Die Branche der LI-Hersteller bietet auch eine Vielzahl von mobilen Abhöranlagen wie den IMSI-Catcher. Diese Geräte befinden sich auch in privaten Händen und können ohne Wissen des Netz-Betreibers eingesetzt werden.
Die Sicherheitslücken bei SS7 und der jährliche Diebstahl von 2 milliarden encryption keys bei Gemalto, ermöglichen jetzt auch den Einsatz von UMTS- und LTE-Catcher (fake UMTS & LTE towers).
IMSI-Catcher
MITM-Impersonation
UMTS-, LTE- und SS7-Catcher
Wegen den Sicherheitsproblemen bei SS7 (AV-C06 SS7-Protokolle) und dem Diebstahl von milliarden encryption keys (Shared Secret „Ki“ siehe AV-E03 Cloning SIM-Cards) kann ein Catcher 2.0 auch MITM (Man-in-the-middle) bei 3G und 4G Netze unterstüzten. Weitere Angriffsvektoren gegen LTE finden Sie in den Papers zu AV-F04.
MITM bei Femto-Zellen (UMTS) wie unter AV-A05 beschrieben
(Catcher der neuen Generation: SS7-Catcher, Stingray 2.0)
Erzwingen einer 2G-Verbindung und einer Verschlüsselung mit A5/1 (GSM). Anschließend kann das Entschlüsseln des Datenstroms in Echtzeit erfolgen.
Entschlüsseln des Datenstroms in Echtzeit ohne auf den Sender oder die Basisstation einzuwirken. Siehe Verschlüsselung A5/x (cs) AV-A06 und Verschlüsselung GEA/x (ps) AV-A11
Das Problem bei GSM (CSD,HSCSD, GPRS und EDGE ist die fehlende Authentifizierung der Basisstation (BTS) gegenüber dem Endgerät. Hierdurch kann mit einer „fingierten Basisstation“, beziehungsweise einem IMSI-Catcher[1, 2] ein „Man In The Middle“-Angriff durchgeführt werden. Es sind aber noch weitere Schwachstellen in diesem Zusammenhang wichtig, wie z.B.: AV-A03 (IMSI /LAI im Klartext) und AV-A07 (Cipher Indicator).
Hierzu muss das System in der Nähe der auszuspionierenden Person platziert werden. Durch Erhöhung der Sendeleistung werden die im Umkreis befindlichen ME dazu gebracht, sich mit dieser Station des Angreifers zu verbinden. Ist die IMSI-Nummer der abzuhörenden Person noch nicht bekannt, muss sie erst aus der Vielzahl der im Umkreis geführten Telefonate identifiziert werden. Professionelle Geräte wie zum Beispiel der GA-901 von „Rohde & Schwarz“ können deshalb mehrere Kanäle gleichzeitig aufnehmen. Hierdurch werden dann auch unbeteiligte Personen abgehört. Es können bei dieser Methode nur abgehende Telefonate belauscht werden. Der ausgehende Ruf wird an eine „echte“ BTS weitergeleitet. Im Falle der Open-Source-Lösung[3] wird eine Breitbandverbindung genutzt, damit eine Verbindung zum angerufenen Teilnehmer aufgebaut werden kann.
Der sogenannte „MITM-Impersonation“ nutzt das „Dynamic SIM-Cloning“ Verfahren, um sich im Up- sowie auch im Down-Link Kanal zwischen den Kommunikationspartnern zu positionieren, was unter AV-E03 (Kapitel 2.3.2. „SIM- und USIM-Smartcard“) genauer beschrieben wird.
Das dieser Angriff auch bei einem gemeinsamen Betrieb von GSM- und UMTS-Netz möglich ist und in bestimmten Fällen sogar ein UMTS MITM, zeigen die wissenschaftlichen Arbeiten von Ulrike Meyer[4] und Susanne Wetzel.
[3] Uli Ries „IMSI-Catcher für 1500 Euro im Eigenbau“, Zeitschrift C’t 01.08.2010
Projekt “Catcher-Catcher”, opensource.srlabs.de/projects/catcher
Projekt “osmocomBB”, bb.osmocom.org/trac/
Projekt „Android IMSI-Catcher Detector (AIMSICD)“
http://secupwn.github.io/Android-IMSI-Catcher-Detector/
Kataloge und Produktdetails finden Sie bei: The Spyfiles, wikileaks.org/the-spyfiles.html
Erkennung eines IMSI-Catcher Catchers mittels SDR (RTL-SDR)
SDR-Detector Projekt
Weitere Projekte die sich mit der
Erkennung von „falschen“ Basisstationen beschäftigen.
Es gibt aber auch Spezial-Equipment der Firma „Rohde & Schwarz“, die alle Basisstationen im Umkreis scannen und auf einer Karte visualisieren kann.
Rohde & Schwarz, Produktkataloge: „Automatic BTS localization for 2G and 3G mobile radio networks, TSMX-PPS, TSMQ, TSMU, TSML und die Software ROME S4 (sieh: The-Spyfles)
Smartphone-Attack-Vector von Marcus Prem ist lizenziert unter einer Creative Commons Namensnennung 4.0 International Lizenz. (Ausgenommen Inhalte die einen Quellenverweis besitzen, Icons Credits to the Free Icons)