Unlawful-Interception
„Unlawful-Interception“ – der Missbrauch durch unbefugte Dritte.
Keine MITRE Quellen vorhanden.
Details:
Angriffspunkte hierzu gibt es einige, da Anfragen durch die Behörde über eine Lawful-Interception-Schnittstelle an den Provider übermittelt werden können. Hierüber könnten auch fremde eine Anfrage starten (Spoofing). Hinzu kommt, dass die unterschiedlichen LI-Implementierungen der Hersteller Fehler enthalten die, solange sie vom Provider nicht geschlossen werden, durch unautorisierte Personen benutzt werden können.
So war es auch möglich, die griechische Regierung in den Jahren 2004 und 2005 abzuhören. Hierzu wurde eine Schwachstelle im MSC der Firma Ericsson ausgenutzt und mittels Schadsoftware sogar die LI-Schnittstelle abgehört.
Quellen/Links:
IEEE Spectrum Article „Athens Affair“, July 2007
Erkennung:
Ob ein Teilnehmer abgehört wird, könnte nur durch den anfallenden Datenverkehr an den HI-Schnittstellen erkannt werden. Hierzu ist aber ein physikalischer Zugriff auf die Hardware notwendig.
Eventuell ist das auch an den BSC im Zugangsnetz möglich, da jede vermittelnde Einheit ein HI-Interface besitzen muss. Ein passives Mithören von Dritten kann am Smartphone nicht erkannt werden, solange die LI-Domain und das Kern-Netzwerk optimal funktionieren.
Quellen/Links:
Gegenmaßnahmen:
LI-Systeme sollten in separaten Sicherheitszonen betrieben werden und nicht aus dem öffentlichen Internet erreichbar sein. Erforderlich sind individuelle Konten, starke Authentifizierung, minimale Rollenberechtigungen, Vier-Augen-Freigaben, kryptografisch geschützte Übergaben sowie manipulationssichere und zentral überwachte Auditlogs.
Netz- und LI-Komponenten müssen zeitnah aktualisiert, signierte Firmware und Secure Boot eingesetzt und Administrations-, Provider- und Herstellerzugänge regelmäßig überprüft werden. Netzbetrieb, Sicherheitsüberwachung und die Freigabe von Überwachungsmaßnahmen sollten organisatorisch getrennt sein. Bei einem Verdacht sind Zugänge zu sperren, Logs und Konfigurationen forensisch zu sichern und die betroffenen Übergabeschnittstellen kontrolliert zu validieren.
Quellen/Links: