 So, it is my great pleasure to be able to announce our next speaker for those of you who have been to figure out how to use the English translation of this English Talks over SS7. Ich bin Ploy und mit mir dabei sind noch Rumstack und Zebalis. Also SS7, Orten verfolgen manipulieren. Bitte heißt jetzt herzlich willkommen Tobias Engel. Danke. Also Andreas hat es schon gesagt, ich werde über Sicherheitsprobleme mit SS7 sprechen. Wieso sollte euch das kümmern? Jeder von euch hat ein Telefon in der Trasche und das nutzt indirekt SS7. Ich werde über darüber reden, wie euer Bewegung verfolgt werden können, weltweit das andere euer Telefonanrufe abhören können und nur allein wenn sie euer Telefonnummer wissen. Also zuerst Karsten Ohl hatte mich kontaktiert, er hat den Talk nach mir und wir bemerken, dass unsere beiden Firmen ähnliche Untersuchungen gemacht haben. So, wir haben uns also das Thema aufgeteilt. Wir haben aus dem gesagt, dass zwei Russen, Saigé Pusanov und Dimitri Kusanov bereits zu diesem Thema ein Talk gehalten haben und viele ähnliche Probleme aufgezeigt haben. Also es scheint, es ist das Jahr der SS7 Untersuchung. Wie ist dieser Talk entstanden? Früher in diesem Jahr hat mich ein Journalist kontaktiert und hat mir gesagt, dass es diverse Firmen gibt da draußen. Die Person Tracking verkaufen. Also wie ihr hier seht, den Titel habe ich mir nicht selbst ausgedacht. Das ist der Untertitel einer Broschüre von Valiant über das Skylock Produkt. Es stellt sich heraus, dass Firmen diese Funktionen verkaufen. Wie ihr hier seht, ist es sehr detailliert. Die Ortsinformationen, die man erhalten hat und alles, was dazu nötig ist, ist, dass man die Telefonnummer hat. Ich hatte bereits ähnliche Arbeit zu diesem Thema gemacht und ich wollte herausfinden, was es hiermit auf sich hat. Also schauen wir uns zuerst an, was dieses Signalisierungssystem 7 ist. Es ist eine Protokollansammlung, die von Telekom Firmen verwendet werden, um verschiedene Switches miteinander kommunizieren zu lassen. Es wurde in 80er Jahren standardisiert und damals waren es alles Festnetztelefone, die einfach an der Wand angeschlossen waren. Es gab keine private Kommunikation und es gab nur sehr wenige große Betreiber. Dann kamen mobile Telefone und neue Protokolle hinzugefügt. Jetzt konnte man sein Telefon überall hin mitnehmen in andere Länder. Roaming musste eingeführt werden. Das MRP, mobile Applikation, Teil, sind all diese Dinge, die Mobiltelefone machen können, die Festnetztelefone nicht können. Noch später wurde das Camel Applikation Part hinzugefügt, wie es erlaubt, Betreibern eigene Dienste breitzustellen. Und für keine dieser Dienste gibt es Authentifizierung. Also bei anderen Betreibern kann man einfach diese Dienste auch nutzen, man muss sich nicht authentifizieren. Zugriff auf SS7 zu erhalten wird immer einfacher. Man kann es kaufen von Betreibern. Wenn ein SMS-Dienstleistung anbieten will, dann benötigt man SS7-Zugriff. Wie ein Internet-Zugriff, aber ohne IP-Adresse. Man benötigt zwar noch Adressen, sogenannte Global Titles, und man benötigt Roaming-Vereinbarungen, die diese Local Titles abdecken. Diverse Betreiber verkaufen ihre Global Titles weiter, die dann unter ihren Roaming-Aggreements gültig sind. Viele Betreiber lassen ihr SS7-Hardware ungeschützt. Femtocells sind Erweiterung des Kernnetzers, und die sind hackbar. Ein kurzer Überblick über den Protokollstack. Ein Level 1, der physische Netzwerkebene. Inzwischen ist das oft über IP-Netzze vermittelt oder geroutet. Aber dieser Talk konzentriert sich auf SS7-Zugriff und den Teil für Mobiltelefone, der speziell dafür gemacht ist. Ein Überblick über das Netzwerk. Das ist das Base-Session-Subsystem, das es jetzt nicht unter Fokus ist. Unter Fokus ist das zentrale Netzwerk der Betreiber. Die ganzen roten Liegen, die wir hier sehen, sind SS7-Verbindungen. Also das ist Verbindung zwischen Geräten des Betreibern oder innerhalb von Betreibern oder zwischen Betreibern. Das ist SS7. Eines der wichtigsten Elemente ist das Home Location Register, eine Datenbank, die alle Informationen über die Nutzerinnen enthält. Telefonnummern ist das Prepaid oder mit Vertrag, Anrufe, Nachrichten, all diese Dinge. Und das Home Location Register kennt auch, weiß auch, welches Mobile Switching Center gerade am nächsten zu dem Telefon eines Nutzers, einer Nutzerin ist. Das Visitor Location Register bekommt eine Kopie dieses Register, sobald man das Telefon anschaltet. Zum Beispiel für viele Netzwerke ist es so, zum Beispiel die meisten Netzwerke haben ein Mobile Switching Center für eine Stadt wie Hamburg. Das ist also das, wo ihr jetzt alle eingeloggt seid. Und das hat also eine Kopie eurer Daten aus dem Home Location Register bekommen. Das Visitor Location Register und das Mobile Switching Center sind also die Elemente, die die Anrufe vermitteln. Es gibt immer mehrere Orten, aber sie sind im Grunde identisch und haben deswegen nur einen Symbol in der Grafik. Das Adressieren funktioniert über den Global Title. Die sehen ungefähr so aus wie internationale Telefonnummern, sehr ähnlich. Man kann die Vorwahlen der Länder erkennen. Die meisten von euch, falls Sie jemals mit einem Global Title in Verbindung gekommen sind, für SMSC damals, als ihr immer noch SMSC per Hand eingeben musstet, dann habt ihr den Global Title für das SMSC, für das SMS Center eingegeben. Das ist die Verbindung, die ihr angeben müsstet, um Textnachrichten schicken zu können. Also so viel als Überblick und nun jetzt zum Verfolgen auf dem Cell Level, was also angeboten wird. Das Netzwerk muss natürlich wissen, mit welcher Du verbunden bist, welche die nächste Base Station ist, denn du möchtest Nachrichten, Anrufe empfangen, das ist also notwendig. Also wenn jemand die Base Station, jede Base Station hat eine globaleinheitliche ID und jemand, der das herausfinden kann, kann dann diese ID benutzen, um die geographische Position der Base Station in einer von mehreren Datenbanken auf dem Internet herauszufinden. Google hat zum Beispiel eine sehr große Cell ID-Datenbank. Und natürlich besonders in Städten, wo diese Mobilmuffungmasten sehr nah beieinander sind, ist diese Identifizierung der Base Station auch in einem ziemlich guter Hinweis darauf, wo du selbst dich aufhältst, ziemlich genauer Daten darüber. Die kommerziellen Betreiber sagen nun, dass sie etwa 70 Prozent der Mobilfunknutzer weltweit abdecken. Das heißt, man muss also nicht unbedingt nah an ihnen sein. Du musst nur die Telefonnummer kennen, um zu wissen, wo sich diese Leute sind. Es gibt auch nicht technische Grenzen. Also hier ist zum Beispiel eine Broschüre, die sagt, israelische Nutzer können in Israel nicht lokalisiert werden. Das ist eine US-israelische Firma, also Skylog Infiltrator. Das ist ein Produktnamen, die hören sich schon mal sehr nett an. Okay, wie sieht das nun auf dem Protokoll-Level aus? Zu links, der Angreifer schickt einen Map Anytime Interrogation Request. Das ist genau für diesen Zweck, um herauszufinden, welche Cell ID gerade für einen Mobilnutzer, einen Nutzer in Zugordnung ist. Das wird nun malerweise für ein Netzwerk, interne Zwecke verwendet. Also wenn man eine Home Zone zum Beispiel hat, eine Festnetznummer für das Mobiltelefon, dann funktioniert nur auf bestimmten Base Stations. Aber sie kann eben auch von Angreifern genutzt werden, um die Cell ID herauszufinden. Also Anytime Interrogation geht in die Home-Datenbank des Nutzers. Und sagt, lasst mir doch bitte die Cell ID-Ness wissen, wo sich dieser Nutzer gerade auffällt. Und außerdem kann man dort die EMEI, also die Gerätennummer des Mobiltelefons herausfinden. Was nicht bekannt ist, ist die Cell ID, nur das Switching Center, das diesen Nutzerin gerade bedient. Also dann geht es also an das Switching Center. Der Mobilnutzer wird nun angerufen, so dass das Zentrum sicher ist, dass die Daten wirklich aktuell sind, dass die Cell-Information stimmt und diese Information wird dann anschließend zurückgeliefert an den Angreifer. Es ist also ein Netzwerk Internal Service, aber wie ihr sehen könnt, ist ein Wireshark, ein Protokoll von mitgeschnüffeltem Netzverkehr eines Requests, den wir gesendet haben. Und es funktioniert immer noch für viele Netzwerke von außen. Ihr seht die Cell ID ganz am Ende. Aber viele Netzwerke, besonders in Europa, viele Netzwerke, die meisten, zumindest in Deutschland, blockieren Anytime-Integration inzwischen. Aber wir haben von vorher gesehen, das Home Location Register kennt nicht einmal die Cell ID. Wir müssen also nur herausfinden, welche Adresse das Switching Center hat und können das Switching Center dann direkt anfragen. Und wir müssen herausfinden, die EMSI, also die International Mobile Subscriber Identifier des Nutzers, das ist was intern, verwendet wird nicht Telefonnummern, sondern die EMSI. Und zum Glück gibt es einen Request dafür. Wir können einfach, dass die Home Datenbank, die Home Location Register fragen, bitte, gibt mir doch bitte die EMSI, die Subscriber Identification und das Switching Center. Das ist normalerweise für SMS-Routing wichtig, wenn man zwischen Netzwerken, Textnachrichten verschicken will, also die Information wird zurückgegeben und der Angreifer kann dann einfach das Switching Center direkt fragen, wo die, welche Zelle das ist und das funktioniert wie vorher und das funktioniert wirklich in vielen Netzwerken. Weil es außerdem so ist, dass die meisten Mobile Switching Center Request akzeptieren von überall und irgendwem akzeptieren. Also, wenn, wenn ich nun einen deutschen Nutzersuche, der zu Hause im deutschen Netzwerk ist und einen indonesischen Netzwerk, soll es eigentlich keinen Grund haben, das herauszufinden, aber das Mobile Switching Center macht keine Positivitätschecks und der Request wird tatsächlich beantwortet. Okay, so, um das nur besser zu demonstrieren, um das noch besser zu demonstrieren, für etwa zwei Wochen haben wir einige Leute verfolgt, die also freundlich genug waren, uns ihre Telefonnummer zu geben und einverstanden zu sein, dass sie verfolgt werden und lasst mich mal sehen, ob wir das zeigen können. Ja, also, da irgendwo da in diesem astronomischen Bild wird das sein, ja. Irgendwo in dieser Galaxie. Okay, ja. Schauen wir. Okay, mein Touchpad verhält sich merkwürdig. Okay, let's start. Also, fangen wir an mit. So, das ist ein holländischer Nutzer, der, als ich angefangen habe, ihn zu verfolgen, war er in Seattle und wir können, wie ihr sehen könnt, dort sind Zeiten. Ja, okay, also, er hat nicht die Fähre benutzt. Da ist jemand auf dem Wasser, das ist, die Location Database hat da also eine falsche Position angegeben, aber sonst ist es ziemlich genau dort, wo er wohnt und arbeitet. Dies ging einige Tage so weiter. Und dann, ein holländischer Nutzer, zum Weihnachtszeitflug er zurück in die Niederlande und wir können jetzt wirklich sehen. Also, hier ist Skip Hole, der Flughafen von Amsterdam und wir sehen hier, dass die nächste Folgung ist im Zug auf dem Weg vom Flughafen und dann durch die Niederlande. Ja, er hat mich dann gebeten, den letzten Punkt zu entfernen, weil er sagte, dass zu nah an der Heimat dann wäre. Jemand anderes. Schauen wir mal. Okay, hier sehen wir sehr schön jemanden, der in Luxemburg lebt und wir können sehen, wie er die Autobahn runterfährt und dann hält er an und fährt dann ein bisschen weiter nachdem er dann einige Zeit im Flugzeug nach Hamburg verbracht hat. Ich frage mich, was er da drin gemacht hat. Könnt ihr dann sehen, wie er zum Kongress angereist ist. Ich denke, ihr habt einen ganz guten Eindruck davon bekommen. Hier haben wir jemanden, der in Hannover lebt. Darmstadt hier. Ihr könnt auch sehr gut sehen, wie er über die Autobahn gefahren ist, welche Route er genommen hat, um ebenfalls nach Hamburg zu kommen. Ihr seht, das ist wirklich sehr präzise. Das kann eigentlich mit jedem von uns gemacht werden. Ich muss mich gerade etwas überprüfen hier. Ich finde das schon ein bisschen gruselig. Man muss nicht mal jemanden kennen, man muss nur die Telefonnummer von jemandem kennen und dann kann man ihn vom anderen Ende der Welt aus nachverfolgen. Wenn man in den SS7 zugefahren hat und diese Firmen, die diese Dienstleistungen anbieten, die sagen natürlich, wir bieten das nur an für staatliche Stellen oder Polizei, aber ich kenne genügend Länder, deren Regierung ich nicht trauen würde, dass sie über eine solche Funktionalität verfügen. Dann haben wir mit einem von den großen deutschen Netzbetreibern über diese Probleme gesprochen. Die waren wirklich geschockt, dass sie das herausgefunden haben und haben angefangen, das Netzwerk besser zu überwachen und haben herausgefunden, dass da doch sehr viel Traffic entstanden ist, der die Position von Leuten abgefragt hat und andere Daten mit Leuten so. Nach einiger Zeit haben sie dann irgendwelche Filter implementiert und haben also die Möglichkeit rausgefiltert, die aktuelle IMSI und das aktuelle Switching Sender von jemandem herauszufinden. Wer ja vorher gesehen hat, das sind diese Dinge, die man eben vorher herausfinden muss und diese Funktionalität haben sie eben abgeschaltet damit und dieser Traffic, von dem ich eben geredet habe, ist um mehr als 80% zurückgegangen und sie haben dann versucht herauszufinden, wo dieser Datenverkehr herkam und ein Teil dieses Traffics war einfach nur eine Fehlkonfiguration in anderen Netzen, das ist dann relativ schnell behoben worden. Es gab dann einige kommerzielle Nutzungsszenarien wie zum Beispiel von Logistikunternehmen und Ähnlichem und SMS-Providern, die für Banken und ähnliche Firmen eine Dienstleistung erbracht haben, die zum Beispiel Tannnummern als SMS-Nachrichten an Telefone gesendet haben und die wollten eigentlich nur herausfinden, ob jemand eine SIM-Karte ausgetauscht hat. Es gab wohl einen Fall als Kriminelle, dass die SIM-Karte ihre Opfer ausgetauscht haben und so an diese Transaktionsnummer gekommen sind und da wollte diese Bank eben prüfen, ob die SIM-Karte gewechselt wurde, um eben diesen Angriffsvektor zu verhindern und dafür haben die eben auch dieses Protokoll genutzt, das dann abgeschaltet wurde. Einige der Netzwerkbetreiber, die dann kontaktiert wurden, die haben entweder gar nichts gesagt oder haben auch nichts dementiert und der deutsche Netzbetreiber glaubt also, dass das sich dabei um Request von Staaten oder Regierungsstellen gehandelt hat und einige von diesen Angriffen gehen nach wie vor weiter und das bedeutet, dass diese Angreifer andere Informationsquellen haben müssen. Sie müssen also irgendwie herausfinden, wie die EMSI des Nutzers ist, vielleicht wissen Sie das auch noch aus alten Abfragen oder vielleicht haben Sie auch andere Datenquellen, wo Sie das rausfinden können und für das Switching-Center, da kann man eine Art Put-Force-Attack nehmen und sozusagen die Nummer erraten, aber diese Angriffe, wie gesagt, gehen eben nach wie vor weiter. Okay, das hier nur ganz schnell, wir haben nämlich nicht so viel Zeit, in den Staaten, in den Vereinigten Staaten gibt es eine Anforderung, dass man, wenn man 9.1.1, also den nördlichen Notruf anruft, dass die Telefone sehr präzise lokalisiert werden müssen, also gibt es einen neuen Location Service, der nicht nur diese Zellen-Identifikationsnummer zurückliefert, sondern den tatsächlichen Längen- und Breitengrad über die GPS-Position des Telephones. Das heißt, dieser GPS-Empfänger des Telephones kann aus der Ferne angeschaltet werden und dann seinen aktuellen Standort zurück an den Netzbetreiber melden. Die Notfall-Service benutzen das Gateway Mobile Location Center und das zum Glück benötigt eine Authentifizierung. Und hier sehen wir die Spezifikation, man kann also hier sehen, die Polizei beispielsweise ist der Client in diesem Fall und schickt diesen Service-Request an das Location Center und da wird eben diese Authentifizierung benötigt. Aber wie wir eben vorhin schon gesehen haben, die Switching Center, die interessiert diese Authentifizierung überhaupt nicht, die wissen nichts von Authentifizierung. Das heißt, den Subscriber Location Requesting kann man eben direkt wieder an das Switching Center richten ohne Authentifizierung. Und in der Praxis funktioniert es eigentlich genauso, wie wir das vorhin gesehen haben, IMSI herausfinden, Switching Center herausfinden und dann das Switching Center direkt anfragen. Aber wie ich hier geschrieben habe, hier gibt es noch eine ganz lustige Verifikation der Absenderadresse, weil sie eben gesagt haben, okay, das kommt von außerhalb des Netzwerks, also müssen wir irgendwie die Adresse des Senders verifizieren. Diese Adressen sind in dem SCCP-Layer. Das heißt, Calling Party bedeutet hier, das ist also das Gerät, was die Message absendet und das wäre also ... Das Problem damit ist aber, dass dieses SCCP-Layer weiß nicht, wer diesen Dienst nutzen darf und wer nicht. Das heißt also, die Lösung ist hier in diesem Fall, dass sie den Absender in eine weitere Kopie in den Map-Layer stecken. Das heißt, die Antworten werden zurückgesendet an die Adresse hier oben, aber verifiziert, wer die Adresse da unten. Das heißt, wenn man die Wahrheit sagt und die Adresse zweimal einträgt, als zertifizierte Adresse und als Rücksenderadresse, dann ist das okay. Aber wenn man nur eine Adresse einträgt, die aussieht wie eine interne Adresse des Netzwerks, dann bekommt man eben auf diese Art und Weise den Längen- und Breitengrad des jeweiligen Nutzers einfach zurückgesendet. Das ist ganz offensichtlich also keine GPS-Position hier. Vielleicht war diese Person gerade irgendwo, wo GPS-Empfang nicht verfügbar war. Aber gut. Jetzt haben wir also einiges gesehen über die Möglichkeiten, die man hier hat, diese Informationen zu sammeln. Aber es ist auch möglich, die Informationen zu manipulieren. Sorry. So, okay, so, das war es, es ist einfach white. Okay, die Farben, es ist eigentlich coloriert hier auf meinem Display. Okay, auf meinem Bildschirm sieht das ein bisschen andersfarbig aus. Also, wenn ihr euch dran erinnert, am Anfang habe ich gesagt, wenn ihr euer Telefon anschaltet, dann wird das HLR überträgt eine Kopie eurer Subscriberdaten an das SCCP. Und ab diesem Moment wird also alles, was ihr mit eurem Telefon machen könnt, von dem VLR kontrolliert. Aber ein Angreifer kann eben auch viel und kann die Nutzerdaten, modifizierte Nutzungsdaten an das Switching Center schicken. Und das bedeutet, dass er zum Beispiel ganz einfach anderen abschalten kann, eure Möglichkeit Anrufe zu tätigen oder Texte zu verschicken oder ähnliche Sachen zu machen. Und das, ja, hier haben wir noch was anderes, ein Protokoll namens Camel Customized Applications for Mobile Networks Enhanced Logic, das kann sich keiner merken. Das ist nochmal eine Schicht drüber über den normalen Map-Logik und das gibt dem Netzbetreiber die Möglichkeit, ganz einfach zu sagen, zum Beispiel, ihr seid ein Deutscher Nutzer, ihr befindet euch gerade in Frankreich, euer Heimnetzbetreiber kann sagen, jedes Mal, wenn dieser Nutzer, der aus meinem deutschen Heimnetzwerk kommt, einen Anruf tätigen will, dann muss gefälligst vorher, dass das Heimnetzwerk kontaktiert werden. Also die sogenannte Service Control Function in dem Heimnetzwerk des Nutzers muss kontaktiert werden und die wiederum entscheidet, ob der Anruf gemacht werden kann oder ob die Daten in irgendeiner Form manipuliert werden oder ob der Anruf eben abgeblockt wird. Also links haben wir hier das Heimnetzwerk mit der Service Control Function der schickt die Adresse dieser Service Control Function an das Switching Center, denn ihr als Deutscher Nutzer seid ja momentan in Frankreich, also schickt es die Adresse dieser Service Control Function an das französische MSC und sagt, wann immer dieser Nutzer ist, bitte mich vorher kontaktieren. Der Nutzer möchte jetzt also einen Anruf machen und er hat aber vergessen die internationale Vorwahl vorzuwählen. Er wählt einfach so, als ob es eine deutsche Telefonnummer wäre und normalerweise würde das nicht funktionieren, denn das französische Switching Center weiß nichts über deutsche Telefonnummer und wie die aufgebaut sind. Aber die Service Control Function wird kontaktiert und der Nutzer möchte mit diesen Nummer anrufen, was soll ich damit tun und die Service Control Function schreibt diese Nummer um, fügt die deutsche internationale Vorwahl davor. Der Nutzer merkt überhaupt nichts, dass er das manipuliert bekommt und wählt die Nummer einfach so, wie er sie aus Deutschland rauswählen würde und das funktioniert. Und wenn ihr euch jetzt daran erinnert, die Adresse dieser Service Control Function wird an den Switch gesendet von der Home Database. Wenn ihr die Daten im MSC modifizieren könnt, dann kann er einfach eine andere Adresse an das MSC schicken. Seine eigenen Global Title. Man kann also sozusagen einfach bestimmen, wann immer dieser Nutzer irgendwas macht mit seinem Telefon, dann soll ich bitte kontaktiert werden und steckt dann seiner eigene Adresse rein. Jetzt will der Nutzer die Nummer hier wählen, die wir hier sehen. Die Nummer des Nutzers auf der rechten Seite. Er wählt also diese Nummer und das Switching Center kontaktiert jetzt den Angreifer und jetzt weiß der Angreifer schon mal, welche Nummer eigentlich gewählt werden soll. Und dann ändert der Angreifer diese Nummer in eine ganz andere Nummer, wo zum Beispiel ein Proxy stehen könnte, der die Gespräche aufzeichnet. Er braucht nicht unbedingt mal SS7 Zugriff zu haben, sondern auch ein Box im Internet sein, die über eine öffentlich zugangliche Telefonnummer erreichbar ist. Der Anruf wird also aufgebaut zu diesem Proxy und der leitet das dann weiter an den eigentlichen Nutzer und beide Nutzer können jetzt miteinander reden und der Angreifer ist der man in the middle und zeichnet alles auf, was über diese Verbindung gesprochen wird. Vor ein paar Tagen habe ich gelesen, wie hier wirklich passiert. Ich habe gehört von einem ukrainischen Netzbetreiber, der herausgefunden hat, dass einige Anrufe von seinen Nutzern abgefangen wurden und diese Abfang kamen aus einem russischen SS7-Netzwerk und also das passiert wirklich. Das haben wir also einiges gesehen über die Switching Center und die, wie verletzlich die eigentlich sind, aber das Home Location Register hat natürlich auch einige Schwachstellen. Also schauen wir uns zuerst mal an, wie was genau passiert, wenn man in ein anderes Land zum Beispiel reist. Das ist eigentlich das Gleiche, wenn man von Berlin nach Hamburg reist. Also dein Telefon schickt ein Location Update zum Switching Center und das schickt ein Update zum HLR. Dann speichert das HLR die Adresse des Mobile Switching Centers, denn das muss ja wissen, wer anruft. Also speichert diese Adresse und schickt eine Kopie der Subscriberdata an das Mobile Switching Center. Jetzt wenn jemand eine SMS schicken will, das ist da hier links, dann fragt das das HLR an, bitte gib mir Routing Information an für diese Telefonnummer und als Antwort kommt die Adresse des Switching Centers zurück. Also kann es dann die SMS schicken zu dir. Aber ein Angreifer kann auch diesen Update Location Request schicken. Also es kann diesen Update Location Request zum Home Location Register schicken und das Home Location Register speichert dann die Adresse des Angreifers. Das HLR ist wenn jetzt wieder zum Beispiel eine Bank einen Ton schicken will eine SMS dann wird diese SMS jetzt zum Angreifer geschickt. Also im vorherigen Fall eine SIM-Karte wo diese SIM-Karten ausgetauscht haben also diese Möglichkeit hier wäre natürlich einfacher. Sie hätten die SIM-Karten nicht austauschen müssen, sondern sie einfach als Subscriber ausgeben und sagen ja, schickt die SMS jetzt mir. Noch etwas weiteres USSD-Codes das sind diese speziellen Nummern die mit einem Stern anfangen die man nochmal nicht mal eingeben muss die können auch bei anderen Anbietern ausgeführt werden in Deutschland nicht aber in diversen anderen Ländern gibt es die Möglichkeit FreePaid Guthaben zu übertragen mit USSD-Codes also man kann das Guthaben eines Opfers wählen und zum Beispiel auf seine eigene Nummer übertragen auch Anruf-Weiterleitung kann eingerichtet werden oder umkonfiguriert werden also man könnte zum Beispiel alle anrufen auf die eigene Nummer auf eine Mehrwertdienstnummer weiterleiten also das heißt natürlich wenn man angerufen wird muss man bezahlen für die Mehrwertnummer das kann natürlich auch eine Nummer sein die der attacker kontrolliert also man muss nicht einmal man muss das nicht einmal tun wenn ein deutscher Provider ist dann sagt mir die German Home Database einfach den USSD Code für den Nutzer also wie man hier sieht fangen wir das Guthaben an von einer deutschen FreePaid SIM-Karte wären wir in diesem Netzwerk eingelockt wären wir in einem Netz auf der anderen Seite der Welt eingelockt so i guess this Carsten is going to talk about also Carsten wird über das hier sprechen brichst du darüber gleich Rufennummern rausfinden also das Rufennummern also you have to translate it to english okay so also das nenn ich hybride Angriffe das Publikum hat gerade Spaß mit den Untertiteln es gibt eine Feedback Schleife zwischen Untertiteln und Publikum okay so i call it hybrid attacks hybride Angriffe also man muss hybride sein dazu sorry wiederum Entschuldigung sind das eigentlich Leute die hier die Übersetzung machen die Rede ist immer noch nicht von der Übersetzung das sind natürlich Menschen hallo sondern die Rede ist von den Untertiteln also okay hybrid attacks meaning hybride Angriffe also man kann über die Luftschnittstelle also wenn der Angreifer dich erreichen will dann schickt er ein paging request dann erhält er ein temporary mobile subscriber identity diese identifier muss unverschlüsselt übertragen werden und also der TMSC wurde eingeführt damit man nicht herausfinden kann wer im Moment ein Anruf tätigt also es ist eben nicht die TMSC die eigentliche Identität des Nutzers ist aber es stellt sich raus wenn der Angreifer die ganzen paging requests erhält zum Beispiel mit osmokon bb kann er einfach das mobile switching center fragen bitte gib mir die IMSI des Nutzers und wenn man die hat kann man die MSI SDN herausfinden also die Telefonnummer ja also man könnte jetzt damit Angela Merkels Telefonnummer herausfinden Karsten wird dann in einem später darüber sprechen so jetzt zu LTE das SS7-Netzwerk wird genutzt von GSM und UMTS LTE verwendet ein anderes Protokoll das ein Durchmesserprotokoll also SS7 wird ein Legacy-Protokoll viele der SS7-Design-Fählern wurden einfach auch in neuen Protokoll angeführt also zum Beispiel gibt es immer noch keine Authentifizierung für Nutzer und natürlich wird SS7 noch lange hier sein Leute sagen mir etwa 20 Jahre außerdem gibt es Schnittstellen zwischen Diameter und SS7 damit man Anrufe von LTE zu GSM oder UMIC also um das ganze Anlassung ein Angreifer der nur eine Telefonnummer sein Office hat kann die Bewegung Tracking kann die Telefone Anrufe abhören vermutlich auch Datenverbindungen Anrufe weiterleiten zu Kosten des Nutzers also was die Operators können Gegenmaßnahmen der Nutzanbieter Netzbetreiber wie ich am Anfang gesagt habe muss man die IMSI und das Mobile Switching Center herausfinden um manipulieren zu können die Betreiber geben diese wirklich heraus um SMS Routing zu betreiben eigentlich gibt es einen neuartigen Art dieses Problems zu lösen das heißt Home SMS Routing im Home Routing des Betreiber bei dem muss man eigentlich nicht der Global Title der Switching Centers herausgeben einige der deutschen Netze nutzen diese bereits und da ist es viel schwer geworden die Informationen herausfinden die man für einen Angriff benötigt eine andere Quelle dieser Routing-Information ist für Routing-Information für Telefonanrufe aber das können einfach abgeschaltet werden für externe Netzwerke hier auch einige deutschen Netzwerke haben das bereits getan also du als Endnutzer kannst eigentlich nichts tun das funktioniert für alle Telefone die mit dem Netz verbunden sind egal ob Smartphones oder Featurephones jetzt habe ich eine kleine Demonstration vorbereitet ich verschiebe das mal kurz auf meinem Bildschirm ich hoffe dass es funktioniert und dass ihr was sehen könnt so jetzt sind die Telefone richtig ausgerichtet also dies ist also ein Nutzer in einem deutschen Netzwerk und ich werde jetzt er möchte seinen Freund anrufen auf dessen Telefon wie ihr seht, das funktioniert das andere Telefon klingelt wie man erwartet Applaus wirklich ein Telefonanrufe funktioniert großartig nicht die Demo sehr witzig jeder hat jetzt die Telefone und ihr könnt alle anrufen nun werde ich etwas SSI 7 Magie ausführen ich werde also jetzt Daten des Nutzers werde das wieder versuchen ich rufe die gleiche Nummer an schauen wir mal ob wir das hören könnt ihr das hören für die gewählte Nummer wurde eine Rufsperre eingegeben eine Rufsperre wurde eingegeben wenn ihr also eine Weile mal aufhören könnt ihr diese Nummer anzurufen bitte dieser Anruf geht einfach nicht mehr durch es funktioniert nicht mehr ich kann auch switch it back on ich kann es wieder anschalten wenn ich jetzt wieder wähle ja ja wie ihr seht, funktioniert es noch eine Sache der Freund möchte zurückrufen er wählt also die Nummer des ersten Anrufers bitte Leute hört mal eine Weile auf anzurufen er ruft Food Test an und die Anrufweiterleitung ist immer noch aktiviert der Anruf kommt auf diesen Telefon an okay ich werde es jetzt abschalten ich werde den Anruf nochmal machen wirklich okay das ursprüngliche Telefon klingelt so wie es sein sollte ich werde es noch mal zeigen weil das natürlich das war jetzt falsch herum ich werde euch zeigen könnt ihr das lesen? es gibt keine Anrufweiterleitung für dieses Telefon die ist nicht aktiviert haben wir nicht das jetzt aktivieren und das gleiche in gleicher Anfrage nochmal schicke okay ihr seht jetzt die Nummer für Wörterleitung die gerade aktiviert worden ist aus der Ferne okay das ist erstmal die Demo und das ist mein Teil vielen Dank falls ihr irgendwelche Fragen habt bitte stellt euch an den Mikrofon auf wenn ihr gehen wollt bitte macht das jetzt und leise und verlässt den Raum um Platz zu schaffen die den nächsten Talk sich anschauen wollen jetzt könnt ihr bitte nur gehen bitte tut das jetzt schnell und leise wir haben also eine Frage von Mikrofon Nummer 1 vielen Dank für den Talk am Anfang hast du gesagt dass Regierungsstellen SS7 benutzen für die sogenannte Lawful Interception also für das Gesetzeskonformer abhören und du sagtest dass du den Regierung einiger Länder nicht trauen würdest der Vollständigkeit halber könntest du die Länder benennen denen du traust nein, tut mir leid das kann ich nicht danke schön Mikrofon Nummer 1 wie hast du Zugriff was ist das sieben Netzwerk für dieses Demo bekommen ich würde es lieber nicht sagen naja, also eigentlich es ist ein Zugang der geborgt wurde der uns geborgt wurde für die Zwecke unserer Sicherheitsforschung Mikrofon Nummer 4 eine Frage geht in die Richtung die den Standort rauszufinden der Standort der Zelle das kostet den Operator wahrscheinlich nichts das rauszugeben aber die Triangulierung kostet das der Netzbetreiber was oder kann man das auch im großen Maßstab machen für sehr sehr viele Nutzer ich weiß nicht wirklich wie viele denkst du naja, natürlich es ist implementiert eine Notfalldienste also es gibt also immer schon recht viele es gibt viele Notfallanrufe und ich denke das kann für ziemlich viele Kunden gemacht werden ich weiß nicht was passiert wenn man das falls man das für alle Nutzerinnen Nutzer versucht aber es kann für viele gemacht werden Fragen vom Signal Engel die über den Internet Relate Chat hereinkommen der Signal Engel bitte die erste Frage hier ist wie viel würde es denn insgesamt kosten jemanden mit seinem Telefon zu verfolgen naja, ich würde sagen ein paar hundert Euro für den SS7 Zugang wenn man ihn einkauft und dann braucht man jemanden der die Software schreibt oder beschreibt es selbst und wenn man das selbst schreibt und irgendwie endet der SS7 Zugange hacken kann was weiß ich das würde dann überhaupt nichts kosten another question from our Signal Engel please ok, hier ist noch eine Frage denn der direkte SS7 benötigt man wirklich direkt ein SS7 Zugang oder würde ein gehacktes Endgerät reichen SS7 ist wirklich nur im Zentrum des Netzwerkes angewendet die Telefone haben damit nichts zu tun die Telefone verwenden Radioverbindungen und SS7 ist nur innerhalb der Netzwerke zwischen den Switching Centers die ganzen Komponenten nutzen das untereinander eine weitere Frage zu USSD hast gesagt, dass es immer möglich ist die USSD Nachrichten zu verfälschen wenn ich mich richtig erinnere gibt es zwei verschiedene Felder in diesem Protokoll wo der der Absender des Requesten steht kannst du die gesamte Message verändern kannst du alle Felder manipulieren ich bin nicht ganz sicher da du keine Antwort brauchst kannst du eigentlich alles verfälschen es ist überhaupt das Ding für alle Nachrichten in denen du etwas veränderst aber keine Daten zurückhaben möchtest dann kannst du jeden Absender den du möchtest eintragen weil du die Antwort nicht brauchst und wenn es um Aktivierung von Daten geht oder Ausführung von Anfragen geht sobald diese Anfrage an ihrer Bestimmung ankommt eine Frage wegen der Verifikation USSD wird nicht nur genutzt um zum Beispiel deinen eigenen Account abzufragen wie viel Geld du noch auf der Karte hast aber es wird ja auch zum Beispiel für Bezahlung und Zahlungsvorgänge verwendet und wenn man das die gesamte Message verändern könnte wäre das ein massives Problem ja wenn das wirklich über USSD läuft ja ich habe zwei Fragen die erste als ihr Standorderfragen gemacht habt über PSI habt ihr das von einem SS7 Zugriff gemacht für den ihr bezahlt habt oder von einem eigenen Zugang und wenn es euer eigenen Zugang war um das Rax IR21 List oder nicht es war nicht in IR21 es scheint hier aber irgendwelche Protokolldetails zu gehen die mir gerade nicht geläufig sind geht hier um eine Anzahl Dokumente der GSMA die Standardisierungsorganisation jeder Betreiber hat dieses Dokument oder freig das ein und listet dort seine Global Titles auf und adressend zum Routing von Verkehr und so weiter und normalerweise würde man sagen oder denken wenn ein Global Title oder eine Absenderadresse dort nicht aufgelistet ist dann kann man diese Nachrichten einfach wegwerfen aber es ist das nicht so meistens werden Anfragen auch dann geroutet und beantwortet wenn die Adressen nicht in den IR21 Dokumenten eingetragen ist grundsätzlich eine globale Liste mit allen Global Titles danke für den Talk was mich noch interessieren würde habt ihr euch auch die modifizierte Version für Notrufe angeschaut wo man dann zum Beispiel einen Sinn in seinem Telefon braucht oder für das was jetzt kommen ist diese Systeme für Autos ob das da auch irgendwelche Auswirkungen hat ist das auch verfolgbar ich habe mir das nicht angeschaut das weiß ich nicht ja hier haben wir noch eine ganze Reihe Fragen aber eine davon ist hier ob es irgendwelche Zahlen darüber welche Länder das meiste Tracking machen welche Länder am meisten Tracking verfolgen durchführen ja haben wir irgendwelche Zahlen da nein habe ich nicht keine Zahlen ich würde mich auch sehr interessieren weil es jemanden sie hat wäre ich sehr interessiert ja ich habe die meine Frage ist wenn ich eine funktionierende Base Transceiver Station habe für ein GSM Netzwerk ist die SS7 Zugriffsinformation in dieser Base Station drin das System Base Station subsystem das ist nicht SS7 das SS7 wird also nur benutzt von dem Switching Center hinein in das Netzwerk okay danke ja hallo deine letzte Slide mit der Zusammenfassung habt ihr es auch geschafft Nachrichten zu entschlüsseln und Telefongespräche zu entschlüsseln das Torbeteiliger nicht verstanden in der Zusammenfassungsfolie stand drin wie man eine EMSI anfragen kann nachdem er die TMSI herausgefunden hat aber dann könntest du ja auch das Telefongespräch entschlüsseln indem man eben diese Schlüssel ausschnüffelt ja ja aber Kasten wird darüber im nächsten Talk erzählen und dann gibt es mehr dazu hallo ja danke für den Talk ich weiß nicht ob es in Deutschland irgendwelche Virtual Operators gibt aber die haben ja auch SS7 Zugriff und das was du in deinem Talk erzählt hast gibt das alles auch für die Virtual Operators dass Operators die also Betreiber keine eigene Netze haben ja also wenn sie wirklich MVNOS sind dann haben sie Zugang auf SS7 wenn sie nur Reseller sind dann nicht aber zum Beispiel ich glaube dass einer der wenigen der sehr wenigen in Deutschland das ist SIPGATE mit SIM Quadrat die haben zum Beispiel ihr eigenes HLR ihr eigenes Home Location Register siehst du das einen möglichen Vektor um ein Telefon dazu zu bringen seinen Baseband zu aktualisieren wie ihr am Anfang gesehen habt kann man nicht nur die Seller die abfragen, sondern auch die IMEI des Telefons, die Gerätennummer ihr könnt also auch herausfinden was eine Art von Telefon jemand benutzt ein iPhone, Galaxy ist was auch immer also wenn ihr nun etwas installieren möchtet oder aus der Ferne einen Zugang auszunutzen das ist natürlich auch einfacher wenn man bereits weiß was für ein Gerät jemand benutzt ist ihr bekannt dass es irgendwelche Funktionen in der AP gibt oder in Camel die benutzt werden kann um ein Telefon direkt anzuweisen irgendwas runter zu laden und installieren nein ich glaube das würde auf einem anderen Level an anderen Ebenen passieren wenn ihr noch weitere Fragen habt könnt ihr natürlich auch nach dem Talk noch zu uns kommen und jetzt bitte einen großen Applaus an Tobias Engel