 Willkommen. Ich möchte Kappa McDade willkommen heißen. Er ist ein Ex-Parte in der Sicherheit von mobilen Netzwerken und neulich hat er die Simjack-Verwundbarkeit gefunden. Das ist nicht die, wo du einfach nur deiner Telefon-Gesellschaft sagst, hey, ich habe mein Telefon verloren oder meine Sim-Karte verloren, geschickt mir eine neue, sondern es ist eine, die im Hintergrund läuft, die eine Zeit mit SMS, die euren Account für eine kurze Zeit übernimmt. Jahre oder Dekaden, der 10. hat er in diesem Feld gearbeitet und ist auch oft ein häufiger Beitrags-Weister in verschiedenen Foren zur Sicherheit. Jetzt wechseln wir in einem Augenblick zu ihm, um herauszufinden, die Überwachungs für mobile Netzwerke angreifen, nicht nur in Europa, sondern auch in vielen verschiedenen Teilen der Welt, zum Beispiel in Südamerika und versuchen die Orte, den Standort von Mobilfunknutzern mit zu verfolgen und auch das Telefon für einen bestimmten Zeitraum übernehmen. In diesem Vortrag werden wir die Daten analysieren. Vielen viel Spaß beim Vortrag und wir sehen uns dann anschließend zu den Fragen und Antworten. Guten Nachmittag alle. Willkommen zu der Präventation, Washing the Watchers, die Überwachungsströmung euch in mobilen Netzwerken verfolgen. Mein Name ist Karal Magdeit. Ich erhefe mobilen Operatoren in der ganzen Welt ihre Netzwerke zu verteidigen. Ich werde euch heute mitnehmen in die Welt von mobilen Netzwerken, mitnehmen, ich werde euch erklären, wie diese Überwachung funktioniert, was wir dagegen tun können und wie sie sich in der Zukunft erkriegen können mit vielen Beispielen. Interessanterweise ist das im Moment ein sehr aktuelles Thema. Diese Firmen sind häufig in den Nachrichten. Diese Nachrichtenartikel sind alle aus dem Dezember und sie können alle erzählen, wie mobile Überwachung funktioniert. Aber auch in den vergangenen Jahren hat es viele Schlagzeiten zu dem Thema gesehen. Aber bevor ich auch die Details dazu eingehen, sollten wir erst überlegen, wie wir überhaupt zu diesen Punkte kommen sind und warum wir diese Diskussion haben. Heute nutzt fast jedes Netzwerk in der Welt die 2G oder 3G-Kode. Und das funktioniert so, dass die System 7 oder SS7 nutzen. Das ist ja das Rückgrat, dass den Betreibern erlaubt innerhalb und außerhalb ihrer Netzwerke zu kommunizieren. Das nutzen wir auch, wenn wir zum Beispiel Roman, wenn wir Telefonen und Anrufe machen, wenn wir SMS schicken und so weiter. Und wie viele von euch wahrscheinlich wissen, gab es da in den vergangenen Jahren viele Sicherheitsprobleme. Und diese kommen alle von einer Annahme in dem Netzwerk. Und zwar, dass alle Netzwerkteinnehmer oder alle Betreiber vertrauenswürdig sind. Das wurde entwickelt in einer Zeit, als alle vermutet haben, dass nur diejenigen, die Zugang haben, sollten die auch bekommen können. Und das stellt sich heraus, dass das nicht der Fall war. Es gibt also verschiedene, die diesen Betreiber missbraucht haben. Interessant ist, dass das 4G-Netzwerk, dass diese Protokolle starten soll, die gleichen Probleme hat. Das gleiche Patron-Problem steht dort auch weiter. Man glaubt also, dass niemand etwas Böswilliges damit tun würde. Das ist also, man sagt oft, dass das Problem ist, dass der Pro-Netzwerk das Alter sei, weil das in den 70ern und 80ern entwickelt wurde. Aber tatsächlich, die Protokolle, die heutzutage entwickelt werden, haben immer noch dieselben Protokolle. Das heißt, es ist nicht so sehr die Technologie. Das Problem ist dann das Vertrauen, dass in diese Technologie damals eingebaut wurde. Wenn wir das im Kopf behalten, dann können wir uns anschauen, wer das heutzutage aussieht. Wir sehen drei Haupttypen, das sind einmal also Empfehlungen über Wachungsfirmen, dann Regierungen. Das ist ein screenshot des ukrainischen Regulators, der... Das geht um Angriffe auch von vermutlich russischen Quellen. Und heutzutage nicht überraschende Kriminelle, die also auch versucht, diese Netzwerke auszunuszen. Das gibt einen gewissen gewissen Überschmeidung zwischen diesen Firmen und Regierungen. Manche Regierungen versuchen aber auch die Technologie selber zu bauen. Und wenn sie das tun, dann wirst du sie oft die gleichen Ukraine als Eingangst-Touren, aber auch überraschende Kriminellen und überwachensfirmen gibt es gewisse Überschmeidungen. Und dann haben sie hohe Ressourcen, die bekommen sehr viel Geld für das, was sie tun und das übersetzt sich in komplexe Angriffe und relativ für komplexe oder fortgeschrittene Technologien, was werden wir am später noch einmal genauer anschauen. Angriffe und wie sie ausgeführt werden, das ist sehr interessant, denn es ist nie immer offensichtlich, was eine Attacke in diesem Netzwerkenbord ist. Das erste, was man dem Kopf behalten muss, ist, dass sie Unusriesig seit 2014 sehr stark entwickelt hat. Seitdem fragen sie also vor, wie Teilnehmende an diesen Netzwerken geschützt werden sollten. In den 2G-3-Netzwerken ist das Dokument der FS-11 und in 4G ist das Hauptdokument FS-19. Und was sie also tun, enthängerst im Welt, ist, dass sie diese Information nehmen und dann mit Firmen zusammen arbeiten, um Firewalls und Waffi und um Verteidigungsmittel zu implementieren. Und was man auch im Kopf behalten muss, ist, dass nur der Startblock ist. Das heißt, wenn sie diese Sachen implementieren, dann finden sie, dass der größte Teil des SS7-Traffics vollständig normal ist, aber ein verschwindend geringer Prozentteil, also 0,04%, ist wieder unregelmäßig oder misstrauenerweckend. Das bedeutet nicht zwangsläufig, dass es auch bösfällig ist. Wenn man sich das genauer anschaut, diese 0,04%, dann ist auch der überwiegende Teil einfach nur rauschen. Das ist einfach nur schlecht konkurriert. Der überwiegende Teil, dass man das nicht bösfällig ist. Wenn man sich das genauer anschaut und das glauben wir, dass man muss, dann ist man ein winziger Anzeiger davon, nämlich 1,3% bis 7% davon tatsächlich bösfällig ist. Das heißt, nicht alles, was ein Netzwerkbetreiber blockiert, ist zwangsläufig bösfällig. Wie davon ist einfach nur rauschen, dass sie einfach nur sicherheitshalber blockieren. Man braucht eine Menge an der Miete, um herauszufinden, was bösfällig und nicht nur unregelmäßig ist. Man kann sehr leicht Fehler machen, manchmal sieht man zum Beispiel Schlagzeilen, aber oft stellt sich dann heraus, dass das, was passiert ist, einfach nur, dass der Mensch, der das analysiert hat, einfach nur angenommen hat, dass der Teil der unregelmäßige Verkehr bösfällig ist. Das ist oft nicht der Fall. In diesem Bericht begrenzen wir uns also auch, dass wir als tatsächlich bösfällig festgestellt haben. Wer generiert diesen Verkehr an Wege? Wer generiert den Traffic? Was machen mobile Verkaufs für den Bau? Natürlich Überwachung, das wird euch nicht überraschen und das teilt sich in zwei Haupterreiche auf. 60% der Aktivität ist das Sammeln von Informationen und Unqualität. Davon ist dann das tatsächliche Tracking. Ich werde euch zeigen, wie dieses Verhältnis im echten Leben oft wieder auftaucht. Und ein Teil ihrer Zeit verwendet sie auch Testigen und dann tatsächlich das Mithören von Telefonen, aber das meiste, was sie tun, ist einfach nur das Sammeln von Informationen und der Grund, warum sie das tun, ist, um den Stand die Stadtort Tracking zu unterstützen. Im 4G-Netzwerk benutzen sie auch das Protokolle namens Diameter oder Durchschnitt und wir haben in den vergangenen Jahren eine große Zunahme davon gesehen und wir sehen auch SMS-Aktivität und das werde ich auch darauf gleich genau eingehen. Wie macht man jetzt also Standort Tracking über SSI? Wenn ihr weitere Hintergrundinformationen dafür haben wollt, dann würde ich euch zwei Präsentationen von Pasten 0 und Tobias Engel auf dem 31 C3 empfehlen. Die haben eine sehr gute Sammpassung zu dem Thema im Leben, aber auf eure Ebene gibt es zwei Methoden, eine direkte Methode, wo also ein Angreifer, ein Notenouns, HLR, schrägt der bestimmte Telefonnummer hin und da bekommt dann ein CellID zurück oder eine direkte Methode, wo man zuerst die Telefonnummer nutzt, um Hintergrundinformationen zu bekommen und diese Informationen dann einen tieferen Knoten im Netzwerk wieder anzufragen und dann bekommt man auch wieder darüber die CellID. Diese zwei Teile der Taktik sind der Standort Tracking-Teil, aber der Teil von der Methode 2, der Anfang dieser Methode 2 ist also diese Informationsamdung, wo man und dann fragt man sich, warum würde ein Angreifer das Wort tun, wenn Methode 1 direkter ist und der Grund dafür ist, dass sich Dinge ändern und die Netzbetreiber haben Verteidigungsmaßnahmen eingeführt. Sie haben zwei Arten von Kommandos, die sie benutzen können. Aus deren Perspektive gibt es Vornachteile, diese Kommandos zu nutzen und häufig machen sie einfach das, was gerade funktioniert bei dem Operator, den sie versuchen anzugreifen. Um das als Diagramm zu zeigen, hier sind zwei Stücke Informationen, wie wahrscheinlich es geblockt wird, Waagrecht unten, links nach oben, wie viel Info brauchen sie vorher und da haben wir diese drei Kommandos von eben und die sind hier auf diesem Diagramm. Also links, wenn ich viele Informationen habe, dann kann ich halt diesen PSI-Angriff machen und links unten will der Angreifer sein, weil es da wahrscheinlich er ist, dass er erfolgreich ist. Das RTI, das ist wahrscheinlich geblockt, aber dafür braucht er nicht so viel Information, während das PSI, da braucht er viel Information, aber dafür ist es unwahrscheinlich, dass er geblockt wird. Und das sind die Entscheidungen, die der Angreifer trifft. Hier sieht man, wie so ein Angriff aussieht aus 2018. Da sind die verschiedenen Schritte von diesem Angriff, das ist der erste Teil, wo die Information zu eingesammelt wird. Wir haben zwei Pakete aus England von den Channel Islands gesehen, das ist eine Standard-Informationssammel-Anfrage. Da haben wir zwei andere Pakettypen gesehen, um weitere Informationen einzusammeln von den gleichen Quellen, dann haben wir wieder drei gesehen, um Informationen einzusammeln und dann kam der eigentliche Angriff, von Kass waren diese vier Anfragen, die sind alle geblockt worden von dem Betreiber, das hat so keine Informationen rausgekommen, das war irgendwie, dass der Angreifer verzweifelt war. All das ist in einem fünf Minuten Abschmack passiert, also er hat es ziemlich eilig. Warum hat er es so eilig gehabt? Das heißt also, die haben eine Mobilfunknummer versucht zu verfolgen, die hier mit dem Franzosen war, der auf dem Schiff war, hier ist ein Video von diesem Schiff, wo ich gedacht war, dass der da drauf war, da gibt es hier unten ein Artikel, der das beschreibt, die Hintergründe zu dem Fall. Das war SS7 und jetzt kommt das 4G-Netzwerk mit dem Diameterprotokoll ähnlich, die direkte Methode, da kann also den HSS-Fragen mit einem UDR-Kommando oder es kommt eine indirekte Methode und da kann ein älteres Protokoll verwenden, wenn er will, das ist der Teil, wo er Informationen einsammelt. Und dann später benutzen Sie diese Informationen in IDR-Kommando, um die eigentliche Ortsinformation herauszufinden. Also der Vorschnitt ist dieses Informationen einsammeln, wenn man sonst die zweite Anfrage gar nicht stellen kann, mit der man die eigentliche Information abruft. Es gibt also hier eine Toolbox von Kommandos, die der Angreifer benutzen kann und die haben wieder Vor- und Nachteile, ob sie erfolgreich oder nicht angebracht werden können. Ich zeige das wieder visuell mit dem gleich grafen, hier war SS7 und jetzt kommen die Kommandos von dem Diameterprotokoll und die sind an ähnlichen Orten. Idealerweise will der UDR PLR verwenden, aber wahrscheinlich werden die geblockt von dem Betreiber. Also irgendwann muss er dann doch ein IDR verwenden, da braucht er sehr viel mehr Informationen um das erfolgreich durchzuziehen, aber da braucht man halt viele Informationen davor. Wie sieht das im echten Leben aus? Das ist ein echtes IDR-Kommando, was ich vor ein paar Wochen gesehen habe. Das war also ein Data-IDR. Wo ist er gekommen? Das ist von JerseyAirtel.com, aus dem JerseyAirtel Netzwerk. Das war ein Benutzer und ein Sealnet. In Asien. Die wollen den Ort wissen. Kein Grund, warum in den Channel Islands ein Netz dort eine Anfrage zu dieser Region stellen sollte. Aber das ist, was wir gesehen haben. Es gibt viele Quellen für solche Angriffe. Ich habe euch 3G und 4G gezeigt. Die sehen das nicht in 3G und 4G, sondern sie sehen das als ein Tool. Diese Überwachungsfirmen wollen ein Ziel. Wir haben gesehen, dass sie sieben angreifen können. Dann fängt der Mobilanbieter an, Firewalls einzubauen, um solche Sachen abzublocken. Dann fangen sie an und nutzen die 4G-Kommandos. Und irgendwann wird der Mobilbetreiber auch das blocken. An der Zukunft würde man darüber nachdenken, ob die 5G umsteigen. Und irgendwann wird der Operator auch das blocken. Aber die Angreife sind nur am Ziel interessiert. Das ist jetzt nicht, wie sie sich verhalten, die wollen jeden vor. Und in diesem Fall ist Folgendes passiert. Sie haben im Netz die Quellen gesucht und haben das genutzt. Und jetzt kommt der nächste Angriff, wenn dann der Simjacker. Das ist jetzt um die Firewalls drum rumgelaufen. Jetzt mal einen Schritt zurücktreten. Was ist denn das jetzt, Simjacker? Das ist eine Verletzlichkeit, die wir letztes Jahr berichtet haben. Der Angriff nutzt ein Fehler in der Simbibliothek. Und der Saatbrowser hat also keine SMS-Tier bekommen, hat authentisiert oder validiert. Das heißt, es ist so ein Ding gekommen, dass es nicht überprüft worden ist, einfach ausgeführt worden. Wir haben einen 40-seitigen technischen Bericht darüber verfasst. Ich empfehle euch das zu lesen. Das ist auf mehr als 100 Millionen Simkarten dieses Problem. Und das wird in drei Ländern aktiv in Lateinamerika ausgebeutet. In der Mobilindustrie haben wir also dieses CBD berichtet. Also die Betreiber, die hatten eigentlich Zeit, sich dagegen zu wehren. Das ist massiv schwieriger. Und das ist das erste Mal, dass eine Spyware in der SMS geschickt wurde. So was ist vorher noch nicht beobachtet worden im echten Leben. Das war auch eine massive Erweiterung der Fähigkeiten. Eine besondere Firma hat damit eine ganze Menge mehr Ergebnisse erzielt für ihre Kunden. Jetzt ist mal hier, wie das funktioniert. Um das zu machen, brauchen sie kein SS7. Sie brauchen nichts und kein teures Equipment. Sie brauchen nur ein Mobilgerät. Sie schicken eine SMS mit den Kommandos an das Ziel. Und das wird weitergeschickt bis zu dem Zielgerät. Und das Gerät gibt es der Simkarte. Und dann macht die Simkarte den Rest. Die Simkarte sagt dem Mobilgerät, sagt, hier gib mir mal, wo wir gerade sind. Das heißt also, die Simkarte lässt sich alle möglichen Sachen geben von einem Telefon. Und dann am Schluss bittet die Simkarte das Gerät eine SMS zurückzuschicken zu dem Angreifer. Und das funktioniert ganz gut. Also es wird SS7 benutzt, aber man muss keine teure, kein teures Equipment haben und Firewalls kommen an der Stelle auch nicht ins Spiel. Das ist, wie die das machen. Diese Sequenz von Anfang bis Ende ist also alles die Phase der Standortüberwachung. Wenn ihr mehr Informationen dazu haben, möchtet, empfehle ich das Paper von Simjakker.com. Das ist die Methode 1 von Endgerät zu Endgerät. Aber manchmal nüchtern die Firmen SS7 oder weitere Methoden, um auch der Maßnahmen zu vermeiden. Aber so wurde dieser Angreifer durchgeführt. Die Werkzeugkiste der Befehle, die die Angreifer tatsächlich benutzen, was für die Angreifer hervorragend ist, ist, dass sie überhaupt keinen SS7 zu nehmen brauchen. Die brauchen nur ein Telefonnummer, die Telefonnummer des Opfer ist. Und der Nachteil ist, dass die Teilnehmer am Ende das Opfer, die SCT-Border mit MSL-Objera-Simkarte haben. Das ist nicht immer der Fall. Sie haben nicht jede Simkarte in der Welt, die diese Schwachstelle in der Bibliothek in dieser Schwachstelle hat. Und nicht immer, aber oft haben Mobilfunkbetreiber abgeholt. Das heißt, die Bibliothek an sich war verwundbar, aber manche Betreiber haben Maßnahmen ergriffen, um das zu stoppen. Und der Angreifer ist das also ein Nachteil. Nicht jedes Gerät auf der ganzen Welt hatte diese Bibliothek. Wenn ich meine Diagramme wieder hervornehme, wenn ich sage, dass SS7 so verteilt ist, dann ist die Diameter so verteilt, wie man die SIM-Tracker-Attacke viralisieren kann, ist dann im unteren Linken konfrontiert. Denn die Wahrscheinlichkeit des Prozesses wird ziemlich gering. Und das braucht also gut, dass die viele Rechappen und man braucht auch nur eine Telefonnummer. Das heißt, die Menge der Informationen, die man braucht, war sehr gering. Das heißt, die Zielnummer, das ist die Annahme, hatte eine SIM-Karte mit dem Sandbrowser. Wenn dieser Sandbrowser der Zielsandbrowser nicht fahnden war, dann bestimmt auch diese Annahme natürlich. Wir erfahren uns jetzt genauer an, wie eine bestimmte Angriff funktioniert. Die meisten SIM-Tracker, die wir gesehen haben, wurden von einem Gerät zu einem anderen Gerät geschickt. Das heißt, ein Angreifen würde also sie nicht angreifen. Und sobald es in deinem Telefon wurde, würde es das wieder zurück schicken. Aber manchmal haben wir es versucht über eine SS7-Adresse. Und das ist der Fall hier. Aber das ist ein Eindruck, den wir vor ein paar Monaten gesehen haben. Die SMS wurde an eine Mexican-Tracker-Telefonnummer geschickt. Sie kommt von einer mexikanischen Telefonnummer. Das heißt, es ist von einem Gerät zu einem Gerät. Und sie enthält diesen tatsächlichen Sack-Payload. Das ist eine Tracker-Bestimmte-Information an die Batterie. Hier hervorgoben habe ist die Standort-Information, aber auch außer dem IMEI-Information, was also das Gerät an sich identifizieren kann. Und sobald eine das entfangen wurde, ist also ein so Krokatenierungs- und Zusammenfügelbefehl. Und dann wird es mit dem SMS-Sendenbefehl zurückgeschickt. Das heißt, das Telefon schickt eine SMS zurück mit all den Informationen, die gesammelt und zusammengeführt wurden. Und all das wird geschickt an eine SS7-Adresse, die auch wieder in der Guntley-Adresse ist. Und wenn ihr oft hast, dann schlägt ihr fest, dass es die SS7-Adresse ist, wie in dem Angriff, den ich vorhin geschaut habe. Und diese Informationen sind für uns oft nützlich, um verschiedene Angriffe korreliert zu können. Das sieht komplex aus. Und es ist auf jeden Fall ein hot-geschrittener Angriff, als wir bisher gesehen haben. Also, Pia, die haben sich die Arbeit in dieser Art von Angriffen gemacht. Aber was es dadurch tut, ist, dass es die Angriffsliege für die Angreifer sehr stark erweitert. Denn, wie gesagt, zu brauchen keinen SS7-Zufang. Und in diesem Zusammenfall, als wir das reverse-engineered haben, dann muss mir das ernüchternd feststellen, dass ich selber die Möglichkeit hatte, potenziell hunderte Millionen Menschen allein mit Text-Nachrichten zu fachbeugen. Und das war vor die Netzwerke und Treibergegenmaßnahmen. Also, die eine sehr mächtige, dann haben wir aufs Weile. Wenn wir jetzt einen Schutz nehmen und die generellen Fragen stellen, ich habe euch dieses SIM-Jacker-Attacker angezeigt, aber wie hängt das mit SS7 zusammen? Das sind Daten von 2019, 2020. Und das sind spezifische Netzwerkbetreiber zwischen Achtungsteigen. Und all das sind Angriffsliege blockiert worden. Aber der größte, die Intimierheit dieser Angriffsliege und ungefähr zwei Drittel benutzen SS7 und ein Drittel benutzen ungefähr diese Art von SIM-Jacker-Techniken. Und unsere Forschung zeigt, dass nur eine Überwachungstürmer SIM-Jacker benutzt. Aber der Grund warum das Volumen so hoch ist, ist, dass wir ein oder zwei Netzwerkbetreiber haben, wo das Volumen dieser Angriffsliege sehr hoch ist. Und das erzählt natürlich unsere Statistiken. Wenn ich euch die Statistiken von einem bestimmten Betreibern, den Betreiber A, zeige ich in der überwiegenden Mehrzahl der Angriffsliege, die wir hier SIM-Jacker gesehen haben und nur 15 Prozent bei diesen Netzwerkbetreiber haben, SS7 genutzt. Und ob wir es blockieren oder nicht, aber das ist eine deutlich geringere oder heutzutage, eine sehr, eine deutlich geringere Anzahl SIM-Jacker-Attacken, als es in der Vergangenheit gab. Also, das sind Dinge geworden, seit wir, seit wir angekommen haben, das zu dedikieren. Und bevor das Volumen der Fall war, war der, der Anteil vier höher, es war enorm. Also viel, viel demaliger als heutzutage. Anrufe bei Diameter, das ist früher auch schon vielleicht, aber wir sehen nur eine sehr geringe Anzahl in den letzten sechs Monaten. Vor den sechs letzten sechs Monaten, aber in den vergangenen sechs Monaten, hat sich das deutlich verstärkt. Wenn wir jetzt zurück zu SIM-Jacker versus SS7 gehen, dann möchte ich euch zeigen, warum wir diese Unterschiede zwischen verschiedenen Betreibern geben. Und das ist bei den verschiedenen Enddruckser-Bedienenden. Das ist vielleicht am besten mit SIM-Grab zu zeigen. Also wir wissen alle, wir kennen alle, wegen Covid, die raten pro 100.000. Also jetzt erhebe ich euch die Anzahl der Location Tracking Versuche pro 100.000 Netzwerken per NEMA. Also kann man die Karten sehr gut vergleichen, weil manche Betreiber natürlich deutlich größer sind als andere. Und deswegen würden absolute Zahlen via die Statistik Deutsch verzerren. Aber die Vertreter hier ist recht gleichmäßig. Und SS7 geht also normalerweise zwischen 150 und 50 pro 100.000 Teilnehmern. Und das sieht also recht normal aus und ganz normal verteilt oder recht gleichmäßig verteilt. Aber wenn man jetzt SIM-Jacker inzufügt, dann wird es spannend, denn bei einem bestimmten Netzwerkbetreiber ist die Anzahl der beobachteten SIM-Jacker-Tangriffe riesig. Und wenn wir dann versuchen, diese Anleitung zu blockieren, dann greift mir das System ein. Und das hat das System oft sehr leicht vergelegt. Und bevor wir diese Blockierung, bevor wir es blockiert haben, dass das die Menge der SIM-Jacker-Taktivitäten war. Wir haben weniger Beweise dafür. Wir glauben aber trotzdem, dass es bei einem anderen Betreiber noch höher war. Das ist bis zu 2000 pro 100.000 Netzwerkteilnehmer. Das heißt, wir können sehen, dass die Nutzung, die tatsächlich Nutzung viel höher war. Und wir glauben, dass das Waren liegt. Zumindest von unserer Beobachtung her ist SS7 über das 3G und 4G und ein 203G-Protokoll nicht wirklich für Großfläche überwachen genutzt. Aber SIM-Jacker wurde auf jeden Fall für Großfläche überwachen genutzt. Diese Technologie wurde entwickelt, um Großfläche-Netzwerkteilnehmer zu überwachen. Und das ist einer der Hauptgründe dafür, warum wir SIM-Jacker gefunden haben oder warum dieser Punkt so wichtig war, weil es neue Use-Cases gegeben hat. Eine Sache, die wir auch über die Zeit sehen, die vielleicht für manche interessant ist, das sind die Anteile von SS7-Tracking-Befehlen über die Zeit 2016. Partie, das ist die blaue Farbe hier. Das haben wir gesagt, ist für die Work-Uns-Filmen die einfachste, aber es ist auch die einfachste für Netzwerkbetreibungen zu blockieren. Das hat seit 2016 deutlich abgenommen. PSL, also so bei der Mittelweg, das war einen Zeit sehr populär, hat so eine Kette der Attacke ausgemacht, aber das ist jetzt sehr gering. PSI ist der schwierigste für die Angreifer und ist aber der Einzige, der heutzutage noch für die Angreifer erfolgt. Wahrscheinlich hat es sich sehr stabil gehalten. Was vielleicht noch interessant ist, dass ihr zwei neue Farben hier seht, das ganz oben ist ATI und das in der Mitte ist PSI, das ist der gleiche Befehl, aber was passiert ist, dass die Angreifer versuchen, diese Befehle zu maskieren und ein neues Leben zu gehen. Sie nutzen eine neue Schwachstellung, das Global Off-Code. Wenn ihr mehr Informationen haben wollt, dann empfehle ich diese Präsentation von Positives Technologies auf der Hack-in-the-Box-Konferenz 2019, aber versuchen, die Detektion zu umgehen. Wenn Sie das verabwenden, dann haben Sie diese Befehle wieder zum Leben erweckt und können versuchen, eine Abwehrmaßnahmen zu umgehen. Was wir oft gefragt werden, ist, wie bekommen diese Überwachungsfirmen eigentlich Zugang zu den Netzwerken und dass es manchmal gebrockt hat von der Frage, wie bekomme ich Zugang dazu, also die Person, die fragt. Es gibt verschiedene Methoden und vieles davon abhängt von unserer Schärfe, aber diese drei sind die Hörgänzungen. Das eine ist, da kommt ihr vielleicht selber drauf, dass sie dafür bezahlen. Das ist manchmal sehr neblich und schwer nachzuerfolgen, aber sie machen dann, sie bauen dann eine Frontfirma und die verkaufen dann den Zugang an andere Firmen weiter. Das kann dann über viele Ebenen sein, dass sie also, dass eine Firma der anderen Zugang weiter verkauft. Das funktioniert immer noch nicht dabei, aber am besten Punkt sind, dass z.B. dort verdient die Gemüse sehr schwarz sind, also im Gegenden, wenn dann die wenig Gesetze haben oder wo es Firmen gibt, die nicht zu genau drauf schauen, was diese Angregte also tun. Und manchmal fangen sie auch an, zuerst für die Lieblingsleistung zu benutzen und später dann als zweiter ist, dass sie den großen Bruder benutzen, denn oft, das habe ich gesagt, sind die Kunden tatsächliche Regierung. Das heißt, sie werden in einem sogenannten Capital Operator benutzt oder werden tatsächlich direkt am Betreiber vorbeigeschleust. Man sagt ihnen einfach nur, dass sie dieses System bestandieren sollen und sie können dann nichts mehr dazu sagen oder oft haben sie auch direkt im Zugang zu dem Backdown. Das ist seltener als die Zahl wirklich weit, aber es passiert tatsächlich. Und schließlich etwas, was heute selten ist, sind alte Verbindungen, die also von alten Betreibern kommen, die aber noch nicht aus dem Netzwerk entfernt werden. Aber heutzutage muss natürlich für jedes Paket bezahlt werden und es ist sehr selten, dass du Zugang dazu bekommst, ohne zu bezahlen. Aber in der Vergangenheit ist das passiert. Es gibt auch noch weitere seltene Methoden, aber die möchte ich hier nicht, darauf möchte ich hier nicht im Beteil eingehen. Und eine Sache, die noch interessant ist, ist, dass der Zugang nicht sehr richtig ist, aber es sind normalerweise zwischen 2 und 10 Cent pro Einheit, aber je mehr die mehr Zugang eine Firma hat, desto wertvoller es ist, denn es bedeutet, wenn jemand blockiert wird oder gefunden wird, dann gibt es immer noch Backup-Metronen. Das heißt, es ist im Interesse dieser Firma in Zugriff so weit wie möglich verteilt zu haben. Das sind ein paar komische Business Cases, wenn man sich die anschaut. Das ist der Graf von einer SS7-Firma und hier die Preise, die sie im Web anbieten. Dass das Gegenteil von dem, was du erwarten würdest, es gibt hier keine Skaleneffekte. Je mehr man versucht, desto teurer wird es. Das ist irgendwie komisch, aber wenn man drüber nachdenkt, was sie tun, dann versteht man es. Je mehr ich versuche zu verfolgen, desto mehr ziehe ich Aufmerksamkeit auf mich und fall vielleicht auf. Das heißt so, wenn die ein größeres Risiko eingehen, überfunden zu werden, dann müssen wir halt auch mehr dafür verlangen. Und deswegen zahlst du schon mehr. Das ist das Gegenteil von dem, was man erwarten würde. So sind diese Überwachungsfirmen heute. Aber wie sehen die jetzt mit 5G aus? Natürlich werden auch die angegriffen werden. Neuer heißt nicht immer, dass es besser ist. Die lösen die 5G-Netzwerke lösen auf der Luft schon schnell viele Probleme. Aber die haben neue Risiken und neue potentielle Probleme. Erstmal ist es komplexer. Und alles, was komplexer ist, hat mehr Komplex. Hier ist die Komplexität der beiden Netzwerke. Auch das ist um vielfaches mehr Komplex. Und wie viele Typen von Nachrichten und wie viele Elemente eine Nachricht haben kann. Und wenn man versucht sich dagegen zu verteidigen, wenn man versucht diese Netzwerke zu verteidigen, dann muss man viele mehr Möglichkeiten in Betracht sehen. Es gibt ganz viele bewegliche Teile. Das heißt also, diese Angreifer werden viele neue Möglichkeiten suchen, um unser Anzug zu achten. Immerhin wird jetzt hier Sicherheit von Anfang an mit Bedacht. Und macht es einfacher von Anfang an, Sicherheit reinzutun. Aber der Unterschied zwischen IT-Sicherheit und Mobile-Sicherheit ist, dass wir wissen, die kommen vom SS7-Netzwerk, von bekannten Innenquellen. Ein Betreiber kann schlecht ein anderes Land ausschalten. Das hat man im Prinzip in die Nachrichten reinschauen, um herauszufinden, was denn gerade passiert. Hier ist noch ein Artikel, der beschreibt, warum 5G nicht die ganzen Probleme lösen wird. Also die GSMA-Gruppe hat zwar neue Empfehlungen ausgesprochen, aber die werden nicht alles lösen. Hier sind Commandos von 5G, ich werde das jetzt nicht so tief reingehen. Ich kriege also viele neue Möglichkeiten, Telelocation-Informationen auszuholen. Es wird komplex und es wird viel Arbeit bedeuten, diese Angriffe herauszufinden, zu identifizieren und dann zu blocken. So, hier ist 2G, 3G, 4G, 5G und Simjacker. So, hier ist 5G, die sind ein bisschen komplizierter. Das ist meine Einschätzung. Also dieser NGMLC-PL ist wohl sehr interessant, wenn ich das richtig einschätze und wofür die das verwenden werden. Ich habe hier eine Menge Informationen abgedeckt. Aber hier sind die Dinge, von denen ich gerne hätte, dass er sie mit nach Hause nimmt. Diese Überwachungsfirmen, die beuten diese Signalisierung heute aus und die passen ihrer Techniken an. Die meisten Operator haben SS7 mittlerweile zugemacht und die Überwachungsfirmen sind dabei, auf andere Dinge umzusteigen. Der nächste Punkt ist, dass die 5G-Netzwerke vorne rein sicher sind. Die sind nicht unüberwindbar. Und die Überwachungsfirmen werden Möglichkeiten haben und die werden versuchen, es zu benutzen. Die haben das Ziel, Informationen über ihre Targets herauszufinden. Die Mobilbetreiber suchen nach Angriffen und blocken die Angriffe. Häufig kann man nicht einfach nur einen Knopf drucken, sondern man muss es kontinuierlich betreuen. Also diese Überwachungsfirmen haben eine ganze Menge Geld und haben eine ganze Menge Ressourcen und die probieren alles möglich aus. Und warum machen wir diese Analyse? Das, was man nicht sehen kann, kann man nicht stoppen. Und deswegen beobachten wir diese Überwachungsfirmen und es ist natürlich für uns auch interessant zu sehen, was die tun, weil genauer man das versteht, desto besser kann man auch was dagegen tun. Ja, ich habe also jetzt ein bisschen alle Oberfläche gekratzt. Vielen Dank, dass ihr hier zugehört habt. Jetzt kommen Fragen. Wir kommen für euch. Das Beste ist, was ein tolles Gespräch ist. Vielen Dank. Das ist eine gute Frage. Das ist eine gute Frage. Die auch gerne. Hier könnte so eine Liste wirklich gebrauchen. Aber es ist ein bisschen ernsthafter zu werden. Manche Rundlisten haben uns recherchiert und Listen zusammengestellt. Aber es gibt keine endgültige Liste. Denn die NSO aus Zirke haben auf die Station gehört. Das ist also, die Zirke ist eine Abteilung von NSO aus Zirke und so weiter. Aber es gibt keine endgültige Liste, obwohl Journalisten geschaut haben. Was sie oft bedenken, bis bei diesen Journalisten, ist, dass viele komponieren. Das heißt, es ist schwierig zu sagen, was ist die eine Firma, was ist die andere Firma, den oft haben sie gewisse beziehungsweise einander. Forbes hatte letztens einen guten Artikel dazu. Und weitere Automationen gibt es, die wahrscheinlich so eine Liste so nachkommen, wie wir nun kommen können. Das ist ein Film, die historische Geo-Automationen über Telefonmann verkaufen. Diese überwachen sich selber. Ich glaube, das ist nicht wirklich ihr Geschäft. Sie erfüllen an der Anfrage der Verkauf von historischen Informationen ist nicht so wirklich das, was sie versuchen zu tun. Wir haben alle gelesen und gehört von diesen Filmen, die Informationen über Teilnehmer sammeln oder es vielleicht von Apps sammeln. Aber ich glaube, das ist nicht das Geschäft von dieser Firma, sondern die versuchen wirklich, einfach nur Anfragen zu erhöhen. Wie lange sind diese Informationen nützlich? Wie lange sind diese Informationen nützlich? Wie lange nutzen sie den Angriff an? Das ist eine gute Frage. Was sie in dieser Phase versuchen ist, die IMSI herauszuschämen und dann wissen sie, dass sie ungefähr in welcher Gegend der Netzlektarnehmer sich aufhält. Das kann sich ändern, aber nicht zu viel. Das hat eine Lebenszeit von ein paar Stunden oder sogar Tagen zumindest ein Teil der Informationen. Ein Teil könnte auch noch länger überleben. Aber diese Phase ist nur genutzt für das Verkäfnis, sondern sie manchmal wollen sie auch noch wissen, ob die Nummer tatsächlich existiert. Denn sie manchmal wissen, die Verkaufsfirmen nur ein Teil der Telefonnummer. Das heißt, vielleicht wissen sie die ersten 8 Telefonnummern, und dann versuchen sie also und werden sie alle möglichen Telefonnummern aus und zu herausfinden, ob eine Telefonnummer existiert und dafür nutzen sie diese Information und Samungsphase. Und natürlich haben diese Informationen eine lange Lebensdauer. Oder wollen sie denn nur mein Kontroll oder Informationskriegsführung durchzuführen? Ja, die meisten der größte Teil ihrer Aktivitäten ist bestimmter Überwachung. Das ist ein Verkleidung. Das ist ein das, womit sie ihr Butterburg verdienen. Aber ein Teil ihrer Zeit verwenden sie auch andere Aktivitäten. Zum Beispiel mitschneiden von Anrufen oder Textnachrichten. Aber das ist nicht die Hauptziehe, an der sie tun. Also man könnte das theoretisch machen, wenn man Anrufe mitschneidet. Aber das scheint nicht ihre Hauptziehe zu sein. Das Hauptziehe ist wirklich die Standortüberwachung. Und ich glaube, auch das ist das, was sie am folglichsten wissen wollen. Und wenn sie dann weitere Informationen haben wollen, ob SS7 oder Diameter, sondern sie haben vielleicht andere Methoden, um Informationen von einem Gerät zu bekommen. Aber die Hauptziehe ist also location-tracking. Und sie glauben, dass ein der besseren Regel ist, weil es unabhängig vom Betreiber ist. Dass die Standortüberwachung angeht, kann SimTracker auch benutzt werden, um verloren oder geklaute der SIM-Karten zu finden, die ja heutzutage auch zum Beispiel in Autos oder Frage dann zu finden sind. Und gibt es eine Einschränkung? SimTracker ist abhängig davon, dass eine bestimmte Bibliothek auf der SIM-Karte ist. Das ist der Fall bei den meisten Netzwerken, die sie erwähnt. In Teilen ist ein Auto in Südamerika auf Europa und Asien. Ist das der Fall? Es ist nicht eine CellID, die man anfangen kann. Man kann auch versuchen, eine differenzielle CellID zu bekommen. Das gibt einen genauen Standort. Aber das Problem mit SimTracker ist, dass du beweisen kannst, oder dein Auto ist das zu versuchen zu verfolgen. Du könntest ja genauso gut versuchen, dem an anderen zu verfolgen. Das weiß nicht, was sie langfristig versuchen mit den Bibliotheken zu tun, aber ich glaube, oft haben sie das so eingeschränkt, dass niemand diese Art von Nachrichten mehr schicken kann. Es wäre eine Option, aber dann dort als Dienstleistung ist nichts, was ich gerne kommerziell verkauft sehen würde. Kann ich überprüfen, ob meine SimCard dafür anfällig ist? Ja, die guten Menschen bei SRA Labs haben eine Anwendung herausgegeben namens SimCaster, sie ist COSMOTE und Open Source, sie kannst du runterladen und das mit deiner SimCard ausprobieren und das wird dir sagen, was für Anwendung der SimCard ist und was die Sicherheits- Einstellungen sind. Und dann kannst du sehen, ob wenn dieser Nachrichten empfangen würde, ob der Angriff tatsächlich funktionieren würde. Ja, ich bin zurück. Ist es möglich mit der SimCard auch Schüssel von der SimCard zu extra hin? Ja, wir kommen zurück. Nein, das ist nicht möglich mit der Methode, denn das ist nicht, also hast du nicht wirklich Zugang zu der SimCard einen Zugang zu einer Untammlinge der STK-Befehle und das geht zurück auf eine ältere Schwachstelle in SimCard die nicht direkt damit zu tun hat. Bei 2013 hat ein Sicherheits- von der Zugang zu der Schüssel der SimCard und wenn du diesen Schüssel hast, kannst du alle STK-Befehle auf alle STK-Befehle zugreifen. Aber das Interessante was in der SimCard-Attacke ist, ist, dass du eben diese Schüssel gar nicht erst brauchst um die Untammlinge der interessanten Befehle zu bekommen. Aber in den Rahmen unserer Käs haben wir teilweise die CP-Teilweise aus dem Sandkasten des Sackgrasers ausgeworfen. Wir konnten es sehr unwahrscheinlich, dass du Zugang bekommst, und manche kroporitären SimCard- ist es vielleicht möglich aus dem Sandkasten auszuwecken. So, let's see if we go from here. Was Data is, or which data are? Welche Daten sind die Crane in deiner Gergame? Ja, das ist wirklich eine Erfahrung gewachsen. Die Y-Achse ist die Menge der Information, die man braucht, und die X-Achse zeigt, wie viele es ist, die Sandkasten zu buckieren. Es ist eine recht kurve Einschätzung. Und erlaubt uns aber die Möglichkeiten, die Angreifer haben, wenn man sieht eine Entwicklung bei der Zeit, die Angreifer versuchen, so sehr wie möglich das einfach lustig zu machen. Wenn sie eine Studie zu einer Sekunde haben, macht das das auch deutlich einfacher. Und das ist natürlich die Achse und Angreifung, die sie gerne durchführen würde. Die anderen Angreifungen machen sie nur, weil sie müssen, weil sie unter Druck stehen. Und wenn sie zurückgehen zu dieser Global-Off-Code-Variante und nicht alle Mitzweck-Betreiber haben die gleiche Geschwindigkeit oder die gleiche Abfahrt, was sie machen, und das erklärt diese regionalen Unterschiede. Es wurde schon mal vorgeschlagen, dass es leicht wäre, im Internet unsicherer excessiven Endpunkte zu finden. Ist das keine Vorstellung mehr? Kannst du es heutzutage deutlich seltener, als es meinbar war? Ich würde sagen, niemals nie. Es gibt es wahrscheinlich schon. Aber von heute haben wir zu lange zurückgekommen. Es gibt viele Verkeierendrückkeiten und die Profis sind einfach dafür zu bezahlen, denn es ist ein präsentes System. Alle, die diese Abfrontverkämpfe versuchen, dass wir jetzt verdanken. Ja, ein Pazze und ein repoläster Weg die diese Überwachungsverkämpfe bekommen, ist einfach dafür zu zahlen. Das machen sie eben oft durch verschiedene Firmengeflechte. Dann arbeiten sie zusammen mit anderen, mit einem Zeitwagen, die Teamarbeiten und dann haben wir Angriffe durchgeführt. Es ist heutzutage offensichtlich zu finden. Ist es möglich die Angriffe zu reduzieren, sondern auch die tatsächlichen Firmen wieder hinterstehen? Mit viel Arbeit. Wir arbeiten zusammen mit unseren Kunden und die Frage ist, ob die weiß, was der Intention dahinter ist und wer die Fette in dieser Angriffe ist. Das ist nicht einfach, das ist eine Menge Arbeit. Aber das ist ganz offensichtlich. Wir schauen an die Typen, die wir haben, die Kostümer, wir versuchen, wir versuchen, wir versuchen, wir versuchen, wir versuchen, wir versuchen, wir versuchen, wir versuchen, wir versuchen, wir versuchen, wir versuchen, wir versuchen, wir versuchen, wir versuchen, wir versuchen, dass wieder das Versuch gemacht wird. Höchstst eure Angriffe wenn ihr, wenn ihr, wenn sie verfolgt sind, die überwacht wurden, nicht direkt einwertet, was natürlich unsere Kunden, also die Misstegbetreiber wissen und was von denen sie ihre Kunden, manchmal auch die Dickwellen, und manchmal bekommt man eine Antwort, manchmal nicht, wenn man diese, die Angriffswellen fragt. Und manche Betreiber wissen auch, was da passiert. Und das kann für interessante Kamerationen führen, aber was die Leute, die überwacht wurden, angeht, dann würden wir also unseren Kunden, die Misstegbetreiber Bescheid geben und misstigen dann an ihnen, ob sie das, das weitergeben an ihre Kunden. Und häufig sind sie dann natürlich schon abgewert worden. Das heißt, es wurden keine Informationen weiter gegeben, weil die Entscheidungen, was sie dann weiter damit machen, da obligen. Kann man sehr weit irgendetwas tun, um sich vor dieser Bewachung zu schützen, könnte ich zum Beispiel mein altes Telefon verwenden, anstatt eines Smartphones, oder gibt es irgendwas anderes, was ihr tun könnt, außer der App für hier, wo drücken das SIM-Karte, die du genannt hast, dann auf der Seite, nobieren Netzwerke, eigentlich nicht. Du kannst natürlich sagen, dass du keine SMS oder Telefonanrufe benutzen möchtest, aber das erinnert auch nicht. Das ist ein der frustrierenden Teil dieser Arbeit. Das Beste, was du tun könntest, ist, dass du dein Netzwerkbetreiber fragst, ob sie an Schutzmaßnahmen ergriffen haben und ob sie diese Angriffe ein bisschen confusing suchen und es wird aber verwirrend, wenn Netzwerkbetreiber entscheiden, ob sie ihre Netzwerke erschützen wollen, das machen sie in der Welt, dann schützen sie zumindest ihre eigenen Netzwerkteilnehmer. Aber schwieriger wird es, wenn es um Roming geht, zum Beispiel, könntest du mit einem deutschen Anschluss in Amerika oder Russland romen und dann ein bisschen die Netzwerkbetreiber entscheiden, ob sie diese Netzwerkteilnehmer auch zu möchten, weil sie nicht folglich Informationen haben. Manches sieht dann oft nach legitimem Schaffing aus. Es ist also eine Grauzzone, in der man sieht, zum Beispiel berichtet, dass jemand über SS7 angehten würde. Nicht alle Netzwerkbetreiber haben alle Informationen, die sie brauchen, um Netzwerkteilnehmer im Roming zu schützen. Und das könnte tatsächlich Probleme versuchen, wenn wir hier also etwas durchgeben, das aussieht wie ein Angriff. Die Hauptsache ist also, dein Netzwerkbetreiber zu fragen, was sie tun und welche Schutzmaßnahmen sie ergriffen haben. Und zeigt sich dieser SMS-Austausch auf der monatlichen Rechnung? Also kann ich sehen anhand der Rechnung, dass diese SMS hin- und hergegangen sind? In der SIM-Jacker-Ansicht, die wenigsten schauen heute noch auf ihre Telefonrechnung. Aber da habe ich eine Variante, die ich euch gezeigt habe, in der Wireshark, wo die über diesen SS7-Knoten in dem Dokumentar in SEMN geschickt wurde, aber weil es nicht erfolgreich geschickt wurde, wird es auf keinen Fall auf deine Rechnung tauchen. Und die meisten Netzwerke gelangen kein Geld mehr für das für empfangene Textnachrichten. In manchen Ländern, so wie in Mexiko, könnte das auftauchen. Aber ich glaube, die meisten haben Flatrates und die werden das auf keinen Fall sehen. Das ist jetzt die letzte Frage. Ich sehe keine weiteren Fragen. Vielen Dank für den Signalangel, dass er uns die Fragen gebracht hat. Vielen Dank noch mal an alle von der Videooperation. Vielen Dank für diesen hochinteressanten Urtrag. Ich habe eine sehr interessante Stunde hier verlebt. Vielen Dank noch mal von mir, Kathar. Ich hoffe, dass ich euch wiedersehen werde. Und es kommt wahrscheinlich noch mehr. Danke schön.