Compass Security AG - Hacking

Transcription

Compass Security AG - Hacking
Compass Security AG
[The ICT-Security Experts]
Mobile Security - Angriffsszenarien auf mobile Dienste:
Wie (un-)sicher sind Laptop, iPhone, Blackberry & Co.?
Marco Di Filippo
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Wer bin ich?
Marco Di Filippo
“
“
“
“
“
Regional Manager Germany
verheiratet, eine Tochter
Kreativer Umgang mit TK(IT)- Sicherheitssystemen seit1996
Werdegang: Von der TK-Security zur IT-Security
Spezialgebiete sind
“ technische Sicherheitsprüfungen
“ ICT- Sicherheitskonzepte (VoIP, PSTN, GSM …)
© Compass Security AG
www.csnc.ch
Slide 2
Übrigens: Heute müssen Sie Ihr Telefon
nicht ausschalten. Ich empfehle jedoch
den Stumm-Modus ;-)
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Agenda
Wer ist Compass Security AG?
Einleitung
Betrachtungsweise Mobile Security im Bezug auf
“ die Plattform/das Netzwerk
“ die Hardware
“ die Applikationen
“ die Schnittstellen
Zusammenfassung/Resümee
Fragen
© Compass Security AG
www.csnc.ch
Slide 4
Wer ist Compass Security AG?
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Zahlen/Fakten
Gründungsjahr
1999
Geschäftsführer u.
Gründer
Walter Sprenger & Ivan Bütler
Firmensitz
Rapperswil SG
Anzahl Mitarbeiter
21
Schwerpunkt
Ethical Hacking - Penetration Testing - IT-Forensics
Besonderheiten
Betreiber des Hacking-Labs, Veranstalter des SCS
(bzw. Attacke&Defense in DE)
Kunden
Finanzdienstleister, Telekommunikation, Industrie…
© Compass Security AG
www.csnc.ch
Slide 6
Das Team
© Compass Security AG
www.csnc.ch
Slide 7
Service Portfolio
.
.
.
.
© Compass Security AG
www.csnc.ch
Slide 8
Das Mobile Netzwerk
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Die Geschichte
.
Cap‘n Crunch Hack
Dank einem mehr oder weniger
exakt 2600 Hertz hohen Ton (z.B.
mittels einer Pfeife aus einer
Cornflakes-Packung) konnte man
den Gebührenzähler beim
CCITT5-Standard manuell
deaktivieren, um Kosten zu
sparen.
John Draper
Er perfektionierte die
Entdeckung von Joseph
Engressia (16-jähriger blinder
Schüler) in Form von der 1970
entwickelten BlueBox, mit der
man die Gebührenzähler von
AT&T überlisten konnte.
© Compass Security AG
www.csnc.ch
Slide 10
Die Geschichte
.
BlueBox
Die BlueBox produzierte einen
2.600 Hertz-Ton, welcher von
CCITT v5-kompatiblen
Vermittlungsstellen benutzt
wurde. Beim Phreaking wurden
damit illegal kostenlose
Telefonate erschlichen.
BeigeBoxing
Dienst zum illegalen Anzapfen
der Telefonleitung einer anderen
Person, um auf deren Kosten zu
telefonieren bzw. Gespräche
mitzuhören. Die BeigeBox hat
ihren Namen von der beigen
Farbe der durch sie angezapften
Verteilerkästen.
© Compass Security AG
www.csnc.ch
Slide 11
Mobile Network Architecture
Ansatzpunkte möglicher Manipulationen
© Compass Security AG
www.csnc.ch
Slide 12
Allgemein
Mobile Geräte: kritisch und oft vergessene Kinder ...
“
“
“
“
“
“
Mobile Geräte arbeiten oft ohne schützende Firmen-Firewall.
Sie werden viel transportiert und sind einfach zu bewegen.
Sie kommunizieren mit fremden Netzen über unsichere Verfahren.
Die Benutzer haben oft Administrator-Rechte.
Können einfach entwendet, geklaut oder zerstört werden...
Werden im Sicherheitskonzept oft vergessen oder bewusst nicht
berücksichtigt.
Übrigens: Haben Sie die Verschlüsselung Ihres BlackBerrys oder
den Zugangsschutz Ihres iPhones aktiviert?
© Compass Security AG
www.csnc.ch
Slide 13
Allgemein
Mobile Endgeräte sind heute mobile Datenträger
“ Nur eine kleine Anzahl mobiler Devices besitzt heute einen
angemessenen Schutz der auf ihnen gespeicherten Daten.
“ Wenn ein Angreifer den physikalischen Zugang zu einem Datenträger
erlangt, kann er sämtliche Schutzmechanismen des Betriebssystems
umgehen – es sei denn, der Datenträger ist verschlüsselt.
© Compass Security AG
www.csnc.ch
Slide 14
Glauben Sie dass die Ortung von mobilen
Geräten ausschließlich Sache von
Behörden und Geheimdiensten ist?
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Wo bin ich? Ortung mittels GSM
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Professionelle Ortung (Kreuzpeilung)
Erfasste Daten:
Sendmasten
Kreuzpeilung
Mikrophon
© Compass Security AG
www.csnc.ch
Slide 17
Ortung durch LBS Location Based Services
Welche Informationen werden zur Ortung benötigt?
“ Daten der Mobilfunkzelle, in der sich das Endgerät aufhält/befindet
“ Datenbank mit den Senderkoordinaten (BTS/BSC)
© Compass Security AG
www.csnc.ch
Slide 18
Ortung durch LBS Location Based Services
Relevante Daten der momentan aktiven/befindlichen Zelle
lokal auslesen (Beispiel iPhone)
“ Aktivieren des Feldtest-Modus
© Compass Security AG
www.csnc.ch
Slide 19
Ortung durch LBS Location Based Services
Relevante Daten der momentan aktiven/befindlichen Zelle
lokal auslesen (Beispiel iPhone)
“ Aktivieren des Feldtest-Modus
“ Auslesen der GSM Cell Daten
© Compass Security AG
www.csnc.ch
Slide 20
Ortung durch LBS Location Based Services
Relevante Daten der momentan aktiven/befindlichen Zelle
lokal auslesen (Beispiel iPhone)
“ Aktivieren des Feldtest-Modus
“ Auslesen der GSM Cell Daten
“ MCC (Mobile Country Code)
© Compass Security AG
www.csnc.ch
Slide 21
Ortung durch LBS Location Based Services
MCC (Mobile Country Code)
“ Anhand der ersten Ziffer kann man eine kontinentale Einordnung
vornehmen:
0
1
2
3
4
5
6
7
8
9
nicht vergeben
nicht vergeben
Europa
Nordamerika und Karibik
Asien, Indien, naher Osten
Australien und Ozeanien
Afrika
Südamerika
nicht vergeben
Welt
Siehe auch www.nobbi.com/wiki/doku.php/mcc
© Compass Security AG
www.csnc.ch
Slide 22
Ortung durch LBS Location Based Services
MCC (Mobile Country Code)
“ Die zweite und dritte Ziffer definiert das Land (Auswahl):
262
228
232
234
235
310
316
Germany
Switzerland
Austria
United Kingdom
United Kingdom
bis
United States of America
Siehe auch www.nobbi.com/wiki/doku.php/mcc
© Compass Security AG
www.csnc.ch
Slide 23
Ortung durch LBS Location Based Services
Relevante Daten der momentan aktiven/befindlichen Zelle
lokal auslesen (Beispiel iPhone)
“ Aktivieren des Feldtest-Modus
“ Auslesen der GSM Cell Daten
“ MCC (Mobile Country Code)
“ MNC (Mobile Network Code)
© Compass Security AG
www.csnc.ch
Slide 24
Ortung durch LBS Location Based Services
MNC (Mobile Network Code)
“ Der MNC steht für den Netzbetreiber
01
02
07
© Compass Security AG
T-Mobile
Vodafone
O2
www.csnc.ch
Slide 25
Ortung durch LBS Location Based Services
Relevante Daten der momentan aktiven/befindlichen Zelle
lokal auslesen (Beispiel iPhone)
“ Aktivieren des Feldtest-Modus
“ Auslesen der GSM Cell Daten
“ MCC (Mobile Country Code)
“ MNC (Mobile Network Code)
“ LAC (Location Area Code)
organisatorische Zusammenfassung von Zellen
© Compass Security AG
www.csnc.ch
Slide 26
Ortung durch LBS Location Based Services
Relevante Daten der momentan aktiven/befindlichen Zelle
lokal auslesen (Beispiel iPhone)
“ Aktivieren des Feldtest-Modus
“ Auslesen der GSM Cell Daten
“ MCC (Mobile Country Code)
“ MNC (Mobile Network Code)
“ LAC (Location Area Code)
organisatorische Zusammenfassung von Zellen
“ Cell ID, zwei Bytes die eine
Zelle innerhalb einer LAC
identifizieren
© Compass Security AG
www.csnc.ch
Slide 27
Ortung durch LBS Location Based Services
In unserem Beispiel wäre die eindeutige Lacation Based ID
MCC – MNC – LAC – CID
262 – 01 – 38175 – 0028435
© Compass Security AG
www.csnc.ch
Slide 28
LiveDemo [Aktuelle Cell-ID]
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Ortung durch LBS Location Based Services
Alternative Tools zum Ermitteln der Location Based ID
TAPIR: NetMonitor mit PC-Unterstützung
Siehe auch www.nobbi.com/monitor/index.html
© Compass Security AG
www.csnc.ch
Slide 30
Ortung durch LBS Location Based Services
Alternative Tools zum Ermitteln der Location Based ID
GPS Tracker Peilsender TK102-2
Siehe auch www.itakka.at/shop/ und www.positionx.de
© Compass Security AG
www.csnc.ch
Slide 31
Ortung durch LBS Location Based Services
Ermitteln der Location Based ID aus der Ferne
“
“
“
“
Mittels Trojaner
Ortung mittels Dienstleister (Ortungsfreigabe bei Provider Notwendig)
SAT (SIM Applikation Toolkit)
Carrier Services Home Location Register Lookup‘s (SS7)
© Compass Security AG
www.csnc.ch
Slide 32
LiveDemo [Jedermann Lokalisierung]
+
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Proof-of-Concept
Please Call
+41 55 214 xxx
+
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Ortung durch LBS Location Based Services
How To Use The Proof-of-Concept?
“ Rufnummer +41 55 214 xxx (keine Blockwahl) wählen
“ Nach dem Signalton die zu lokalisierende Nummer international
eingeben (z.B. 491511234567 oder 41791234567)
“ Mit # Eingabe bestätigen
“ Rufnummer wird wiederholt
“ Lookup wird durchgeführt (Dauer ca. 3 - 5 Sekunden)
“ Ländercode (Standort) angesagt (z.B. "d","e" oder "c","h")
© Compass Security AG
www.csnc.ch
Slide 35
Was nun? Die Ermittlung des
Standortes ist auch eine Frage der
richtigen Datenbank
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Ortung durch LBS Location Based Services
Die Ermittlung des Standortes ist eine Frage der Datenbank.
Ziel: Cell-ID zu Koordinaten (z.B. UTM-System, Gauß-Krüger,
Google etc.)
“ Datenbank der Netzbetreiber
Nachteil: Non-Public, nur den Netzbetreibern und Behörden
zugänglich
“ Nutzung freier Datenbanken
“ www.nobbi.com/btsquerydb.html
“ http://sercpos.com
“ www.opencellid.org
“ http://developer.yahoo.com/yrb/zonetag/locatecell.html
Nachteil: Örtlich begrenzt, unvollständig
“ Googledaten???
Googledaten???
Nachteil: NonNon-Public
© Compass Security AG
www.csnc.ch
Slide 37
LiveDemo [Lokalisierung via Dienstleister]
+
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Ortung durch LBS Location Based Services
(Stille) Lokalisierung mittels Dienstleister
“ Step 1: Dienstleister autorisieren
© Compass Security AG
www.csnc.ch
Slide 39
Ortung durch LBS Location Based Services
(Stille) Lokalisierung mittels Dienstleister
“ Step 1: Dienstleister autorisieren
“ Step 2: Nachricht löschen
© Compass Security AG
www.csnc.ch
Slide 40
Ortung durch LBS Location Based Services
(Stille) Lokalisierung mittels Dienstleister
“ Step 1: Dienstleister autorisieren
“ Step2: Nachricht löschen
“ Step3: „Freund“ anlegen
© Compass Security AG
www.csnc.ch
Slide 41
Ortung durch LBS Location Based Services
(Stille) Lokalisierung mittels Dienstleister
“
“
“
“
Step 1: Dienstleister autorisieren
Step2: Nachricht löschen
Step3: „Freund“ anlegen
Step4: Lokalisieren – fertig!
© Compass Security AG
www.csnc.ch
Slide 42
Ortung durch LBS Location Based Services
Wie sammelt Google seine Daten?
Übermittlung der Daten
© Compass Security AG
www.csnc.ch
Slide 43
LiveDemo [Use Google's Dataset]
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Ortung mittels SS7-Protokoll
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Ortung mittels SS7
Was macht eigentlich das SS7 (Signalling System 7)?
“ SS7 ist eine Reihe von Protokollen für die Signalisierung in öffentlichen
TK-Netzen, wie z.B. ISDN, Mobilfunknetz und VoIP-Netzen
“ Wird von den meisten TK-Betreibern weltweit genutzt, um miteinander
Information auszutauschen
“ Durch die ITU-T (früher CCITT) in den Serien Q.700 standardisiert
“ Zum Zeitpunkt des SS7- Entwurfs gab es wenige Telekom-Betreiber
die dieses nutzten (diese waren entweder staatlich oder Monopolisten)
“ Keine Authentifizierung implementiert
“ Heute kann „jeder“ Betreiber (z. B. VoIP) SS7-Zugang bekommen
“ Publizierung des Proof-of-Concepts auf dem CCC 2008 (durch Tobias
Engel)
© Compass Security AG
www.csnc.ch
Slide 46
Ortung mittels SS7
Zur Erinnerung…
Die Base Transceiver Station (BSC)
BSC)
kontrolliert mehrere Basisstationen
(BTS), teilt diesen die zu nutzenden
Frequenzen zu und kann den
Handover veranlassen.
Das Mobile Switching Center (MSC
MSC),
MSC
dient als Vermittlungsknoten für die
Weiterleitung der Anrufe und SMSNachrichten innerhalb des Netzes
oder in das Festnetz. Das MSC
kommunizieren über das Signalling
System #7 (SS7
SS7).
SS7
Das Visitor Location Register (VLR
VLR),
VLR
speichert Daten der User, die das
MSC nutzten und keine Kunden des
jeweiligen Netzbetreibers sind.
© Compass Security AG
www.csnc.ch
Das Home Location Register (HLR
HLR)
HLR
eines Netzbetreibers enthält die
persönlichen Daten aller Kunden.
Slide 47
Ortung mittels SS7
Welche Infos werden mittels SS7 an das MSC im Roaming
übertragen?
“
“
“
“
die IMSI (die „echte“ Rufnummer)
Adresse des Home Location Register des Nutzers
die Location Area Identification (LAC)
Sendegebiet, in dem sich das Telefon befindet
© Compass Security AG
www.csnc.ch
Slide 48
Ortung mittels SS7
Call-Setup
© Compass Security AG
www.csnc.ch
Slide 49
Ortung mittels SS7
Übermittlung von SMS-Nachrichten
© Compass Security AG
www.csnc.ch
Slide 50
Ortung mittels SS7
Anbieter von/mit SS7-Zugängen
www.mobilant.com
© Compass Security AG
www.csnc.ch
Slide 51
Ortung mittels SS7
Anbieter von/mit SS7-Zugängen
www.tyntect.de
© Compass Security AG
www.csnc.ch
Slide 52
Ortung mittels SS7
Anbieter von/mit SS7-Zugängen
www.routomessaging.com
© Compass Security AG
www.csnc.ch
Slide 53
Ortung mittels SS7
Provider Home Location Register Lookups und LBS
http://gateway.smsitaly.com/hlr/default_msc.asp
© Compass Security AG
www.csnc.ch
Slide 54
Ortung mittels SS7
Provider Home Location Register Lookups und LBS
http://www.smssubmit.se/en/hlr-lookup.html
© Compass Security AG
www.csnc.ch
Slide 55
Ortung mittels SS7
Welche Routing-Infos werden zurück gegeben?
“ die IMSI (die „echte“ Rufnummer)
“ Die Kennung der genutzten MSC
“ Benutzer-Fehler (z. B. "Absent Subscriber" == das Telefon ist
ausgeschaltet)
© Compass Security AG
www.csnc.ch
Slide 56
LiveDemo [Ortung mittels SS7 abfrage]
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Ortung mittels SS7
Auch hier ist die Nutzung der richtigen Datenbank essentiell!
Berlin
Hamburg
Frankfurt
Stuttgart
München
T-Mobile Germany
Vodafone Germany
+491710360000
+491710400000
+491710650000
+491710700000
+491710870000
+491720012097
+491720022097
+491720061097
+491720076097
+491720082097
© Compass Security AG
www.csnc.ch
Slide 58
Ach ja… eine kleine Randnotiz…
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Ortung durch GPS/Geotagging
Übrigens: Wussten Sie, dass Ihr Smartphone GeoTags in Ihren
Fotos speichert?
© Compass Security AG
www.csnc.ch
Slide 60
Ortung durch GPS/Geotagging
© Compass Security AG
www.csnc.ch
Slide 61
Abhören von Daten und Sprache
[Luftschnittstelle]
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
ISMI Catcher
IMSI Catcher lokalisiert umliegende Handys und kann alles
aufzeichnen
“ Mobile GSM Empfangszelle
“ Reichweite 800 m bis 1,5 km
“ Alle Telefongespräche, SMS, Daten und Nummern können
mitgeschnitten werden
“ Kosten ca. 11.000.- Euro pro Set
© Compass Security AG
www.csnc.ch
Slide 63
The OpenBTS Project
Das OpenBTS Projekt simuliert eine GSM-Funkzelle
“
“
“
“
Open-Source Unix Applikation
Nutzt das Universal Software Radio Peripheral (USRP) www.ettus.com
Stellt ein GSM-Fukzelle zur Verfügung
Nutzt die Open-Surce Asterisk Software PBX zum Connectieren der
Calls
Siehe auch http://openbts.sourceforge.net/
© Compass Security AG
www.csnc.ch
Slide 64
The OpenBSC Project
Forciert die Entwicklung eines Open-Source Base-StationControllers (BSC) für GSM-Netze
“ Wurde auf dem Chaos Communication Congress 2008 vorgestellt
“ Simmuliert einen BSC
“ Die Software beherrscht SMS-Versand und das Durchstellen von
Gesprächen.
“ Momentan werden Softwareseitig folgende BTSen unterstützt:
“
BS11 mikro BTS von Siemens (E1 Primärmultiplex Schnittstelle)
“
ip.access nano BTS (PoE Schnittstelle)
Siehe auch http://openbsc.gnumonks.org/trac/wiki/OpenBSC
© Compass Security AG
www.csnc.ch
Slide 65
Kommerzielle Lösung
Running your own GSM-Network for everybody. Buy it!
www.ipaccess.com
© Compass Security AG
www.csnc.ch
Slide 66
Kommerzielle Lösung
Running your own GSM-Network for everybody. Buy it!
www.ipaccess.com
© Compass Security AG
www.csnc.ch
Slide 67
SIM-Schnittstelle als Angriffsvektor auf
mobile Endgeräte
[SIM Application Toolkit]
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Übrigens: Haben Sie mittlerweile die
Verschlüsselung Ihres BlackBerrys oder
den Zugangsschutz Ihres iPhones
aktiviert? Ich hatte Sie eingangs daran
erinnert…
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
SIM Application Toolkit
Weshalb ein Angriff auf die SIM-Schnittstelle?
SIM Schnittstelle als universeller Angriffsvektor auf mobile Endgeräte
Standardisierte Schnittstelle
Realisierung: Hardware-basierter Man-in-the-middle-Angriff
Fernwirken von Endgeräten (wie teilweise schon von den
Netzbetreibern genutzt)
“ Publizierung des Proof-of-Concepts auf dem BSI-Kongress 2009 (durch
Benedikt Heinz)
“
“
“
“
© Compass Security AG
www.csnc.ch
Slide 70
SIM Application Toolkit
SIM-Karte
“ Ausgabe durch den Netzbetreiber
“ Aufgaben
“ Kryptografische Authentisierung des Mobilfunknutzers
“ Geschützter Datenspeicher (Telefonbuch, SMS)
“ Endgeräteunabhängig
“ Funktionsweise
“ Standartisierte Schnittstelle – Smartcard (T0 Protokoll)
“ Unverschlüsselte, serielle Datenübertragung zum mobilen
Endgerät (ISO/IEC 7816-3)
© Compass Security AG
www.csnc.ch
Slide 71
SIM Application Toolkit
Wozu dienen SIM Application Toolkit (SAT)?
“ Wunsch der Netzbetreiber nach Zusatzdiensten
“ (z.B. Homezone, betreiberspezifische
Menüs, etc.)
“ Endgeräte: viele verschiedene Hard-/Software
Plattformen
“ Anpassung stellt enormen Aufwand dar
“ SIM-Karte wird vom Provider ausgegeben
“ einheitliche Hard-/Software
“ SIM Application Toolkit
“ Zusatzdienste werden auf der SIM-Karte
realisiert
“ Kommunikation mit der Außenwelt über
das Endgerät
© Compass Security AG
www.csnc.ch
Slide 72
SIM Application Toolkit
Funktionen des SIM Application Toolkit
“ Versand und Empfang von Kurznachrichten
(SEND SHORT MESSAGE, SMS-PP Download)
“ Initiieren ausgehender Anrufe (SET UP CALL)
“ Umleiten ausgehender Anrufe (CALL CONTROL)
“ Positionsbestimmung
“ Datenübertragung via GPRS/UMTS
“ Senden von AT-Kommandos an das Endgerät
“ usw..
© Compass Security AG
www.csnc.ch
Slide 73
SIM Application Toolkit
Funktionsweise eines SAT-Angriffs
“
“
“
“
SIM-Karte kann die beschriebenen SAT-Funktionen nutzen
Keine Kryptografie zwischen SIM und Endgerät
Einschleusen eigener SAT-Kommandos möglich
SIM wird weiterhin zur Authentisierung benötigt
“ Man-in-the-middle-Angriff durch Einbau eines Mikrocontrollers
© Compass Security AG
www.csnc.ch
Slide 74
SIM Application Toolkit
Mögliche Angriffsszenarien auf mittels SAT
“ Mobilfunkendgerät zur Überwachung (stiller Anruf)
“ Übertragung von Daten
“ Initiieren von Rufumleitungen
“ Man-in-the-middle-Angriff
© Compass Security AG
www.csnc.ch
Slide 75
SIM Application Toolkit
Mikrocontroller-basierter Man-in-the-middle-Angriff
© Compass Security AG
www.csnc.ch
Slide 76
SIM Application Toolkit
Entwicklungshistorie
© Compass Security AG
www.csnc.ch
Slide 77
SIM Application Toolkit
Bezugsquellen inkl. Development-Kit
“ www.bladox.com
“ www.yourbluetoothtech.com
© Compass Security AG
www.csnc.ch
Slide 78
SIM Application Toolkit
ManMan -inin -thethe -middlemiddle -Angriff
Beispiel Voice
Freiton
Call +49 151 xxxxxxxx
© Compass Security AG
www.csnc.ch
Slide 79
LiveDemo [SAT-Angriff]
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Identifikationsfälschung
[Call-ID-Spoofing]
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Call-ID-Spoofing
Weshalb ein Angriff mittels gefälschter Rufnummer?
“ Oft dient die Rufnummer (CLIP) als Identifikationsmerkmal des Anrufers
(z.B. bei Telefongesprächen, Fernzugängen, Anwendungen etc.)
“ Das ISDN-Protokoll bietet technisch versierten Angreifern die
Möglichkeit, die CLIP-ID mittels des Leistungsmerkmals „CLIP – No
Screening“ zu manipulieren.
“ Auch mittels SS7 (Signalling System 7) bieten sich Möglichkeiten des
Spoofings.
“ Dem Gesprächspartner bzw. dem TK-System können beliebige
Rufnummern vorgetäuscht werden.
“ Zugriffsbeschränkungen mittels Rufnummernidentifizierung können
umgangen, bzw. beim Social-Engineering unterstützend eingesetzt
werden.
“ Matching der Rufnummern in EU-Endgeräten erfolgt nur bis zur max.
7. Stelle
© Compass Security AG
www.csnc.ch
Slide 82
LiveDemo [Call-ID-Spoofing]
+
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Call-ID-Spoofing
CallCall -IDID-SpoofingSpoofing-Angriff
Eingehender Anruf:
+49666666666666
Paris Hilton
Freiton
© Compass Security AG
www.csnc.ch
Slide 84
Identifikationsfälschung
[SMS-ID-Spoofing]
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
SMS-ID-Spoofing
Weshalb ein Angriff mittels gefälschter Rufnummer?
“ Ähnlich wie mittels Rufnummernidentifizierung kann SocialEngineering unterstützend eingesetzt werden.
“ Anstatt Nummern-Identifizierung kann der Absender direkt benannt
werden.
“ Phishing via SMS ist noch weitgehend unbekannt und daher
aussichtsreicher.
“ Keine Content-Filter vorhanden (wie z.B. bei E-Mails)
© Compass Security AG
www.csnc.ch
Slide 86
SMS-ID-Spoofing
SMS-Phishing mittels SMS-Spoofing
“ Beispiel einer Phishing-SMS
“ Originalnachricht des Netzbetreibers
© Compass Security AG
www.csnc.ch
Slide 87
SMS-ID-Spoofing
SMS-Phishing mittels SMS-Spoofing
“ Beispiel einer Phishing-SMS
“ Gefälschte Nachricht auf Grundlage
der Netzbetreiber-SMS
© Compass Security AG
www.csnc.ch
Slide 88
LiveDemo [SMS-ID-Spoofing]
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Der umgekehrte Fall – ist anonym
gleich anonym
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
LiveDemo [Aufdecken von Rufnummern]
+
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Please Call
+49 172 xxxxxxx
Mit unterdrückter Nummer!
Tipp: #31#
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Angriffe auf mobile Endgeräte mittels
Malware
[Trojaner & Co.]
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Mobile Phone Malware
Handyviren/Mobile Phone Malware sind Schadprogramme,
die sich in mobile Geräte einschleusen
“ Lange Zeit waren Handys geschützt, da sie geschlossene Systeme
darstellten.
“ Die Vielzahl der Schnittstellen (E-Mail, Bluetooth, W-LAN, Messaging,
Spiele und Logos zum Download sowie Bluetooth, UMTS etc.) mit der
Außenwelt stellt ein potenzielles Einfallstor für die „Malware“ dar.
“ Software Development Kits (SDK) stehen frei zur Verfügung – jeder
kann diese für seine „Entwicklungen“ nutzen.
“ Systeme verfügen in aller Regel über keinerlei (mitgelieferten)
Sicherheitsfunktionen.
“ Endgeräte stehen oftmals ungeschützt im Internet (W-LAN, UMTS etc.).
“ Smartphone liegen oft unbeobachtet herum.
“ Endgeräte sind oftmals nicht Bestandteil des Security-Konzepts.
“ Viele User nutzen ihre Endgeräte ohne Passwort-Schutz.
© Compass Security AG
www.csnc.ch
Slide 94
Mobile Phone Malware
Wie kommen Trojaner und Spyware auf mobile Geräte?
Bluetooth
GSM
Anwendungen (Apps)
Updates
eMail
© Compass Security AG
Internetseiten
LAN / WAN / WLAN/UMTS
www.csnc.ch
Slide 95
Mobile Phone Malware
Einer der ersten war Cabir Ł nutzt zur Verbreitung
Bluetooth
“ Ein Handy-Wurm, der sich über Bluetooth auf Smartphones mit dem
Betriebssystem Symbian OS verbreitet – mit hohem VerbreitungsPotential. Betroffen sein könnten Nokia Smartphones der 60er-Serie,
N-Gage, Panasonic X700, Siemens SX-1, Sendo X und andere.
© Compass Security AG
www.csnc.ch
Slide 96
Mobile Phone Malware
Sexy Space: Handy-Trojaner mit Zertifizierung
“ Der Trojaner "Sexy Space" erhielt eine digitale Signatur für SymbianHandybetriebssysteme.
“ Der Schädling vernetzt sich mit anderen befallenen Geräten und klaut
Benutzerdaten, um Spam per E-Mail oder SMS an die auf dem Handy
gefundenen Kontakte zu senden.
“ Kann hohe SMS-Kosten verursachen
© Compass Security AG
www.csnc.ch
Slide 97
Mobile Phone Malware
Java/Swapi.B: Der Java-Dialer versendet Premium-SMS
“ Nach der Infektion schickt diese Malware regelmäßig SMS an teure
Premium-Dienste.
“ Da der Trojaner auf einer J2ME-Engine basiert, die auf nahezu 90
Prozent der im Markt erhältlichen Telefone installiert ist, lässt er sich
nicht auf ein spezifisches Handy festlegen.
© Compass Security AG
www.csnc.ch
Slide 98
Mobile Phone Malware
ikee: Bringt Popsängers Rick Astley zu erneuten Ruhm
“ Proof-of-Concept: Der Wurm ist nach Malware-Maßstäben relativ
harmlos.
“ Er ersetzt lediglich das aktuelle Hintergrundbild dauerhaft durch ein
Foto des Sängers Rick Astley.
“ Danach macht er sich auf die Suche nach
weiteren Geräten, die er infizieren kann.
© Compass Security AG
www.csnc.ch
Slide 99
Mobile Phone Malware
Kommerzielle Trojaner: MOBILE SPY überwacht iPhone und
viele anderen Handys ab $49.00 im Quartal
Inkl. 24/7 Support
www.mobile-spy.com
© Compass Security AG
www.csnc.ch
Slide 100
Mobile Phone Malware
Kommerzielle Trojaner: Der Klassiker „FlexiSpy“.
Für fast alle Plattformen
verfügbar…
www.flexispy.com
© Compass Security AG
www.csnc.ch
Slide 101
Mobile Phone Malware
Kommerzielle Trojaner: Der Klassiker „FlexiSpy“.
“ Konfigmenü von FlexiSpy
www.flexispy.com
© Compass Security AG
www.csnc.ch
Slide 102
Mobile Phone Malware
Kommerzielle Trojaner: Der Klassiker „FlexiSpy“.
“ Konfigmenü von FlexiSpy
www.flexispy.com
© Compass Security AG
www.csnc.ch
Slide 103
Mobile Phone Malware
Kommerzielle Trojaner: Der Klassiker „FlexiSpy“.
www.flexispy.com
© Compass Security AG
www.csnc.ch
Slide 104
Mobile Phone Malware
Wie sammelt FlexiPsy die User-Daten?
Der Trojaner übermittelt alle
Daten wie SMS, Calls, eMail,
etc. in definierten Intervallen
direkt an den Server.
Der Angreifer kann die Daten
jederzeit übers Internet
abrufen.
WWW
Database
© Compass Security AG
www.csnc.ch
Slide 105
Und? Haben Sie Ihre Sicherheitsfeatures
aktiviert? Nein? Zu spät!
All Your Data Belong To Us…..
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
LiveDemo [Handy-Trojaner]
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Angriffe über weitere Schnittstellen
[Bluetooth]
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Bluetooth
Eine Geschichte zum Einstieg….
Gestern im ICE Ł Freitickets per Bluetooth-Schnittstelle
versendet…
Ergebnis der gestrigen Fahrt von Bamberg nach Berlin (ICE 584):
“ Innerhalb von nur 8 Minuten fanden wir 28 mobile Endgeräte.
“ Davon waren 7 verwundbar !!!
© Compass Security AG
www.csnc.ch
Slide 109
Bluetooth
Die Technik…
“ Ein Standard für die drahtlose Kommunikation im Nahbereich
“ Ursprünglich in den 90er Jahren von Ericsson entwickelter
Industriestandard gemäß IEEE 802.15.1 für die drahtlose (Funk-)
Vernetzung von Geräten über kurze Distanz.
“ PAN Technology – Personal Area Network
“ Konzipiert für short-range Verbindungen als Ersatz für Kabel und
Infrarot
“ 2.4 GHz (wie Wireless LAN als Short Range Devices im lizenzfreien
ISM-Band)
“ 3200 hops pro Sekunde auf 79 Kanälen, 1600 bei Verbindung
“ Master definiert die Hopping Sequenz
“ Rechweite von 10 m (Klasse 3 1mW) bis 100 m (Klasse 1 100mW)
“ Viel Bluetooth Security Forschung durch Trifinite Group
(www.trifinite.org)
© Compass Security AG
www.csnc.ch
Slide 110
Bluetooth
Die Technik…
“ Modi für Erkennung (Inquiry):
“ Discoverable: Device antwortet auf Anfragen
“ Temporary Discoverable: Zeitlich begrenzter Discoverable Modus
“ Non-Discoverable: Device antwortet nicht auf Broadcast Anfragen
“ Modi für Pairing (Paging):
“ Pairable: Device antwortet auf pairing Anfrage
“ Non-pairable: Device blockt Anfrage in LMP (Link Manager
Protocol )
© Compass Security AG
www.csnc.ch
Slide 111
Bluetooth
Paarungsverhalten
Master
Slave
Point to Point
© Compass Security AG
Piconet
www.csnc.ch
Scatternet
Slide 112
Bluetooth
Bluetooth Stack
Anwendungs-Sicherheitsmechanismen
System-Sicherheitsmechanismen
Hardware-Sicherheitsmechanismen
Source: http://www.trifinite.org
© Compass Security AG
www.csnc.ch
Slide 113
Bluetooth
Bluetooth Hacking Hardware
“ Notebook mit Bluetooth Adapter
“ Ideal:
“ Modifizierter Bluetooth Adapter mit 2.4 GHz Antenne
“ Frontline Bluetooth Sniffer (inklusive Dongle mit RAW Modus)
Grafiken: www.trifinite.org
© Compass Security AG
www.csnc.ch
Slide 114
Bluetooth
Bluetooth Scanning (First Step)
“ Bekannteste Software zum Finden von Bluetooth Devices:
“ btscanner (www.pentest.co.uk)
“ Erkennt Device Typen, Hersteller und Vulnerabilities
“ Inquiry Scan:
“ Schickt Broadcast Anfragen
“ Findet alle Devices im discoverable Modus
“ Brute-Force Scan:
“ Schickt einzelne Anfragen an eine Liste vom MAC Adressen
“ Findet auch Devices im hidden Modus
© Compass Security AG
www.csnc.ch
Slide 115
LiveDemo [BTScanner]
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Bluetooth
Bluetooth Angriffe mittels Bluejacking
“ Missbrauch der Funktion zum Senden von Visitenkarten im VCardFormat per Bluetooth zur Übermittlung von Nachrichten
“ Aktueller Modetrend bei Jugendlichen
“ Kein Gefahrenpotential vorhanden
© Compass Security AG
www.csnc.ch
Slide 117
LiveDemo [Bluejacking]
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Bluetooth
Bluetooth Angriffe mittels Bluesnarf
“ Tool: bluesnarfer (http://www.alighieri.org/project.html)
“ Bluesnarf = OBEX push Angriff
“ Erlaubt den Zugang auf den Kalender, das Adressbuch, E-Mails und
Textmitteilungen
“ Daten werden herunter- statt hochgeladen
“ Keine Authentifizierung erforderlich
“ Beispiele für verwundbare Device:
“ Ericsson T68(i), R520m, T610, Z1010, Z600
“ Nokia 6310(i), 8910(i)
© Compass Security AG
www.csnc.ch
Slide 119
Bluetooth
Bluetooth Angriffe mittels Bluebug
“ Tool: bluebugger (http://www.codito.de)
“ BlueBug = AT Befehle auf Device ausführen
“ Ermöglicht volle Kontrolle über ein Device. Z.B. das Ausführen
(interner) Befehle, ohne dass es die Zielperson mitbekommt.
“ Einige Möglichkeiten:
“ Anrufen / Nachrichten schreiben
“ Einstellungen umkonfigurieren
“ Adressbuch / Nachrichten auslesen
“ etc.pp.
© Compass Security AG
www.csnc.ch
Slide 120
Bluetooth
Bluetooth Angriffe mittels Carwhisperer
“ Tool: carwhisperer (http://trifinite.org/trifinite_stuff_carwhisperer.html)
“ Ausnutzen der Default PIN’s von Bluetooth Hardware
“ Die meisten Headphones haben fixe Bluetooth PIN’s: 1111, 1234,
0000, ….
“ Durch die bekannte PIN kann das Headset gepaired werden.
“ Audio kann aufgenommen und abgespielt werden.
“ Carwhisperer: Bluetooth Freisprecheinrichtungen sind häufig in Autos
implementiert.
© Compass Security AG
www.csnc.ch
Slide 121
LiveDemo [Carwhisperer]
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Bluetooth
Bluetooth Angriffe mittels Link-Keys
Authentication start
Bei Bluetooth gilt: Gültiger LinkLink-Key = Authentifizierte Verbindung!
link
authenticated
already
link
key
available?
Imp_authentication
Initiate
pairing?
Imp_authentication
Authentication failed
© Compass Security AG
Authentication
valid/ok
www.csnc.ch
Source: http://www.remote-exploit.org
Slide 123
Bluetooth
Bluetooth Angriffe mittels Carwhisperer
“ Tool: BTCrack (http://www.nruns.com/security_tools.php)
“ Zuerst muss ein Pairing mitgeschnitten werden.
“ Hierzu wird meist die bestehende Verbindung unterbrochen,
damit die zwei Devices neu pairen.
“ Master oder Slave muss bekannt sein.
“ Es wird ein spezieller Dongle mit RAW Funktionalität benötigt.
“ Mittels Link-Key hat der Angreifer nun folgende Möglichkeiten:
“ Kommunikation zwischen den 2 Devices mitlesen.
“ Zugriff auf die beiden Devices mittels des geknackten Link-Keys
“ Der Angreifer muss lediglich seine MAC Adresse anpassen
und Link-Key angeben
“ Tools: Frontline Bluetooth Sniffer / BTCrack
© Compass Security AG
www.csnc.ch
Slide 124
Bluetooth
Bluetooth Angriffe (Toolsammlung)
“ Tool: Blooover (http://trifinite.org/trifinite_stuff_bloooverii.html)
“ Blooover – Bluetooth Hacking Software fürs Handy
“ Verschiedene Attacken implementiert:
“ Bluesnarf
“ BlueBug
“ Etc.
“ Tool: Blooover
© Compass Security AG
www.csnc.ch
Slide 125
Missbrauch des Soundlogos
[Early Media]
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Early Media
Der Early Media Stream
“ Übermittelt bereits während des Rufaufbaus Audioinformationen
“ Eigentlich für individuelle Freizeichen und Ansagen wie „Kein
Anschluss unter dieser Nummer“, „Teilnehmer ist vorübergehend nicht
erreichbar“ und Preisansagen gedacht
“ Erfolgt vor dem Verbindungsaufbau und ist daher kostenfrei
© Compass Security AG
www.csnc.ch
Slide 127
EarlyMediaStream
Funktionsweise Early Media
Rufaufbau
Herkömmliches
Telefonnetz
(PTSN)
Rufaufbau
Teilnehmer
© Compass Security AG
PSTNPSTNVOIPVOIPGateway
www.csnc.ch
Slide 128
Early Media
Nutzung von „Chanspy“ und „Whisper“ unter Asterisk
“
“
“
“
Ursprünglich zu Schulungszwecken in Callcenter entwickelt
Umgehung von Vorratsdatenspeicherung
Mikrofone von Teilnehmern sind schon während der Rufphase geöffnet
Erfolgt vor dem Verbindungsaufbau und ist daher kostenfrei
INVITE
183 Session Progress
Chanspy
Early Media
Whisper
Early Media
Timeout/ Cancel
© Compass Security AG
www.csnc.ch
Slide 129
EarlyMediaStream
Gespräche belauschen während des Freitons
Infos
Ring
Freiton
Rufaufbau
© Compass Security AG
www.csnc.ch
Slide 130
LiveDemo Lauschangriff
[Early Media]
+
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Please Call
+49 152 xxxxxxx
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Selbsttest: Please Call
+49 151 xxxxxxx
1. Call (Record)
2. Call (Play Back)
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Resümee
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Resümee
Beziehen Sie mobile Endgeräte unbedingt in Ihren Security
überlegen mit ein!
Ansatzpunkte:
“ Sensibilisierung der Anwender
“ Implementierung eines Mobile Device Managements (siehe auch
Open Mobile Alliance Standard – OMA Device Management)
“ Backup
“ Update
“ Sicherheitseinstellungen
“ Fernlöschung und Ortung bei Diebstahl
“ Verwendung von Firewall und Virenscanner (ggf. von Drittanbietern)
“ Sie werden viel transportiert und sind einfach zu bewegen.
“ Reglementierung von Anwenderzugriffen
“ Passwort-Richtlienen
© Compass Security AG
www.csnc.ch
Slide 135
Offene Diskussion
Fragen?!
© Compass Security AG
www.csnc.ch
Slide 136
Vielen Dank!
Vielen Dank für Ihre
Aufmerksamkeit!
© Compass Security AG
www.csnc.ch
Slide 137
Kontakt
Compass Security Network Computing
Glärnischstrasse 7
Postfach 1628
CH - 8640 Rapperswil
team@csnc.ch | www.csnc.ch | +41 55 214 41 60
Secure File Exchange: www.csnc.ch/filebox
PGP-Fingerprint:
© Compass Security AG
www.csnc.ch
Slide 138