DoS-Angriff auf Telefonüberwacher
US-Sicherheitsexperten ist es erstmals gelungen, mit einfachsten Mitteln einen erfolgreichen Angriff auf eine standardisierte Schnittstelle für Telefonüberwachung durchzuführen. Durch den Versand nur weniger Datenpakete ließen die Forscher die veralteten Systeme der Mithörer ertauben. Auch in Europa dürfte ihre Methode zum Erfolg führen.
Bisher galten Telefonnetze alter Schule, die leitungsvermittelten Netze (Circuit Switched Networks), als weitestgehend lückenlos überwachbar. In allen digitalen Telefonienetzen - egal ob Festnetz oder Mobilfunk - laufen alle Daten an zentralen Speicherorten zusammen.
Der Betreiber, der "Operator", war Herr über alle Protokolle in seinem proprietären Netzwerk. Was immer auch der Kunde unternahm, folgte den vorgegebenen Regeln - so auch die Überwachung.
Sowohl in den Netzen der weltweit führenden GSM-Familie wie in den CDMA-Netzen der USA wurden von Telekomstandardisierern und Strafverfolgern ab Mitte der 90er Jahre standardisierte Schnittstellen zum Mithören für Polizei und Geheimdienste eingeführt.
Die Überwachungskanäle
Diese Schnittstellen oder "Interfaces" übermitteln auf zwei verschiedenen Kanälen sowohl "Ereignisdaten" als auch die Inhalte der Gespräche. Wer mit wem wann telefoniert hat und in welcher Mobilfunkzelle, wird über den "Call Data Channel" übermittelt. Über den "Call Content Channel" lassen sich die Gespräche im Bedarfsfall mitschneiden.
Auch wenn sich CDMA-Netze von GSM-Netzen in anderen technischen Aspekten unterscheiden, ist der Ansatz grundsätzlich derselbe. Die Überwachung funktioniert weitgehend automatisch, Polizeikräfte und "Dienste" greifen in der Regel längst über Web-Interfaces auf diese Überwachungsschnittstellen zu. Gegenmaßnahmen waren bisher nicht bekannt.
Verkehrsdatenanalyse nach Standard
Auch End-to-End-Verschlüsselung auf GSM-Handys, wie sie gerade von der deutschen Bundesregierung eingeführt wird, schützt vor Verkehrsanalysen nicht. Daraus aber resultieren die eigentlich interessanten Datensätze, die in Summe um ein Vielfaches aussagekräftiger als etwa die Inhalte der aufgezeichneten Gespräche sein können.
Mit dem Vordringen von TCP/IP vor allem in den Mobilfunknetzen, wo sich in den USA wie in Europa auch die weitaus meisten Überwachungsvorgänge abspielen, wurde diese Methode der Verkehrsdatenanalyse plötzlich angreifbar.
Das dem "J-Standard" (eigentlich: J-STD-025-B) zugrunde liegende Lawfully Authorized Electronic Surveillance Protocol (LAESP) wurde - angeblich von der NSA - zu Zeiten entworfen, als die Protokolle in den digitalen Telefonienetzen noch ausschließlich Sache des jeweiligen Betreibers waren.
64 KBit/s als Norm
Zu dieser Zeit war die Anzahl der im Netz angebotenen Dienste und damit die Anzahl der möglichen zu protokollierenden "Ereignis-" und "Signalisierungsdaten" sehr beschränkt. So gab man sich denn zwischen "Collection Function" und "Delivery Function" - dort wo die Verkehrsdaten gesammelt und dann an die Behörden weitergeleitet werden - mit einem ISDN-Kanal von 64 KBit/s zufrieden. Sowohl auf Integritätsprüfung der übertragenen Daten als auch auf Maßnahmen wie die Nummerierung der LAESP-Pakete wurde dafür verzichtet.
Ein Forscherteam der Universität von Pennsylvania rund um den Kryptologen und Sicherheitsexperten Matt Blaze untersuchte diese und andere Sicherheitslücken im US-Überwachungssstandard.
Die Lage in Europa
Neben den Standards zur Liveüberwachung - die dem "J-Standard" der USA entsprechende ETSI-Norm heißt ES 201 671 - erstellen die einschlägigen Arbeitsgruppen im ETSI gerade die Standards zu Erfassung und Abtransport der historischen Verkehrsdaten an die Polizeibehörden.
Angriff mittels UDP
Bei einem Praxistest der Forscher zeigte sich, dass LAESP ironischerweise mit einem Protokoll aus der TCP/IP-Familie erfolgreich angegriffen werden kann, das ganz ähnliche Schwächen wie LAESP aufweist.
Das User Datagram Protocol (UDP) ist darauf ausgelegt - verkürzt gesagt -, Daten schnell zu adressieren, also an den richtigen Port und damit an eine Anwendung weiterzuleiten. Einen Drei-Wege-Handshake wie bei TCP erspart man sich, dadurch ist UDP ein schnelles Protokoll mit einem relativ geringen Overhead an zusätzlichen Daten.
Das kommt Echtzeitanwendungen wie der VoIP-Telefonie zugute. Deren Sprachpakete werden über das Real-Time Transport Protocol (RTP) abgewickelt, den Transport selbst übernimmt in der Regel nicht TCP, sondern UDP.
DoS gegen Überwacher
Diesen Umstand nutzten Blaze und seine Mitarbeiter für ein Angriffsszenario, das von bestechender Einfachheit ist. Da jedes UDP-Paket aufseiten der Überwacher um ein Vielfaches mehr Daten produziert als auf Benutzerseite anfallen, ist hier ein klarer Fall von Asymmetrie gegeben, der für Denial-of-Service-Attacken (DoS) genutzt werden kann.
Anders als in Zeiten, da Kommunikationsprotokolle ausschließlich in der Domäne des Operators verwaltet und betrieben wurden, können heute auch die Benutzer eines handelsüblichen Smartphones selbst Pakete nach dem UDP-Protokoll generieren. Naturgemäß ist es dabei auch möglich, das sehr schnell hintereinander und automatisiert zu tun.
Gerade einmal 16 KBit/s im Upstream werden benötigt, um etwa 40 leere UDP-Pakete oder ebenso viele TCP-SYN-Pakete pro Sekunde zu übermitteln. Diese müssen, da UDP-Pakete für die Überwacher essenzielle Verkehrsdaten enthalten, laut dem Amerikanischen Communication Law Enforcement Act (CALEA) von 1994 mitprotokolliert werden.
DoS-Attacke auf GSM
Bei der Security-Konferenz DeepSec, die am Donnerstag in Wien beginnt, stehen ebenfalls Sicherheitsanalysen von GSM-Netzen auf der Agenda. Dieter Spaar skizziert eine "praktische DoS-Attacke auf GSM-Netze", während sich Harald Welte mit der Sicherheit der GSM-Luftschnittstelle auseinandersetzt.
Programmierte Datenverluste
Der 64-KBit/s-Kanal zwischen Datensammlung und Übergabefunktion ist damit aber vollständig ausgelastet, und zwar für alle Überwachungsvorgänge auch auf andere Ziele über denselben Switch, schreiben die Forscher der Universität Pennsylvania.
Und: Da das LAESP-Protokoll an diesem netzinternen Flaschenhals keine Integritätschecks der LAESP-Messages vorsehe, führten derartige UDP-Überflutungen unweigerlich zu Protokollierungsfehlern oder gar zum Totalverlust dieser Daten. Da die Pakete nicht nummeriert sind, lässt sich nachträglich nicht einmal feststellen, ob und wie viele Datensätze verloren gingen.
Methoden der Überflutung
In einem Kabel-TV-Netz gelang es den Wissenschaftlern, mit dem schnell wechselnden Aufbau und Abbruch von Verbindungen zu zwei verschiedenen VoIP-Providern den Überwachungskanal permanent zuzumüllen.
Für einen weiteren Praxistest nutzten die Forscher das drahtlose Breitbandnetz des Anbieters Sprint. Sogar hier, wo wegen der beschränkten Bandbreite rigoroses Netzwerkmanagement ("Traffic Shaping") die Regel ist, gelang Blaze und seinen Kollegen eine Überflutung in Viersekundenperioden. Diese Zeitspanne genügt, um unbeobachtet ein echtes Telefonat aufzubauen, das den Überwachern vollständig entgeht, wenn bei Beendigung des Gesprächs noch einmal geflutet wird.
Schlimmer noch: Da auch die Befehle zur Aktivierung der Aufzeichnung eines Telefonats im "Call Content Channel" über den "Call Data Channel" abgewickelt werden, wird mit dieser Art von Angriff auch die Freischaltung des Gesprächs für Abhörzwecke blockiert.
Parallelen in Europa
Allem Anschein nach ist diese Untersuchung weltweit die überhaupt erste öffentliche Publikation zum Thema "Sicherheitslücken in Überwachungsstandards". Die Frage stellt sich nun, ob derartige Angriffe - der hier geschilderte ist nur einer von mehreren Ansätzen im Forschungsbericht - auch in Netzen der GSM-Familie möglich sind.
Auch da sind 64 KBit/s pro Kanal der Standard an der Überwachungsschnittstelle, und auch die Vorgehensweise ähnelt jener, die in den USA von den Behörden praktiziert wird. Wie es im Detail an der ETSI-Schnittstelle aussieht und wie die anderen Angriffsmöglichkeiten strukturiert sind, erfahren Sie im nächsten Teil der Serie.
(futurezone/Erich Moechel)