jetzt in Open Source machen, um die Leute auf diese Problematik aufmerksam zu machen.
Übrigens find ich das Abhören von Gesprächen gar nicht so das spannende Thema, viel interessanter sind eigentlich all die sensiblen Daten die über GSM-Netze verschickt werden: Das geht von Schlüsselsystemen über Zugkommunikation bis zum Telefonbanking - alles über ein sehr schlecht geschütztes System und damit leicht für Dritte abzufangen.

derStandard.at: Inwiefern ist Open Source hilfreich, um auf diese Probleme aufmerksam zu machen?

Harald Welte: Open Source ist insofern nützlich, als dass die Ergebnisse der angewandten Sicherheitsforschung in diesem Bereich für jedermann nachvollziehbar sind. Es gibt ja Leute, die schon seit Jahren auf diese Probleme hinweisen, aber das will halt keiner hören, da wird dann immer an der realen Umsetzbarkeit gezweifelt. Also arbeiten jetzt Leute wie ich in den letzten zwei, drei Jahren an dem Thema, um klar nachvollziehbar zu zeigen, dass die Probleme nicht nur auf dem Papier existieren, sondern dass man die Lücken auch tatsächlich ausnutzen kann.

derStandard.at: Wir danken für das Gespräch.
(Andreas Proschofsky, derStandard.at, 20.12.10)
Der WebStandard auf Facebook
Links
Blog von Harald Welte
Openmoko
gpl-violations.org
Deepsec
http://derstandard.at/1289609149081/WebStandard-Interview-Mobiltelefone-abhoeren-GSM-machts-leicht