Chaos Computer Club e.V. - Presseerklärung
Berlin, Freitag 24.04.1998 23:61 Uhr
Chaos Computer Club bestätigt gravierendes GSM-Sicherheitsloch - auch deutscher Netzbetreiber betroffen
Durch eine Schwachstelle in den technischen Standard-Protokollen des GSM-Netzes ist es möglich, Chipkarten von Teilnehmern unberechtigt zu kopieren und auf Kosten ahnungsloser Kunden zu telefonieren.
Die vor einiger Zeit durch die amerikanische Smartcard Developers Association bekanntgewordene Schwachstelle im GSM-Netz konnte jetzt vom Chaos Computer Club erstmalig im praktischen Versuch mit D2-Chipkarten bestätigt werden.
"Ein Großteil der weltweiten GSM-Netze kann nach dieser Entdeckung als unsicher gelten. Auch in GSM-Netzen ist es möglich, auf Kosten fremder Kunden zu telefonieren.", sagte CCC-Sprecher Frank Rieger.
Die Sicherheit der GSM-Netze beruhte bisher darauf, daß die zugrundeliegenden mathematischen Verfahren geheimgehalten wurden. Deshalb konnten diese Verfahren von der Fachöffentlichkeit nicht auf Schwachstellen untersucht werden. Auch die Abhörsicherheit des GSM-Netzes wurde offenbar auf Drängen von Sicherheitsbehörden und Geheimdiensten bewußt eingeschränkt.
Nachdem die Algorithmen A3 und A8 durch drei amerikanische Forscher veröffentlicht wurden, konnten die darin enthaltenen gravierenden Schwachstellen entdeckt werden.
Der in der Chipkarte des Teilnehmers und der Datenbank des Netzbetreibers gespeicherte geheime Schlüssel kann aus der Chipkarte quasi ausgelesen werden.
Der mit PC und Chipkartenleser in Erfahrung gebrachte geheime Schlüssel läßt sich dazu verwenden, eine GSM-Chipkarte zu simulieren und Telefonate auf Kosten des Karteninhabers zu führen. Ein haushaltsüblicher PC ist für diese Aufgabe bereits überdimensioniert.
Krimineller Mißbrauch von GSM-Karten ist beispielsweise durch untreue Händler denkbar, die so in der Lage wären, die Daten von GSM-Karten vor dem Verkauf zu kopieren und mit den Codes zu handeln. Der normale Kunde kann den Mißbrauch erst bemerken, wenn er seine Rechnung kontrolliert.
"Der Beweiswert von Verbindungsdaten, Bewegungsprofilen und Rechnungen ist dermaßen gesunken, daß eine Umkehr der Beweislast sinnvoll erscheint.", faßte CCC-Sprecher Andy Müller-Maguhn das Problem zusammen.
Chaos Realitäts Dienst
http://www.ccc.de/CRD/CRD240498.html