Trends & News | News

Geheimdienste hackten Hersteller von SIM-Karten

Der britische Geheimdienst GCHQ und die US-amerikanische NSA haben offenbar die Sicherheit von Mobilfunknetzen in großem Stil unterwandert. Dies geht aus geheimen GHCQ-Dokumenten aus dem Snowden-Fundus hervor, welche die Website The Intercept veröffentlicht hat.

Demnach hat eine gemeinsame Schnüffel-Truppe Millionen geheime Krypto-Schlüssel erbeutet, indem sie unsichere Kommunikationskanäle zwischen SIM-Karten-Herstellern und Providern angezapft hat. Wer die sogenannten Ki-Schlüssel hat, kann die gesamte Mobilfunk-Kommunikation eines Smartphones mitlesen. Bei den erbeuteten Schlüsseln handelt es sich explizit nicht um die geheimen Schlüssel von Staatsfeinden oder Leuten, die sich irgendwie verdächtig gemacht hätten. Es geht vielmehr darum, auch weiterhin Mobilfunkverkehr in großem Stil abzuschnorcheln und einer Massenüberwachung zugänglich zu machen.

Darüber hinaus sind die Geheimdienste offenbar auch direkt in die Netzwerke von SIM-Karten-Herstellern eingestiegen. Konkret brüstet sich das GHCQ mit einem erfolgreichen Angriff auf den niederländischen SIM-Karten-Hersteller Gemalto. „GEMALTO – erfolgreich mehrere Maschinen implantiert und wir glauben, dass wir ihr gesamtes Netzwerk haben“, frohlockte der britische Geheimdienst schon 2010 in einer geheimen Präsentation. Gemalto hat sich darauf spezialisiert, leere SIM-Karten mit einer Identität auszustatten. Die Karten werden dabei mit einer eindeutigen Nummer (der IMSI) und einem geheimen Ki-Schlüssel versehen. Die so „personalisierten“ SIM-Karten verkaufen sie in großen Partien an Telekommunikationsfirmen wie die Telekom, Vodafone, E-Plus und O2. Nach dem Kauf bekommen diese auch große Listen mit den IMSIs und den zugehörigen geheimen Ki-Schlüsseln.

Gemalto bestätigte nach einer internen Untersuchung des Falls: „eine Operation des NSA und GCHQ hat wahrscheinlich stattgefunden“. Zwischen 2010 und 2011 hatte das Unternehmen ungebetene Gäste in seinem Office-Netz gesichtet, deren Identität bislang nicht bekannt war. Mittlerweile geht der Chipkartenhersteller aber davon aus, dass der Vorfall auf die Konten der Geheimdienste geht. Allerdings gebe es keinerlei Anzeichen für ein Eindringen in die innere Infrastruktur der Produktion der SIM-Karten und die separaten Bereiche, in denen sie etwa Daten für Bankkarten speichern.

Zudem sei es nur bei 2G-SIM-Karten möglich, mit den Ki-Schlüsseln Verbindungen zu entschlüsseln. Neuere 3G- oder gar LTE-SIM-Karten seien durch einen solchen Diebstahl der SIM-Karten-Keys nicht verwundbar. Richtig ist: Nur in 2G-Netzen können Angreifer direkt mit dem SIM-Karten-Schlüssel Ki Gespräche und Datenverbindungen dechiffrieren. In 3G-Netzen ist die Situation etwas komplizierter: Dort erfolgt die Verschlüsselung mit einem Schlüssel, in dem neben dem Ki auch eine Sequenznummer eingeht, die sich nicht auf der SIM-Karte befindet. Allerdings lässt sich diese Sequenznummer recht einfach ermitteln, erklärte Mobilfunkexperte Karsten Nohl gegenüber c’t. Der weiß, wovon er spricht – er demonstrierte das in einem anderen Kontext bereits auf dem 31C3. (ju@ct.de /des@ct.de)

Super-Spion infiziert Festplatten-Firmware

Die Sicherheitsfirma Kaspersky hat eine hochprofessionelle Hackergruppe ausgemacht, die bereits seit 1996 mit außergewöhnlichen Mitteln weltweit Ziele wie Regierungen und Rüstungskonzerne infiltriert hat. Dabei nutzte die Equation Group getaufte Formation unter anderem bisher unbekannte Spionage-Tools, welche sogar die Firmware von Festplatten infizieren kann. Die Angreifer suchten sich ihre Ziele sehr sorgfältig aus. Es gibt Hinweise, dass die NSA oder ein anderer US-Geheimdienst dahinter steckt.

Die Infektion der Festplatten-Firmware ist perfide, da sie ein Formatieren der Platte überlebt und vom Virenscanner nicht erkannt wird. Die Malware in der Firmware wird laut Kaspersky genutzt, um einen versteckten Bereich auf der Festplatte zu schaffen. In diesem sollen Daten gesichert werden, um sie später abgreifen zu können. Die einzige Methode, die Malware loszuwerden, sei die physische Zerstörung der Festplatte. Betroffen sind laut Kaspersky Festplatten von Western Digital, Maxtor, Samsung, Toshiba und Seagate.

Die Equation Group hat es offenbar nicht darauf angelegt, möglichst viele Systeme zu infizieren, sondern lediglich eine handverlesene Gruppe: Kasperksy hat ein Tool entdeckt, dessen einzige Aufgabe es ist, sicherzustellen, dass der richtige Wirt infiziert wird. Nur wenn es auf einem ganz bestimmten Rechner ausgeführt wird, lädt es eine hoch entwickelte Spionage-Software nach. Andernfalls entfernt sich das Tool selbst. So ist sichergestellt, dass der wertvolle Trojaner nicht in den Signaturdatenbanken der Antivirenhersteller auftaucht.

Eine andere Software könne Informationen aus Netzwerken hinausschaffen, die keine Verbindung zur Außenwelt haben. Dabei komme ein speziell präparierter USB-Stick zum Einsatz, der Informationen sammelt, sobald er an einen Computer in dem Netzwerk angeschlossen ist. Wenn der Stick an einem Rechner mit Internetverbindung steckt, würden Daten gesendet und empfangen.

Angegriffen wurden dem Kaspersky-Bericht zufolge über 500 Ziele in mehr als 30 Ländern. Zu den Opfern gehörten Regierungen und diplomatische Institutionen, Rüstungskonzerne, Forschungseinrichtungen, Medienhäuser sowie Kryptografieentwickler.

Kaspersky bringt die Equation Group zwar nicht direkt mit US-Behörden wie der NSA in Verbindung, erklärt aber, dass es „solide Hinweise“ dafür gebe, dass mit den Erschaffern von Stuxnet und Flame zusammengearbeitet wurde. So hätten die Entwickler Zero-Day-Lücken ausgetauscht, die in einigen Fällen von der Equation Group genutzt worden seien, bevor sie bei Stuxnet oder Flame eingesetzt wurden. Als Verantwortliche hinter diesen beiden äußerst hoch entwickelten Malware-Programmen waren bereits US-Geheimdienste wie die NSA und die CIA ausgemacht worden. (mho@ct.de/rei@ct.de)

Gefährliche Adware auf Lenovo-Notebooks

Lenovo hat zahlreiche Notebook-Modelle mit einer Adware namens Superfish ausgeliefert, welche die Sicherheit von HTTPS kompromittiert. Auch wer kein Lenovo-Notebook nutzt, ist unter Umständen betroffen: Die problematische Bibliothek steckt in zahlreichen weiteren Programmen.

Superfish klinkt sich beim Aufruf von HTTPS-Seiten als Man-in-the-Middle in den Datenverkehr ein und fügt Werbung ein. So schleust Superfish etwa Werbung von Drittanbietern in die Google-Suchmaschine ein. Doch das Programm ist nicht nur lästig, sondern auch gefährlich. Der Hersteller der Adware verankert sich als vertrauenswürdiger Zertifikatsherausgeber (CA) im System. Damit kann sich Superfish als beliebiger HTTPS-Server ausgeben.

Doch es kommt noch schlimmer: Der zum CA-Zertifikat gehörige geheime Schlüssel ist bei allen Installationen identisch – und er kursiert im Netz. Einem Sicherheitsforscher ist es gelungen, den Key aus der Adware zu extrahieren. Damit kann sich nun jeder gegenüber den betroffenen Lenovo-Notebooks etwa als Google, Paypal oder Sparkasse ausgeben. Laut Lenovo sind ausschließlich Geräte betroffen, die zwischen Oktober und Dezember 2014 verkauft wurden. Thinkpads will der Hersteller stets ohne den blinden Passagier ausgeliefert haben. Die Liste der mit Superfish bestückten Modelle ist dennoch lang (siehe c’t-Link).

Lenovo bietet einen Superfish-Uninstaller an, alternativ kann man Superfish auch über die Systemsteuerung deinstallieren. Als zusätzliche Maßnahme sollte man überprüfen, ob das kompromittierte CA-Zertifikat der Superfish, Inc. aus den Zertifikatsspeichern von Windows und Firefox entfernt wurde – wenn nicht, muss man es von Hand rauswerfen. Den Speicher von Windows erreicht man über Start / Ausführen / certmgr.msc. Bei Firefox findet man ihn über Erweitert / Zertifikate / Einstellungen.

Die Wurzel des Übels ist eine Bibliothek der Firma Komodia, die auch zahlreiche weitere Programme (siehe Link) zur Überwachung oder Manipulation von HTTPS-Traffic einsetzen oder eingesetzt haben. Zu den betroffenen Produkten zählen sogar Schutzprogramme wie der Ad-Aware Web Companion von Lavasoft. Unter dem c’t-Link finden Sie eine Testseite, die ermittelt, ob der aktuell genutzte Browser dem Zertifikat vertraut. Sie überprüft auch gleich, ob verschlüsselte Verbindungen durch ein ganz ähnliches Sicherheitsproblem einer Software namens PrivDog angegriffen werden können. (des@ct.de/rei@ct.de)

Sicherheits-Notizen

Durch eine Lücke im Samba-Dameon (3.5.0 bis einschließlich 4.2.0rc4) können Angreifer Code in den Server schleusen. Abhilfe schaffen die abgesicherten Samba-Versionen 4.2.0rc5, 4.1.17, 4.0.25 und 3.6.25.

Die PHP-Versionen 5.6.6, 5.5.22 und 5.4.38 stopfen ein kritisches Sicherheitsloch, das sich zum Einschleusen von Code eignet. Admins sollten mit der Installation nicht zögern, da bereits ein Exploit kursiert.

In älteren Versionen von Typo3 klafft eine kritische Sicherheitslücke, betroffen sind 4.3.x, 4.4.x, 4.5.x und 4.6.x. Abhilfe schafft ein Patch oder ein Upgrade auf eine neuere Version. Auch das verbreitete WordPress-Plug-in WP-Slimstat ist verwundbar. Mit Version 3.9.6 oder höher ist man auf der sicheren Seite.

Artikel kostenlos herunterladen

weiterführende Links

Anzeige
Anzeige