Die Sicherheitsforscherin Dr. Silke Holtmanns hat am Donnerstag auf dem 34. Chaos Communication Congress in Leipzig Angriffsmöglichkeiten auf das Diameter-Protokoll erläutert, das für die Authentifizierung, Autorisierung und Abrechnung vor allem in 4G- und LTE-Mobilfunknetzen eingesetzt wird. Diameter werde von den Netzwerkbetreiber immer unter dem Aspekt angepriesen, dass damit unter Sicherheits- und Datenschutzgesichtspunkten alles besser werde als beim Vorgänger Signalling System 7 (SS7) für 3G-Netzwerke, berichtete die Mitarbeiterin der Nokia Bell Labs. Dies konnte sie so aber nicht bestätigen.

Silke Holtmanns, Sicherheitsforscherin bei den Nokia Bell Labs, nahm sich auf dem 34C3 das Diameter-Protokoll zur Authentisierung und Abrechnung in Mobilfunknetzen vor: Es hat manche Schwächen vom Vorgänger Signalling System 7 geerbt.

Diameter sei im Hinblick auf die LTE-Sicherheit "anders" aufgestellt als SS7, drückte sich Holtmanns vorsichtiger aus. Das Protokoll arbeite prinzipiell ähnlich wie sein Vorgänger und erlaube es dem Nutzer eines Mobiltelefon etwa auch, sich ohne Verbindungsverlust von einer Funkzelle zur nächsten zu bewegen (Roaming). Die Logik der Übergabe sei dabei vergleichbar zu der bei SS7. Einige der vielfach belegten Schwächen des früheren Signalisierungssystems seien so in den Nachfolger quasi "überführt" worden.

Sicherheitsexperten wie Karsten Nohl oder Tobias Engel hatten auf früheren Hackerkonferenzen gezeigt, dass SS7 für Attacken offen steht wie ein Scheunentor. Da SS7 keine Authentifizierungsfunktionen kennt, kann jeder mit Zugriff auf das Netz damit anstellen, was er will. So lassen sich etwa Gespräche und SMS umleiten, entschlüsseln und abhören. Grundsätzliche Sicherheitsvorteile von 3G-Netzen wie UMTS gegenüber dem besonders leicht knackbaren GSM werden damit wieder aufgehoben.



SS7 immer noch in Gebrauch



Diameter setzt zwar auf verlässliche Transport-Protokolle wie TCP oder SCTP sowie eine Verschlüsselung des Datenverkehrs im Internet mit IPsec oder TLS. Aber gewisse Stufen von Abwärtskompatibilität blieben bestehen, erläuterte Holtmanns. Es gebe in einem Mobilfunknetz schließlich nach wie vor nicht nur IP-Verkehre. SS7 bleibe so für das Zusammenschalten von Netzwerken nach wie vor relevant und nicht alle Betreiber weltweit hätten Experten an der Hand, um dessen Einsatz abzusichern. Es bestehe zudem kein Schutz gegen das Outsourcing grundlegender Betriebsfunktionen an teils zweifelhafte Dienstleister, um Kosten zu sparen.

Seit 2015 seien verschiedene Attacken auch auf Diameter publik geworden, führte die Expertin aus. Dazu gehörten Szenarien, in denen Angreifer Standorte von Mobilfunknutzern verfolgten (Location Tracking) oder den Einsatz von SS7 durch "Downgrading Attacks" erzwangen, was durch spezielle Übersetzungsboxen zwischen den beiden Protokollen erleichtert werde. Auch Denial-of-Service-Angriffe und Betrug blieben bei dem LTE-Advanced-Authentisierungsprotokoll vergleichsweise einfach, das Abfangen von SMS mit Passwörtern oder Banking-TANs sowieso, da Kurzmitteilungen generell nicht auf Sicherheit ausgerichtet seien. Auch Abfragen der Mobilfunk-Teilnehmerkennung IMSI, die Mobilfunkbetreiber als eindeutiges Erkennungsmerkmal verwenden, seien bereits dokumentiert worden.

Diameter-Schwächen im Labor ausgenutzt

Holtmanns und einige ihrer Kollegen stellten sich nun die Frage, inwieweit auf Basis dieser Vorarbeiten 4G-Mobilfunk abgehört werden könne. Im Mobilfunkverband GSMA sei passend dazu gerade ein Angriff zum Mitschneiden von GPRS-Verkehr diskutiert worden, den die Sicherheitsfirma Adaptive Mobile beobachtet habe. Diese und Holtmanns' Team bei Nokia Bell Labs hätten gleichzeitig an einem Fall gearbeitet, in dem es um das Ändern von Kundenprofilen gegangen sei. Es habe nahegelegen, beide Attacken für das Überwachung von Kommunikationsinhalten zu kombinieren. Dazu habe man die Details und mögliche Hindernisse in einem Testnetzwerk anhand der Konfigurationen aus einer realen Umgebung herausgearbeitet.

Tatsächlich gelang das Vorhaben laut der Forscherin, wobei den Sicherheitsprüfern mehrere Schwachstellen rund um Diameter-Implementierungen zu Hilfe kamen. So gebe es im Einklang mit der Spezifikation mehrere Schnittstellen wie S6a, Sh oder S6c, über die etwa verschlüsselt Login- und andere Nutzerdaten von einem Netzwerk zum anderen übertragen würden. Diese kämen vor allem beim Roaming zum Einsatz, wiesen aber häufig Verwundbarkeiten in der Konfiguration auf. Der Preisdruck im Mobilfunk führe auch dazu, dass interner und externer Verkehr etwa zur Auflösung von DNS-Anfragen über ein- und denselben Netzknoten geleitet oder Server, die auf ein Land ausgerichtet seien, in ganz unterschiedlichen Regionen weltweit genutzt würden.

Für den konkreten Angriff sei es zunächst nötig, sich Daten wie die IMSI eines Abhörziels zu beschaffen, erläuterte Holtmanns. Dafür eigne sich etwa die Sh-Schnittstelle, da man darüber mit einer Nutzeranfrage alle benötigten Informationen erhalte und über ein Datenanalyseprogramm wie Wireshark auslesen könne. Alternativ sei etwa eine Standortabfrage über S6a für diesen Zweck nutzbar. Das Netzwerk sei in diesem Fall so nett, das gewünschte Kundenprofil ohne Authentisierung zurückzusenden.

Über weitere Anfragen in diesem Stil lasse sich der Zugangspunkt zwischen dem Mobilfunknetz und dem Internet setzen und etwa auf GPRS ändern oder das Nutzerprofil updaten, skizzierte die Wissenschaftlerin die weiteren Schritte. Letztlich gelänge es dem Angreifer durch Ausprobieren, einen vorgetäuschten Zugangspunkt zu kontrollieren. Das Protokoll helfe dabei, weil es gegebenenfalls von einem Vertipper ausgehe und diesen automatisch korrigiere. Für die Kommunikationsüberwachung seien so Tür und Tor geöffnet.

Vortragsankündigung machte Provider nervös

"Alle Netzwerke werden ständig angegriffen, aber nicht alle sind in gleicher Weise verwundbar", resümierte Holtmanns. Die meisten Übeltäter zielten nach wie vor auf SS7. Diameter mache ihnen das Leben zwar etwas schwerer, aber viele Mobilfunkbetreiber erleichterten es ihnen wiederum. Dabei seien Schutzmechanismen durchaus vorhanden: Die Sh-Schnittstelle könne etwa nur für interne Nutzungen freigegeben werden, der Verkehr könnte an den Rändern der Netzwerke und durch Roaming-Provider gefiltert oder Whitelists eingespielt werden. Auch spezielle Firewalls für das Signalisierungssystem, das Aufzeichnen von Aktivitäten im Netzwerk oder Penetrationstests sowie der stärkere Austausch über Sicherheitslücken seien sehr hilfreich.



Allein die Ankündigung des Vortrags hat einige Betreiber laut der Referentin zu hektischen Anrufen bei ihren Roaming-Anbietern veranlasst, ob diese derartige Vorkehrungen bereits getroffen hätten. Vor allem Geheimdienste wie die NSA und das Militär sähen den Mobilfunk aber generell nach wie vor als "All you can eat"-Datenbüffet, sodass es schwer sei, verbesserte technische Sicherheitsbedingungen auch praktisch in voller Breite umzusetzen. (ea)