From f190f1bd1a0e88ced7464a9e80267c8b4e63668b Mon Sep 17 00:00:00 2001 From: erdgeist Date: Tue, 29 Dec 2009 19:43:56 +0000 Subject: committing page revision 1 --- updates/2009/gsm-nicht-mehr-sicher.md | 68 +++++++++++++++++++++++++++++++++++ 1 file changed, 68 insertions(+) create mode 100644 updates/2009/gsm-nicht-mehr-sicher.md (limited to 'updates') diff --git a/updates/2009/gsm-nicht-mehr-sicher.md b/updates/2009/gsm-nicht-mehr-sicher.md new file mode 100644 index 00000000..af581604 --- /dev/null +++ b/updates/2009/gsm-nicht-mehr-sicher.md @@ -0,0 +1,68 @@ +title: Chaos Computer Club: Gespräche über das Mobiltelefon nicht mehr sicher +date: 2009-12-29 19:22:00 +updated: 2009-12-29 19:43:56 +author: erdgeist +tags: update, pressemitteilung + +Nach den auf dem 26. Chaos Communication Congress (26C3) vorgestellten Erkenntnissen hält es der Chaos Computer Club (CCC) nicht mehr für verantwortbar, sensitive Informationen über das Mobiltelefon im GSM-Netz als Gespräch oder Kurznachricht auszutauschen. + + + +Der zwanzig Jahre alte Verschlüsselungsalgorithmus, der von über 200 +Mobilnetzen weltweit eingesetzt und von der Industrievereinigung der +GSM-Mobilfunkanbieter (GSMA) vertreten wird, galt schon kurz nach seiner +Einführung als theoretisch gebrochen. Auf dem 26C3 [wurde nun der erste +praktikable Angriff +vorgestellt](http://events.ccc.de/congress/2009/Fahrplan/events/3654.en.html "GSM: SRSLY?"), +der mit Amateurmitteln durchführbar ist und keinen erheblichen +finanziellen oder technischen Aufwand mehr bedeutet. + +Heutzutage werden Mobiltelefone neben dem bloßen Telefonieren auch +zunehmend für neue sicherheitskritische Anwendungen wie +Banktransaktionen benutzt. So ist es ohne weiteres möglich, Waren zu +bezahlen, sensible Informationen und Zutrittscodes abzurufen oder +Überweisungsaufträge zu versenden – einzig geschützt durch diesen +schwachen Verschlüsselungsstandard. + +Die Geschichte des verwendeten GSM-Verschlüsselungsalgorithmus "A5/1" +war von Anfang an von dem Wunsch geprägt, den Polizeien und +Geheimdiensten mit entsprechenden Mitteln den Zugriff auf die +Gesprächsdaten nicht zu verwehren und gute Verschlüsselung möglichst von +Zivilisten und damals noch "dem Russen" fernzuhalten. + +"*Mit dem gezeigten Angriff rücken die bisher nur mit teuren +kommerziellen Lösungen möglichen Angriffe auf wirtschaftliche und +private Geheimnisse in einen für alle Neugierigen erschwinglichen +Bereich*", erklärt Karsten Nohl, Mitglied des CCC und +Sicherheitsforscher, der den Angriff auf dem 26C3 zeigte. Nunmehr seien +sie "*von ausreichend motivierten privaten Angreifern zu stemmen, die +bereit sind, die Grenzen des Gesetzes zu übertreten*", kommentierte er +weiter. Das aktuell laufende Projekt habe keine tatsächlichen GSM-Daten +verwendet, um rechtliche Konflikte zu vermeiden. Doch alles, was ein +Krimineller nun noch zum Abhören und Entschlüsseln braucht, sind ein +handelsüblicher PC und eine im Internet erhältliche Empfängerhardware +für die entsprechenden Frequenzbereiche, ähnlich wie eine zum Empfang +von Digitalfernsehen notwendige DVBT-Box. + +Der Chaos Computer Club fordert die GSMA auf, endlich die längst +überfälligen Schritte einzuleiten, den gebrochenen Standard durch einen +zeitgemäßeren auszutauschen. Pläne dazu liegen seit Jahren in den +Schubladen der Mobilfunkanbieter. "*Da der Leidensdruck offensichtlich +noch nicht groß genug war, sahen sich die Betreiber bisher nicht bereit, +den Verschlüsselungsstandard zu ersetzen. Die zum Teil horrenden Preise, +die von den Herstellern der Mobilfunkstationen für die – in der +restlichen IT-Welt normalerweise kostenlosen – Sicherheitsupdates +verlangt werden, wollten sie nicht zahlen*", kommentierte Nohl die +Versäumnisse in der Mobiltelefoniebranche. Mit einem solchen Update +könnte auf einen sichereren – in Frankreich bereits getesteten – +Algorithmus umgeschwenkt werden, bis in fünf Jahren die ohnehin geplante +Umstellung auf das Netz der dritten Generation mit einem neuen +kryptographischen Verfahren mehr Sicherheit bietet. Erfahrungsgemäß kann +dann für rund fünf bis zehn Jahre ausreichender Schutz gegen Angriffe +angenommen werden. + +Die GSMA gerät durch die Veröffentlichung des konkreten Angriffes unter +Druck, endlich den veralteten Algorithmus zu ersetzen. "*Die +Verschlüsselung bei den betroffenen Mobiltelefonen ist nicht mal mehr +auf dem Niveau, daß sie Sicherheit gegen den voyeuristischen Nachbarn +bietet*", kommentiert CCC-Sprecher Dirk Engling. -- cgit v1.2.3