10.08.2011 12:25
GPRS-Verbindungen leicht abhörbar
Der Cryptospezialist Karsten Nohl will einen Weg gefunden haben, mit einem alten, modifiziertem Motorola-Handy C-123 den GPRS-Datenverkehr im Umkreis von bis zu 5 Kilometer zu belauschen. Das berichtet die New York Times. Nohl will Details zu dem Angriff auf dem heute beginnenden Chaos Communication Camp in Finowfurt präsentieren.
Laut Bericht sei die Verschlüsselung der Provider leicht zu knacken gewesen. Bei GPRS kommt der Verschlüsselungsalgorithmus GPRS-A5 zum EInsatz, eine auf paketorientierte Verbindungen spezialisierte Variante des bereits bei GSM eingesetzten A5-Algorithmus. GPRS ist neben UMTS ein immer noch häufig benutzter Mobilfunk-Datendienst.
Nohl gab gegenüber der New York Times an, die Übertragungen in den deutschen Netzen von T-Mobile, O2 Germany, Vodafone und E-Plus mitgeschnitten und entschlüsselt zu haben. Bei Tests in Italien sei die Verschlüsselung sogar noch schwächer gewesen oder werde gar nicht angewandt.
Nohl will zwar keine Schlüssel und Mitschnitte seiner Untersuchungen veröffentlichen, hat aber angekündigt, die Software zum Nachvollziehen des Angriff bereitzustellen. Nohl hofft, dass die Mobilfunkprovider mit einer Verbesserung der Verschlüsselung bei GPRS reagieren. Nohl hatte bereits auf dem vergangenen 27. Chaos Communication Congress (27C3) vorgeführt, wie sich Mobilfunkgespräche im GSM-Netz mit Hilfe aufgerüsteter Billig-Handys und Open-Source-Software minutenschnell entschlüsseln und mitschneiden lassen.
(dab)
Cross-Site-Scripting (XSS) ist eine der größten Plagen, mit denen Webmaster zu kämpfen haben. Der neue Standard "Content Security Policy" soll endlich Abhilfe schaffen. 
Wie schwer ist es, einen Hotelsafe zu knacken? heise Security hat es spontan ausprobiert – mit einem überraschenden Ergebnis. 
Was ist echt und was ist falsch? Echte Benachrichtigungen von Firmen sind kaum noch von Phishingmails zu unterscheiden. Trotzdem wird von uns erwartet, dass wir den Durchblick behalten. So funktioniert das nicht. 
Die Weboberfläche zur Verwaltung von ProLiant- und Integrity-Servern enthält eine kritische Sicherheitslücke. 
Eine Lücke, viele Updates: Adobe hat ein kritisches Sicherheitsloch gestopft und neue Flash- und Air-Versionen für sämtliche Plattformen veröffentlicht. 
Am Juni-Patchday hat Microsoft zahlreihe Lücken in Windows, Internet Explorer und Office geschlossen. Eine Rechteausweitungslücke, für die bereits ein Exploit im Netz kursiert, hat die Redmonder Softwareschmiede dabei jedoch offenbar ausgelassen. 
