Sicherheit in Mobilfunknetzen

Transkript

1 SicherheitinMobilfunknetzen

2 Worumgeht's? Mobilfunknetzwerke(GSM) Sicherheit Schwachstellen&Risiken Schadensbegrenzung

3 Sicherheit? IntegritätderVerbindungs /Gesprächsdaten VertraulichkeitderVerbindungs /Gesprächsdaten IdentitätderGesprächsteilnehmer VerfügbarkeitderInfrastruktur

4 Mobilfunkwelt GSMStandardssehrkomplex OligopolwenigerHersteller,vielGeheimhaltung MobilfunkbetreiberbetreibenwederNetzwerknochClients OutsourcingundNDAs mangelndequalitätskontrolle SecuritybyObscurity keinesicherheits /Kryptoanalysen Patchesschwerbisunmöglich AlgorithmenteilweiseinHardwareimplementiert Firmware UpgradesdurchOutsourcingbegrenzt( packaged /SLA)

5 Netzwerkübersicht

6 IdentifikationderClients InternationalMobileEquipmentIdentity(IMEI) Geräteadresse 14bis16Stellen InternationalMobileSubscriberIdentity(IMSI) 64BitSubscriber Identifikation gespeichertaufsim Karte TemporaryMobileSubscriberIdentity(TMSI) temporäreidentifikationimnetzwerk generiertbeimeinbuchen/anmelden

7 Vertrauensmodell AlleNetzwerke&Komponentensindvertrauenswürdig internationalemobilfunkbetreibervertraueneinander KeinegegenseitigeAuthentisierung(2G) Mobilfunknetzauthentisiertsichnicht Clientsmüssensichauthentisieren MobiltelefonTeildesNetzwerks ZugriffaufSIM Karte SendenvonKommandosanMobiltelefon

8 Authentifizierung 128BitKiaufSIM KarteundinAuthenticationCentre(AuC) 128BitZufallszahlRAND 32BitSignedResponseSRES 64BitKcSitzungsschlüssel berechnetdurcha3 berechnetdurchalgorithmusa8auskiundrand VerschlüsselungdurchAlgorithmusA5 A3,A5undA8sindStandards,Implementationenverschieden COMP128isteineImplementationvonA3/A8

9 Authentisierung(2)

10 COMP128/A3/A8 Securitythroughobscurity COMP128/A3/A8imRahmenvonStandardwählbar A3/A8nichtpubliziert COMP128aufSIM Karteimplementiert COMP128 1gebrochen(<60s) COMP128 2nichtkryptoanalysiert COMP128 3nichtkryptoanalysiert

11 Verschlüsselung A5/0 keineverschlüsselung A5/1 VerschlüsselungfürEuropa/USA A5/2 schwachevariantevona5/1fürexport A5/3/GEA3 stärkereralgorithmus(vonmitsubishi) A5/4/GEA4 dito

12 Verschlüsselung? A5/2inEchtzeitknackbar 64BitSchlüssel! AngriffeaufA5/1seit2007 A5/1mitRainbowTablesknackbar(2009/2010) AufwandimSekunden /Minutenbereich A5/3 verwendetdenselbenschlüsselwiea5/1 kanndurchdowngradeattackeumgangenwerden

13 Ichverwende3G!Und? 2G,3G,nGNetzwerkewerdenparallelbetrieben völlige3gabdeckungunrealistisch 3GfürDaten,2GfürGesprächeundSMS GSMwirdbleiben sehrvieleendgeräte(alarmanlagen,smartgrid, )

14 PassiveAttacken UniversalSoftwareRadioPeripheral (USRP ) CalypsoDigitalBaseBandChipsatz Dokumentationversehentlichpubliziert MotorolaC123/C115/C140 SonyEricssonJ100i OsmocomBB OpenSourceGSMBasebandSoftware GSMAnrufe&SMSmitFreierSoftware

15 AktiveAttacken Basisstationaufbauen OpenBTS+Asterisk Netzwerkmußsichnichtauthentisieren mehrerebasisstationen OpenBSC StörenderFrequenzen(Jamming) (D)DoS zumeistillegal(frequenzenwurdenjaverkauft/verpachtet)

16 DeaktivierenvonZellen Datadrivenattack aufbasisstationen keinjamming,keinfluten AusnutzenvonFehlerinImplementationoderProtokoll DemonstrationaufDeepSecKonferenz2009 GenerierenvonungültigenDatenmitMobiltelefon DoSgegenBasisstation(en) wenigedatenpaketeausreichend (fast)allebasisstationenanfällig(lautsicherheitsforschung)

17 AktiveAttacken ClientverlangtkeineAuthentisierung Aufbauvon roguebasestations stärkstebasisstationgewinnt Man In The Middle LokalisierungfürgezielteAttackenotwendig Störsender reinphysikalischeattacke Sendeleistung/Frequenzenproblematisch

18 SMSAttacken SMSweitverbreitet nahezualleendgeräteunterstützensms SMSNachrichtenschnell/leichtzuübertragen SMSFuzzing ImplementationenempfindlichgegenüberfalschenDaten modifiziertebasisstation+code Ergebnissepräsentiertam27C3

19 SMSFuzzingErgebnisse NokiaWhiteScreenofDeath BlackScreenofDeath Reboot/Shutdown/Absturz AbmeldenvonNetzwerk SMSnichtsichtbar Zerstörung( brickedphone ) AblehnenfolgenderSMS AppsaufTelefonstartennicht WatchdogShutdown TelefonsendetkeinACK NetzdenktSMSnichtangenommen NetzsendetSMSwiederundwieder Effektwiederholtsichstetig Ausschaltennach3SMS Fix:SIM KarteinanderesTelefon stecken

20 KomponentenimMobiltelefon

21 BasebandAttacken AngriffaufdenBasebandProzessor AusnutzenvonBugs/Firmware Attackemit roguebasestation vorgeführtaufdeepsec2010durchralf PhilippWeinmann Aktionenbegrenzt,aber EinschaltenvonAuto Answer mobilewanze Rootkits/Infektionmöglich,VerbreitungwieVirusebenso ZerstörenvonMobiltelefonen

22 SIMApplikationen SIM KartekannApplikationenhaben NativeCodeoderEmbeddedJava nichtnotwendigerweisesichtbar/zugänglich ProviderkannSIMAppsändern(Over the airprogramming) SIM AppskönnenMobiltelefonAnweisungengeben SIMApplicationToolkit(STK)für2G USIMApplicationToolkit(USAT)für3G

23 SmartphoneApplikationen SmartphonesfolgenPCsinpunktoMalware keineplattformistimmungegenmalware AppDevelopersindkeineSicherheitsexperten GrafikenundSoundssindeinfachwichtiger AppStoreswirdbedingungslosvertraut! KontrollederAppStoreBetreibernichtausreichend wederiosnochandroidnochanderesindverschont DRMfunktioniertnicht

24 Danke! VortragendederDeepSecKonferenzen DavidBurgess,KarstenNohl,DieterSpaar,Ralf PhilippWeinmann,HaraldWelte AlleSicherheitsforscher,dienichtsglauben Hersteller,diezuhörenstattzuklagen

25 Gegenmaßnahmen MobilfunkundEndgeräterichtigklassifizieren nichtfürallesicherheitsanforderungenverwendbar Sicherheitnachrüsten,wennmöglich sensitivedatenlöschen/nichtdarübertransportieren SicherheitvonHerstellernverlangen Gesprächezusätzlichabsichern Datenkommunikationzusätzlichabsichern VPNTechnologienverwenden verschlüsseltecontainerverwenden

26 Fragen? asweknow,thereareknownknowns.there arethingsweknowweknow.wealsoknow thereareknownunknowns.thatistosaywe knowtherearesomethingswedonotknow. Buttherearealsounknownunknowns the oneswedon'tknowwedon'tknow. DonaldRumsfeld, ,Departmentof Defensenewsbriefing

27 Überuns The DeepSec IDSC is an annual European two day in depth conferenceoncomputer,network,andapplicationsecurity.weaimto bring together the leading security experts from all over the world. DeepSec IDSC is a non product, non vendor biased conference event. Intended target audience: Security Officers, Security Professionals and Product Vendors, IT Decision Makers, Policy Makers, Security /Network /Firewall Admins, Hackers and Software Developers. Web: Blog:

28 SicherheitinMobilfunknetzen 1 DasBildzeigteinaltesschwedischesAnalogtelefon (kopiertvonwikipedia).mobiltelefonegibtesseitden 20erJahren.Ab1950nahmendieersten MobilfunknetzwerkeihrenBetriebauf(0G,1G).Die erstennetzwerkeverwendetenanalogfunk.diegroupe SpécialMobile(GSM)nahm1982ihreArbeitauf.Der GSM900Standardwurde1990eingefroren,1992kamen dieerstenmobilfunktelefonaufdenmarkt.alle Technologienab2Gsinddurchgehenddigital. MittlerweilesindGSM,GPRS,EDGE,UMTSund HSDPAinVerwendung(alles2G/3GStandards).4G stehtvordertür.

29 Worumgeht's? Mobilfunknetzwerke(GSM) Sicherheit Schwachstellen&Risiken Schadensbegrenzung 2 DerSchwerpunktdiesesVortragsliegtaufGSM(2G). NeuereProtokollewerdenmeistnichtbetrachtet,daden SicherheitsforschernimMomentnur2GAusrüstungfür TestzweckezurVerfügungsteht.Daswirdsichändern. NichtsdestotrotzwerdeneinigeKonzeptebetrachtet,die sichauf3gund intelligente Telefone(Smartphones) ausdehnen.

30 Sicherheit? IntegritätderVerbindungs /Gesprächsdaten VertraulichkeitderVerbindungs /Gesprächsdaten IdentitätderGesprächsteilnehmer VerfügbarkeitderInfrastruktur 3 BevormanüberSicherheitredet,solltemanimmer wissen,wasmandamitmeint. IndenseltenstenFällenwerdenalleKriterienimmer fürallekommunikationengleichwichtigsein.esmacht dahersehrvielsinneineklassifizierungeinzuführen undnichtalledatenüberdiehöchstesicherheitsstufe zuleiten.dieseransatzistsehrverbreitetundwird auchbeimmilitäreingesetzt.

31 Mobilfunkwelt GSMStandardssehrkomplex OligopolwenigerHersteller,vielGeheimhaltung MobilfunkbetreiberbetreibenwederNetzwerknochClients OutsourcingundNDAs mangelndequalitätskontrolle SecuritybyObscurity keinesicherheits /Kryptoanalysen Patchesschwerbisunmöglich AlgorithmenteilweiseinHardwareimplementiert Firmware UpgradesdurchOutsourcingbegrenzt( packaged /SLA) 4 DieStandardsinderGSM Weltbestehenaus1000+ Dokumenten,diejeweils1000+Seitenhabenkönnen. DieStandardssindprinzipiellpubliziert,aberüberdie ImplementationenistaußerhalbdergeschlossenenRiege derherstellernichtsbekannt.allekomponentensind proprietär,esgibtgeheimhaltungsabkommen,und selbstdiemobilfunkanbieterhabenwenigbiskeinen EinblickinalleKomponentenderInfrastruktur. DarüberhinaussindeinigeAlgorithmenperFPGAin Hardwareimplementiert,d.h.Patchessindunmöglich (esseidennmanmöchtelandesweitdiebasisstationen tauschen,wassehrteuerist). DedizierteSicherheitsevaluierungengibtesnicht. GerätewerdenaufeineListevonFunktionengeprüft undsinddannstandardkonform.

32 Netzwerkübersicht 5 ZudenKernkomponentengehörennoch: MobileSwitchingCenter(MSC) leitetdieeigentlichen Anrufezu/vonTeilnehmern,führtVerrechnungdurch. HomeLocationRegister(HLR) hälteinregisteraller TeilnehmermitTelefonnummernundVoreinstellungen. VisitorLocationRegister(VLR) hälteinregisteraller RoamingkundenmitderenTelefonnummernund Einstellungen EquipmentIdentityRegister(EIR) hältlistenvon IMEIsgeblockterEndgerätensowieGeräte,dieim Monitoringerfaßtwerden(Diagnose,Anruflogs). DannkommennochSMS/MMSDienste,Mailboxen, LawfulInterceptionSchnittstellenundandere Subsystemedazu.

33 IdentifikationderClients InternationalMobileEquipmentIdentity(IMEI) Geräteadresse 14bis16Stellen InternationalMobileSubscriberIdentity(IMSI) 64BitSubscriber Identifikation gespeichertaufsim Karte TemporaryMobileSubscriberIdentity(TMSI) temporäreidentifikationimnetzwerk generiertbeimeinbuchen/anmelden 6 DieIMEIkannmansichsovorstellenwiedieMedia AccessControl(MAC)AdressevonNetzwerkkarten.Sie istdemgerätzugeordnet.dieimsiistdem Netzwerkteilnehmerzugeordnetundwirdsoseltenwie möglichverwendet,umsiezuschützen.fürdenbetrieb wirddietemporärekennungtmsigeneriertund verwendet,ganzanalogzueinemsitzungsschlüssel.

34 Vertrauensmodell AlleNetzwerke&Komponentensindvertrauenswürdig internationalemobilfunkbetreibervertraueneinander KeinegegenseitigeAuthentisierung(2G) Mobilfunknetzauthentisiertsichnicht Clientsmüssensichauthentisieren MobiltelefonTeildesNetzwerks ZugriffaufSIM Karte SendenvonKommandosanMobiltelefon 7 DasVertrauensmpdellstammtausderZeitder staatlichentelekom Gesellschaften.DasNetzwerkist bedingungslosvertrauenswürdig,undalleclients müssendemnetzwerkgehorchen.in2gnetzwerken bedeutetdies,daßdieauthentisierungeinseitigverläuft. In3GNetzwerkenistdieAuthentisierungtheoretisch beidseitig,aberesstehtdenbetreibernfreidiesso durchzusetzen.sicherheitstechnischmußmanalso davonausgehen,daßderclientteildesnetzwerksist undsichdereigenenkontrolleentzieht.dasgiltspeziell füralleaufsim KarteundTelefonabgespeicherten Daten. ZwecksRoamingmüssendieMobilfunkbetreibersich gegenseitiginternationalvertrauen.theoretischkann jederbetreiberbeikenntnisderimsieineanfragean dasheimnetzwerkstellen.

35 Authentifizierung 128BitKiaufSIM KarteundinAuthenticationCentre(AuC) 128BitZufallszahlRAND 32BitSignedResponseSRES 64BitKcSitzungsschlüssel berechnetdurcha3 berechnetdurchalgorithmusa8auskiundrand VerschlüsselungdurchAlgorithmusA5 A3,A5undA8sindStandards,Implementationenverschieden COMP128isteineImplementationvonA3/A8 8 AuthentisierungundVerschlüsselungbenötigt Schlüssel.DerGeheimschlüsselKiistaufderSIM Karte undimaucdesbetreibergespeichert.derkiwird seltenundnieimklartextverwendet.stattdessen werdenausihmzwischenwertewiesresundder temporäreschlüsselkcberechnet.derkcwird periodischgeändert(meisteinmalproeinbuchung).bei denalgorithmenläßtderstandardetwasfreiraumfür dieimplementation.a3/a8werdenmeistalscomp128 zusammengefaßtundsindindersim Karte implementiert. DieSchlüssellängevon64Bitistkryptografischnicht mehrzeitgemäßundbezeugtdasalterdesstandards.

36 Authentisierung(2) 9 DasDiagrammillustriertwelcheKomponentenwie kombiniertwerden,umdentemporären SitzungsschlüsselKcsowiedieIdentifikationSRESzur Authentisierungzuberechnen.BeiderA5 Verschlüsselungfließtnochdie22Bitlange Rahmennummerein,dieausderMobilkommunikation entnommenwirdundsichtbarist.verschlüsseltwerden beidekommunikationsrichtungen.

37 COMP128/A3/A8 Securitythroughobscurity COMP128/A3/A8imRahmenvonStandardwählbar A3/A8nichtpubliziert COMP128aufSIM Karteimplementiert COMP128 1gebrochen(<60s) COMP128 2nichtkryptoanalysiert COMP128 3nichtkryptoanalysiert 10 COMP128istnichtpubliziert,dahergibtesauchkeine PeerReview.COMP128 1wurdevon SicherheitsforscherneinemReverseEngineering unterzogenundmachtedamiteinekryptoanalyse möglich,diezuungunstendesalgorithmusausging.um dasklonenvonsim Kartenzuunterbinden,wurden zweiweitereversionendesalgorithmusentworfen,die bishernichtöffentlichuntersuchtwurden.

38 Verschlüsselung A5/0 keineverschlüsselung A5/1 VerschlüsselungfürEuropa/USA A5/2 schwachevariantevona5/1fürexport A5/3/GEA3 stärkereralgorithmus(vonmitsubishi) A5/4/GEA4 dito 11 A5stelltmehrereBetriebsmodizuVerfügung.Der HintergrundisteineAuseinandersetzungumdieStärke derverschlüsselung.dienatowollte1994eine schwacheverschlüsselung,diedeutscheregierung aufgrunddergrenzezumwarschauerpakteinen starkenalgorithmus.esgibtdahera5/1(fürwestliche Staaten)undA5/2alsExportvariante.A5/0bietetkeine Verschlüsselung,undA5/3stammtausden3G Standards.NachwievoristA5/1inVerwendung.Da neueretelefona5/2nichtmehrunterstützen,kannes passieren,daßmaninbestimmtenländerna5/0 benutzenmuß,wenndasnetzwerknura5/0unda5/2 spricht(diesistbeispielsweiseinmarokkoderfall).

39 Verschlüsselung? A5/2inEchtzeitknackbar 64BitSchlüssel! AngriffeaufA5/1seit2007 A5/1mitRainbowTablesknackbar(2009/2010) AufwandimSekunden /Minutenbereich A5/3 verwendetdenselbenschlüsselwiea5/1 kanndurchdowngradeattackeumgangenwerden 12 A5/2istperDesignschwachundkannsehrleicht gebrochenwerden.a5/1wirdseiteinigenjahrenvon Kryptografenangegriffen.DieersteDeepSecKonferenz imjahre2007hatteeinenvortrageines SicherheitsforscherszudiesemThema(2009und2010 gabesfolgevorträge).seit2010existierenrainbow Tables,diedasEntschlüsselnvonaufgezeichnetenA5/1 Kommunikationenmöglichmachen.AufmodernenPCs liegtdiezeitfürdasknackenderverschlüsselungim Sekunden /Minutenbereich. DaA5/3denselbenSchlüsselwieA5/1verwendet,kann manmiteinerdowngrade AttackeA5/3auchangreifen. DaA5/3abernochnichtweitverbreitetist,spieltesnoch einegeringerolle.

40 Ichverwende3G!Und? 2G,3G,nGNetzwerkewerdenparallelbetrieben völlige3gabdeckungunrealistisch 3GfürDaten,2GfürGesprächeundSMS GSMwirdbleiben sehrvieleendgeräte(alarmanlagen,smartgrid, ) 13 2GNetzwerkewerdennichtverschwinden,daes MillionenvonEndgerätengibtundgebenwird.Die Mobilfunkbetreiberkönnenessichnichtleistendie Infrastrukturkomplettauszutauschen.Darüberhinaus sinddiezellenfür3gfürdichteballungsräume optimiert,nichtfürländlichegegenden.3gwirdhäufig fürdateneingesetzt,wasdazuführt,daßdiegespräche oftaufdie2gnetzwerkegeleitetwerden,um Datenkapazitätenim3G Teilfreizuhalten.Mit4Gwird dasselbepassieren,eswirdeinfachdazukommen. DurchdieVielzahlderEndgeräteundAnwendungenist Mobilfunknunkritischeralseigentlichgeplant.Man darfnichtvergessen,daßmobilfunkniedafürgedacht warlandleitungenzuersetzen.dieserumstandwird ungernebeworben.

41 PassiveAttacken UniversalSoftwareRadioPeripheral (USRP ) CalypsoDigitalBaseBandChipsatz Dokumentationversehentlichpubliziert MotorolaC123/C115/C140 SonyEricssonJ100i OsmocomBB OpenSourceGSMBasebandSoftware GSMAnrufe&SMSmitFreierSoftware 14 DieSicherheitsanalysescheitertebisherander proprietärentechnologie.manhatdaherbegonnendie Funkübertragungenmitfreiprogrammierbaren Software RadioswieUSRPzuanalysieren.Mittlerweile läßtsichdercalypsobasebandchipsatzvontexas Instrumentsaucheinsetzen,dadieDokumentation gelecktist.osmocombbisteinesoftware,mitderman einebasisstationaufbasisfreiersoftwarebetreiben kann.dieseswerkzeugistsehrwichtig,undeswurden damittestweiseschongsm Netzwerkbetrieben.Die Entwicklunghatsichalssehrförderlichfür Sicherheitsbetrachtungenherausgestellt,damanso auchmobilfunkgerätenbeiderkomunikationzuschauen kann.

42 AktiveAttacken Basisstationaufbauen OpenBTS+Asterisk Netzwerkmußsichnichtauthentisieren mehrerebasisstationen OpenBSC StörenderFrequenzen(Jamming) (D)DoS zumeistillegal(frequenzenwurdenjaverkauft/verpachtet) 15 FüraktiveAttackenmußmaneinGSMNetzwerk aufbauen,seiesauchnurinkleinemrahmen.dadas mobileendgerätdasnetzwerknichtauthentisiert,sind Mittelsmenschattackendannsehrleichtmöglich.Esgilt hierauchwiebeianderentechnologien:dasstärkste Signalgewinnt.Natürlichkannmanwieinjeder funkgestütztenkommunikationauchstörsender einsetzen,allerdingsistderbetriebnichterlaubt,und bestimmtemodulationenlassensichnichtsoeinfach stören(dasistbeispielsweisebei3gderfall).

43 DeaktivierenvonZellen Datadrivenattack aufbasisstationen keinjamming,keinfluten AusnutzenvonFehlerinImplementationoderProtokoll DemonstrationaufDeepSecKonferenz2009 GenerierenvonungültigenDatenmitMobiltelefon DoSgegenBasisstation(en) wenigedatenpaketeausreichend (fast)allebasisstationenanfällig(lautsicherheitsforschung) 16 AufderDeepSec2009wurdevonDieterSpaargezeigt, daßmanbasisstationenmit unfreundlichen Transmissionendeaktivierenkann(Absturz/Reboot). DurchgeführtwurdedieserAngriffmiteinem Mobiltelefon,welchesfreiprogrammierbarwar.Diese AttackebenötigtkeineStörsignale,keinegroßeLeistung undnurwenigzeit.ursacheisteindesignfehlerim GSM Protokoll. LautKarstenNohlbetrifftderFehlersoziemlichalleBasisstatio.Wennmansichjetztvorstellt,daßmaneinBündel Telefone(einesproNetzanbieter)perStraßenbahnoder AutodurchdieStraßeneinerStadtschickt,dannwird klarwieanfälligmobilfunknetzwerkegegenüber koordiniertenangriffensind.

44 AktiveAttacken ClientverlangtkeineAuthentisierung Aufbauvon roguebasestations stärkstebasisstationgewinnt Man In The Middle LokalisierungfürgezielteAttackenotwendig Störsender reinphysikalischeattacke Sendeleistung/Frequenzenproblematisch 17

45 SMSAttacken SMSweitverbreitet nahezualleendgeräteunterstützensms SMSNachrichtenschnell/leichtzuübertragen SMSFuzzing ImplementationenempfindlichgegenüberfalschenDaten modifiziertebasisstation+code Ergebnissepräsentiertam27C3 18 JährlichwerdenMilliardenvonSMSNachrichten verschickt.dasformatiststandardisiert,aberwas passiert,wennmanungültigesequenzeneinbaut?nicht alleimplemetationverstehendaskonzept fail gracefully.durchtechnikenwie fuzzing,dem gezieltengenerierenundabschickenvonmanipulierten SMSNachrichten,kannmanFehlerninderSMS verarbeitendensoftwareaufdiespurkommen.colin MullinerundNicoGoldehabenam27C3dieErgebnisse ihrertestsmitsogenanntenfeaturephones(keine Smartphones)präsentiert.

46 SMSFuzzingErgebnisse NokiaWhiteScreenofDeath BlackScreenofDeath Reboot/Shutdown/Absturz AbmeldenvonNetzwerk SMSnichtsichtbar Zerstörung( brickedphone ) AblehnenfolgenderSMS AppsaufTelefonstartennicht WatchdogShutdown TelefonsendetkeinACK NetzdenktSMSnichtangenommen NetzsendetSMSwiederundwieder Effektwiederholtsichstetig Ausschaltennach3SMS Fix:SIM KarteinanderesTelefon stecken 19 HiersindeinigeEffekteaufgeführt,diedenTelefonen nachannahmedertest SMS Nachrichtenwiderfahren sind.nebenvölligerdeaktivierungwaraucheinfall eines brickedphones dabei.manchesmswurdenauch stillempfangen,d.h.mankonnteammobiltelefonnichts vomempfangbemerken.aufdieseartundweise könntemantelefondeaktivieren,ohnedaßmandavon etwasmitbekommt.beimeffekt Telefonsendetkein ACK wirddasschad SMSvomNetzwerkwiederholt gesendet,d.h.mankanndannseintelefonnurwieder benutzen,wennmandiesim Kartekurzzeitiginein TelefoneinesanderenHerstellerssteckt,dasSMS empfängtunddanndiesim Kartewiederwechselt.

47 KomponentenimMobiltelefon 20 Mandarfnichtvergessen,daßmoderneMobiltelefone ausmehrerensubsystemenbestehen,dieeineeigene CPUhaben.Baseband,SIM KarteundBetriebssystem sindunabhängig.nurwenndieherstellerschnittstellen einbauen,dannkannmanaufdiesebereichzugreifen. DerBaseband Prozessoristimmerabgeschirmt(esgibt auchkeineverfügbaredokumentationüberden Baseband Teil).DieSIM Kartestelltaucheineeigene UmgebungfürEmbeddedJava bzw.eigenencodezur Verfügung(Intel 8051Derivat).Selbstohne SmartphonebleibtdagenügendCPUundRAMfür Attacken. BasebandundSIM KartezähltzurNetzinfrastruktur.

48 BasebandAttacken AngriffaufdenBasebandProzessor AusnutzenvonBugs/Firmware Attackemit roguebasestation vorgeführtaufdeepsec2010durchralf PhilippWeinmann Aktionenbegrenzt,aber EinschaltenvonAuto Answer mobilewanze Rootkits/Infektionmöglich,VerbreitungwieVirusebenso ZerstörenvonMobiltelefonen 21 MankanndenBasebandProzessorüberdie Luftschnittstelleangreifen.AufderDeepSec2010wurde einsolcherangriffdemonstriert(angriffistfüriphones undgoogleandroidverfügbar).durchdiegeringen ResourcenindiesemBereichkannmannichtvieltun, aberdaseinschaltendesmikrofonsperanrufsowie ZerstörungundsogardasVerbreitenvonSchadcodesind möglich.letztereswirdgeradeuntersucht,laut AuskunftdesSicherheitsforschersistesdenkbar.

49 SIMApplikationen SIM KartekannApplikationenhaben NativeCodeoderEmbeddedJava nichtnotwendigerweisesichtbar/zugänglich ProviderkannSIMAppsändern(Over the airprogramming) SIM AppskönnenMobiltelefonAnweisungengeben SIMApplicationToolkit(STK)für2G USIMApplicationToolkit(USAT)für3G 22 ApplikationenaufSIM KartenführeneinEigenleben, welchesvommobilfunknetzbestimmtwird.nur Endgeräte,dieeineSchnittstellezudiesenAppshaben, könnendiesesehenundmitihnendatenaustauschen. MancheSmartphoneshabenkeinesolcheVorkehrung. SIMAppswerdengernevonBankenverwendet,um zusätzlicheverschlüsselungeinzubauen(speziell afrikanischebankenmachendas).natürlichkönnen SIMAppsauchmißbrauchtwerden.Updatesgeschehen meistvombesitzerunbemerktüberdie Luftschnittstelle.

50 SmartphoneApplikationen SmartphonesfolgenPCsinpunktoMalware keineplattformistimmungegenmalware AppDevelopersindkeineSicherheitsexperten GrafikenundSoundssindeinfachwichtiger AppStoreswirdbedingungslosvertraut! KontrollederAppStoreBetreibernichtausreichend wederiosnochandroidnochanderesindverschont DRMfunktioniertnicht 23 iosundandroidsowieanderesmartphonesysteme habensichindenletztenjahrenstarkverbreitet.sie sindzwarimmernochinderminderheit,verglichenmit denmilliardenvon dummen Endgeräten,aberdurch diezurverfügungstehendenapplikationenwurdeschon Schadenangerichtet.DieTendenzdenAppStore BetreibernzuvertrauensenktdieHemmschwelle unbekanntesoftwarezuinstallieren(dasphänomenist vonpcsbereitbekannt).dietatsache,daßsicherungen periodischgeknacktwerden(sieheiphonejailbreaking) zeigt,daßmangeräte,diemanausderhandgibt,nicht vollständigabgesichertwerdenkönnen.

51 Danke! VortragendederDeepSecKonferenzen DavidBurgess,KarstenNohl,DieterSpaar,Ralf PhilippWeinmann,HaraldWelte AlleSicherheitsforscher,dienichtsglauben Hersteller,diezuhörenstattzuklagen 24 DieserVortragisteineZusammenfassungvieleranderen Vorträge,WorkshopsundKonferenzen,allenvorander Materialien,dieaufdenvergangenenDeepSec Konferenzenpubliziertwurden.Wirdankenallen Sicherheitsforschern,diedenSchleierder Verheimlichungdurchstoßenunddieganzen Sicherheitsproblemeaufgedeckthaben.

52 Gegenmaßnahmen MobilfunkundEndgeräterichtigklassifizieren nichtfürallesicherheitsanforderungenverwendbar Sicherheitnachrüsten,wennmöglich sensitivedatenlöschen/nichtdarübertransportieren SicherheitvonHerstellernverlangen Gesprächezusätzlichabsichern Datenkommunikationzusätzlichabsichern VPNTechnologienverwenden verschlüsseltecontainerverwenden 25

53 Fragen? asweknow,thereareknownknowns.there arethingsweknowweknow.wealsoknow thereareknownunknowns.thatistosaywe knowtherearesomethingswedonotknow. Buttherearealsounknownunknowns the oneswedon'tknowwedon'tknow. DonaldRumsfeld, ,Departmentof Defensenewsbriefing 26 HerrRumsfeldmachtdeutlichwiewichtigdasständige HinterfragenvonvermeintlichenTatsachenundFakten ist,auchwenndaszitateauseinemanderenkontext stammt.

54 Überuns The DeepSec IDSC is an annual European two day in depth conferenceoncomputer,network,andapplicationsecurity.weaimto bring together the leading security experts from all over the world. DeepSec IDSC is a non product, non vendor biased conferenceevent. Intended target audience: Security Officers, Security Professionals and Product Vendors, IT Decision Makers, Policy Makers, Security /Network /Firewall Admins, Hackers and Software Developers. Web: Blog: 27 WirfreuenunsüberjeglichesFeedback,Kommentareim Blog,interessierteSponsorenfürdiejährlicheDeepSec Konferenz,Teilnehmer,Anregungenfür Sicherheitsthemen,eigeneErfahrungenundsonstigen regenaustausch.wirbietenbeianrufenkeinesichere Kommunikation,mankannunsaberverschlüsselt NachrichtenviaE MailoderWebseitezukommenlassen. DankefürIhreAufmerksamkeit!