DoS-Angriff auf Handy-Netze möglich

US-Wissenschaftler erläutern in einer Studie, wie von einigermaßen erfahrenen Angreifern das Handy-Netz einer Stadt oder auch eines ganzen Landes lahmgelegt werden könnte

Mobilfunknetze können, wie Wissenschaftler herausgefunden haben, relativ einfach lahm gelegt werden. Die Achillesferse sind SMS-Botschaften und die Möglichkeit, sie auch vom Internet aus zu versenden. Schon mit einem einzelnen PC könnte ein böswilliger Cracker das Mobilfunknetz von Städten wie Washington D.C. oder Manhattan mit dem Versenden von Spam unbrauchbar machen. Ausfallen würde nicht nur der SMS-Service, sondern auch die Möglichkeit zu telefonieren.

William Enck, Patrick Traynor, Patrick McDaniel Thomas La Porta vom Systems and Internet Infrastructure Security Laboratory der Pennsylvania State University sagen in ihrer Studie Exploiting Open Functionality in SMSCapable Cellular Networks sogar, dass Angreifer auch ein landesweites Mobilfunknetz lahm legen könnten, wenn sie mit Zombie-PCs eine DDoS-Attacke mit SMS-Spam ausführen. Bedrohlich sei deswegen besonders, weil solche Angriffe wie bei Internet-Attacken von einem beliebigen Ort aus geführt werden können.

Die von Angreifern ausbeutbare Sicherheitslücke besteht hauptsächlich in der Verbindung des SMS-Netzes mit dem Internet, wodurch es möglich wird, Spam-SMS in schneller Folge zu versenden. Schickt man 156 SMS-Botschaften pro Sekunde in das Mobilfunknetz, so kann man bereits das Netz in ganz Manhattan blockieren. Voraussetzung dafür ist, dass hinreichend viele Nummern von Handy-Nutzern im angezielten Areal bekannt sind. Doch selbst mit einer kleinen "hit list" an Nummern könne man ein Netz zumindest noch für Minuten lahm legen. Dabei lässt sich die Effizienz für den Angreifer erhöhen, wenn eine SMS beispielsweise gleich an 10 Empfänger verschickt wird.

SMS werden von einem Handy oder von einem Internet-fähigen Gerät zunächst an einen Server der SMS-Zentrale (SMSC) eines Netzbetreibers geschickt, von dem sie dann weiter versendet werden. SMS nutzen den Kontrollkanal (CCH), der dazu dient, Gespräche und SMS-Verbindungen aufzubauen. Mit dieser Nutzung können auch SMS und Gespräche parallel stattfinden. Der Kontrollkanal kann allerdings im Unterschied zum Datenkanal (THC) für Gespräche wegen seiner kleinen Bandbreite nur eine geringe Datenmenge übermitteln, auch wenn sich in Notsituationen, wenn das Netz aufgrund vieler Gespräche überlastet ist, normalerweise weiterhin SMS-Mitteilungen senden und empfangen lassen. Wenn allerdings der Kontrollkanal mit Daten überflutet wird, werden auch Gespräche blockiert.

Der wunde Punkt sind dabei die SMSC-Server, die jede SMS weiter leiten oder für eine bestimmte Zeit speichern, wenn der Empfänger nicht erreichbar oder wenn der Buffer des Zielgeräts voll ist. Aufgrund von Kapazitätsgrenzen wird von jedem Kunden nur eine bestimmte Zahl von SMS im Arbeitsspeicher abgelegt. Die Buffer-Kapazität variiert von Gesellschaft zu Gesellschaft. Bei AT&T liegt er beispielsweise bei mindestens 400 SMS, bei Sprint gerade einmal bei 30, wie die Wissenschaftler herausgefunden haben. Ein Angreifer muss für eine wirksame DoS-Attacke, die einen Buffer-Overflow beim SMSC bewirkt, SMS an viele Handys schicken . Deren begrenzte, jeweils nach Typ unterschiedliche Aufnahmekapazität führt dann dazu, dass sich die SMS beim SMSC stauen. Nach den Berechnungen wäre für Washington D.C. mit 40 Handymasten und 120 Sektoren mit jeweils 8 Standalone Dedicated Control Channels (SDCCH) die Leistungskapazität überschritten, wenn über 240 SMS in der Sekunde gesendet werden.

Auch für die Erzeugung der Empfängerliste (hit list) haben die Wissenschaftler Methode getestet, beispielsweise Web Scraping mit Google. Allerdings ist bei dieser Methode nicht gesichert, dass die gefundenen und automatisch ausgewerteten Handynummern auch tatsächlich noch aktiv sind oder sich noch beim ursprünglichen Betreiber in einer Region befinden. Denkbar wäre auch, einen Wurm loszuschicken, der Handy-Nummern ausspäht, oder es ließen sich beispielsweise an hoch frequentierten Orten die Daten von Bluetooth-Verbindungen abhören, um eine Hitliste zu erstellen.

Die Wissenschaftler sagen, dass zwar bislang wohl noch kein solcher Angriff erfolgt ist, aber eine Blockierung aufgrund der beschriebenen Flaschenhälse bereits beobachtet wurde. Für Angreifer geht es dabei möglicherweise nicht darum, ein Netz über längere Zeit zu blockieren, sondern nur wenige Minuten. Das wäre so kurz, dass die Netzbetreiber auf einen solchen Angriff nicht reagieren könnten, aber womöglich lange genug, um eine bestimmte Aktion durchzuführen. Denkbar wäre auch die gezielte Blockierung des Handys eines Menschen, um zu verhindern, dass er während einer bestimmten Zeit SMS-Mitteilungen erhält oder diese aufgrund Buffer-Overflow gelöscht werden.

Die sicherste Möglichkeit, die Gefahr von DoS-Angriffen abzuwehren, wäre die Abkopplung der SMS-Dienste vom Internet. Das aber wäre kaum realistisch, räumen die Wissenschaftler ein. Man könne aber auch die Kanäle zur Übertragung von Daten und Stimme trennen und die Möglichkeit erschweren, größere Mengen an Handynummern zu sammeln. Handy-Betreiber wie Verizon sagen allerdings, wie die New York Times berichtet dass sie bereits hinreichenden Schutzvorkehrungen vor solchen Angriffen eingerichtet hätten. (Florian Rötzer)