Wednesday, June 8, 2011

Lauschangriff mit einer selbstgebauten GSM-Basisstation

Neu haben wir eine Lauschangriff-Demo mit einer selbstgebauten GSM-Basisstation aufgebaut, um damit zu zeigen, wie einfach es ist sich als Mobilfunkprovider zu betätigen und die Gespräche und SMS mitzuhören, welche über diese Basisstation laufen.

Dass sich jedermann als Mobilfunkprovider betätigen kann, ist möglich aufgrund einer Sicherheitslücke im GSM-Standard von 1989. Als dieser Standard festgelegt wurde, ging man davon aus, (i) dass es in jedem Land genau eine staatliche Telecom-Gesellschaft als Mobilfunkprovider gibt und (ii) dass sich nicht jedermann für ein paar Franken seine eigene Basisstation bauen kann. Daher wurde damals kein Identitätsnachweis (Authentisierung) der Basisstation gegenüber dem Handy verlangt. Sobald sich also eine Basisstation als eine Station von Providern wie Swisscom, Sunrise oder Orange ausgibt, verbindet sich das Handy zu dieser Basisstation ohne deren Zugehörigkeit zum Provider überprüfen zu können. 

Diese Eigenschaft des Standards von 1989 findet bis heute Juni 2011 in allen Schweizer Mobilfunknetzen ihre Anwendung. Dies obwohl es seit 2006 eine Erweiterung des GSM-Standards gibt, die das Erzwingen eines Identitätsnachweis des Netzes gegenüber dem Handy ermöglicht. Diese Erweiterung des Standards ist soweit wir wissen auf allen neueren Handys implementiert. Die Regulationsbehörde, welche den Mobilfunkbetrieb in der Schweiz überwacht, schreibt den Mobilfunk-Providern die Verwendung dieser Erweiterung aber nicht vor. Es liegt daher im Ermessen der Provider sich bezüglich Abhörsicherheit von den Mitbewerbern abzuheben und diesen Wettbewerbsvorteil ihren Kunden zu kommunizieren. Die dazu notwendigen Umstellungen sind allerdings sehr aufwendig und mit hohen Kosten verbunden

Bis die Provider umstellen, kann sich jeder, der eine  GSM-Basisstation bauen kann, als Mobilfunkprovider betätigen und Gespräche und SMS mithören

Um zu demonstrieren wie einfach ein Lauschangriff machbar ist, haben wir mit einem Software-defined Radio und einem Laptop eine GSM-Basistationstation gebaut. Dazu haben wir frei verfügbare Software verwendet. Die Materialkosten belaufen sich auf weniger als 2‘000 CHF.

Unsere selbstgebaute GSM-Basisstation mit der Handygespräche und SMS mitgehört werden können
 
Für die Vorführung der Lauschangriff-Demo mit dieser Basisstation wird eine Testlizenz für einen Funkversuch vom Bundesamt für Telekommunikation (BAKOM) benötigt. In einer solchen Lizenz werden Mobilfunkfrequenzen zugeteilt, welche von den Providern Swisscom, Sunrise und Orange nicht verwendet werden. Daher ist es unter Einhaltung der Lizenzbedingungen nicht möglich zu demonstrieren, wie Handys nahtlos aus den Mobilfunknetzen dieser Betreiber übernommen werden, ohne dass der Handybenutzer dies merkt. Was wir zeigen können ist wie von einem Testhandy ausgehende Telefongespräche und SMS auf eines unser Testphones mitgehört werden, nachdem auf dem Testhandy manuell der Netzanbieter auf das dedizierte Netz unserer Basisstation gestellt wurde.    

Falls Sie über ein gewisses Budget verfügen und sich für Krypto-Phones interessieren, welche nicht einfach abgehört werden können, helfen wir Ihnen gerne weiter. 

Darüber hinaus empfehlen wir Interessierten diesen GSM-Security Workshop.

Der Beitrag zu dieser Demo in der Sendung „Einstein“ des Schweizer Fernsehens SF-TV wird voraussichtlich am Donnerstag, 9. Juni 2011 um 21:00 gesendet.

Mein besonderer Dank an dieser Stelle gilt den Studenten Quentin Cosenday und Lucas Mathez, welche mit ihrer Projektarbeit die aller erste Version dieser Demo aufgebaut haben, sowie Peter Raemy, Heinz Kipfer, Isabel Hubacher und Vadim Uvin, welche mich in wichtigen Momenten unterstützt haben.
Posted by at 0 comments

Saturday, June 4, 2011

SMS mithören auf allen Netzen

Zwischenzeitlich haben wir die Awareness-Demo „SMS mithören“ so erweitert, dass wir damit SMS auf allen Schweizer GSM-900 Netzen mithören können.

Die im Dezember 2010 in den Medien zitierte Demo arbeitet unter der Voraussetzung, dass die Übertragung einer SMS von der Basisstation zu einem Handy auf einer einzigen Frequenz geschieht und diese Frequenz während der Übertragung nicht gewechselt wird. Eine solche Frequenz-Konfiguration von Basisstationen haben wir vor allem auf den Mobilfunknetzen von Sunrise und Orange angetroffen.

Auf den Basisstationen von Swisscom wird oft Frequenz Hopping über bis zu 32 verschiedene Frequenzen gemacht. Dies insbesondere dann, wenn die Basisstationen gut ausgelastet sind. Ein solches Hopping ermöglicht die Übertragung von SMS zu allen Handys in gleichem Masse auf geeignete und weniger geeignete Frequenzen zu verteilen.

Um auch bei solchen Basisstationen die Übertragung von SMS zu unseren Testhandys mithören zu können, haben wir die Demo so erweitert, dass zunächst alle Mobilfunksignale auf allen verwendbaren Frequenzen aufgezeichnet werden. Danach werden die benötigten Daten extrahiert und die zum Testhandy gesandte SMS entschlüsselt. Bei der Aufzeichnung der Funksignale kommt ein Software-defined Radio zum Einsatz, welches alle Mobilfunksignale auf einer Bandbreite von 25MHz aufzeichnen kann. Diese Bandbreite reicht über den gesamten Swisscom-Abschnitt im GSM-900 Band.


Das für die Demo eingesetzte Software-defined Radio kann alle Mobilfunksignale von Basisstationen auf dem gesamten Swisscom Abschnitt des GSM-900 Bands aufzeichnen 
 
Die Mitschnitte von SMS Übertragungen zu unseren Testhandys auf den Netzen von Swisscom, Sunrise, Orange (CH), T-Mobile (D) und Vodafone (D) erwiesen sich als sehr aufschlussreich. Die Unterschiede zwischen den Providern bezüglich Sicherheitsvorkehrungen sind deutlich sichtbar, z.B. wenn es um das Identifizieren von Handys mittels Abhörequipment geht.
 
Die Demo benötigt zur Vorführung keine BAKOM-Lizenz, da sie rein auf passivem Mithören des Mobilfunkverkehrs zum Testhandy beruht.
 
Mein besonderer Dank an dieser Stelle gilt Vadim Uvin und Isabel Hubacher, deren Master- und Bachelorarbeit die Grundlage für die Erweiterung der Awareness-Demo gelegt haben.
Posted by at 0 comments

Monday, November 15, 2010

SMS mithören – Aufbau einer Awareness Demo

Seit einiger Zeit sind wir mit dem Projekt „SMS mithören – Aufbau einer Awareness-Demo“ daran, eine Demo aufzubauen, die einem breiten Publikum zeigt, wie einfach es ist über GSM übertragene SMS mitzuhören.
Ausgangssituation: Die GSM-Funksignale von der Basisstation zum Handy können einfach mit einem Software-Radio mitgehört werden

Grundsätzlich funktioniert die Awareness-Demo ähnlich wie das Mithören auf einem WirelessLAN. In beiden Fällen werden Funksignale mitgehört und decodiert. Dann wird die Verschlüsselung entschlüsselt, um Einsicht in die übertragene Information zu bekommen. 

Mit dieser Demo soll jedermann klar gemacht werden, dass SMS über GSM ein unsicherer Informationskanal ist, der sich nicht zur Übertragung vertraulicher Informationen wie Zugangscodes und Passwörtern eignet.

Es ist uns bekannt, dass die Polizei zum Zweck der Strafverfolgung über verschiedene Geräte zum Mithören von GSM-Mobilfunkverkehr verfügt und damit auch SMS mithören kann. Diese Geräte sind sehr teuer und nicht für jedermann frei verfügbar. Darüber hinaus ist bekannt, dass GSM-Funksignale mit Software-Radios mitgehört werden können [1] und dass die A5/1 Verschlüsselung von GSM einfach entschlüsselt werden kann [2]. 

Doch soweit wir wissen, gibt es bisher keinerlei dedizierte Awareness-Demo die zeigt, dass es mit einem relativ kleinen finanziellen Budget von weniger als 2‘500 CHF und frei verfügbarer Hard- und Software möglich ist, SMS über GSM an Testhandys auf Schweizer Mobilfunknetzen mitzuhören, zu decodieren und zu entschlüsseln.

Daher haben wir uns entschlossen eine solche Demo aufzubauen. Dazu haben wir folgende Hardware verwendet:
  • Ein Software-Radio zum Mithören der GSM-Funksignale, Preis ca. 890 CHF
  • Ein Laptop zum Decodieren dieser Signale, Preis ca. 500 CHF
  • Ein leistungsfähiger Personal Computer mit zwei 1 Terabyte grossen Festplatten, um die A5/1 Verschlüsselung von GSM zu entschlüsseln, Preis ca. 760 CHF
  • Zwei Handys und SIM-Karten zum Testen, Preis ca. 120 CHF
Die Hardware unserer Awareness-Demo: Links das Software-Radio mit Antenne zum Empfang der GSM-Funksignale, in der Mitte der Laptop mit dem die Funksignale decodiert werden, rechts der Personal Computer mit dem A5/1 entschlüsselt wird.
Auf dieser Hardware haben wir folgende Software installiert:
  • Die Open Source Software Airprobe [1] zum Decodieren der GSM-Funksignale auf dem Laptop
  • Die Open Source Software Kraken [2] zum Entschlüsseln von A5/1 auf dem Personal Computer 
  • Den Network Protocol Analyzer Wireshark [3] zum Darstellen der mitgehörten Information auf dem Laptop
Seit mehreren Wochen läuft diese Awareness-Demo bei uns im Labor.

Abhängig  von der Konfiguration der jeweiligen Mobilfunkzelle, auf die sich unsere Testhandys verbinden, können damit SMS mitgehört werden. In 25 von 37 Zellen war dies der Fall. Zurzeit sind wir daran die Decodierungssoftware so zu erweitern, dass unsere Awareness-Demo mit allen in der Umgebung der Berner Fachhochschule angetroffenen Netzwerk-Konfigurationen arbeiten kann. Dies insbesondere auch  für den Fall, dass die Mobilfunkzelle mit Frequency Hopping die Übertragung auf verschiedene Frequenzen verteilt. Wir werden demnächst auf diesem Blog darüber berichten.

Falls wir die Konfiguration der Mobilfunkzelle kennen, z.B. von einem kurzen vorgängigen Test, beträgt die Zeit zum Entschlüsseln einer SMS mit unserer Awareness-Demo weniger als fünf Minuten. Mit einem sehr viel grösseren finanziellen Budget kann diese Zeit mit leistungsfähigen Grafikkarten und Solid-State Laufwerken auf weniger als eine Minute reduziert werden. 

Die Awareness-Demo wird am Mittwoch, 1. Dezember 2010 an einem Business Lunch der Information Security Society Switzerland (ISSS) in Bern vorgestellt.

Weiter möchten wir auf den Awareness-Workshop Achtung, Vorsicht, GSM von NCSLab.ch hinweisen.

Mein besonderer Dank an dieser Stelle gilt Vadim Uvin, der mit seiner Semester- und Masterarbeit den Aufbau dieser Awareness-Demo ermöglicht hat.

Referenzen
[1] Welcome to Airprobe
[2] New 'Kraken' GSM-cracking software is released, July 21
[3] Wireshark – the world’s foremost network protocol analyzer, www.wireshark.org
Posted by at 0 comments
Labels:

Saturday, November 13, 2010

Wozu dieser Blog

Dieser Blog dient dazu, ein breites Publikum über die aktuellen Arbeiten des GSM und Wireless Lab der Berner Fachhhochschule Technik und Informatik BFH-TI in Biel/Bienne zu informieren. Das GSM und Wireless Lab wird von Prof. Dr. Ulrich Fiedler geleitet. 

Unser Interesse liegt in der angewandten Forschung und im Engineering im Zusammenhang mit den Themen Sicherheit und Performance von drahtlosen Kommunikationssystemen und Mobilfunknetzen.

Aktuell arbeiten wir an folgenden Projekten:
  • SMS mithören - Aufbau einer Awareness-Demo
  • GSM Kontrollverkehr statistisch analysieren
  • OpenBTS - Erfahrungen mit einer eigenen GSM Basisstation sammeln
Aktuelle Informationen zu diesen Projekten erscheinen jeweils auf blog.gsmlab.ch

Dieser Blog gibt die persönliche Meinung von Prof. Dr. Ulrich Fiedler wieder und ist keine offizielle Information der BFH-TI.

Den beteiligten Studenten Vadim Uvin, Jérôme Jolidon, Isabel Hubacher, Quentin Cosenday und Lucas Mathez sei an dieser Stelle herzlich gedankt.



Posted by at 0 comments
Labels:
Subscribe to: Posts (Atom)