Sicherheitsforscher Karsten Nohl will ein Distributed-Computing-Projekt starten, das die Verschlüsselung von GSM knackt. Dies sagte er auf einem Vortrag bei der niederländischen Konferenz „Hacking at Random“. Dann wäre es möglich, Gespräche und Datentransfers über Mobilfunk zu entschlüsseln. Nohl will mit der Aktion aber vielmehr die Mobilfunkanbieter dazu bringen, ihre Sicherheitsvorkehrungen zu verbessern und damit ein 15 Jahre altes Loch zu beseitigen, das seiner Rechnung nach 3 Milliarden Anwender betrifft.
Gegenüber ZDNet sagte er: „Wir schaffen keine Schwachstelle, sondern machen einen Fehler publik, der schon in großem Massstab ausgenutzt wird. Natürlich erleichtern wir Angriffe, und selbstverständlich besteht die moralische Frage, ob wir das tun sollten. Aber wichtiger ist, dass wir die Leute über diese uralte Schwäche informieren und verhindern, dass noch mehr Systeme sie übernehmen.“
Es gebe mindestens vier kommerzielle Tools zu Preisen zwischen 100.000 und 250.000 Dollar, die die Schwachstelle in der GSM-Verschlüsselung A5/1 ausnutzten, sagte Nohl. 80 High-Performance-Computer bräuchten ungefähr drei Monate, um mit unsystematischem Vorgehen (Brute Force) A5/1 zu entschlüsseln und ein Codebuch zu schaffen, mit dem jedes GSM-Telefonat entschlüsselt werden könnte. 160 Teilnehmer könnten dies mit Distributed Computing in der Hälfte der Zeit erreichen.
Das verteilte Vorgehen, das gern für wissenschaftliche Projekte wie SETI@Home verwendet wird, würde auch rechtliche Probleme lösen. Vor einigen Jahren war nämlich ein ähnliches Projekt vorzeitig zu Ende gegangen, weil jemand die Teilnehmer eingeschüchtert hatte – möglicherweise ein Mobilfunkprovider, sagt Nohl. Ein verteiltes Vorgehen könnte weniger leicht beeinflusst werden.
Als Lösung des Problems schlägt Nohl vor, UMTS statt GSM für Gespräche zu verwenden, das die weitaus stärkere Verschlüsselung A5/3 habe. Auch könne man ein separates Verschlüsselungverfahren einsetzen, wie es Amnesty International und Greenpeace praktizierten. Die Schwierigkeit dabei sei, dass beide Seiten die gleiche Technologie einsetzen müssten.
Die Sicherheitsvorkehrungen von GSM werden immer wieder kritisiert. Vergangenes Jahr hatte der Sicherheitsforscher David Hulton gewarnt, er halte GSM für zu unsicher, um darüber persönliche Gespräche zu führen.
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
Hinter 84 Prozent der Zwischenfälle bei Herstellern stecken Schwachstellen in der Lieferkette. Auf dem Vormarsch…
Es kommt angeblich 2028 auf den Markt. Das aufgeklappte Gerät soll die Displayfläche von zwei…