Hausarbeit im Seminar: Mobile Computing. Sicherheit in mobilen Systemen

Transkript

1 Universität Hamburg Fakultät für Mathematik, Informatik und Naturwissenschaften Verteilte Systeme und Informationssysteme Hausarbeit im Seminar: Mobile Computing Sicherheit in mobilen Systemen Jonas Franke Studiengang Systematische Musikwissenschaft Matr.-Nr Fachsemester 13 Betreuer: Dipl.-Inf. Dirk Bade / Prof. Dr. Winfried Lamersdorf

2 Inhaltsverzeichnis 1 Einleitung...II 1.1 Ziel der Ausarbeitung...II 1.2 Aufbau der Ausarbeitung... II 2 Informationssicherheit... III 2.1 Schutzziele...IV Vertraulichkeit... IV Verfügbarkeit... IV Integrität...V Authentizität / Zurechenbarkeit...V Verbindlichkeit / Unabstreitbarkeit... V Anonymität und Transparenz...VI 3 Bedrohungen der Informationssicherheit in mobilen Systemen... VII 3.1 Szenario: Abhören des Telefons / mitlesen von SMS-Nachrichten...VII Die zweite Generation: GSM...VII Die dritte Generation: UMTS...XI Die vierte Generation: LTE... XII 3.2 Szenario: Abhören von kabellosen Datenverbindungen...XII / i Wireless... XII Bluetooth...XIII 3.3 Szenario: Diebstahl des Gerätes... XIII Benutzerauthentifikation...XIII Verschlüsselung von Daten auf Datenträgern...XIV 4 Zusammenfassung und Fazit... XV 5 Literatur...XVII

3 II 1 Einleitung Mobile Systeme bieten deutlich mehr Angriffsfäche für sicherheitskritische Operationen: it is almost universally accepted, that wireless networks are considerably less secure than wired ones [2, S. 6]. Drahtlose Netzwerkverbindung sowie mobile Datenverbindungen aller Art sind im Gegensatz zu Kabelverbindungen leichter abhörbar. Die Datenpakete sind innerhalb einer bestimmten Reichweite immer auch für Dritte erreichbar, lediglich Verschlüsselungsverfahren verhindern das direkte Mitlesen. Allerdings arbeitet das Moore'schen Gesetz konstant gegen die existierenden Algorithmen: Rechner werden schneller und Speicherplatz billiger, wodurch viele sicher geglaubte Verfahren innerhalb von kurzer Zeit geknackt werden können. Die Notwendigkeit für starke Verschlüsselungsverfahren ist dementsprechend größer, als in der kabelgebundenen Kommunikation. Weiterhin vereinen mobile Systeme oft eine Vielzahl von Funktionen, die in der Vergangenheit oft von mehreren -manchmal nicht netzwerkfähigen- Geräten übernommen worden sind. Ein Smartphone ist z.b. MP3-Player, Kamera, Telefon, -Client, Adressbuch, Notizblock, Shoppingassistent, Banking-Tool und Webbrowser zugleich. Die Menge an sensiblen Daten ist somit ungemein höher, als z.b. in einem einfachen Mobiltelefon. Zudem sind viele der Daten nicht nur auf dem Smartphone selbst gespeichert, sondern werden über Datenverbindungen versendet um mit anderen eigenen Geräten, Kollegen, Freunden oder im Web geteilt zu werden. Smartphones verfügen zudem über eine Vielzahl von Sensoren die in der Lage sind, diverse Kontextinformationen wie z.b. Geodaten, Töne, Kamerabilder, Temperaturinformationen und Bewegungsdaten aufzuzeichnen. Gerade weil ein solches Gerät in der Regel der ständige Begleiter seines Besitzers ist, lassen sich anhand dieser Informationen Profile erstellen, die weit über ein reines Bewegungsprofil hinausreichen. 1.1 Ziel der Ausarbeitung Ziel der Ausarbeitung ist es, einen Überblick über einige speziellen Aspekte der Informationssicherheit im Bezug auf Smartphones zu schaffen und Schwachstellen an konkreten Beispielen darzustellen. Viele der Problematiken lassen sich auch auf andere mobile Systeme übertragen, die auf den gleichen Technologien aufsetzen. 1.2 Aufbau der Ausarbeitung Im folgenden Teil wird der Bereich Informationssicherheit im Allgemeinen umrissen und auf die verschiedenen Schutzziele anhand von Beispielen eingegangen. Im Anschluss sollen die Schutzziele mit einigen besonderen Eigenheiten von Smartphones in Bezug gesetzt werden und auf technologische Details eingegangen werden. Der letzte Teil dient der Zusammenfassung, dem Ausblick und zieht ein Fazit.

4 III 2 Informationssicherheit Die Sicherheit von von IT-Systemen und die Sicherheit der durch sie gespeicherten und verarbeiteten Daten wird als Informationssicherheit bezeichnet. Dazu gehören das Ausschließen beziehungsweise die Verminderung von Gefahren und das Erkennen und Vermeiden von technischen Gefährdungen durch Bedienungsfehler, technisches Versagen, katastrophenbedingte Ausfälle und absichtliche Manipulationsversuche [4]. Es sind also sowohl bewusste als auch unbewusste schädigende Handlungen durch Menschenhand, z.b. das ausspionieren von Daten oder die Beeinträchtigung der Funktionalität, als auch die Stabilität des Systems in sich und die Stabilität gegenüber sonstiger Einwirkungen aus der Umwelt eingeschlossen. Wobei sowohl das System selbst als auch seine Funktionalität und die in ihm gespeicherten und verarbeiteten Daten geschützt werden sollen. Bedrohungen der Informationssicherheit können von Personen bzw. schadhafter Software sowie der Umwelt ausgehen: Sabotage Beeinfussung der Funktionalität Löschen von Daten Zerstören von Hard- und Software Viren, DOS (Denial of Service), sonstige Malware Spionage Mithören von Datenverkehr innerhalb des Systems Mithören von Datenverkehr außerhalb des Systems Trojaner, Keylogger, etc. Komprimittierung von Daten für bestimmte Ziele Betrug, z.b. Ausführung / Umlenkung von Finanztransaktionen durch Man- In-The-Middle-Angriffe Diebstahl Systemausfall Fehlerhafte Hard- / Software Umweltkatastrophen Fehlerhafte Bedienung Eine vollständige und umfassende Informationssicherheit in allen Bereichen wird nie erreicht werden, da die Problematik immer aus unterschiedlichen, sich teilweise widersprechenden Perspektiven betrachtet werden muss und letztendlich immer ein Szenario zur Bedrohung denkbar ist. Jedoch lässt sich der Grad der Informationssicherheit einschätzen, z.b. würde man die Informationssicherheit als höher bewerten, wenn der Aufwand zur Kompromittierung für

5 IV den Betreiber in einem ungünstigen Verhältnis zum erwarteten Informationsgewinn steht. In dieser Sichtweise ist die Informationssicherheit eine ökonomische Größe, mit der zum Beispiel in Betrieben und Organisationen gerechnet werden muss [3]. Je sensibler und somit wertvoller die Daten umso stärker müssen die Sicherheitsmaßnahmen sein, um eine vergleichbare Informationssicherheit herzustellen. Um die verschiedenen Facetten der Informationssicherheit zu beschreiben, findet man in der Fachliteratur zahlreiche sogenannte Schutzziele, die einzelne Teilaspekte beschreiben. Im folgenden werden die für den Bereich Mobile Computing wichtigsten Schutzziele vorgestellt. 2.1 Schutzziele Als die drei großen wichtigen Schutzziele der Informationssicherheit gelten Vertraulichkeit, Verfügbarkeit und Integrität. Zusätzlich zu den klassischen Schutzzielen die gesammelt das Maß der Informationssicherheit ergeben, werden auch erweiterte Schutzziele -wie beispielsweise Anonymität und Transparenz- erwähnt, die nicht auf der rein funktionalen Ebene anzusiedeln sind, sondern eher übergeordnete Interessen des Benutzers widerspiegeln Vertraulichkeit Das Schutzziel Vertraulichkeit wird beschrieben als Schutz sensibler Informationen (Daten) vor nicht autorisiertem Zugriff [4]. Der Schutz der Daten muss sowohl im inaktiven, also im gespeicherten Zustand, als auch während der Übertragung und internen Verarbeitung gewährleistet werden. Beispiel: Dritte könnten auf den Inhalt einer SMS zugreifen, ohne dass der Absender oder Empfänger damit einverstanden ist oder es bemerkt. Wichtige Fragen zur Vertraulichkeit: Wie sicher ist es, dass jemand Drittes Zugriff auf den Post Ein- oder Ausgang von Absender oder Empfänger erlangt? Wie sicher ist es dass während der Datenübertragung vom Absender zum Empfänger jemand die Daten zu Gesicht bekommt? Werden die Daten an dritter Stelle zwischengespeichert und wie sicher ist dieser Ort? Verfügbarkeit Verfügbarkeit soll Sicherstellen, dass Informationen (Daten) und unerlässliche Funktionen verfügbar sind, wenn sie gefordert werden [4]. Dabei spricht man in der Regel von einem vereinbarten Zeitrahmen [3] innerhalb dessen die Informationen vom System innerhalb des Systems, für ein anderes System oder einen Benutzer verfügbar gemacht werden sollen. Beispiel: Eine SMS könnte ihren Empfänger nicht erreichen. Wichtige Fragen zur Verfügbarkeit könnten lauten: Wie sicher ist es das absendendes sowie empfangendes Gerät korrekt funktionieren? Wie sicher ist es, dass das absendende Gerät im Falle eine

6 V Verbindungsunterbrechung erneut sendet? Wie sicher ist die Netzqualität im allgemeinen? Wird das senden im vereinbarten Zeitraum erfolgen? Integrität Unter Integrität versteht man den Schutz sensibler Informationen (Daten) vor ungewollter Veränderung [4]. Wird an den Daten eine Veränderung vorgenommen, die eventuell unerwünscht sein könnte, so sollten alle Änderungen zumindest für den Benutzer nachvollziehbar sein [vgl. 3]. Beispiel: Der Inhalt einer SMS könnte verändert werden, z.b. die SMS mit TAN um eine Online-Überweisung zu bestätigen. Wichtige Fragen zur Integrität könnten lauten: Wie sicher ist es, dass der Inhalt der SMS im System des Absenders, auf dem Weg zu oder zwischen den Netzanbietern oder auf dem Gerät des Empfängers selbst nicht verändert wurde? Authentizität / Zurechenbarkeit Authentizität beschreibt die Zurechenbarkeit von Daten zu einem bestimmten Ursprung. Durch Authentifikation des Datenursprungs wird nachgewiesen, dass Daten einem angegebenen Sender zugeordnet werden können [5]. Ein Sender kann z.b. ein eindeutig identifizierbares Informationssystem sein, wobei selbiges weiterhin einer Domäne oder einer Person zugerechnet werden könnte. Beispiel: Eine SMS kann dem Absender und somit einer eindeutigen Mobilfunknummer zugewiesen werden. Die Mobilfunknummer kann einem Mobilfunkvertrag und dieser wiederum einer Person zugerechnet werden kann. Wichtige Fragen zur Authentizität in diesem Beispiel könnten lauten: Wie sicher ist es, dass der Besitzer des Telefons die SMS selbst verfasst hat (Diebstahl o.ä.)? Wie sicher ist es, dass die SMS tatsächlich vom vermuteten Gerät gesendet wurde? Wie sicher ist es, dass die Person tatsächlich persönlich den Mobilfunkvertrag abgeschlossen hat? Verbindlichkeit / Unabstreitbarkeit Verbindlichkeit / Unabstreitbarkeit ist als Pendant zur Zurechenbarkeit zu verstehen. Wenn eine Handlung einem System eindeutig zuzurechnen ist, so darf das System die Handlung nicht abstreiten. Beispiel: Wird eine SMS mit strafrechtlich relevanten Inhalten versendet, so dürfen die Software des senden Gerätes und die Systeme beim Netzanbieter nicht abstreiten, dass die Nachricht versendet versendet wurde. Wichtige Fragen im Bezug auf Verbindlichkeit / Unabstreitbarkeit könnten ähnlich wie bei lauten.

7 VI Anonymität und Transparenz Anonymität und Transparenz stellen nicht im unmittelbaren Sinne Schutzziele der Informationssicherheit dar. Sie beschreiben eher allgemeine übergeordnete Interessen des Benutzers und wirken teilweise auf die anderen Schutzziele ein. Anonymität und Transparenz können je nach Betrachtungsposition gegensätzliche Interessen beschreiben. Anonymität Anonymität beschreibt u.a. die nicht-personen- oder gerätebezogene Speicherung und Verarbeitung von Daten in einem Informationssystem. Somit existiert eine große Schnittmenge zur Vertraulichkeit, jedoch setzt Vertraulichkeit die Speicherung von Daten voraus, Anonymität kann auch das fehlen einer Speicherung an sich bedeuten oder eine anonymisierte Speicherung, bei der die Daten nicht zugeordnet werden können. Transparenz Auf der anderen Seite ist es bei den enormen Datenmengen die heutzutage über das Individuum in IT-Systemen vorgehalten werden für den IT-Anwender wichtig zu wissen, was mit seinen Daten passiert [4]. Nach dem Bundesdatenschutzgesetz [6] hat der Bürger u.a. folgende Rechte im Bezug auf seine Daten die bei öffentlichen (Behörden etc.) und nicht-öffentlichen (Privatpersonen, Unternehmen, Vereinen etc.) gespeichert werden: 1. Auskunft darüber, ob und welche personenbezogenen Daten über sie gespeichert sind [6] 2. Auskunft darüber, aus welchen Quellen diese Daten stammen und zu welchem Verwendungszweck sie gespeichert werden [6] Beispiel: Der Absender einer SMS möchte unter bestimmten Bedingungen nicht, dass der Empfänger seine Mobilfunknummer erfährt er hat den Wunsch nach Anonymität. Auf der Anderen Seite möchte der Empfänger aber -sollte die SMS beispielsweise strafrechtlich relevante Inhalte enthalten- herausfinden, um welchen Absender es sich handelt. An diesem Beispiel lässt sich erkennen, wie verschiedenen Interessengruppen gegensätzliche Vorstellungen von Anonymität und Transparenz haben können und diese Schutzziele oft auf einer juristischen Ebene differenziert werden müssen.

8 VII 3 Bedrohungen der Informationssicherheit in mobilen Systemen Mobile-Computing-Systeme unterscheiden sich in vielerlei Hinsicht von klassischen informationsverarbeitenden Systemen, wie in der Einleitung beschrieben. Sie interagieren meist über kabellose Netzwerkverbindungen mit stationären Rechnernetzwerken oder anderen mobilen Einheiten und erfordern so besondere Anforderungen im Bereich Verbindungssicherheit. Ein Aspekt der bei der kabellosen Kommunikation, egal ob Wireless, 2G oder 3G immer eine Rolle spielt, ist die Wahrung der Anonymität. Das mobile System muss innerhalb der Domäne adressierbar sein und auf der anderen Seite muss der Netzbetreiber im Falle eines Rechtsverstoßes etwaige Verbindungen zuordnen können. Weiterhin müssen Daten zwischen den Mobilfunkanbietern weltweit ausgetauscht werden, um Roaming zu gewährleisten. Hierzu ist ein Vorhalten der aktuellen Position notwendig. Die Verfügbarkeit ist vermutlich das am besten zu verkaufende Schutzziel. Jeder Kunde wünscht sich eine möglichst hohe Netzabdeckung bei optimaler Gesprächsqualität und hohen Datendurchsätzen. Im folgenden sollen Informationssicherheit bedroht wird. einige Szenarios umrissen werden, in denen die 3.1 Szenario: Abhören des Telefons / mitlesen von SMS- Nachrichten Gespräche und SMS-Nachrichten bieten ein mögliches Ziel für Angreifer. Wobei für Gespräche vor allem eine Bedrohung der Vertraulichkeit sowie Privatheit vorliegt wird bei SMS-Nachrichten zusätzlich die Integrität der Daten bedroht. Nutzer des Mobile-TAN- Verfahrens, welches viele Banken heute anbieten, könnten z.b. durch einen Man-in-the- Middle Angriff mit einer unechten TAN versorgt werden, während die korrekte TAN für eine illegale Transaktion eingesetzt wird. Es existieren eine Reihe von Standards für die Kommunikation in mobilen Netzen, die allgemeinhin nach Generationen kategorisiert werden. Aktuell werden -je nach Verfügbarkeit- Standards der zweiten, dritten und vierten Generation (2G, 3G, 4G) eingesetzt. Die aktuellen Mobiltelefone sind in der Lage zwischen den Standards zu wechseln, wenn z.b. die Signalstärke des neueren Standards zu schwach ist. Der jeweils vom Mobiltelefon aktuell verwendete Standard ist als Hauptfaktor für die Verbindungssicherheit anzusehen, da sich die Standards z.b. bei der verwendeten Verschlüsselung unterscheiden Die zweite Generation: GSM GSM steht für Global System for Mobile Communications, ursprünglich Groupe Spécial Mobile und stellt den aktuellen Quasi-Standard von digitalen mobilen Funknetzen dar. GSM ist seit dem Jahre 1982 in Entwicklung, wurde ab 1991 eingesetzt, wird der zweiten

9 VIII Generation der mobilen Netze zugerechnet und bedient heute 70-80% des globalen Mobilfunkmarktes [vgl. 8 und 9]. Der Standard legt die Leistungsmerkmale digitaler Funknetze (wie die Anzahl der angebotenen Sprechkanäle, der belegbaren Frequenzen, des Übertragungsverfahrens) fest [19]. Das GSM-Netz steht seit einigen Zeit in der Kritik, da es laut einigen Sicherheitsexperten massive Schwachstellen hat: The standards for voice and text messaging date back to 1990 and have never been overhauled. In particular, vulnerabilities in GSM s original security design have never been patched [10, p. 1]. Ein zentrales Problem stellt u.a. einer der zur Verschlüsselung verwendete Standard A5/1 [11] dar. GSM-Verschlüsselung: A5/1 A5/1 wurde im Jahr 1987 speziell für die Verschlüsselung von Daten im GSM-Netz entworfen und verwendet heute einen 64bit Schlüssel, der allerdings nur 61bit ausnutzt. Schon 1994 wurden durch Ross Anderson ein mögliches Szenario zur Entschlüsselung des Standards beschrieben, jedoch war sein Anlauf rein theoretischer Natur, da die nötige Rechenleistung sowie der nötige Speicherplatz fehlten. Ross Anderson vertrat damals die Meinung es sei absichtlich eine schwache Chiffre ausgewählt worden, um den Nachrichtendiensten der NATO das Abhören von Gesprächen zu ermöglichen [12]. In den vergangenen Jahren wurden vermehrt ernstzunehmende Angriffe publik, Anfang 2010 gelang es Chris Paget und Karsten Nohl Gespräche nahezu in Echtzeit mitzuschneiden und zu entschlüsseln. Ihre Technik basiert dabei auf der Verwendung von sogenannten Rainbow Tables. Exkurs: Rainbow Tables Bei klassischen sogenannten Brute-Force-Attacken wird ein Passwort durch testen aller möglichen Zeichenkombinationen für eine bestimmte Passwortlänge oder unter Verwendung eines eigens erstellten Wörterbuches (das z.b. alle Wörter der deutschen Sprach sowie Namen enthält) ermittelt. Wörterbücher kommen auch dann häufig zum Einsatz, wenn es sich bei dem zu erratenden String nicht um ein Klartext-Passwort handelt, sondern z.b. um einen MD5-Hash. Die zeitaufwändige Umwandlung der möglichen Klartext-Passwörter kann dann vorher vorgenommen werden und muß nicht bei der eigentlichen Attacke durchgeführt werden. Die Speicherung der Wörterbücher kann -je nach Format und Länge des erlaubten Passworts oder Hashes- sehr umfangreich werden. Im Falle von A5/1 und der verwendeten Schlüssellänge würde die Speicherung aller möglichen Schlüssel 2 64 bit = E+19bit = TeraByte also rund zwei Millionen Terabyte benötigen. Auch die Verarbeitung eines solchen Wörterbuches würde einen unangemessenen Zeitbedarf beanspruchen. Rainbow Tables stellen eine gute Möglichkeit dar, Datenvolumen und somit auch die Berechnungszeit zu minimieren. Bei einer Rainbow-Table handelt es sich um ein vorberechnetes und gespeichertes Nachschlagewerk für Hashes [13], wobei Gruppen von

10 IX möglichen Hashes in sogenannten Ketten berechnet werden und immer nur Anfang und Ende der Kette gespeichert werden müssen. Um eine Rainbow Table zu erstellen geht man zuerst von einem möglichen Passwort / Schlüssel aus und hasht bzw. verschlüsselt ihn. Der resultierende String wird nun durch eine Reduktionsfunktion geschickt, die aus dem Hash wieder ein wahrscheinliches Passwort macht (z.b. auf maximal 8 Zeichen kürzen und Zahlen entfernen). Das neu entstandene Passwort wird dann wieder gehasht und anschließend reduziert. Durch iterieren über Hash- und Reduktionsfunktion entsteht eine beliebig lange Kette von der in der eigentlichen Rainbow Table am Ende nur das erste Klartext-Passwort und der letzte Hash gespeichert werden. Abbildung 1.1: Generierung des ersten Eintrages ausgehend vom Klartext aaaa [1] Abbildung 1.2: Generierung des ersten Eintrages ausgehend vom Klartext qwer [1] Setzt man nun die Rainbow Table zum entschlüsseln eines gehashten Kennwortes ein, so vergleicht man das Kennwort zuerst mit der rechten Seite, also allen Enden der Ketten. Ist Kennwort-Hash und Kettenende identisch, so kann man durch erneutes entfalten der Kette von vorne den Klartext leicht ermitteln. Ist der Kennwort-Hash nicht vorhanden, so schickt man ihn selbst durch die Reduktions- und Hash-Funktionen und durchsucht die Kettenenden nach jeder Iteration, bis die Übereinstimmung eintritt. Effektivität und Effizienz einer Rainbow Table hängen direkt mit der Güte der Reduktionsfunktion zusammen. Sie muss z.b. das geforderte Passwort-Format berücksichtigen. Wenn sie wie oben genannt alle Zahlen entfernt, Passworter aber vom System gefordert Zahlen enthalten müssen, dann lässt sich der Hash nicht entschlüsseln. Ein weiteres Gütekriterium ist die Vermeidung von Kollisionen. Kollisionen treten immer dann auf, wenn mehrere Passwörter zum gleichen Hash führen, die Reduktion von

11 X unterschiedlichen Hashes zum gleichen Passwort oder ein und das selbe Kennwort in verschiedenen Ketten vorkommen. Dies führt zu redundanten Daten innerhalb der Tabelle. Weiterhin gilt es bei der Generierung der Tabelle ein optimales Verhältnis zwischen Zeit und Speicherplatz zu finden. Längere Ketten resultieren in weniger Speicherplatz aber auch längerer Entschlüsselungszeit [vgl. 14]. Diesen Zusammenhang bezeichnet man auch als Time-Memory Trade-Off [10, p. 2] geringerer Speicherplatz kann gegen größeren Zeit und umgekehrt getauscht werden. Die von Karsten Nohl und Kollegen bereitgestellten Rainbow Tables [15] zur Entschlüsselung von GSM-Paketen haben ingesamt einen Umfang von ca. 2 TeraByte, also ein deutlich reduziertes Datenvolumen im Vergleich zu theoretisch möglichen 2 Millionen TeraByte. Mögliche Angriffsstrategien auf GSM-Netze Um einen eingehenden Anruf zu entschlüsseln, wird ein programmierbarer Empfänger für Funkwellen benötigt, z.b. ein sogenannter USRP (Universal Software Radio Periphal). Mit Hilfe des USRP und einer speziellen Software (z.b. Airprobe [18]) kann der verschlüsselte Datenverkehr mitgeschnitten werden und es können auch Datenpakete versendet werden, z.b. wenn man ein Mobiltelefon oder eine Basisstation simulieren möchte. Im ersten Schritt geht es darum mit Hilfe eines sogenannten HLR-Queries (HLR = Home Location Register) die IMSI (International Mobile Subscriber Identity) des Teilnehmers und seine grobe Position zu ermitteln. Bei der IMSI handelt es sich um eine international eindeutige Nummer auf der Simkarte, die von den Mobilfunkanbietern zusätzlich zur Telefonnummer vergeben wird. HLR-Queries werden von den Mobilfunkanbietern u.a. benötigt, um Roaming zu ermöglichen und außerhalb des eigenen Netzes zu erfahren, wo sich der Teilnehmer gerade befindet. Im Netz gibt es zahlreiche Anbieter, die kostenpfichtige HLR-Queries anbieten. Die öffentlich zugänglichen Positionsdaten sind sehr grob und beschränken sich auf die Eingrenzung der Region. Jedoch ist in vielen Abhörszenarien die Position des Telefons ohnehin bekannt, somit ist die Genauigkeit unrelevant [vgl. 20]. Kennt man die IMSI eines Mobiltelefons, so geht es im zweiten Schritt darum, die die TMSI (Temporary Mobile Subscriber Identity) des Telefons herauszufinden. Bei der TMSI handelt es sich um die lokale und zeitlich begrenzte Rufnummer eines Teilnehmers [16], die verwendet wird, um die Anonymität des Teilnehmers zu wahren. Würde die Rufnummer des Teilnehmers im Klartext verwendet werden, so wäre es z.b. für einen GSM-Operator ohne Probleme möglich, detaillierte Bewegungsprofile über längere Zeiträume zu erstellen. Die TMSI wird automatisch vergeben und sollte möglichst häufig gewechselt werden. Ob und wie häufig dies tatsächlich geschieht hängt allerdings von der Auslastung des Netzes ab. Teilweise werden TMSIs erst dann neu vergeben, wenn das Telefon tatsächlich aus- und wieder eingeschaltet wird [vgl. 20]. Um die TMSI herauszufinden kann man mit Hilfe eines USRPs eine Basisstation simulieren und Textnachrichten an die IMSI senden. Anhand der Rückmeldungen lässt ich erkennen,

12 XI ob man sich in der selben Zelle befindet oder nicht. Diese Nachrichten können als Silent Textmessages or Broken Textmessages gesendet werden, sodass sie auf dem eigentlichen Telefon nicht angezeigt werden. Sobald ein Mobiltelefon eine Nachricht empfängt, meldet es dies der Basisstation auf dem sogenannten Beacon Channel diese Rückmeldung kann wiederum ausgelesen werden. Nun werden in einem vitalen Mobilfunknetz pro Zelle natürlich zahlreiche solcher Rückmeldungen in einem Zeitabschnitt versendet. Es gilt also herauszufinden, welche Rückmeldung die richtige ist. Dies kann beispielsweise durch das Senden von einigen Nachrichten in einem definierten Intervall geschehen. Das Intervall der Rückmeldungen bei identischer TMSI wird mit großer Wahrscheinlichkeit sehr ähnlich sein. Ist nun die TMSI des Mobiltelefons bekannt, so kann mit Hilfe eines USRPs oder auch modifizierten herkömmlichen Telefonen (z.b. mit der Firmware OsmocomBB [17]) der Datenverkehr von und zu genau diesem Gerät überwacht und aufgezeichnet werden [vgl. 20]. Die aufgezeichneten Daten sind in GSM-Netzen durch den weiter oben genannten A5/1- Algorithmus verschlüsselt. Basisstation und Telefon vereinbaren für die Verschlüsselung der Kommunikation einen A5/1 Session-Key, der sich durch eine Hash-Funktion aus dem geheimen Master-Key (gespeichert auf der Simkarte und beim Provider) generiert. Dieser Session-Key soll nun herausgefunden werden, mit ihm lässt sich die gesamte Konversation oder Textnachricht entschlüsseln. Um den Session-Key zu ermitteln benötigt man ein verschlüsseltes Datenpaket, dessen Inhalt man erraten kann. In der Kommunikation zwischen Station und Telefon werden zahlreiche solcher vorhersehbaren Pakete versendet. Teilweise zu Beginn eines neuen Telefonats teilweise in Leerlaufprozessen. Das verschlüsselte Paket sowie den vermuteten Klartext kann man nun einer Software wie Kraken von Frank A. Stevenson übergeben, die anhand von der oben genannten Rainbow Tables innerhalb von kurzer Zeit mögliche A5/1-Schlüssel ermittelt. Ist der Schlüssel gefunden, lassen sich damit alle aufgezeichneten Gespräche und Nachrichten für die Zeit der Gültigkeit des Session-Keys entschlüsseln [vgl. 20]. Zusätzlich zum reinen Mithören der Pakete zwischen Telefon und Basisstation existiert auch die Möglichkeit, mit einem USRP eine Basisstation zu simulieren. Das Gespräch / Die SMS wird abgefangen und dann verändert oder unverändert weitergeleitet, ohne dass Sender oder Empfänger dies bemerken (sogenannte Man-in-the-Middle-Angriffe). Da Mobiltelefone die Basisstation nach Sendestärke wählen, sind jedoch entweder sehr sendestarke USRPs erforderlich oder aber ein geringer Abstand zum Zieltelefon. Es lässt sich durch eine sendestarke simulierte Basisstation allerdings sogar erreichen, dass das Telefon eine GSM-Verbindung aufbaut obwohl eigentlich eine deutlich sichere UMTS- Verbindung zur echten Station möglich wäre.

13 XII Die dritte Generation: UMTS Die dritte Generation der Mobilfunkstandards, auch als UMTS (Universal Mobile Telecommunications System) bezeichnet, existiert vielerorts parallel zum GSM-Netz. Wenn eine UMTS-Zelle mit starker Sendeleistung verfügbar ist, dann verbindet sich das Mobiltelefon in der Regel zu dieser Station. Der weltweite Marktanteil von UMTS liegt aktuell bei 12%, wobei in den dichtbesiedelten und städtischen Regionen der Industrieländern eine nahezu vollständige UMTS-Netzabdeckung vorzufinden ist. UMTS Datenpakete werden mit dem A5/3-Algorithmus auch bekannt als KASUMI- Algorithmus verschlüsselt, der als deutlich sicherer gilt, als sein Vorgänger A5/1. Jedoch wurden auch diesem Verfahren schon Schwachstellen nachgewiesen und es wurden schon mehrere theoretische Verfahren vorgestellt, um ihn zu entschlüsseln (z.b von Orr Dunkelman, Nathan Keller und Adi Shamir) Die vierte Generation: LTE LTE (Long Term Evolution) ist der neueste Standard der 3GPP. Bei der Entwicklung von LTE war man besonders auf hohe Datenübertragungsraten fokussiert um den Markt des mobilen Internets zu befriedigen. Aber auch ein neuer Verschlüsselungsalgorithmus wird eingesetzt, es handelt sich um AES (Advanced Encrytion Standard). AES verwendet variable Schlüssellängen von 128, 192 oder 256bit und gilt heute als sehr sicher, so ist AES ist in den USA für staatliche Dokumente mit höchster Geheimhaltungsstufe zugelassen [22]. 3.2 Szenario: Abhören von kabellosen Datenverbindungen Smartphones können zusätzlich zur mobilen Datenverbindung über eine Reihe weiterer kabelloser Datenverbindungen kommunizieren. Wichtige Standards sind u.a Wireless und Bluetooth / i Wireless Ähnlich wie bei den mobilen Datenverbindungen hängt die Sicherheit im Wireless-Lan direkt mit der verwendeten Verschlüsselungsmethode zusammen. Werden schwache Verfahren verwendet, so besteht eine hohe Bedrohung für Vertraulichkeit und Integrität der Daten. Der Schlüssel selbst spielt auch eine wichtige Rolle, da er oft vom Besitzer des WLANs selbst ausgewählt wird. Handelt es sich um leicht erratbare Wörter ohne Wechsel zwischen Groß-/Kleinschreibung sowie Verwendung von Sonderzeichen und Zahlen, dann werden klassische Wörterbuch-Attacken möglich, die durch den Einsatz von Rainbow Tables noch beschleunigt werden können. Als schwächstes Verfahren -neben der unverschlüsselten Verbindung- gilt heutztage WEP (Wired Equivalent Privacy). WEP setzt zur Verschlüsselung die Stromchiffre RC4 ein, wobei die sicherheitskritischen Aspekte nicht im Algorithmus selbst zu suchen sind, sondern in der Implementierung.

14 XIII Der WEP-Standard kann auf verschiedene Weisen gebrochen werden. Eine Möglichkeit ist ein Angriff auf die Authentifikation, da zur Authentifikation der selbe Schlüssel verwendet wird wie zur Verschlüsselung der Datenpakete. Wenn der Angreifer in der Lage ist an die geeignete Datenpakete [23] mitzuschneiden, dann kann der Schlüssel in wenigen Sekunden aus den Datenpaketen extrahiert werden. Als die gravierenden Sicherheitsmängel von WEP publik wurden, führte man WPA (Wi-Fi Protected Access) als vorübergehenden Standard ein. WPA verschlüsselt ebenfalls mit RC4 bringt jedoch zusätzlichen Schutz durch dynamische Schlüssel [24]. Jedoch gilt WPA mittlerweile ebenfalls als unsicher und bei dem Verbindungsaufbau mit einem Smartphone sollte darauf geachtet werden, dass eine WPA2-Verschlüsselung besteht. WPA2 (Wi-Fi Protected Access 2) verwendet den AES-Algorithmus, der auch für die Verschlüsselung der UMTS-Pakete eingesetzt wird und gilt als sicher Bluetooth Bluetooth wird in Smartphones oft eingesetzt, um Datenverbindungen mit anderen Smartphones oder Peripheriegeräten in unmittelbarer Nähe aufzubauen. Verschlüsselte Verbindungen sind in Bluetooth wie auch im Wireless-Lan optional und müssen von beiden Geräten unterstützt werden. Als Algorithmus wird die Stromchiffre E0 verwendet, wobei die Stärke wiederum mit der Schlüssellänge korrespondiert: However, the security of the whole system relies on the user's choice of a secret Personal Identification Number (PIN) - which is often much too short [25]. Kann beispielsweise der Datenverkehr beim sogenannten Pairing (gegenseitige Authentifizierung der Teilnehmer durch eine PIN) aufgezeichnet werden, so kann die vereinbarte schwache PIN -beispielsweise vier Nummern- laut Shaked und Wool innerhalb von Millisekunden erraten werden. Hierzu wenden sie ein Brute-Force-Verfahren an, dass alle möglichen PINs testet. Weiterhin stellen sie eine Methode vor mit der sie die Verbindung zwischen zwei Geräten unterbrechen können und so das erneute Pairing provozieren können [vgl. 25]. 3.3 Szenario: Diebstahl des Gerätes Ein weiteres -speziell für mobile Systeme relevantes- Szenario ist der Verlust oder Diebstahl des Gerätes. In einer solchen Situation stellen sich verschiedene Fragen. 1. Wie schnell können sich Kriminelle Zugang zum System verschaffen? 2. Sind Daten auf dem Datenträger unverschlüsselt abgelegt? Da diese Fragen nur systemspezifisch beantwortet werden können, soll im Folgenden jeweils auf die Sicherheitskonzepte von ios, Android und teilweise auch BlackBerry OS gesondert eingegangen werden.

15 XIV Benutzerauthentifikation Alle ios-geräte sind werksseitig mit einer vierstelligen numerischen PIN versehen, die eine theoretische Komplexität von möglichen Kombinationen hat. Die Länge der PIN lässt sich in den Einstellungen frei variieren und es sind auch Buchstaben erlaubt, jedoch ist in der Praxis nicht davon auszugehen, dass der Benutzer dies tut. Die PIN wird ja für jedes Entsperren des Telefons benötigt und komplexere PINs sind von der Eingabe deutlich aufwendiger. Wird die PIN drei mal falsch eingegeben, so wird das Gerät für ein festgelegtes Zeitintervall gesperrt. Je öfter die PIN falsch eingegeben wird, um so größer werden die Sperrintervalle. Außerdem gibt es eine Option, die alle Daten auf dem Gerät nach zehnmaliger falscher Eingabe löscht. Android kommt von Haus aus zusätzlich zur PIN mit einer interessanten Lösung, den sogenannten Mustern. Auf einem Feld mit neun Punkten kann ein beliebiges Muster gezeichnet werden, das die Punkte untereinander verbindet. Es bietet genau wie ios und BlackBerry OS auch eine Option zum Löschen der Daten nach einer definierten Anzahl von Fehleingaben Verschlüsselung von Daten auf Datenträgern Die Verschlüsselung der Daten selbst stellt einen weiteren wichtigen Aspekt dar. Auf Smartphones kann über entsprechende Schnittstellen und Software von Außen zugegriffen werden und somit ist eine möglichst starke Verschlüsselungsmethode besonders für sensible Daten wünschenswert. Generell muss unterschieden werden zwischen einer Systemweiten, also vom OS bereitgestellten und einer app-internen Verschlüsselung. Als Entwickler einer App hat man die Möglichkeit -je nach Sensibilität der Daten- eigene Verschlüsselungsverfahren einzusetzen. ios etwa verschlüsselt alle Daten mit AES wobei der Schlüssel sich u.a. aus einem in der Hardware gespeicherten Code und der User-PIN generiert. In einer Mitte Mai 2011 veröffentlichen Meldung [26] wird berichtet, dass ein Weg gefunden wurde, den Speicher von iphones mit Hardwareverschlüsselung (3GS und 4) auszulesen und zu entschlüsseln [26]. Für Android gibt es eine Reihe von Apps (z.b. [29]), mit denen eine Verschlüsselung der Daten auf den eingebauten Datenträgern sowie mobilen Datenträgern (SD Karten) erreicht werden kann. Gleichzeitig bieten einige der Apps eine Funktion zum Scramblen also dem Schreddern von bereits gelöschten Daten an. Die genannte App DroidCrypt verschlüsselt die Daten wie ios mit AES. Wenn es sich um ein originales BlackBerry-Endgerät vom Hersteller RIM handelt, dann unterstützt BlackBerry OS von Haus aus AES256-Verschlüsselung für Daten. Auch hier wird der Schlüssel u.a. aus dem gewählten Benutzerpasswort generiert längere und komplexere Passwörter führen also zu einer höheren Datensicherheit.

16 XV 4 Zusammenfassung und Fazit Ein besonderes Augenmerk sollte der Smartphone Benutzer auf die Güte der Verbindung (sowohl mobil als auch wireless), die Verschlüsselung der Daten und einen geeigneten Fernlöschungsmechanismus legen. Wenn keine geeigneten sicheren Verbindungen vorhanden sind, dann können Daten und Gespräche auf anderen Wegen geschützt werden. Beispielsweise können Datenverbindungen durch einen verschlüsselten VPN-Tunnel laufen, HTTP-Anfragen können durch SSL/HTTPS verschlüsselt werden und Mails können etwa mit PGP oder der Open Source Variante GnuPG abgesichert werden. Für all diese Anforderungen existieren geeignete Anwendungen oder sie sind bereits in den besprochenen Systemen integriert. Die Sicherheit von Telefonaten ist ein größeres Problem, da Verbindungen gerade in ländlicheren Regionen häufig noch über GSM abgewickelt werden. Hier schaffen nur VoIP- Telefonate (Voice Over IP) abhilfe, die dann softwareseitig entsprechend verschlüsselt werden. Die Bundesregierung hat beispielsweise im März 2012 einen Wechsel auf Android Smartphones mit einer speziellen Software für VoIP-Telefonie angekündigt. SMS kann durch spezielle verschlüsselte Messaging-Dienste ersetzt werden, wie es z.b. bei BlackBerry OS mit dem BBM (BlackBerry Messenger) schon der Fall ist. Aber auch auf Seiten der Netzanbieter können selbst für den relativ alten Standard GSM noch Optimierungen vorgenommen werden, die eine deutlich höhere Sicherheit gewährleisten. Karsten Nohl weist in auf seiner Webseite [20] darauf hin, dass bereits Software-Patches für die Basisstationen existieren, die das Erraten von Paketinhalten deutlich erschweren und somit selbst beim Einsatz von Rainbow Tables sehr lange Entschlüsselungszeit erforderlich wäre. Kommt das Gerät abhanden, dann können im schlimmsten Falle wichtige Daten in die falschen Hände geraten. Abhilfe schaffen könnte die Weiterentwicklung der Cloud- Technologie und eine wachsende Verfügbarkeit von mobilen Datennetzen. Wenn z.b. die gesamte Software eines Smartphones auf einem Server läuft oder zumindest einzelne Anwendungen die Daten online ablegen, dann können diese Daten im Ernstfall innerhalb kürzester Zeit unzugänglich gemacht werden. Jedoch stellen sich dann neue Fragen z.b. nach der Sicherheit des Servers und da alle Daten bei der Nutzung des Smartphones über die Datenverbindung laufen, ist hier erhöhte Verbindungssicherheit erforderlich. Lösungen zum Fernlöschen von Daten auf dem Smartphone werden von den großen Software-Anbietern (u.a. Kaspersky, Symantec) oder systemintern angeboten. Jedoch ist die Sinnhaftigkeit solcher Lösungen fraglich. Wenn ein Smartphone tatsächlich mutwillig entwendet wurde und der Dieb die Daten auslesen möchte, wird ihm das gelingen. Entweder über einen externen Zugriff auf den Datenträger oder über eine Wiederherstellung der Daten (auch wenn die bei Solid State Datenträgern schwieriger durchzuführen ist).

17 XVI Lösungen zum Fernlöschen werden meistens im Paket mit Anti-Virus-Software, Firewalls und speziellen Tools z.b. zur Ortung des Gerätes vertrieben. Mittlerweile existieren nämlich auch eine Reihe von Würmern, Viren, Trojanern und sonstiger Malware speziell für Smartphones. Eine Verbreitung der Schadsoftware findet sowohl über Datenverbindungen, und Bluetooth statt als auch über infizierte Apps. Apple verärgert zwar regelmäßig Entwickler durch ihre strengen Restriktionen im AppStore hat durch ihr monopolisiertes Software-Distributions-Konzept allerdings eine Situation hergestellt, in der die Kompromittierung des Geräts durch eine App aus dem Store sehr unwahrscheinlich ist. Alle Apps werden von Apple unter Sicherheitsgesichtspunkten begutachtet, bevor sie im Store zum Download freigegeben werden. Selbst wenn eine App die bereits verbreitet ist als schadhaft identifiziert wird, dann behält sich Apple vor, diese App auf allen Endgeräten zu deinstallieren. Dieser Vorgang stellt auf der einen Seite einen Eingriff in die Integrität des Systems dar, schützt aber auf der anderen Seite vor weiteren Bedrohungen z.b. der Vertraulichkeit oder Anonymität. An diesem Beispiel lässt sich das Wechselspiel und die Abhängigkeiten zwischen den Schutzzielen je nach Perspektive ebenfalls erkennen. Wichtig ist im Zusammenhang mit Schadsoftware in jedem Falle, ein größeres Bewusstsein bei den Benutzern dafür zu schaffen, das es sich bei einem Smartphone mittlerweile um einen vollständigen Rechner handelt. Im Desktop-Bereich steht es meist außer Frage, ein Gerät ohne Virenscanner und Firewall zu betreiben, bei den Smartphones ist dies bisher nicht der Fall. Gerade wenn Software unter den Geräten getauscht wird oder außerhalb der offiziellen AppStores geladen wird, dann besteht erhöhtes Risiko. Eine weitere große Herausforderung vor dem Hintergrund der Informationssicherheit wird vermutlich das Thema Mobile Payment sein. Gerade die -in diesem Bereich neue- Technologie RFID (Radio Frequency Identification) muß sich erst noch bewähren. Da es bei Mobile Payment um reale Finanztransaktionen geht, existiert eine große Bedrohung für Datenintegrität und Authentizität durch Kriminelle. Wie Eingangs erwähnt, wird der Grad Informationssicherheit ja höher, je unwirtschaftlicher eine Kompromittierung ist. Beim Eingriff in Finanztransaktionen herrscht eine hohe Wirtschaftlichkeit, demnach müssen stärkere Mechanismen bereitgestellt werden, als z.b. zum Schutz der Highscore-Daten eines Spiels, um ein gleiches Maß an Informationssicherheit zu erreichen.

18 XVII 5 Literatur [1] Letzer Aufruf: [2] Reiher, P., Makki, K., Pissinou, N., Makki, K., Burmester, M., Le Van, T., Ghosh, T.: Research Directions in Security and Privacy for Mobile and Wireless Networks, in Mobile and Wireless Network Security and Privacy, 2007, Springer Science+Business Media [3] Letzer Aufruf: [4] Brockhaus - Die Enzyklopädie in 30 Bänden. 21., neu bearbeitete Aufage, 2005, Leipzig, Mannheim: F. A. Brockhaus [5] Letzer Aufruf: [6] Letzer Aufruf: [7] Letzer Aufruf: [8] Letzer Aufruf: [9] Letzer Aufruf: [10] Nohl, K., Attacking Phone Privacy, in BlackHat 2010 Lecture Notes, 2010: wpcontent/uploads/2010/07/attacking.phone.privacy_karsten.nohl_.pdf, Letzer Aufruf: [11] Letzer Aufruf: [12] Letzer Aufruf: [13] Letzer Aufruf: [14] Karsten.Nohl.GSM.pdf, Letzer Aufruf: [15] Letzer Aufruf: [16] Letzer Aufruf: [17] Letzer Aufruf: [18] Letzer Aufruf: [19] Brockhaus in 15 Bänden. Leipzig, Mannheim, 2006, F. A. Brockhaus [20] Nohl, K., Minaut, S., 2011, Speech at 27th Chaos Communication Congress (27C3): Wideband GSM Sniffing, Letzer Aufruf: [21] Letzer Aufruf: [22] Letzer Aufruf: [23] Letzer Aufruf: [24] Letzer Aufruf: [25] Letzer Aufruf: [26] html, Letzer Aufruf: [27] Android html, Letzer Aufruf: [28] Dwivedi, H., Clark C., Thiel D.: Mobile Application Security, 2010, McGraw-Hill [29] more_from_developer, Letzer Aufruf: