 Ich will über Imsycatcher reden heute und Fangelspielen mit Imsycatchern und warum Imsycatcher im Prinzip sehr schlecht Verstecken spielen. Das wird sich ein bisschen so gliedern, dass ich nochmal ein bisschen darauf eingehe, was ein Imsycatcher so ist, was Imsycatcher so kennen und wie man sie dabei beobachten kann und dann vielleicht noch so ein paar Beispiele aus der Praxis bringen, wie das dann auch am Ende aussieht. Und zum Schluss würde ich noch einen kleinen Ausblick geben, warum das auch mit 4G und 5G wahrscheinlich nicht viel besser wird. Ich arbeite seit vier Jahren an dem Thema bei der GSMK in Berlin und daher kommt so ein bisschen meine Praxiserfahrung an und ja, was sind Imsycatcher? Die gibt es irgendwie sehr vielfältiger Art und Weise, also so von zur Linken ein Gerät, was wirklich in den Rucksack oder sogar in der kleinen Handtasche mitgenommen werden kann, zu Antikierten selbst gebauten, mit SDRs zu rechten oder auch hochkomplexen Koffern und dementsprechend ist auch die Bandbreite von dem, was Imsycatcher können, sehr, sehr, sehr breit von einfach irgendwie Telefone einfangen und irgendwie Basisdaten auslesen bis hin zu Callgeschichten aufmachen. Imsycatcher zeichnet sich vor allen Dingen dadurch aus, dass sie normale Basisstationen nachmachen oder so tun, neuer aufmachen und sie müssen sich dafür aber, weil sie praktisch darauf aus sind, Telefone einzufangen, müssen sie sich sehr attraktiv für Basisstationen, für die Telefone machen und für die Bassbands und dadurch verhalten sie sich immer aufwendig und das kann Imsycatcher können praktisch von einzelnen Basisstationen irgendwie ausgehen, dass sie praktisch nur eine Basisstation aufmachen, aber auch sehr komplexe Setups haben, beobachtet schon, wo die Basisstationen in 2G, 3G und 4G gleichzeitig aufmachen oder Telefone hin und her schicken. Dadurch ist die Bandbreite und die Fähigkeiten halt auch sehr, sehr unterschiedlich. Das führt dazu, dass sie halt wie der Name auch herkommt, eben im einfachsten Fall darauf ausgelegt sind, die Imsy und die IMAI von Telefonen auszulesen. Da ist das ist halt so das klassische Setup irgendwie, der Name sagt es auch schon, dass der so die klassische Geschichte, die ich mir immer dazu einfällt und die ich so auch erzähle, ist halt, dass sie früh angefangen haben, war das so ein Überwachungsinstrument vorwiegend für die Polizei, um bei Leuten, die sie überwachen wollen, die aber irgendwie oft ihre Telefone und Sim-Karten wechseln, nicht mehr klar war, wie sie an welche Anschlüsse sie eigentlich überwachen wollen. Die IMSI-Catcher eben zum Einsatz kamen, um genau zu wissen, was ist jetzt der aktuelle Telefonvertrag von der Person, die wir irgendwie abhören wollen und bei der dann praktisch in IMSI-Catcher aufgebaut haben, morgens das Telefon bei dem zu Hause einfangen, die IMSIS, die sie alle finden, bauen eine Basisstation aus, dann buchen sich da alle Telefone ein, die in der Nähe sind, dann laufen sie dem Tag lang hinterher, machen das drei, vier Mal und am Ende wissen sie, welche IMSI zu der Zielperson und dem neuen Zielvertrag gehört und können dann da wieder ihre Überwachungsschnittstellen drauf schalten. Da kommt der Name her, das ist so das ganz alte klassische Modell, aber natürlich können die heutzutage viel viel mehr als nur IMSIS auslesen und das geht irgendwie über einfach Ortsbestimmung, wirklich auch bis auf Metagenau, weitermitt irgendwie komplett Telefonate und IP-Treffigen mitschneiden oder auch Basebands einfach dossen und irgendwie völlig außer Betrieb zu nehmen. Ich werde jetzt irgendwie ein bisschen drauf eingehen, wie das irgendwie in Teilen funktioniert dabei und fangen wir mit dem IMSI-E-Mail auslesen an bei einem Baseband. IMSI und die E-Mails werden beim Authentifizieren irgendwie das erste Mal übertragen und das ist sozusagen bei einem ersten Nutzen eines Netzes oder einer Basisstation und dann im folgenden gibt es ein Mechanismus in den Handyspezifikationen, der nennt sich Location Update, der ist eigentlich hauptsächlich dazu da, wenn man sich bewegt, wie in der Illustration unten ein bisschen gezeigt, von einem Location Area nennt sich das in die nächste, wird auch die IMSI wieder übertragen und das ist so ein Mechanismus, den sich IMSI Catcher dann zu Nutze machen. Außerdem wird das Location Update dann auch noch gemacht, irgendwie um so regelmäßig mal zu sagen, wenn man sich nicht bewegt und nach zu Hause ist, dann sagen die Telefone auch dem Netz regelmäßig mal, hallo ich bin noch da und da ist dann auch wieder die IMSI im Spiel und das ist so der grundlegende Mechanismus den IMSI Catcher irgendwie nutzen, um das auszulesen. Ich komme dann später noch mal zu Details dazu. Für die Ortsbestimmung werden Features bei 4G zum Beispiel benutzt, die haben das nennt sich Measurements Reports, die sind da eingebaut um Telefonen und Basebands die bestmögliche Zelle zur Verfügung zu stellen, können das Netz anfragen, wo bist du denn gerade und dann sendet das Telefon einfach raus und das gibt Möglichkeiten, die IMSI Catcher eben nutzen, um das direkt sich abzuholen und dann sendet euer Telefon das auch 3-House an den IMSI Catcher, wo es gerade ist. Bei 2G, 3G gibt es dieses Feature noch nicht, da wird das dann über die Signalstärke und Triangulierung mit 2, 3 Antennen gemacht, um dann daraus zu kriegen bei einem aktiven Call und dann denkt man in dem Augenblick vielleicht okay, aber nur beim Call, das können aber auch stille Calls sein, die gar nicht bei euch durchsignalisiert werden. Da bauen die IMSI Catcher dann einen Ruf auf und da bei euch klingelt es gar nicht und die messen mal fix durch, wo ihr eben in dem Augenblick seid. Da gibt es auch sehr schöne kleine Patente zu, ich habe da dann einfach auch eine Google Search zu angeschmissen, wo eine Patent suche, Google ist da sehr fein, kann man alles durchsuchen und auch die IMSI Catcher Hersteller lassen sich das nicht nehmen, sich ihr Zeug patentieren zu lassen und das ist eine sehr nützliche Ressource, wenn man mal genau rauskriegen will, wie bestimmte Dinge funktionieren und hier habe ich auch so einen kleinen Ausschnitt mal aus dem Patent noch mit dazu gepackt. Im Kern geht es an der Stelle darum, dass sie eine vorgesehenen Space Band irgendwie haben für das Call Handling eine eigene State Machine, wo gesagt wird von irgendwie ich bin im Eidl nichts passiert, gehen dann so verschiedene States durch über Klingeln, Lirting bis hin zu aktiven Call und das ist so aufgebaut, dass die beide Stellen sich gegenseitig dann irgendwie in dem State weiter schieben und das ganze Patent bemut dann darauf, dass die anfangen diesen Call aufbaut zu machen und dann aber nicht das senden, was das Space Band erwartet und dann klingelt euer Telefon nie und der Call wird trotzdem die Funk Ressourcen werden trotzdem aufgebaut und die können durchmessen, wo ihr dann seid. Also eine gute Empfehlung immer mal wieder die Patente anzugucken, da findet man viel. Der nächste Punkt ist prakt die, also man denkt immer irgendwie, die können die live mithören oder nicht und das können sie tatsächlich, das ist allerdings ein bisschen komplexeres Setup und das können so die einfachen Selbstbau im Siecatcher wahrscheinlich nicht mehr machen. Du brauchst als im Siecatcher an der Stelle dann auch mindestens zwei Base Bands, irgendwie eins um normal bei die Basis Station zu simulieren und ein Base Band, was sich gegenüber dem richtigen Netzwerk auch wieder in so eine Art Client Modus begibt, um den Call dann weiter zu arbeiten und die nächste Herausforderung an der Stelle ist dann auch noch, dass sie die Verschlüsselung Kies brechen müssen, um die Daten oder den Call dann live mitzugucken und da sind ja auch aus verschiedenen vorhergehenden Kongressen und Talks irgendwie bekannt wie 2G mit Rennbow-Tables, die einfachen Algorithmen gebrochen wurden und da gibt es auch irgendwie dieser A52 Mechanismus Algorithmus im 2G ist sozusagen auch so ein Geheimdienst Algorithmus, der in den 80ern mal spezifiziert wurde, der sowieso gebrochen ist und wenn das alles nicht hilft, dann gibt es auch die Möglichkeit über SS7, was so ein Protokoll, was ein Network-Operator miteinander sprechen, auch ein sehr altes, sich die Kies direkt abzuholen und dann live zu benutzen. Bei 3G und 4G wird das ein bisschen schwieriger, deswegen wird auch versucht, dann einen Downgrade auf 2G zu machen, irgendwie, wenn man dann telefonieren will und dann das Gespräch mitzuhören. Und diese Rennbow-Table-Lookup ist natürlich mit den mobilen Ressourcen, die ein MCCatcher so mit sich bringt und der CPU-Power, die dann haben zu tun, durch die Gegentragen auch ein bisschen schwieriger und deswegen ist da auch wirklich während der IP ablink gemacht und irgendwie so backends genutzt, um die Rennbow-Table-Geschichten so schnell machen zu können, dass man dann live den Call decrypten kann. Und das alles müssen die MCCatcher dann eben koordinieren und unterschiedliche 2G, 3G-Geschichten miteinander in Verbindung bringen, um ein Telefon beispielsweise aus einem 3G-Verbindung rauszuholen, auf 2G runterzubringen und den Call dann abhören zu können. Da habe ich wieder so ein Patentexkurs gefunden, auch dazu. Und hier ist genau der dieser Vorgang, wie man ein 2G, 3G-Downgrade als MCCatcher machen will, wurde hier auch patentiert. Und hier werden dann auch Mechanismen aus den UMTS-Spezifikationen genutzt, um dem Telefon einzureden, dass es jetzt besser auf 2G-Weiterpunkt mit dem Netz nicht mit 3G und dann wird der Call da übernommen. Das nächste ist natürlich das Dossen der Basebands von den Fähigkeiten der MCCatcher her. Klar, so ein ganz dummer Modus, die Selbstbau MCCatcher, kann man zum Teil dann auch daran erkennen, dass man nicht mehr telefonieren kann, haben halt keine Ablehung, die fangen dich ein und dann hängst du da und kannst nicht mehr telefonieren und kriegst auch keine Telefonate mehr einsignalisiert und SMS es kommt nicht mehr an. Und das ist oft auch für einfache MCCatcher eine ganz gute Erkennung, aber du bist halt einfach erst mal abgeschnitten und merkst nichts davon. Bei 4G ist das ein bisschen geschickter möglich und gibt es auch Papers zu. Hier habt ihr so einen kleinen Ausschnitt, das ist ein Forschungspaper von der TU Berlin von Leuten da, wo bestimmt auch wieder was ähnliches, also wie das Location Update bei 4G ist, das ein Tracking Area Update genutzt wird. Da sagt das Mobile gegenüber dem Netz, ich will jetzt bitte in die nächste Tracking Area reingehen und das Netz sagt dann plötzlich oder eben der MCCatcher an der Stelle sagt dem Mobile dann, du darfst nicht und sende einen bestimmten Reject Code, der dann dafür führt, dass das Mobile erst mal denkt, irgendwie es darf gar nicht mehr 4G das Netz hier benutzen und das macht es dann auch nie wieder, bis man die SIM-Karte einmal rausnimmt und wieder reintut. Und ja, das ist an sich bei 4G besser abgesichert, als bei 2G, aber ich komme später noch mal zu, wie es dann doch funktioniert. So, das alles passiert irgendwie an der Stelle, wo normale Telefone einfach gar nichts davon merken, das wird niemand angezeigt, du hast keine Möglichkeiten irgendwie da genauer zuzugucken, weil das Baseband ist halt einfach eine Blackbox und so ein Binary-Firmware-Blob, der da rein macht und es gibt auch selbst bei Smartphone keine APIs, um da tiefer rein zu gucken, man kriegt maximal eine Zellen-ID oder die Location, den Location-Area-Code und den MCC-MMC vom Operator, der sich dahinter verstärkt und mehr kriegt man nicht raus und alles ist in Butter und die Überwacher und MCCatcher-Hersteller freuen sich, aber es gibt natürlich trotzdem irgendwie Schnittstellen, die auch aus Funk und Kongress bekannt sind, eben die DIAC-Schnittstelle von Qualcomm, die praktisch ja sehr breit verbreitet ist im Markt, ich weiß jetzt nicht die genauen Zahlen, aber so 70 Prozent der Telefone haben Qualcomm Basebands und da setzt sich dann sich verschiedene Projekte schon miteinander und rauf, das ist bekannt, das Snoop Snitch oder irgendwie der DIAC-Pattern, QC Super, da kann man auch viel dazu finden und im Kern ist irgendwie, es gibt halt irgendwie dafür, ist das eigentlich eine Debug-Schnittstelle, die Qualcomm vorgesehen hat, um ihre eigenen Geschichten beim Debuggen zu können und es gibt dafür Kernel-Dreiber für Android und auch normale Linux-Kernel stellen das als Serial import bereit, sobald man dann ein Baseband per USB beispielsweise ranklemmt und sie teilt zum Aktivieren davon auf Android, zum Beispiel lassen sich sehr schön bei Snoop Snitch nachgucken und wie das funktioniert und damit lassen sich dann per DIAC wirklich sehr genau alle Leer 3-Raw-Daten irgendwie beobachten, die Broadcast-Daten, die von den Zellen losgeschickt werden, die System Information Blocks und solche Sachen und auch der Baseband State selber lässt sich beobachten, wie viele Nebers hat da, was für eine Serving-Zell und viel, viel mehr und diese Daten lassen kann man sehr gut auch mit irgendwie Open Source-Stacks, zum Beispiel aus dem Osmocom-Stack dann irgendwie Paasen oder aus der ASN1-RLC Specs für UMTS und LTE-generierten Paasern aufbereiten, sodass das dann alles irgendwie wunderbar sichtbar in Weiherschark wird und dann kann man das sehr genau nachvollziehen, welche Daten da tatsächlich durchkommen und wir nutzen das irgendwie auf der einen Seite irgendwie um sowas wie eine Baseband-Firewall auf dazu zu machen, wo du das Ziel ist, auf dem eigenen Handy zu sehen, ob man auf einer Imsycatcher eingebucht ist und andererseits bauen wir einen System, wo wir Sensoren in der Gegend verteilen, um zu beobachten, welche sind die normalen Zellen, die sich so zeigen und die sichtbar sind und dann Veränderungen eben festzustellen und das führt dann zu so schönen Sachen wie hier einmal, dass sich, wenn man das so zusammensammelt, dass sich Imsycatcher einfach durch erfundene Zellparameter schon ganz simpel verraten, auch hier, das ist jetzt hier aus einer Live-Session irgendwie ein bisschen mitgeschnitten, ich hoffe, das lässt sich ein bisschen erkennen, also zum Teil sind hier Sachen bei, die wirklich erfundene Zellen sind, die haben, sieht man die Maus ein bisschen dabei, ja, die haben keine Location, die gibt es gar nicht und andererseits gibt es aber auch irgendwie Zellen, die sind einfach verdächtig, weil sie mit dem Location Area Code rumspielen, was und dann auch unbekannte Zellen sind oder leicht die Zell IDs ändern und der Location Area Code ist halt wieder interessant, weil es dann das Baseband und das Handy wieder dazu bringt, ein Location Update zu machen und seine Imsy zu senden, was ja auch immer wieder ein Ziel von Imsycatchern ist, also so verraten sich einfach durch die äußeren Zellparameter schon, aber auch durch auffällige Daten in der Interaktion dann, die eben durch das Diag sichtbar werden, das ist jetzt hier zum Beispiel mal so eine Location Update Prozedur, wo praktisch das Mobile Phone sagt, irgendwie ich will einen Location Update machen, irgendwie weil ich, dass man wieder machen muss, wenn Zeit um ist oder ich wirklich in eine andere Location Area gegangen bin, dann sagt das, das Netz dazu wieder irgendwie, ja, da musst du dich authentifizieren, dann authentifiziert sich das Smartphone, an dieser Stelle kommt, werden die Imysys übertragen und dann sagt das Netz im Anschluss daran, ja, hier ist unser überhaupt jetzt unsere Cyphering Kommandos und die Algorithmen, die wir dafür benutzt werden sollen und dann sind wir wieder bei dem Thema, welche Algorithmen werden benutzt, wie man damit lesen kann und sich dann praktisch zur Erkennung von Imsycatchern sehr gut nutzen kann und am Ende ist dann Location Update accepted, wo dem Smartphone noch eine Timsy ad es sein wird, was ein Konzept ist, um die Imsy zu verschleiern und nicht so oft zu übertragen, gibt es da eine tempoläre Mobile Subscriber ID, die Timsy und das sind alles interessante Daten, die man dann dabei beobachten kann, wenn man sich genau per Diak irgendwie diese Sachen anguckt, dann sieht das dann kommt bei den Cypher, bei den Algorithmen hatte ich vorhin schon kurz aufgeworfen, irgendwie gibt es auch noch den Modus, dass es komplett aus ist, passiert alles in Wirklichkeit, also komplett ohne Cypher oder eben diesen Fake-Cypher wird benutzt oder eben was ein interessanter Wert auch ist, den man beobachten kann, ist der sogenannte T3212, der Location Update Timer, den gibt es auch in 2G, 3G und 4G, der wird bei einem System Infobroadcast rausgeschickt und ist im Prinzip dazu da, wenn der abgelaufen ist, da gibt es einen Zeitraum an, wann das Telefon von sich aus selber wieder ein Location Update machen muss und seine IMSI wieder durch die Gegend schickt und das Ziel von IMSI-Catchern ist halt tatsächlich, den kleinen haben zu wollen. Das führt dann auch zu so einen typischen Anomalien, ich hoffe, man kann das ein bisschen erkennen, ich habe jetzt, das ist auch so eine Live-Session, ich glaube, das ist so ein O2-Netz hier in Deutschland, wo normalerweise ein Location Update Timer von 39 benutzt wird, was 39 mal 6 Minuten Zeitraum ist, also ziemlich lange, 2, 3 Stunden und plötzlich wird der für das Netz auf 1 gesetzt und da absolut verräterisch, weil schick mir bitte in 6 Minuten nochmal deine IMSI passt halt nicht zu dem Rest des Netzes und auf solcher Ebene und so eine Anomalie-Detection kann man IMSI-Catcher eigentlich ziemlich gut und immer erkennen. Zusammen, wenn man eine ganze Reihe von solchen Parametern ausliest, führt das dann zu so interessanten Bildern wie diesen. Hier ist es ein IMSI-Catcher, der eine Telekom-Zelle nachgemacht hat oder eben fast nachgemacht hat. Ich glaube, in der Stelle war das so ein Neosoft-System, der guckt halt tatsächlich erst, welche Bay Stations gibt es in der Umgebung, wo ich operiere, der scant das Netz und verändert dann leicht die Parameter davon. In dem Fall hat er praktisch die Lack geändert, damit geht das hier los. Hier tausend eine neue Location Area Code auf, dann ist das für, wenn man das einfach beobachtet, natürlich erst mal eine Bay Station, die man noch nicht kennt. Dann ist die Signal Strengths auch noch ziemlich hoch gewesen, damit irgendwie alle potenziellen Opfertelefone das auch sehen, sendet, der sehr stark, das auffällig ist. Ja, die wurde das allererste Mal plötzlich gesehen bei dem System, dann ist der Location Update Timer irgendwie geändert und der hat einen Unusual Value, in dem Fall nämlich auch eins, wie wir das eben gesehen haben und alles zusammen gibt dann ein sehr auffälliges Bild irgendwie über diesen IMSI-Catcher und daran lässt sich das sehr, sehr gut erkennen dann tatsächlich, wenn man die Möglichkeit hat, eben auf diese Daten zuzugreifen. Das ist jetzt alles erst mal noch ziemlich einfach für 2G, weil es ein altes Protokoll ist, aus den 80ern eben, da haben wir irgendwie noch der Gedanke, dass die Netze sich nicht gegenüber den Telefonen und den Basebands authentifizieren müssen. Für 3G und 4G ist das dann ein bisschen weitergegangen und Krüger gewonnen, ist es dann vorgesehen, dass auch die Netze sich gegenüber dem Telefon authentifizieren und leider, leider, finden aber wichtige Interaktionen noch irgendwie vor dem sogenannten Security Mode statt, wo dann immer wieder das genutzt wird, eben auch irgendwie für Downgrades auf 2G, wie in dem Patent vorhin irgendwie gezeigt. So wird dann versuchten, Downgrade zu machen, aber es gibt auch simple Methoden, irgendwie einfach zu jammen und die 2G und 3G-Frequenzen, die 3G und 4G- Sequenzen dicht zu machen, so dass das Telefon automatisch wieder auf 2G zurückfällt und jetzt ganz neu wird auch damit beworben von Herstellern in dass sie ein Remote-Downgrade machen können über dieses SS7-Protokoll, wo sie praktisch bei dem Heimnetzwerk des Opfers Bescheid sagen, irgendwie du darfst nur noch 2G benutzen und dann vor Ort mit einem 2G im Sequencer stehen und den einfangen und irgendwie Telefonate abhören können. Genau, damit irgendwie ist es tatsächlich ein bisschen schwieriger, auch in 4G Sachen zu machen, aber eben über diese beschriebenen Angriffe wird es dann auch, ist es halt immer noch nicht sicher und es werden gerade irgendwie auch viele Angriffe genau, die auf solchen Prinzipien beruhen, irgendwie publiziert auf Talks und den Paper an und die setzen alle darauf auf, irgendwie, dass die Security zu spät ansetzt und wichtige Elemente in der Kommunikation mit dem Netzwerk eben noch passieren, bevor oder während der Security-Mode irgendwie gesetzt wird und da 5G sehr, sehr ähnlich wie 4G funktioniert, wird auch davon ausgegangen, dass vieles davon in 5G funktioniert und zusätzlich haben wir bei 5G noch das Problem, dass auch Überwachungsschnittstellen mit in die Spezifikationen einfließen sollen. Da gibt es dann, glaube ich, auch gleich noch den nächsten Talk zu und deswegen wird auch im Sequencer weiter noch ein Problem sein, mit dem wir uns beschäftigen müssen. Ja, ich denke, so als Forderung, die dabei irgendwie am Ende übrig bleiben ist, dass wir offene Basebands brauchen, es kann nicht weiter sein, dass es irgendwie Blackboxes sind, die von Qualcomm irgendwie ausgehandelt werden und definiert werden und keiner kann gucken, was da passiert. Also neben diesem Imsecature-Aspekt ist es natürlich auch einfach ein Security-Problem und auch Angriffsszenarien über das Baseband selber irgendwie sind bekannt und im Umlauf und wir brauchen einfach offene Basebands oder wenigstens Schnittstellen, um die Basebands beobachten zu können wie diese Diaggeschichten. Das Problem an diesen Diaggeschichten ist, dass es halt irgendwie properitäre Qualcomm-Software ist und alles irgendwie nicht öffentlich dokumentiert ist, außer man unterschreibt 1000 NDAs bei Qualcomm, um da überhaupt dran kommen zu können und irgendwie alles so reverse engeniert werden muss oder ja nichts Offenes gibt, also das wäre also eine Forderung irgendwie offene Schnittstellen, um Basebands beobachten zu können. Klar, Imsecature verbieten kann finde ich auch immer eine wichtige Forderung und den Security-Mode in den Specs für die weitere Entwicklung dichter machen und natürlich Überwachungsschnittstellen verhindern. Ja, das war mein kurzer Überblick über das Fangespielen mit Imsecaturen. Ich würde jetzt zu sondern Fragen, so es die gibt, noch übergehen. Genau, ihr kennt das Spiel mit den Fragen schon. Wir haben eine Mikrofonenge, winkt den einfach zu oder wenn ihr im Stream seid, geht in den Chat und fragt dort. Ich glaube, wir haben schon eine Frage aus dem Internet, dann fangen wir doch mal damit an. Ja, richtig. Und zwar wurde gefragt, was für eine Software auf den gezeigten Screenshots verwendet wurde. Das war jetzt, das waren Screenshots von unserem System, was wir verwenden, um die Sensoren zusammenzuführen und so. Das ist halt properitär von von von von uns von GSMK. Da könnt ihr mich auch noch mal direkt ansprechen oder uns direkt schreiben, wenn ihr da irgendwie mehr wissen wollt. Ich wollte da jetzt keine Werbung machen. Da würde ich kurz fragen, weil die können ja nicht direkt ansprechen, welche Kontaktmöglichkeit gibt es da? Einfach gsmk.de, da gibt es glaube ich irgendwie auch Mehladressen und Kontaktfelder und so. Da steht da jemand oder ist das der Engel? Oder du, bist das du eine Frage? Okay, da hat jemand die Hand oben. Gibt es eine Übersicht, was es so an IMSI-Catchern auf dem Markt gibt? Also ich weiß z.B. NRW sind das Geräte von Rode und Schwarz, dass man irgendwie gucken kann, woran man die speziell erkennen kann, Theoräte? Ja, also ich finde tatsächlich wie so dieses IMSI-Catcher Patente suchen, da sind viele Hersteller bei. Also ich habe selber jetzt auch keine absolute Übersicht. Es sind halt irgendwie die großen Player mit irgendwie Rode und Schwarz, Koppel, es gibt da israelische Hersteller, Schweizer Hersteller, Neosoft, aber so eine zusammengefasste Liste von Herstellern habe ich auch noch nicht gefunden. Könnte man bei der Wikipedia mal anfangen. Die werben auch alle, irgendwie könnte man eigentlich anfangen, sowas zu bauen auch mal. So, einmal hintend das Mikrofon, bitte. Ich hatte eine Frage zu dem Remote Downgrade über SS7. Und zwar hattest du da gesagt, dass da wird beim Home Provider Data manipuliert. Habe ich das richtig verstanden und braucht es die Einwilligung des Home Providers oder macht man dann mehr in den Mittel oder setzt man den neu oder funktioniert das? Ja, das ist interessant. Das ist sehr, sehr neu. Wir wissen da auch noch nicht viel darüber. Wir sind gerade dabei, immer zu gucken, wie das gehen kann. Die werben plötzlich damit und wir nehmen an, dass das tatsächlich irgendwie, also im SS7, du musst Zugang zu SS7 haben und da wird sich ja grundsätzlich vertraut. Wenn du erst mal einen SS7 Zugang hast, dann können da alle miteinander irgendwie alles machen, weil es auch so ein altes Protokoll ist, ohne große Sicherheitsfeatures. Und davon ausgegangen wird, dass ja nur gutwillige Menschen dazu gefahren. Und deswegen würde ich jetzt erst mal annehmen, dass du da nicht viel mehr brauchst als ein SS7 Zugang. Einmal hier vorne, bitte. Gibt es eine Möglichkeit, den Downgrade auf 2G zu verhindern und vorzuschreiben, dass nur 3G und 4G nutzbar ist und vielleicht sogar auch vorzugeben, welche Cypher-Methoden genutzt werden? Es gibt ja diese Einstellung in den Telefonen dazu. Da das aber wieder so ein Blackbox ist, weiß ich nicht sicher, also wie doll man den vertrauen kann. Ich glaube, das ist eine gute Idee, wenn man jetzt in der Stadt lebt, die gute 4G-Coverage hat, das auf 4G-Only zu setzen oder so. Es geht in deinem Android-Rom oder was auch immer. Ich würde dem nicht 100% vertrauen, weil du am Ende nicht weißt, was das Baseband macht. Aber das ist auf jeden Fall eine gute Idee, das zu probieren. So, haben wir eine weitere Frage? Ja. Was für Komponenten braucht man, um so ein MC Catcher zu bauen? Wie kompliziert das? Ja, du brauchst also im Prinzip, es gibt USB-Sticks mit Qualcomm Basebands, die so LTE-Module sind oder sowas. Und in Linux kannst du dir die DIAC-Schnittstelle verfügbar machen, als serielle Schnittstelle. Und dann gibt es so Tools, die ich da auch so kurz verwirrte, dieser DIAC-Parser zum Beispiel oder das QC Super, wo du das dann direkt auslesen kannst und für Wire Shark irgendwie aufbereiten kannst und mit den Open Source Tools weiter bearbeiten und solche Sachen eben finden kannst. Und das müsste man sich dann zusammenführen und irgendwie nach solchen Parametern eben dabei suchen. Aber eigentlich ist es ein simples Setup erst mal. Einmal das Internet, bitte. Ja, gibt es noch andere Möglichkeiten als Apps wie Snoop Snitch, sich um den MC Catchern zu entgehen? Noch mal, das kann ich nicht ganz verstanden, ob es noch andere Apps gibt oder andere... Ne, oder? Ja, genau. Wir sind jetzt keine wirklich bekannt. Es gibt noch, wie heißt das, dieses AEM, irgendwie was. Die setzen aber nicht auf der DIAC-Schnittstelle auf. Die versuchen, so ein Zahlenspiel zu spielen und irgendwie über CellIDs und Lachs irgendwie einen Abgleichen mit Open CellIDs und diesen ganzen bekannten CellID-Daten zu machen. Da kommt man, glaube ich, nicht weit genug. Also ich glaube, da sieht man manche Sachen schon, wenn es irgendwie grob daneben geht, irgendwie mit einfachen MC Catchern, aber eigentlich muss man noch tiefer in das Protokoll rein und ich glaube nicht gesehen, dass einem das macht. Und ja, sehr würde ich sagen, Snoop Snitch hat das schon gar nicht so schlecht gemacht damals. Einmal das hintere Mikrofon, bitte. Ja, hallo, ich hätte noch eine Frage. Wie sieht es mit anderen Windows außerhalb von Qualcomm, zum Beispiel MediaTag oder Intel oder Infineon Baseband Chips zu verwenden? Na, die haben ja dasselbe Problem, dass sie die GSM 3G, 4G Specs sprechen müssen und auch damit anfällig sind für MC Catcher und gleichzeitig hast du da dann kaum, du hast keine Schnittstelle wie DIAC, um die beobachten zu können oder ich kenne keine. Es gab bei Intel, irgendwie bei Intel Basebands früher mal irgendwie Möglichkeiten, da tiefer rein zu gucken, aber ich weiß gar nicht, ob das für aktuelle Intel Basebands noch geht. Gut, das vordere Mikrofon, da war eine Frage. Hi, du hast über Analyse und defensive Methoden gesprochen und jetzt mal böse gefragt. Kennst du offensive Methoden, um gegen MC Catcher vorzugehen oder was hältst du davon? Ja, es ist tatsächlich was, wo man drüber nachdenken kann. Das Szenario wäre natürlich, wenn du dann an MC Catcher gefunden hast, den einfach auch zu überfordern, den zu dossen mit vielen Basebands, die sich auf den einwählen. Irgendwann sind auch von dem die Ressourcen erschöpft. Das Problem dabei ist natürlich ein Stückchen dann auch wieder irgendwie, dass du potenziell dann auch normale Basisstationen gefährdest, wenn du dich da mal vertust und keine Ahnung. Deswegen ist das ein Szenario, was ich eigentlich gar nicht so sehr verfolgen will. Ich glaube, simpel ist dann, wenn man erst mal einen erkannt hat, versuchen zu finden, wo der tatsächlich steht und dahin zu gehen und den einzusammeln. Aber das ist dann natürlich auch wieder die Location zu finden. Das ist dann trotzdem noch größere Areas, das ist auch nicht ganz so simpel. Aber das ist so ein Szenario und eine Richtung, in die ich dann am liebsten eigentlich denke, die zu finden und einzusammeln. Möchte noch jemand? Vielleicht das Internet noch ein bisschen was fragen? Da kommt jemand. Schnell, schnell. Ach, da hinten. Da die IMSI-Catcher ja auf IMAI und IMSI aufsetzen. Was gibt es denn für Möglichkeiten, eigentlich diese Nummern schnell zu wechseln? Also, ja, es ist schwierig. Die IMAI ist eigentlich in jedem Baseband, was verbaut wird, fest vergeben und kann nicht geändert werden. Kann sich natürlich hinsetzen und versuchen, die Base des Baseband und die Software und den, was da drauf ist, zu reverse engenieren und zu versuchen, da bestimmte Werte zu ändern. Es ist denkbar, das hinzukriegen. Aber eigentlich ist die fix und du kannst die nicht ändern irgendwie. Und mit bestimmten, wenn du das irgendwie den Aufwand betreibst, ist das natürlich eine Richtung, in die man denken kann, was man versuchen kann. Bei der IMSI selber sehe ich da nicht viel Möglichkeiten, da das ja das zentrale Element ist, mit dem du dich gegenüber deinem Operator authentifizierst und sagst, du darfst jetzt hier bitte telefonieren und Internet machen. Und wenn du die änderst, dann kannst du halt auch nicht mehr telefonieren. Also mit der IMSI wird es schwierig. Bei der IMAI, denkbar. So, noch jemand? Internet? Alle schon weggeschmolzen? Gut, dann bitte einmal Applaus. Vielen Dank. Danke.