Der Crack der GSM-Verschlüsselung

Auf der Sicherheitskonferenz DeepSec in Wien hat ein "A5 Buster" erläutert, wie ein verschlüsseltes GSM-Telefonat abzufangen und binnen einer Stunde zu knacken ist. Das Projekt steht nach weniger als einem Jahr Laufzeit kurz vor seinem Ziel. Hacker "Steve" im Gespräch mit ORF.at.

Dass der in Handynetzen zur Verschlüsselung überwiegend verwendete Algorithmus A5/1 eine Reihe von Schwächen im Design aufweist, die ihn angreifbar machen, ist bereits seit 1999 bekannt.

Da hatten Alex Birjukow und Adi Schamir vom israelischen Weizmann Institute die Ergebnisse ihrer Krypto-Analyse des A5/1 veröffentlicht. Die Schlussfolgerung damals lautete: "Sein Sicherheitslevel macht ihn gegen Hardware-gestützte Attacken durch große Organisationen verwundbar, aber nicht durch Software-basierte Hackerangriffe auf multiple Ziele."

GSM-Analyzer unter 1.000 Dollar

Der technische Fortschritt ist gerade dabei, diese Aussage obsolet zu machen. Die nötige Hardware ist mittlerweile auf dem Markt vorhanden und auch für "kleine Organisationen" erschwinglich.

Die "A5 Busters", eine Gruppe von Sicherheitsexperten rund um das GNU Radio Project aus verschiedenen Ländern, hat sich in den kollektiven Kopf gesetzt, einen GSM-Analyzer auf Basis des freien GNU-Software-Radioprojekts für weniger als 1.000 Dollar auf den Markt zu bringen.

Kombiniert mit Hardware zum Empfangen der GSM-Frequenzen, einem FPGA-Board [siehe unten] zum Codeknacken und einem Rechner mit zwei Terabyte Speicherplatz.

"Steve" im Gespräch

Auf der Sicherheitskonferenz DeepSec vergangene Woche in Wien wurde das "GSM-Software-Projekt" von einem seiner Macher vorgestellt.

"Steve", der keinen Wert auf die Nennung seines Nachnamens legt, beschreibt die Projektfortschritte seit Start des Projekts im Frühjahr 2007 im Gespräch mit ORF.at so: Man wollte anfangs erst einmal genau verstehen, was auf den GSM-Frequenzen "an Daten durch den Äther fliegt".

Mit Yagi und Verstärker

Als Nächstes stand dann der Versuch an, GSM-Handys zu identifizieren und durch mehrere Funkzellen zu verfolgen.

"Das funktioniert mit einer Yagi [Richtantenne] und Verstärker über 30 bis 40 Kilometer", so Hacker "Steve", der darauf Wert legt, dass das Projekt auf keinen Fall mit einer "aktiven Lösung", nämlich mit einem IMSI-Catcher, verwechselt werden möge.

Simulierte Basisstation

Dieses Gerät, das Polizei, Geheimdienste, so manche Detektive, aber auch Kriminelle zum Einsatz bringen, ist ein Sender, der eine GSM-Basisstation simuliert und alle Telefonate aus der nächsten Umgebung an sich zieht.

Sobald sich das Zielhandy am IMSI-Catcher eingeloggt hat, zwingt er das Handy, die Verschlüsselung zu deaktivieren, und schneidet das Gespräch bei Bedarf im Klartext mit.

16 Kanäle

Das oder die entsprechenden Telefonate werden damit im Umkreis von mehreren Kilometern ganz nebenbei frei empfangbar.

Je nach Bauweise können IMSI-Catcher neueren Typs vier bis 16 und vielleicht mehr Kanäle gleichzeitig überwachen. Die Mobilfunker haben mit dem Gerät überhaupt keine Freude, da es Störungen verursacht und nur schwer entdeckt werden kann.

• "Handyfresser" als Menschenfreund, der IMSI-Catcher

Passive Attacke

"Wir hingegen fahren 100 Prozent passive Attacken, das heißt, wir lauschen nur", sagt "Steve" und grinst. Dafür kommt als Hardware ein Universal Software Radio Peripheral zum Einsatz, auf dem die freie Software GNU Radio läuft.

Zum Packet-Sniffen lassen sich aber auch Handys verwenden, die über den integrierten Trace-Modus am Beacon-Channel mitloggen können. Das Sagem OT460 zum Beispiel, das via Datenkabel mit der USB-Schnittstelle des PC verbunden wird, verfügt über integrierte Software, die Daten vom Control-Channel an den Rechner übermittel.

Unverschlüsselte Standortdaten

Zusammen mit einer Software, die ebenfalls im Netz zu haben ist, und einem Linux-Rechner lässt sich so der unverschlüsselte Funkverkehr einer Zelle abbilden, wie demonstriert wurde.

Die Standortdaten etwa werden unverschlüsselt vom Handy zum jeweils nächsten Base-Station-Controller [alias "Handymast"] übermittelt.

IMSI und IMEI im Klartext

Aber auch andere Daten gehen im Klartext über den Äther, die eigentlich dort unverschlüsselt nichts zu suchen hätten.

In fast allen untersuchten Netzen in Großbritannien und den USA sei die IMSI übermittelt worden und sogar die IMEI samt der Software-Version, sagt "Steve". Bei Ersterer handelt es sich um die International Mobile Subscriber Identity, eine weltweit einmalige Kundennummer, die IMEI ist eine ebenso eindeutige Seriennummer des verwendeten Handys.

TMSI

Aus Sicherheitsgründen ist es an sich üblich, dass von Handybasistationen nur temporäre Identitätsnummern [TMSI] vergeben werden, die erst danach mit der IMSI verknüpft werden.

Handys zu zwingen, IMSI und IMEI am Anfang der Kommunikation auf dem Broadcasting-Kanal zu senden, den jeder Scanner oder Spektrum-Analysator mitloggen kann, der das GSM-Protokoll beherrscht, verkürzt einerseits die Rechenzeit der Mobilfunkbasistation.

Was der Catcher tut

Doch auch der IMSI-Catcher erspart sich bei der Suche nach dem Zielhandy einen ganzen Arbeitsgang.

Das Gerät hat seinen Namen nämlich von einer bestimmten Eigenschaft: Er unterscheidet sich von der Basisstation eines Mobilfunknetzes - die eigentlich die IMSI nicht unverschlüsselt abfragen sollte - technisch dadurch, dass er das Handy sofort dazu zwingt, diese eindeutige Nummer herauszurücken. Im Anschluss wird die Verschlüsselung deaktiviert.

Knackzeit eine Stunde

Was 1999 nur für "große Organisationen" - deren Namen man sich dazudenken mag - möglich war, nämlich das mitgesniffte Telefonat aufzuzeichnen und es danach zu knacken, ist 2007 offenbar auch für Leute, "die das nicht als Job machen", möglich.

Man rechne mit einer Knackzeit von etwa einer Stunde für ein Telefongespräch, sagt "Steve". An Hardware sei außer dem Radioteil ein Modul mit einem FPGA-Chip nötig sowie ein Rechner mit zwei Terabyte Plattenspeicher.

Programmierbare Logik

Die letzte Hürde, die dem Entschlüsseln der Gespräche entgegensteht, muss ein Cluster aus 100 solchen FPGAs - das sind programmierbare Logikbausteine - in den nächsten Monaten bewältigen.

Eingeplant ist momentan ein ununterbrochener Rechenzyklus von etwa 60 Tagen, in denen die zum eigentlichen Crack nötigen Tabellen errechnet werden.

Das braucht nur einmal zu geschehen, denn die "A5 Busters" werden die Tabellen unter einer freien GNU-Lizenz zur Verfügung stellen.

Der Vortrag von "Steve" war Höhepunkt in einem durchwegs sehr ambitionierten Konferenzprogramm zum Thema "Security". Nach Auskunft der Veranstalter wird die DeepSec nach ihrer Premiere 2007 im nächsten Jahr wieder in Wien stattfinden.

• Die "A5 Busters"

• GSM Software Project

• GNU Radio

• DeepSec

UMTS im Augenschein

Auf die Frage, wie sicher die UMTS-Verschlüsselung gegen einen derartigen Angriff sei, antwortet der in London lebende GSM-Hacker:

"Auf den ersten Blick sieht es mit der Sicherheit zwar besser aus. Wir haben allerdings erst vor einer Woche damit begonnen, die UMTS-Netze näher in Augenschein zu nehmen."

• Die A5/1-Kryptoanalyse von Biryukov und Shamir

• FPGA - Field-programmable gate array

• Universal Software Radio Peripheral

(futurezone | Erich Moechel)