 Also toll wieder hier zu sein. Ich werde neu über Mobilfunkssicherheit sprechen. Ich werde hier auch einen ganz anderen Blickwinkel anschauen hier. Also ja, ich werde über das gleiche Thema sprechen wie im Vortrag vorhin. Also wir schauen uns diesen Netzwerk zwischen den Netzbetreibern an und wir werden anschauen wie ihr euch selbst verteidigen könnt gegen diese Angriffe. Viele Netzbetreiber sind offen für solche Angriffe, für viele Jahre. Wenn ihr das auf ein Download anschaut, schaut auch noch den Talk von Tobias an, der gerade vor meinem hier war. Es war ein super Talk. Danke Tobias. Also, neben diesen SS7-Angriffen möchte ich noch über 3G-Unsicherheiten sprechen. Nicht so viele, aber immer noch genügend. Genau im letzten Kapitel gibt es auch einige Tools, um sich selbst zu verteidigen gegen 3G-Angriffe. Also zuerst einmal, was ist das SS7-Netzwerk? Tobias hat die Grundlagen schon abgedeckt. Also eigentlich ist es dieses Netzwerk, in dem verschiedene Netzbetreiber Daten zwischen einander austauschen, zum Beispiel Textnachrichten. Viel sicherheitsrelevanter Informationen als SMS-Nachrichten werden auch ausgetauscht. Zum Beispiel, wenn jemand ein Telefon in einem anderen Land verwendet, möchte man natürlich immer noch bei diesem Visiting-Netzwerk Verschlüsselung für den Telefonanruf zu verhindern. Also wie bekommt das Visiting-Netzwerk denn Verschlüsselung key? Das muss beim Home-Netzwerk angefragt werden. Und diese Information wird über SS7 übertragen. Also das heißt, hier wird kryptografische Informationen übertragen und es ist ein Problem, wenn die falsche Person diese Information anfragen kann. Von einem Sicherheitsaspekt her werden Daten innerhalb eines Netzes von SS7 übertragen. Also wird oft missverstanden als ein Netz, das nur zwischen den Betreibern Daten austauscht, aber tatsächlich wählt auch innerhalb des Netzes eines Betreibern Daten mit SS7 übertragen. Zwischen diesen Mobile-Switching-Centers eines Anbieters zum Beispiel. Und ein Mobile-Switching-Center deckt zum Beispiel eine Stadt ab. Also wenn ein Nutzer zum Beispiel in einem Anruf ist und mit einer Bundeslandgrenze überschreitet, dann muss das neue MSC den Key für das Gespräch haben, das bereits läuft. Also dieser Transaktionsschlüssel muss übertragen werden. Und wieder, wenn die falschen Leute so eine Anfrage stellen können, dann ist das ein Problem. Sicherheitslücke, über die in den letzten Jahren am meisten gesprochen wurde, bis zu Tobias Talk war Tracking. Es wurde oft so verstanden als es gibt eine bösartige Nachricht. Und eigentlich hätte man das nie verwenden dürfen und das kann man nicht einfach in gute Art verwenden. Und Tobias hat eine Zahl gesagt. Die Washington Post hat viel Marketingmaterial dazu gefunden, also 70% der Netzbetreiber antworten auf diese Anfrage. Also gute Nachrichten. Viele Netzwerke antworten unterdessen nicht mehr auf diese Anfrage. Also diese Art von Spionage ist nicht mehr in deutschen Netzwerken möglich zum Beispiel. Aber das ist sehr retroaktiv, ein Schritt um SS7 abzusichern. Denn es gibt auch andere Anfragen, die man auch funktionieren. Zum Beispiel, wenn man eine Telefonnummer an einen anderen Ort mitnimmt. Also hier ist ein Beispiel im Detail. Also wenn jemand denkt, dass durch Integration dieses Trackingproblem gelöst wird, dann liegt dir falsch. SS7 ist nicht sicherbar. Es ist ein viel größeres Problem. Also ihr seht, dass verschiedene Nachrichten hier zusammengebündelt werden. Also diese Zwischenmärte sollten auch nicht veröffentlicht werden, bis zur Subscriberlocation. Also hier geht es von links nach rechts. Die Genauigkeit Tracking bleibt erhalten. Also das ist eine der Möglichkeiten, wie SS7 ein Problem sein kann. Also es gibt auch eine Möglichkeit, Nachrichten abzufangen. Also das heißt, ein Angriff kann SMS lesen oder Angreif abhören. Oder man kann einfach einen Anruf unterbrechen. Oder man kann es unterbrechen, zum Beispiel bis zum nächsten Zellenwechsel oder bis man das Telefon neu startet. Also es ist eine Möglichkeit zum Missbrauch, ein Risiko des Missbrauchs, über das nicht viele öffentlich sprechen wollen. Also zum Beispiel kann man auch auf seine eigene Prepaid-Karte Limite erhöhen und unendlich viel Guthaben aufladen. Und zum Beispiel Premium-Nummer anzurufen. Dann gibt es natürlich das Problem Spamming, das ist bereits passiert, SS7-Spam-Angriffe. Also in diesem Talk hier werde ich mich auf Intercept konzentrieren. Das ist ein Relevantes der für uns. Für natürlich Netzanbieter gibt es andere Probleme hier. Wichtiger sind also Intercept. Ich werde drei Szenarios anschauen. Das erste ist der Missbrauch der genauen Nachrichten. Also bei dem verschiedene Teile des Netzes sich gegenseitig nach Krypto-Informationen fragen. Also das erste ist, man trägt die Funkübertragung auf und die verschlüsselte Transaktion. Bei 3G zum Beispiel sind die Transactions gut gesichert. Aber es ist einfacher, die Funkübertragung aufzuzeichnen. Also man kann diese abgefangene Verschlüssel in Nachricht verwendet, um die SS7-Nachricht zu entschlüsseln. Diese Nachricht sollte verwendet werden, wenn man von einem MSC zu einem anderen MSC wechselt. Aber man ist immer noch beim gleichen Betreiber. Es sollte nicht verwendet werden, wenn jemand von einem anderen Netz dein Telefon abfragen will. Also wenn man einen neuen Encryption-Key braucht, muss das sowieso neu gemacht werden. Also diese Nachrichten sollten nur innerhalb eines Netzes verwendet werden. Aber von den vier deutschen Operators haben alle vier auf diese Anfrage geantwortet aus einem anderen Netz. Also das heißt, konzeptuell ist es eigentlich gar nicht möglich, dass so ein Call in ein anderes Netz zu übertragen. Also es macht keinen Sinn, es Frank zu beantworten. Also diese Information wird an eine Nummer von außen weitergegeben, wenn nach dem aktuellen Encryption-Key gefragt wird. Das zweite Szenario der gute alte IMSI-Catche, was in einem 3G-Netzwerk auch nicht funktionieren würde. Und meistens tun sie es nicht, es sei denn SS7 hilft eben dabei. Also warum funktioniert das nicht ohne SS7? Ein IMSI-Catcher tut so, als wäre er eine Basisstation. Und in der 2G-Technologie kann das Telefon unmöglich den Unterschied feststellen zwischen einer echten Basisstation und einer gefälschten. Aber in 3G-Netz gibt es eine gegenseitige Authentifizierung. Das heißt, die Basisstation muss dem Telefon beweisen, dass es tatsächlich eine legitime Basisstation ist. Und solange das nicht passiert, verbindet sich das Telefon nicht damit. Und das ist so ein bisschen das Problem, dass der Name IMSI-Catchen, der Name alleine, schon bedeutet im Grunde eine Analyste von allen IMSI's zu erstellen. Im Grunde haben wir hier so ein kleines Hände-und-Eye-Problem. Das heißt, wenn ich will, dass eine Basisstation sich mir gegenüber ausweist, dann muss ich zunächst mal sagen, wer ich bin. Es gibt hier keinerlei öffentlichen Schlüssel- oder symmetrisches Kieferfahren. Das heißt, das Einfangen der IMSI's ist eigentlich immer möglich. Und wenn ihr also nach 3G-IMSI-Catchen googelt, diese Dinge existieren, die können zwar nicht Telefonanrufe oder SMS abfangen, denn dafür wäre diese Authentifizierung nötig. Es sei denn, sie fragen über SS7 eben nach diese Authentifizierung. Das heißt, auf einmal sind IMSI-Catcher in der 3G-Welt wieder da, solange wir diese Probleme mit dem SS7 nicht lösen. Die dritte Möglichkeit, etwas abzufangen, das ist wahrscheinlich die Furchterregendste, denn das kann komplett aus der Ferne entfolgen. Bei den üblichen Angriffen muss man sich irgendwo in der Nähe aufhalten. Die dritte Möglichkeit ist aber, ein Anruf umzuleiten. Und das funktioniert in beide Richtungen. Ein Anruf umzuleiten, Tobias hat das schon so ein bisschen erwähnt, bedeutet also, ein Telefongespräch zu nehmen und die Zielnummer zu verändern, sodass man jemand anderen anruft, als man eigentlich glaubt. Und das Opfer merkt das natürlich nicht. Das funktioniert für eingehende Anrufe und auch für ausgehende Anrufe. Die Methoden sind unterschiedlich. Es ist eigentlich ein Zufall, dass das in beide Richtungen funktioniert. Und ich will das hier nur ganz kurz demonstrieren. Tobias und ich haben uns da eigentlich abgesprochen, aber irgendwie haben wir uns da wohl ein bisschen missverstanden. Wir wollen es also beide zeigen. Ich halte es deshalb nur ganz kurz. Eine einzelne SS7-Message kann schon ein riesiges Problem darstellen, wie wir jetzt gleich sehen werden. Ich versuche jetzt mal den Fehler von Tobias zu vermeiden und ich werde dieses Fenster verschieben, damit meine ganze Nummer nicht sichtbar ist. Ich rufe jetzt also ein Telefon an. Oh, das Telefon haben wir zufällig. Blöderweise steht das Fenster jetzt doch hier, verdammt. Okay, ich rufe jetzt diese Nummer an. Ich weiß nicht, ob ihr es hören könnt. Es klingelt also. Und wir haben dieses Telefon versehnlich in Berlin gelassen, aber für diese Demo spielt es eigentlich keine Rolle. Es ist also ein Telefon, das in Berlin liegt und wo keiner rangeht. Und hier ist noch ein weiteres Telefon und wenn ich jetzt einen sogenannten Supplementary Service auf diese Nummer registriere, das ist einfach nur ein toller Ausdruck für Anrufweiterleitung. Und wenn ich jetzt genau die gleiche Nummer nochmal anrufe, dann klingelt es auf einmal dieses Phone. Natürlich, um jetzt da wirklich was abzufangen, würde ich jetzt das Gespräch jetzt nicht auf ein weiteres Telefon umleiten, sondern auf ein Computer, der dieses Core Forwarding schnell wieder ausschalten kann und die Original-Nummer anruft und diese beiden Gespräche dann miteinander verbindet. Das heißt, der Anruf geht tatsächlich dahin, wo er hingehen sollte, aber ich kann in der Mitte sitzen und kann alles mitschneiden, was da passiert. Also, diese Richtung und in die andere Richtung funktioniert genau die gleiche Geschichte auch. Tobias hat euch bereits erzählt, wie diese Dienste, die zum Beispiel die Telefonnummer umschreiben, weil man zum Beispiel, wenn man im Urlaub ist, im Ausland, nicht weiß, dass man die internationale Vorwahl vorwählen muss. Diese Dienste können von jedem aufgesetzt werden, zumindest in vielen Netzwerken und dann passiert genau das, dass jedes Mal, wenn man eine Nummer anruft, wird das ersetzt durch eine andere Nummer und dann wird eben die Verbindung dahin hergestellt. Und für mich ist das die fürchterregendste Art von Angriffen, denn das funktioniert auch, wenn man sich nicht mal in der Nähe auffällt von dem Opfer. Und was überraschend ist, das funktioniert in ganz, ganz vielen Netzwerken, sogar bei den Netzwerken, die einige der Probleme, die wir früher erwähnt haben, schon gelöst haben. Also, was müssen die Netzbetreiber jetzt machen, um das zu lösen? Natürlich ist die Antwort, wie immer, es kommt darauf an. Also, in diesem Falle kommt es auf den Angriffstyp an. Manche Angriffstypen kann man eigentlich abblocken. Zum Beispiel dieses Anytime Interrogation, wie gesagt, 70 Prozent der Netzwerke waren Anfang des Jahres verwundbar für diese Art von Angriff. Mittlerweile sind Deutschland null. Und das selbe gilt auch für diesen ersten Angriff, dieses passive Abfangen. Anfang des Monats haben wir noch gesehen, dass alle vier deutsche Netzwerke angreifbar waren und jetzt sind es nur noch zwei. Das heißt, in der von zwei Wochen haben zwei Netzwerke eine Firewall eingebaut, die diese Message abblockt, weil sie einfach sagen, es kann nicht sein, dass eine solche Message unsere Netzwerkgrenzen überschreitet. Das heißt, da wird das also abgefiltert. Für die anderen beiden Arten von Angriff ist das allerdings nicht möglich, denn diese, diese Messages, die sind ja wirklich nützlich für einige Szenarien. Wenn man zum Beispiel diesen zweiten Angriffstyp abblockt, dann könnte man auf einmal in einem anderen Land nicht mehr telefonieren. Und wenn man das dritte abblockt, dann kann man auf einmal keine Weiterleitung auf seine Mailbox aus einem anderen Land mehr konfigurieren. Das heißt, diese Messages, die brauchen wir. Und... Gott, you guys. Ach, Leute, hört auf an zu rufen. Ich schalte das mal aus. Wir können nicht akzeptieren, dass einfach nur jeder, der über SS7-Anfrage sofort eine Antwort bekommt. Wir sollten also eigentlich nur den in Anführungszeichen Freunden über SS7 beantworten. Das sind eben die Roaming-Partner. Und das sind schon sehr viel weniger Firmen, insbesondere sehr viel weniger zwielichtige Firmen. Und außerdem würden wir dann auch wollen, dass die Netzwerke in irgendeiner Form eine Plausibilitätsprüfung durchführen. Zum Beispiel dieses Telefon in Berlin, wo ich gerade dieses Supplementary Service draufgebracht habe. Das Netzwerk weiß genau, dass dieses Telefon sich in Berlin befindet. Und jemand vom anderen Ende der Welt kann trotzdem dieses Telefon manipulieren. Und jede Form von Plausibilitätsprüfung würde ganz klar sehen, dass ein Telefon, das in einem Land sich befindet, nicht von einem Benutzer aus einem völlig anderen Land modifiziert werden kann. Und außerdem müssen die Netzwerke einfach die Rate, mit denen diese Nachrichten bearbeitet werden, einfach reduzieren. Ich meine, die Firmen, die dieses Tracking anbieten, das scheinen große Firmen zu sein. Die Tracking tausende von Leuten permanent. Und man sollte einfach nicht jeden mixbelieblichen Netzwerk auf der Welt permanent erlauben, tausende von diesen Messages abzuschicken. Mir ist nicht bekannt, dass irgendeine Netzbetreiber solche vernünftigen Regeln eingeführt hätte. Ich habe schon zu oft gehört, dass SS7 eine alte Technologie ist, die dieses nicht mit Aspekten der Sicherheit designt wurde. Aber dasselbe gilt für das Internet. Auch das wurde nicht gebaut mit Sicherheit im Hinterkopf. Man kann zum Beispiel, man sollte nicht mehr ein Windows 95 Computer ins Internet hängen. Das wird in wenigen Sekunden infiziert. Aber wir haben daran gearbeitet. Wir haben Firewalls gebaut. Wir haben nicht mehr das Problem, dass irgendwelche Netzwerkfreigaben oder Drucker auf einmal im ganzen Internet sichtbar sind. Und dasselbe kann man eigentlich auch für SS7 machen. Genau wie mit dem Internet in den 90ern. Dankeschön. Gut, dann will ich euch noch zeigen, jetzt den lustigen Teil. Wir hatten uns darüber unterhalten, ob wir das zeigen wollen als Live-Demo oder nicht. Aber es gibt hier relativ viele Sachen, die schiefgehen können. Aber versuchen wir es mal. Wir fangen also mit einer Telefonnummer an und wir wollen ein paar SS7 Gadgets zusammenschalten. Und wir haben hier auch so einen kleinen Empfänger, der diese 3G-Signale auffangen kann. Und auch noch einige Signale mehr, die über SS7 nicht möglich sind. Dabei fangen wir einfach mit einer Telefonnummer an und wir schicken einen sogenannten SI. Und wenn das Netzwerk so konfiguriert ist, dass es darauf antwortet, dann erreichen wir dadurch, dass wir die EMSI und sehen können. Und zusammen mit dieser anderen Nummer können wir das als Parameter nehmen für einen anderen Aufruf. Und dieser zweite Aufruf verrät uns jetzt die Zelleneidee. Das heißt, mit jedem Aufruf bekommen wir ein bisschen mehr Informationen. Über die Zellidee wissen wir schon ungefähr, wo sich jemand befindet, also physisch. Und jetzt könnten wir uns an diesen Ort begeben und könnten jetzt diese PSIs, also nicht genau die PSIs, sondern eigentlich nur das, was über Funk gesendet wird, könnten wir jetzt aufzeichnen. Das heißt, wenn wir über SS7 ein PSI senden, dann empfängt das Telefon diese Information. Und mit diesem Empfänger und ein paar kleinen Skrips, dann können wir diese Informationen auslesen. Wir können sehen, wer in diesem kurzen Zeitfenster sozusagen angepinkt wurde und können das aufzeichnen. Und wenn wir jetzt in UNTS was aufzeichnen, dann zeichnen wir immer was für mehrere Zellen auf, weil die sich die Frequenzen teilen. Und wir sehen aber diese eine Zelle, die wir über SS7 schon rausgefunden haben. Die ist taucht auch auf und das können wir jetzt rausfiltern. Und können jetzt sehen, wie viele EMSIs in dieser Zelle gepaged wurden. Schön für uns, es war jetzt nur eine. Das heißt, das ist jetzt die sogenannte TIMSI, diese Temporary IMSI. Das ist eine Information, die wir über SS7 nicht kriegen würden. Aber was wir über SS7 machen können, ist, wir können über SS7 mit dieser TIMSI einen Verschlüsselungskiel anfragen. Jetzt wird es ein bisschen kompliziert, aber wir haben jetzt den Verschlüsselungskiel. Und das nächste Mal, wenn dieses Telefon jetzt was empfängt, so werden Sie nicht den Kiel ändern, aber dann können wir was dieser Beantrag nochmal machen. Das nächste Mal, wenn dieses Telefon was empfängt, zum Beispiel eine Textnachricht, dann können wir das aufzeichnen. Ich meine, es ist selber Empfänger, das, was wir hier eben im Bild sehen. Das Telefon hat jetzt diese Textnachricht empfangen. Und ein paar Schritte braucht es noch. Okay, das Telefon hat jetzt die Textnachricht empfangen und wir haben die Funkwellen aufgezeichnet. Wir schicken das Ganze durch ein kleines Knooradioscript. Mit UMTS ist das alles ein bisschen kompliziert. Verschiedene Verbindungen sind hier alle gleichzeitig aktiv und die Kanäle werden gewechselt. Also, um jetzt diese Textnachricht zu dekodieren, müssen wir erst mal herausfinden, welcher Kanal benutzt wurde. Wir haben hier einen kleinen Befehl, mit dem wir die Liste der Kanäle sehen können. Und wir können jetzt unsere TIMSI von vorhin hier wiederfinden in einer dieser Kanalinformationen. Wireshark ist eine tolle Hilfe dafür übrigens. Also, wir mussten hier eigentlich gar nichts machen, denn Wireshark kann von Haus aus schon mit diesen 3G-Paketen umgehen. Und wenn wir hier ein bisschen runterscrollen, sehen wir die Parameter, die uns verraten, auf welchem Kanal diese Transaktion stattgefunden hat. 1548 ist die Kanalnummer. Zellers, wir brauchen die Zelle, wir brauchen die Frequenz. Wir brauchen diese beiden Zahlen. Und wir brauchen den Schlüssel. Das ist ein 64-Bit, darüber reden wir später noch. Und das ist alles, was wir brauchen. Damit können wir eine SMS entschlüsseln. Und da ist die SMS. Dankeschön. Das funktioniert übrigens heute immer noch. Allerdings nur gegen zwei der vier deutschen Netzbetreiber. Manche von ihnen, zwei davon, sind dazu übergegangen, ein paar dieser Messages zu blockieren. Die wichtigste davon, diese SI Message, mit der man diesen Verschlüsseln-Ski bekommt. Aber selbst wenn man diese Location Message hat, das kann schon eine Verletzung der Privatsphäre sein. Werfen wir mal einen Blick auf die 3G-Sicherheit. Erinnert euch noch an die gute alte Zeit, wo man einfach sämtliche Telefongespräche abfangen konnte. Mit diesem Gerät hier, das hat uns damals so viel geholfen. Und dann gab es die Kraken-Software, mit dem man die Gespräche entschlüsseln konnte. Mit einem 20 Jahre alten Telefon und solch einem Server kam man übersetzt. Kann man sämtlichen GSM-Gesprächen zuhören, solange sie diese alte Verschlüsseln-Methode benutzen. Manche Netzwerke sind da schon zu etwas neu übergegangen. Also, ganz so gut funktioniert es nicht mehr. Aber wie, wenn wir das jetzt mit 3G-Sicherheit vergleichen, wie ich gerade eben gezeigt habe. Im Grunde sind die gleichen Angriffsszenarien möglich. Instatt einem normalen Telefon benutzen wir einen programmierbaren Empfänger und ein bisschen Software und für ein paar Hundert Euro kann man sich das als ganze also fast jeder leisten. Man kombiniert das mit diesen SS7-Anfragen und hat genauso gleich Ergebnis. Das heißt, bis wir das SS7 nicht korrigieren, sind 3G-Netzwerke nicht sicherer als normale GSM-Netzwerke. Und auch mit den ganzen Verschlüsselungskeys, die kann man über SS7 herausfinden. Manche Netzwerke, bei denen braucht man nicht mal diesen zweiten Teil des Angriffs. Und da haben wir noch größere Probleme eigentlich als die SS7-Angriffe. Aber einig von euch haben uns ein paar Messdaten bereitgestellt mit dem Release vom letzten Jahr. Und da haben wir etwa 20, 25 Länder festgestellt. Und fünf von denen benutzen überhaupt keine Verschlüsselung im 3G-Netzwerk. Oder vier Länder, aber fünf verschiedene Netzbetreiber. Und das finde ich schockierend. Manche von denen haben sogar im GSM-Netzwerk Verschlüsselung an. Aber haben es entweder vergessen anzuschalten oder haben es absichtlich ausgeschaltet in einem 3G-Netzwerk. Und wie gesagt, diese Netzwerke haben sehr viel größere Probleme als die SS7-Angriffsmöglichkeiten. Und man sollte wirklich mit den Finger auf diesen Netzwerkbetreiber zeigen. Und wir haben eine Webseite, die betreiben wir schon seit ein paar Jahren, GSM-Map. Und da haben wir ein großes Update heute gehabt mit diesen ganzen Messdaten aus den 3G-Netzwerken, die wir und ihr gesammelt habt über die letzten paar Jahre. Und einige von euch haben vielleicht GSM-Map schon mal benutzt. Die Idee dahinter ist, dass wir die Netzwerkbetreiber in so einer Art Rangliste einteilen. Wie schwierig ist es, das zu manipulieren? Ist es schwierig, sich als jemand anderes auszugeben, auf fremde Rechnung zu telefonieren? Wie hart ist es? Wie schwierig ist es, die Position von jemandem nachzuverfolgen? Und wie ihr seht, haben die Netzwerke in den letzten Jahren die Sicherheit schon etwas verbessert, also zumindest manche von ihnen. Und wie ihr auch sehen könnt, das sind die 2G-Netzwerke. Selbst die best abgesichertsten 2G-Netzwerke in Deutschland, also zumindest in Deutschland, sind unserer Meinung nach immer noch weniger sicher die unsächsten 3G-Netzwerke. Wir wollen, dass die Netzwerkbetreiber alle Sicherheitsfeatures implementieren. Und andere Länder haben gar nicht diesen Luxus, dass die 3G-Netzwerke zumindest halbwegs vernünftig abgesichert sind. Die erste Version unserer Metrik ist noch sehr grob. Wir wollen das hier über die Zeit auch verbessern, aber wenn wir das jetzt ein bisschen hochrechnen, dann würden wir 90 Prozent der zu verteilenen Punkt schon mal an die Verteilen die Verschlußung anschalten. Und die restlichen 10 Prozent der möglichen Punkte würde ein Netzwerkbetreiber kriegen, wenn sie diese temporäre EMSI in kurzen Intervallen ändern. Denn das würde einen potenziellen Angreifer wirklich verwirren und würde ihm das Leben schwerer machen. Und es würde auch andere Attack-Angriffsvektoren sehr viel schwerer machen. Und wir werden das noch verfeinern, wenn wir mehr Daten sammeln, aber das ist das, was wir jetzt haben. Also ein großes Update unserer Webseite, wenn ihr es noch nicht gesehen habt, dann geht mal auf diese Webseite, geht auf euer Land und lest euch den Report durch. Es sind um die sechs Seiten ein automatisch generierter Report, der genau erklärt, welche Arten von Messungen wir durchgeführt haben und wie das in den Grafen sich widerspiegelt und warum wir glauben, dass bestimmte Metriken, bestimmte Risiken bergen. Und vielleicht entschließt euch dann dazu, zu einem anderen Netzwerk zu wechseln. Wir haben nicht genug Daten. Es gibt da ein ganz besonderes Problem und da will ich auch ein bisschen vorwarnen, denn ich glaube wirklich, dass wir da so langsam auf ein Problem zukähen. Das ist die Länge des Verschlüsselungskeys. Ich habe in dem Video gezeigt, dass der Schlüssel, der zurückkam, nur 64 Bit lang war für dieses spezielle Netzwerk. Und die SIM-Karte, die dabei benutzt wurde, war in derselben Woche gekauft worden. Wir haben das Video letzte Woche aufgenommen. Die neuesten SIM-Karten, die der Netzwerkbetreiber verteilt, benutzen nach wie vor nur 64 Bit-Kies. Das passt einfach nicht zu dem, was wir aus den Dokumenten von Snowden beispielsweise gelernt haben, dass die NSA in 2011, 2012 ein Projekt finanziert hat um diese 64-Bit-Verschlüsselung zu brechen. Wir haben eigentlich gedacht, dass auf der letzten jährlichen Konferenz das ungefähr eine Million Dollar kosten würde, A53-Verschlüsselung zu brechen. Aber wie es aussieht, hat die NSA oder hier 4 Millionen Pfund ausgegeben. Ich weiß nicht genau, warum Pfund und nicht Dollar, aber vielleicht hat er der Englische Geheimdienst auch noch was mitzutun. Pfund konnte man vor ein paar Jahren bereits 64-Bitschlüssel brechen. Und 64-Bitschlüssel sind sehr viel weiter verbreitet in mobilen Netzwerken, wie ihr das vielleicht denken würdet. Wenn Sie die GSM-Netzwerke auf A53 abgegradet haben, dann haben Sie in der Tat nicht die Security aktualisiert. Sondern was Sie gemacht haben, Sie haben einfach in UMTS einen Keymeter halben Länge verwendet. Es gab dann, mit der gesamten Schlüssellänge hätte es dann A54 gehesen. Es steht im Standard drinnen, aber es wurde an dem selben Tag auch veröffentlicht, als A53 veröffentlicht wurde. Aber keiner ist bisher auf A54 übergegangen. Alle benutzen noch A53. Das heißt, der aktuelle Stand ist, dass GSM momentan von jedem angegriffen werden kann, der eine Million Dollar ausgeben kann, von den Geheimdiensten sicherlich. Und in ein paar Jahren wird das noch billiger werden. Sodass wirklich jeder in der Lage ist, in das Telefonnetzwerk einzubrechen, so wie wir heute in der Lage sind, A51 schon anzugreifen. Und wenn ihr noch ältere SIM-Karten habt, die Netzwerkbetreiber differenzieren dazwischen SIMs und USIMs, wie in UMTS. Das heißt, wenn ihr eine normale alte SIM-Karte benutzt, dann sind auch die 3G-Verbindungen auch in 64-Bit-Verschlüsselung abgesichert. Das heißt, 64-Bit-Verschlüsselung für UMTS. Und das ist einfach nicht gut genug. Wie gesagt, das Netzwerk, was wir benutzt haben für diese Demo, wir waren da wirklich überrascht, dass wir da einen 64-Bit-Key gesehen haben. Und wir sind in unserer SIM-Karten-Datenbank mal durchgegangen und haben viele SIM-Karten gefunden, dieses Problem haben wir. Wir wollten natürlich nicht unfair sein, nur weil wir eine alte SIM-Karte dargesehen haben, da wollten wir dem Netzwerk nicht gerade ein niedriges Rating geben. Deshalb brauchen wir Daten von euch, helft uns diese Daten zu sammeln. Aber das ist ein Grund, warum wir da auch am Ball bleiben werden und da auch weiter machen würden. Und der andere Hauptgrund, das ist wirklich das, was mich nachts wachhält, wie können wir aus diesem Schlammassel wieder rauskommen? Wir machen euch immer mehr klar, welche Probleme es gibt. Es gibt viele Netzwerke, die Probleme haben. Wir müssen immer weiter sammeln und zusammenfügen der verschiedenen Sicherheitsprobleme. Wir können momentan nur abwarten, bis die Netzwerke, die wir nutzen, reagieren. Ich bin ungeduldig, ich will etwas jetzt tun und ich möchte all diese Probleme jetzt ansprechen. Also auch die SIM-Kartenattacken des letzten Jahres, die Rögen oder die Silent-SMS-Attacken, die wir hatten, die SS7-Missbräuche, die wir heute aufgedeckt haben, die IMSI-Catcher, die wir schon kannten, und natürlich auch unzureichend gesicherte Netzwerke und unzureichend konfigurierte Netzwerke. Alle diese Sachen haben eine Sache gemeinsam. Wir wissen, dass sie technisch passieren können. Wir wissen, dass die Netzwerke technisch unsicher sind. Aber wir wissen auch, dass es ganz, ganz tief in den Telefonen versteckt ist. Und dieses ganze Wissen steckt sehr tief drin. Obwohl wir Android programmieren können, dann kommen wir nicht an diesen Part, den wir euch heute hier vorgestellt haben. Also wenn wir an diese Infos rankommen wollen, müssen wir eine Ebene tiefer geben. Wir haben Debug-Möglichkeiten gefunden, um die Broadcom-Chipsetze zu debuggen. Ja, vor allem in LTE-Phonen und auch in anderen Telefonen. Wir haben Möglichkeiten gefunden, um diese Daten zu produzieren, die wir hier angezeigt haben. Und das Ganze, wir haben wir geschafft, auch durch Android-Apps anzuzeigen. Und wir werden diese App heute veröffentlichen. Vielen Dank. Wir haben heute Snoop Snitch unter der GPL-Dizenz veröffentlicht. Ein Tool, das all diese Baseband-Information zusammenfunkt und dann Analysen durchführt. Und ich auch warnend über SIM-Cartnet-Tags, auch über die SS7-Attacken, die sich informiert, wie werden diese Attacken erkannt durch diese Paging-Funktion, die wir eben gesehen haben. Also über SS7 bekommt das Telefon auch die Information, die abgefangen werden. Das ist sehr hilfreich auch für denjenigen, der sich dagegen verteidigen möchte. Wir haben dadurch starke Beweise, die darauf hinweisen, dass das Telefon eventuell angegriffen wird. Das heißt, wir sammeln diese Information und produzieren Warnung. Diese Information aus der App könnt ihr dann auch uploaden und mit uns teilen, wenn ihr möchtet. Es läuft auf einer größeren Anzahl von Android-Phones. Wir haben es noch nicht mit Android Phone getestet, aber das kommt noch. Wir müssen noch ein bisschen dran arbeiten. Wir haben also jetzt Schreib- und Lese-Zugriff auf ein gewisses Interface, das sonst nicht benutzt wird. Also es gibt es im Google Play Store, downloadet es euch, wenn ihr Interesse daran habt. Wie funktioniert dieses Tool? Einfach nur ein Beispiel, mal kurz. Wir haben vor ein paar Jahren ein Capture-Capture veröffentlicht und der hatte allerdings zwei Limitierungen, zwei Einschränkungen. Die erste Einschränkung war, dass es nur an den Osmo-Com-Telefon läuft, die aber nicht richtig als Telefon funktionieren. Und man muss sich dann auch noch ein bisschen an die Telefon-Telefon-Telefon-Telefon-Telefon-Telefon an einem Computer anschließen. Man muss also den ganzen Tag deine Kiste, dein Computer mit rumschleppen. Wir versuchen also das auf euer Telefon, das ihr im Alltag benutzt, zu portieren. Und die zweite Einschränkung war, wir wussten nicht wirklich, wie richtige Emsi-Catchers und wie richtige Netzwerke funktionierten oder funktionieren. Jetzt haben wir ein viel besseres Wissen und viel bessere Kenntnisse der Netzwerke und wir können viel bessere Rulesets-Regeln dafür entwickeln, um dieses Capture Capture Tool funktionsfähig zu machen. Die Regeln betreffen zwei Instanzen. Die erste ist, wenn wir von der GSM-Datenbank sehen, dass Verschlüsselung fehlt. Das ist also ein erster starker Hinweis. Das andere ist das Verhalten der Emsi-Catcher und der Emsi-Catcher will also möglichst viele Informationen von dir abgreifen. Es gibt also verdächtiges Verhalten. Diese Informationen werden nicht von sich selbst. Was sondern wir? Wir suchen den Emsi-Catcher. Wir machen eine Stream-Analyse mit allem, was aber auf deinem Telefon passiert. Und dann, wenn wir etwas finden, dass eine gewisse Schwelle übersteigt, dann kommt eine Warnung in der App. Auch das funktioniert auf einem Qualcomm-Chipsatz mit dem D-Bug-Modus. Wir hoffen, dass wir es in der Zukunft noch weiterentwickeln können. Also wenn ihr mal ein Hinweise seht in der Apps, wir wären sehr dankbar dafür, wenn ihr die mit uns teilen könntet. Also wir glauben, dass es eventuell Hotspots geben wird, wo halt diese Übergriffe passieren. Und wir würden die dann auf der Karte auch mit anzeigen können. Wir vermuten vermutlich halt in politisch sensiblen Bereichen, z.B. rund um die Emsi-Catcher. Und das ist das, was die Emsi-Catcher mit uns teilen würde. Also wir glauben, dass es eventuell Hotspots geben wird, dass es in politisch sensiblen Bereichen, z.B. rund um Botschaften, dass dort solche Punkte sein könnten. Ihr könnt auch aktiv Daten uns mitteilen. Also all die Daten, die ihr produziert, das ist immer bei euch auf dem Telefon gespeichert. Und die könnt ihr uns also auch mitteilen. Wir produzieren mit der App einen Score, wir machen den gleichen Metrik mit den GSM-Daten. Wir müssen nur darauf hinweisen, dass der GSM-Score veraltet ist. Der wird einen Test laufen gelassen. Und dann werden die Daten, die wir da gesammelt haben, zur GSM-Karte hochgeladen. Und wir zeigen halt auch an, ob es dort Verschlüsse gibt oder nicht. Wir hoffen, dass die GSM-Map dadurch immer besser wird. Was hoffe ich, was ihr machen werdet? Ich hoffe, dass ihr euch davon schützt vor den vorgestellten Attacken. Wartet nicht darauf, dass euer Provider euch vor den angesprochenen Problemen schützt. Wir müssen aber auch sagen, einige der Netzwerk-Provider haben die Sachen gefixt, aber immer noch nicht alle. Und selbst diese haben nicht die Mehrzahl der Probleme, die heute gezeigt wurden, angesprochen, geschweige den gelöst. Also, fangt an euch selbst zu verteidigen. Checkout GSM-Map. Guckt, ob ihr auch in einem halbwegs sicheren Netz seid, wie wir euch das vorgestellt haben, ob die Verschlüsselung aktiviert ist oder nicht. Benutzt nicht die Unsicheren. Wenn ihr euch selber schützen wollt, ladet Snoop Snitch runter und guckt euch vor allem an, was dort passiert. Ob es da MC Catcher gibt, ob es leere Nachrichten gibt und ob es Verbindungsprobleme gibt, die auf weitere Probleme hindeuten. Das Tool, das wir benutzen, ist Open Source. Wir hoffen, dass wir die Daten auch offen zugänglich machen. Wir werden die Daten offen zugänglich machen. Macht was ihr wollt. Wir stellen euch die Siro-Daten zur Verfügung. Da wird es bestimmt spannende Projekte von euch geben. Ich freue mich auf eure Projekte, die ihr damit verwirklichen werdet. Vielen, vielen Dank. Vielen Dank, Carsten. Dann beginnen wir mit der Q&A. Für alle, die fragen, ob ihr die Fragen stellt. Wir haben Mikrofone aufgestellt. Wenn ihr den Raum verlässt, macht es bitte schnell und ruhig. Es gibt auch einen Workshop, der parallel hier zu start findet. Der genau erklärt, was das Tool machen kann. Wir haben auch einen MC Catcher vor Ort. Wir versuchen, das alles mal praktisch vorzuführen. Wir haben auch einen MC Catcher vor Ort. Wir haben auch einen MC Catcher vor Ort. Wir haben auch einen MC Catcher vor Ort. Wir versuchen, das alles mal praktisch vorzuführen. Das Ganze passiert in Room C. Zusätzliche Informationen. Carsten Zays start at 19... Carsten angesprochener Talk findet um 19.45 Uhr statt. In Raum C. Jetzt bitte eure Fragen. Okay, Mikrophone Nr. 2. Please do it with no noise. We hear the question from the audience. Okay, Nr. 2, please. Thank you. Thank you. Ich kann so eine Worte sagen, weil es nicht bei QoLcon funktioniert. Wir könnten das einfach auf QoLcon Installieren und das Schein zu funktionieren. Okay. Wie ich QoLcon verstehe, sie entfernen zuerst etwas und dann packen sie eigenen Kramen drauf. Was man braucht sind diese propriätären QoLcon Bibliotheken. In unserem Mod werden sie entfernt. Also, wenn einige das aufhören könnten, dann wäre es sehr schön. Wir brauchen zusätzlich noch die gelöschen Daten. Mikrophone Nr. 1, will you ask? Okay. Are there some questions from the IRC? Gibt es Fragen aus dem IRC? Also, erste Frage aus dem IRC. Also, diese gezeigten Angriffe hier. Können die auf Ebene des einen Ausgabe-Protokolls oder vielleicht mit Textecure umgangen werden? Oder was wären da die Risiken? Gute Frage. Wie kann man sich selber schützen? Wie kann man sich selber schützen? In dem man weniger das Netzwerk des Providers benutzt? Was macht man, wenn man zum Beispiel einfach nur gesicherte Apps benutzt? Natürlich, die Telefonate und die Nachrichten werden nicht Klartext übertragen, da man sie ja noch mal extern überträgt. Das löst allerdings nicht das Problem, nicht das Location Treatings. Es löst nicht das Problem, das Spamming, es löst nicht das Problem des Betrugs. Also, da gibt es weitere Probleme. Man gibt immer noch viel zu viele Daten, wie zum Beispiel seinen eigenen Ort, seine eigene Location bekannt. Eine weitere Frage aus dem Chat. Der ist nicht einfacher, wenn wir von Grund auf ein neues mobilen Netzwerk designen würden und diese ganzen Probleme, die wir jetzt haben, dann nicht hätte. Ich weiß gar nicht, wo man da anfangen sollte, wenn man das alles komplett neu baut. Was ich mir am ehesten vorstellen kann, ist LTE. Das bedeutet Long-Term-Evolution, also Langzeitentwicklung. Man hat also einige Jahre Zeit. Wir haben auch über diese Probleme allerdings gesprochen und einige dieser Probleme sind auch in LTE vorhanden. Wir haben also schon die Chance verpasst, quasi ein ganz neues System aufzubauen. Wir müssen es durch Überwachen, also Monitoring und Firewall-Einsatz schützen. Könntest du mal eine Liste der Libraries bereitstellen, damit man weiß, welche Beizionungen moden noch hinzugefakt werden? Ich denke, das ist relativ einfach. Okay, natürlich, das können wir machen, kein Problem. Ich habe zwei Fragen. Ich habe zwei Fragen. Ich habe zwei Fragen. Ich habe zwei Fragen. Ich habe zwei Fragen. Wenn ich richtig verstanden habe, dann muss man im Netzwerk des Betreibers sein, um diese Angriffe durchzuführen. Ich hoffe, dass das möglich wäre. Aber im Moment sieht es so aus, dass jeder, der sich weltweit bewegt, diese Fragen beantworten kann. Ich zitiere hier einfach noch mal, ich will da lieber nicht zu äußern. Wenn ich nicht falsch bin, ist es die Session-Key. Und es sollte das Nons-Value beinhalten. Also die Session-Key beinhaltet auch einen Nons. Wenn es schon diesen Nons hat, für den Angreifer, muss man also auch diese ersten Stufen nach den Nons-Value abfangen. Nein, das ist nicht richtig. Das ist der Nons. Da weist die SIM-Karte dann, welchen Schlüssel sie erzeugen soll. Wir sind nicht das Telefon. Wir haben nicht das die Telefon-Karte. Wenn wir die SIM-Karte sind, dann ist es die Anfrage, die man schickt. Es gibt nicht nur den Encryption-Key zurück, sondern auch die Nons. Es schickt uns nicht das Nons, und wir brauchen auch das Nons. Das sprechen wir noch mal auf Land. Erst einmal danke für den Vortrag. Danke. Eine Frage ist etwas einfach. Aber habt euch ja auch schon überlegt, dieses ganze Problem mitzuteilen? Also rechtlich gesehen, was kann man für Maßnahmen ergreifen? Ich meine, kann es sein, dass gewisse rechtliche Maßnahmen nicht eingehalten wurden durch das, dass diese Lücken existieren? Wir haben uns damit noch nicht beschäftigt. Es gibt natürlich die Möglichkeit, vor allem sobald wir einen Überblick haben, wo all diese Attacken passieren. Es gibt im Moment überhaupt gar keine Transparenz über die Attacken. Niemand kennt diese Attacken, niemand sucht danach. Sobald damit angefangen wird, damit anfängt, danach zu gucken. Es wird sehr, sehr einfach sein, sie zu erkennen. Zwei der deutschen Network-Provider haben innerhalb von zwei Wochen reagiert, obwohl die Attacken schon über 20 Jahre möglich sind. Ich bin nicht sehr zuversichtlich, dass man wissen wird, wo diese Attacken herkommen. Ich glaube nicht, dass jemand weiß, wo diese Attacken herkommen. Und ich denke auch nicht, dass es besonders sinnvoll sein wird, den Rechtsweg zu gehen. Denn es ist viel besser, wenn man einfach die Möglichkeiten des Missbrauchs ausschließt und die Sicherheitslücken schließt. Also wenn ihr euch alle zusammen tut und über die Apps, Noobstitch oder sonst wie die Daten produziert oder halt die Daten, die wir dann nachher frei geben nutzt, dann werden wir es schaffen, gemeinsam gegen diese Probleme vorzugehen. Du hast gesagt, man kann sich bei SS7 einkaufen. Aber wie einfach ist das wirklich, da Zugriff zu erhalten? Was denkst du, wie viele haben da Zugriff? Ich weiß nicht, wie einfach. Aber es gibt natürlich auch Leute, die rechtlich dafür, die rechtlich gesehen darauf zugreifen dürfen. Aber es gibt natürlich auch noch Subunternehmen. Auf der anderen Seite gibt es natürlich auch Leute, die da bestochen wurden. Es gibt Leute, die sich da reingehackt haben. Aber es sind definitiv viel zu viele, als dass man ihnen vertrauen könnte. Also was brauche ich, damit ich Zugriff habe und damit ich eine Dienstleistung bereist? Ich wünsche, ich könnte dir Nein dazu sagen. Aber natürlich können andere Leute genauso wie ich Zugriff darauf kriegen. Allerdings werde ich euch nicht sagen, wie. Noch eine Frage aus dem Chat. Nein Fragen, also kein Problem für mich. Okay, da gibt es neun Fragen. Zuerst mal. Wie sieht es aus mit Windows-Fones oder jailbroken iPhones? Kann ich die App da auch laufen lassen? Unsere App läuft nur auf Android, nicht auf anderen Plattformen. Aber der Chipset ist natürlich der gleiche. Und wenn man also es schafft, mit dem Chipset zu sprechen, dann ist es einfach eine ähnliche App zu entwickeln. Wir wollen einfach versuchen, die größte Anzahl an Telefon zu erreichen. Das ist im Moment Android. Ein weiterer Gedanke zur Selbstverteidigung. Selbstverteidigung muss nicht proportional sein. Also die Identität ist einfach nicht geschützt in der Digitanzphäre. Und ... Die Identität ist einfach nicht geschützt. Die Identität ist einfach nicht geschützt. Wir wollen mehr proaktiv sein. Wir wollen mehr proaktive Verteidigungstools. Wir hacken die Netzwerke also dann so lange, bis sie keine Möglichkeit mehr haben, außer darauf zu reagieren. Ich kann nicht sagen, dass mir die Idee nicht gefällt. Aber ich werde nächstes Jahr nicht wieder hier sein, um zu erklären, wie ich es gemacht habe. Wann hast du die anderen zwei deutschen Netzwerke geprüft, die das Problem noch nicht gefixt haben? Ich bin Holger. Wir haben letzte Woche gesprochen. Vielleicht habt ihr es auch gefixt? Ich weiß es nicht. Also wir haben es 24 Stunden nach unserem Anruf gefixt. Okay, wow. Bisher spät als nie. Also jetzt sind drei von vier Netzwerkprojördern eines der hunderten Probleme gefixt. S7 ist gefixt? Ja, ich weiß. Deshalb gehen wir nicht zur Presse und sagen, S7 ist gefixt. Telefoniker, wo ist U2? Telefoniker. Sorry, dass ich deine Weihnachten kaputt gemacht habe. Ich würde gerne wissen, wieso diese MT-Pagings passieren im Raum von Location-Tracking. Das ist eine sehr gute Frage. Lass mich noch mal kurz hier zurückgehen und dir noch mal einen der früheren Folien von der Konkurrenzfolien zeigen, die genau dieses Problem noch mehr leutern. Die leeren Pagings funktionieren nicht, wenn man diese komische Interrogation-Message hat. Sie sind nur da, um zu spionieren. Aber wenn man dies dann blockiert, braucht man auch noch ein paar andere Nachrichten, um den Ort herauszufinden. Das ist nicht dafür gedacht, um Location-Tracking zu betreiben, sondern um andere Dienste zu offerieren. Unter anderem diese PSI-Geschichte. Das macht also nur einen Paging. Das macht aus dem auch keinen Sinn. Es macht nur, wenn man etwas hinterher schickt, also eine SMS schickt, einen Ruf schickt. Die Nachricht wird also geschickt in der Erwartung, dass eine Weiteraktion folgt, eine SMS oder einen Anruf. Und da, also, wenn man einen Ruf schickt, also, wenn er halt nichts darauf folgt, daher kommt dann also dann dieses leere Paging-Problem. Also in all diesen Fällen, wo eh etwas dazukommt. Das ist nicht irgendwie eine doppelte Überprüfung. Soll das nicht die lokalste Information schon da sein? Ja, ja. Das ist das, was wirklich da ist. So, es ist eigentlich, dass jemand, der einfach die Location verabschiedet hat, den Stichwort, dass er etwas verabschiedet hat. Sollte man das wirklich noch mal checken, dass er wirklich da ist, weil er ansonsten nicht mehr da ist. Es ist keine Erwartung, dass nach etwas kommt, sondern um die aktuelle Zelle zu erhalten. Wenn man sich bewegt, in Ort, dann ist das Gebiet das Abgedeckteste vom Switching-Center, kann es sein, dass die Nachricht, kann es sein, dass das Telefon nicht unbedingt die Basisstation kontaktiert. Also es kann sein, dass die letzte Position des Netzwerks an einem Ort ist, an dem man eine SMS erhalten hat oder einen Anruf. Und dann hat man sich bewegt und das Telefon hatte inzwischen keinen Netzwerkkontakt. Das heißt, das Netzwerk würde dann nur den letzten Ort kennen. Also deshalb gibt es dieses empty Paging. Damit das Netzwerk wirklich weiß, wo das Telefon sich gerade im Moment befindet. Das ist auch weil der Grund, weshalb die Polizei solche stillen SMS verwendet, um eben den letzten Ort im Netzwerk festzustellen. Und diese Subscriberinformation, darüber erhält man einfach den letzten bekannten Standort. Und wenn man bei dieser Anfrage die current location flag setzt, dann passiert das empty Paging und dann hat man den aktuellen Standort. Das ist ein gutes Beispiel, wie das funktioniert. WSS7, also gefixt werden kann. Da gibt es eine Option. Wir nehmen dieses normale Feature, das absolut benötigt wird. Und wir nehmen einfach nur diese Extension, um das zu fixen. Es gibt also einige Netzwerke, die sich einfach dafür entschieden haben, diese Anfragen nicht mehr zu beantworten, die einfach mit 0000 antworten und ganz einfach also dieses Problem gelöst haben. Und das ist überhaupt kein Problem. Also die Netzwerke haben das gendert ohne das zu Problemen kommen. Man kann das also ganz einfach lösen. Also eine weitere Frage, wenn es eigentlich ist, um Telefone zu atmen, also in welcher Zelle man wirklich ist, das impliziert, dass es nicht nur eine Base Station ist, die den Paging Call schickt, sondern natürlich eine große Anzahl. Weißt du etwas darüber, wie viele Darings um diesen Paging Request schicken? Jeder kann das so implementieren, wie er es möchte. Ich weiß nicht, wie aber 3G funktioniert es, 2G gibt es immer eine Zelle, die dich zuletzt gesehen hat und dann sendet es also ein Signal, dass dich in einem größeren Rahmen sucht und noch größeren suche und das kann halt also erweitert werden, bis es dich in dem ganzen Land sucht. Okay, Questions from the IRC. Noch weitere Fragen aus dem Chat. Erlaubt Snupsnitch auch Angriffe zu machen in Ländern? Kein bestimmtes Land. Erlaubt es dir, in gewissen Ländern Angriffe aufzuzeigen? Ja, das ist der einzige Nutzen und der einzige Zweck dieser App funktioniert auch in Ländern. Also, war dir erfolgreich, im Angriff zu detektieren? Also, in Saal C können wir euch dann zeigen, wie es funktioniert und wie Leute angegriffen werden und wie wir es auch im Moment anzeigen, wie wir es im Moment auch direkt berichten können und live übertragen. Also, zurück zu SS7 Grundlagen zu gehen, kurz erklären, wie SS7 implementiert wurde. Ist das wie ein WPN auf dem öffentlichen Internet? Was ist die technische Realität? Das ist eine sehr gute Frage. Ich habe nur die Hälfte der Information. Ich lerne die ganze Zeit noch weiter dazu. Es wurde implementiert eigentlich als Netzwerk zwischen Telekom in Europa und da gab es also Sektron. Das waren spezielle, dafür dedikizierte Kabel, die nur SS7 übertragen sollte. Jede der Telekom musste zu einer anderen Telekom ein spezielles Kabel ziehen. Und jetzt gibt es allerdings auch Routing. Das heißt, man muss nicht jedem ein Kabel ziehen, sondern durch die Routing-Provider kann man also sich verbinden. Sie müssen also jetzt nicht auf einem neuen Telekom bis bis, braucht man also nur noch diese Routing-Provider und sie müssen nicht mehr direkt eine Kabel zu deinem Haus ziehen, sondern du wirst nur noch per WPN verbunden. Und das ist wirklich sehr, sehr schwierig, deine Adresse zu ruten. Man braucht nur einen Routing-Provider und der Routing-Provider weiß, der von deiner Adresse weiß. Es gibt nur sieben oder neun Routing-Provider, aber die wissen, wo du wirklich bist. Man müsste also neun Roaming-Aggreements für SS7 unterschreiben und tatsächlich, das ist ein ganz händischer Prozess, es ist sehr, sehr schwierig, das umzusetzen von der Publikation Internet. Es ist nicht wirklich eine Angriffsfläche. Der Niederlevel Service kann also ein Text-Service sein, aber es ist sehr selten. Es ist viel häufiger, wie wir es so vermutlich ein Messenjahr vorstellen würden, wie die Interconnect-Netzwerke funktionieren. Es gibt ein Datennetzwerk GIX, das die Daten zwischen den einzelnen Netzwerken routet. Manchmal wird es tatsächlich unverschlüsselt über das Internet gemacht würde. Und es gibt auch ein SSS7-Ersatz, die Diarmeter, das tatsächlich nur IP hier ist. Das muss man also durch ein VPN-Tunnel schicken, bevor man es über das Open Internet schickt. Es ist doof, aber Leute machen es trotzdem. Meine Frage ist, kannst du was sagen zu, wie so diese Sorten von Anfang überhaupt in Portugal sind, wenn es so einfach zu blockieren und zu reparieren ist. Und außerdem die ganzen weiteren Anfragen, die so einfach zu reparieren sind. Ich habe keine Antwort auf deine erste Frage. Warum mache ich meine Tracking-Nachricht? Und warum nennt man es dann auch noch Interrogation? Das ist Spionage-Software. Und es gibt keinen praktischen Nutzen. Wer hat SS7 geschrieben, westeuropäische Staaten, die vor den Russen und vor den Soviets verängstigt waren? Zweite Frage noch mal, bitte. anderen von Wundbarkeiten sind die auch so einfach zu reparieren. Also diese Send-Identification-Message, da kann man einfach blocken, das ohne Problem. Aber die anderen, die braucht man international, zumindest um Roming zu ermöglichen. Das Beste, was man machen kann. Also diese Anfragen blocken von allen, die nicht an Roming waren. Da sind wir der erste Möglichkeit vor allem und dann auch Plausibilitätsprüfung durchführen, um zu gucken, ob derjenige, der die Anfrage stellt, tatsächlich aus deinem eigene Netzwerk kommt, um sicherzugehen, dass es nicht von irgendwo ganz woanders, aus dem anderen Land kommt. Wenn es 800 verschiedene Teilnehmer gibt, dann ist es möglich mit der Plausibilitätsanfrage.