AV-D02

Mobile Abhöranlagen

Die Branche der LI-Hersteller bietet auch eine Vielzahl von mobilen Abhöranlagen wie den IMSI-Catcher. Diese Geräte befinden sich auch in privaten Händen und können ohne Wissen des Netz-Betreibers eingesetzt werden.

Die Sicherheitslücken bei SS7 und der jährliche Diebstahl von 2 milliarden encryption keys bei Gemalto, ermöglichen jetzt auch den Einsatz von UMTS- und LTE-Catcher (fake UMTS & LTE towers). 

Details:

Aktive Komponenten

 

IMSI-Catcher

  • auch als Virtuelle Basisstationen oder fake Base Station bekannt
  • in der Basisversion, werden nur abgehende Rufe abgefangen

MITM-Impersonation

  • durch „Dynamic SIM-Cloning“ (siehe AV-E03, bzw. Adam Kostrewa „Development of a man in the middle attack on the GSM Um-Interface“, Master Thesis, Technische Universität Berlin 2011)


UMTS-, LTE- und SS7-Catcher

Wegen den Sicherheitsproblemen bei SS7 (AV-C06 SS7-Protokolle) und dem Diebstahl von milliarden encryption keys (Shared Secret “Ki” siehe AV-E03 Cloning SIM-Cards) kann ein Catcher 2.0 auch MITM (Man-in-the-middle) bei 3G und 4G Netze unterstüzten. Weitere Angriffsvektoren gegen LTE finden Sie in den Papers zu AV-F04.

MITM bei Femto-Zellen (UMTS) wie unter AV-A05 beschrieben

(Catcher der neuen Generation: SS7-Catcher, Stingray 2.0)

 

Semi-Aktiv

Erzwingen einer 2G-Verbindung und einer Verschlüsselung mit A5/1 (GSM).  Anschließend kann das Entschlüsseln des Datenstroms in Echtzeit erfolgen. 

 

Passive Abhör-Einrichtungen

Entschlüsseln des Datenstroms in Echtzeit ohne auf den Sender oder die Basisstation einzuwirken. Siehe Verschlüsselung A5/x (cs) AV-A06 und Verschlüsselung GEA/x (ps)  AV-A11


 

Funktionsweise eines IMSI-Catchers:

Das Problem bei GSM (CSD,HSCSD, GPRS und EDGE ist die fehlende Authentifizierung der Basisstation (BTS) gegenüber dem Endgerät. Hierdurch kann mit einer „fingierten Basisstation“, beziehungsweise einem IMSI-Catcher[1, 2] ein „Man In The Middle“-Angriff durchgeführt werden. Es sind aber noch weitere Schwachstellen in diesem Zusammenhang wichtig, wie z.B.: AV-A03 (IMSI /LAI im Klartext) und AV-A07 (Cipher Indicator).

Hierzu muss das System in der Nähe der auszuspionierenden Person platziert werden. Durch Erhöhung der Sendeleistung werden die im Umkreis befindlichen ME dazu gebracht, sich mit dieser Station des Angreifers zu verbinden. Ist die IMSI-Nummer der abzuhörenden Person noch nicht bekannt, muss sie erst aus der Vielzahl der im Umkreis geführten Telefonate identifiziert werden. Professionelle Geräte wie zum Beispiel der GA-901 von „Rohde & Schwarz“ können deshalb mehrere Kanäle gleichzeitig aufnehmen. Hierdurch werden dann auch unbeteiligte Personen abgehört. Es können bei dieser Methode nur abgehende Telefonate belauscht werden. Der ausgehende Ruf wird an eine „echte“ BTS weitergeleitet. Im Falle der Open-Source-Lösung[3] wird eine Breitbandverbindung genutzt, damit eine Verbindung zum angerufenen Teilnehmer aufgebaut werden kann.

Der sogenannte „MITM-Impersonation“ nutzt das „Dynamic SIM-Cloning“ Verfahren, um sich im Up- sowie auch im Down-Link Kanal zwischen den Kommunikationspartnern zu positionieren, was unter AV-E03 (Kapitel 2.3.2. „SIM- und USIM-Smartcard“) genauer beschrieben wird.

Das dieser Angriff auch bei einem gemeinsamen Betrieb von GSM- und UMTS-Netz möglich ist und in bestimmten Fällen sogar ein UMTS MITM, zeigen die wissenschaftlichen Arbeiten von Ulrike Meyer[4] und Susanne Wetzel.






Erkennung:

Erkennung eines IMSI-Catcher Catchers mittels SDR (RTL-SDR)
 SDR-Detector Projekt 

Weitere Projekte die sich mit der
 Erkennung von “falschen” Basisstationen beschäftigen.

Es gibt aber auch Spezial-Equipment der Firma “Rohde & Schwarz”, die alle Basisstationen im Umkreis scannen und auf einer Karte visualisieren kann. 


Smartphone Security