Sicherheitsforscher Karsten Nohl will ein Distributed-Computing-Projekt starten, das die Verschlüsselung von GSM knackt. Dies sagte er auf einem Vortrag bei der niederländischen Konferenz „Hacking at Random“. Dann wäre es möglich, Gespräche und Datentransfers über Mobilfunk zu entschlüsseln. Nohl will mit der Aktion aber vielmehr die Mobilfunkanbieter dazu bringen, ihre Sicherheitsvorkehrungen zu verbessern und damit ein 15 Jahre altes Loch zu beseitigen, das seiner Rechnung nach 3 Milliarden Anwender betrifft.
Gegenüber ZDNet sagte er: „Wir schaffen keine Schwachstelle, sondern machen einen Fehler publik, der schon in großem Massstab ausgenutzt wird. Natürlich erleichtern wir Angriffe, und selbstverständlich besteht die moralische Frage, ob wir das tun sollten. Aber wichtiger ist, dass wir die Leute über diese uralte Schwäche informieren und verhindern, dass noch mehr Systeme sie übernehmen.“
Es gebe mindestens vier kommerzielle Tools zu Preisen zwischen 100.000 und 250.000 Dollar, die die Schwachstelle in der GSM-Verschlüsselung A5/1 ausnutzten, sagte Nohl. 80 High-Performance-Computer bräuchten ungefähr drei Monate, um mit unsystematischem Vorgehen (Brute Force) A5/1 zu entschlüsseln und ein Codebuch zu schaffen, mit dem jedes GSM-Telefonat entschlüsselt werden könnte. 160 Teilnehmer könnten dies mit Distributed Computing in der Hälfte der Zeit erreichen.
Das verteilte Vorgehen, das gern für wissenschaftliche Projekte wie SETI@Home verwendet wird, würde auch rechtliche Probleme lösen. Vor einigen Jahren war nämlich ein ähnliches Projekt vorzeitig zu Ende gegangen, weil jemand die Teilnehmer eingeschüchtert hatte – möglicherweise ein Mobilfunkprovider, sagt Nohl. Ein verteiltes Vorgehen könnte weniger leicht beeinflusst werden.
Als Lösung des Problems schlägt Nohl vor, UMTS statt GSM für Gespräche zu verwenden, das die weitaus stärkere Verschlüsselung A5/3 habe. Auch könne man ein separates Verschlüsselungverfahren einsetzen, wie es Amnesty International und Greenpeace praktizierten. Die Schwierigkeit dabei sei, dass beide Seiten die gleiche Technologie einsetzen müssten.
Die Sicherheitsvorkehrungen von GSM werden immer wieder kritisiert. Vergangenes Jahr hatte der Sicherheitsforscher David Hulton gewarnt, er halte GSM für zu unsicher, um darüber persönliche Gespräche zu führen.
Die Datenschützer kritisieren die Nutzung von Kundendaten für gezielte Werbung auf LinkedIn. Die Microsoft-Tochter muss…
Im Jahresvergleich legen die Ausgaben für IT Security um fast 14 Prozent zu. Gut die…
Mehr Datenverstöße registriert Surfshark in den USA, Frankreich und Russland. Hierzulande werden im dritten Quartal…
Browsererweiterungen können die Sicherheitsfunktion Site Isolation aushebeln. Betroffen sind Chrome für Windows, macOS und Linux.
Das Plus fällt höher aus als in diesem Jahr. Das größte Wachstum der Ausgaben sagt…
Die Anfälligkeit erlaubt das Einschleusen von Schadsoftware. Lazarus verbreitet über ein gefälschtes Browser-Game eine Spyware,…