[Chaos CD]
[Contrib] [Sicherheit im ISDN]    Kapitel 2: Schwachstellen in ISDN-Endgeräten
[Gescannte Version] [ -- ] [ ++ ] [Suchen]  

 

Kapitel 2: Schwachstellen in ISDN-Endgeräten

Sicherheit im ISDN 9

ISDN-Endgeräte

Meine Untersuchungen zum Thema Sicherheit im ISDN beginnen bei den Endgeräten, also auf der Benutzerseite. Dabei umfaßt der Begriff Endgeräte alles, was auf Benutzerseite angeschlossen werden kann. Dazu gehören unter anderem Telefone, Telefaxgeräte, Telekommunikationsanlagen und ISDN-PC-Karten.

Alles, was ein typischer Benutzer vom ISDN kennt und sieht, sind sein Telefon, ggf. seine Telefonanlage und der Anschluß. Diese werden deshalb zunächst systematisch dargestellt. Anschließend werden die Schwachstellen in puncto Sicherheit beschrieben.

Im Euro-ISDN gibt es eine ganze Palette verschiedener ISDN-Leitungs- und Anschlußtypen. Zunächst wird unterschieden zwischen digitalen Fest- und Wählverbindungen:

Die ISDN-Verbindungstypen

Die Festverbindung

Eine Festverbindung ist eine dauerhaft fest geschaltete Verbindung zwischen zwei Punkten. Sie ist in verschiedenen Übertragungsbandbreiten zwischen 64kbit/sec und 155Mbit/sec verfügbar. Festverbindungen werden hauptsächlich für den Aufbau von wide-area-Rechnernetzen (WAN) und die Übertragung von Rundfunk- und Fernsehprogrammen von den Studios zu den Sendeeinrichtungen.

Die Wählverbindung

Ein Anschluß für eine Wählverbindung umfaßt die Möglichkeit, sich seinen Kommunikationspartner vor jeder Verbindung auszusuchen. Ein solcher Anschluß wird für die kurzzeitige Übertragung von z.B. Sprache, Bewegtbildern, Telefaxen, Telex und Daten genutzt. Er ist in einer Bandbreite von je 64kbit/sec verfügbar. Durch Kanalbündelung sind auch hier höhere Bandbreiten möglich, was aber nur in ganz bestimmten Anwendungsfällen Sinn macht, z.B. bei Videokonferenzen.

Im Rahmen dieser Arbeit wird nur die Wählverbindung betrachtet. Bei Festverbindungen, die zum Aufbau von Computernetzwerken verwendet werden, kann die benötigte Sicherheit in den Computer-Netzwerk-Protokollen implementiert werden und bei Rundfunk- und Fernsehübertragungen, die im selben Moment ohnehin öffentlich ausgestrahlt werden, spielen nur die Ausfallsicherheit und die Authentizität eine Rolle. Sie abzuhören macht keinen Sinn.

Außerdem sind Festverbindungen vollständig vom Wählleitungsnetz abgekoppelt, so daß auch keine Angriffe hierüber erfolgen können.

Ein Anschluß für Wählverbindungen umfaßt immer eine gewisse Anzahl von Nutzkanälen, die sogenannten B-Kanäle, und einen zusätzlichen Kanal zu deren Steuerung, den D-Kanal. Sie werden später näher beschrieben und untersucht.1

Die ISDN Anschlußtypen2

Der ISDN-Basisanschluß

Der sogenannte Basisanschluß stellt dem Benutzer zwei B-Kanäle mit einer Bandbreite von je 64 kBit/sec zur Verfügung, die von einem 16kbit/sec-D-Kanal gesteuert werden.

Man unterscheidet beim Basisanschluß eine Anlagen- und eine Mehrgerätevariante. Am Anlagenanschluß3 muß zwingend eine Telefonanlage angeschaltet werden, die wiederum die angeschlossenen Telefone und sonstigen Endgeräte steuert.

Am Mehrgeräteanschluß4 können direkt ISDN-fähige Apparate wie Telefone oder Fax­geräte der Gruppe 4 angeschlossen werden. Wahlweise ist auch hier der Betrieb einer Telefonanlage möglich - auch parallel zu anderen Endgeräten.

Den Mehrgeräteanschluß gibt es von der Deutschen Telekom AG5 wiederum in drei verschiedenen Varianten: Einfach-, Standard- und Komfortanschluß6. Diese unterscheiden sich nur in den zur Verfügung gestellten Leistungsmerkmalen. Welche Leistungsmerkmale die privaten Festnetzbetreiber anbieten werden, ist heute noch nicht abzusehen.

Hauptsächlich private Kunden und kleinere Firmen nutzen den ISDN-Basisanschluß. Zur Vergrößerung der Kapazität können auch mehrere Basisanschlüsse parallel an eine Telefonanlage geschaltet werden, so daß diese in Schritten von je 2 B-Kanälen beliebig erweiterbar ist.

Der ISDN-Primärmultiplexanschluß

Der Primärmultiplexanschluß stellt dem Benutzer 30 B-Kanäle mit einer Bandbreite von je 64 kBit/sec zur Verfügung, die von einem 64kbit/sec -D-Kanal gesteuert werden.

Ihn gibt es ausschließlich als Anlagenanschluß, so daß nicht direkt Endgeräte angeschaltet werden können, es sei denn sie nutzen die volle Bandbreite der 30 B-Kanäle von insgesamt 2Mbit/sec . Andernfalls ist zwingend eine TK-Anlage erforderlich, die die weiteren Endgeräte steuert.

Den Primärmultiplexanschluß nutzen größere Firmen und Institutionen, denen ein oder mehrere Basisanschlüsse nicht ausreichen, um ihre Kommunikation zu bewältigen. Auch hier kann man die Kapazität in Schritten von je 30 B-Kanälen erweitern, indem man weitere Primärmultiplexanschlüsse hinzunimmt.

Durch gleichzeitige Nutzung des gesamten Primärmultiplexanschlusses können Datenverbindungen mit einer Bandbreite von 2Mbit/sec realisiert werden.

Zusammenfassung

Für die weiteren Betrachtungen muß man also unterscheiden: Handelt es sich um einen Basis- oder Primärmultiplexanschluß und wird am Basisanschluß eine TK-Anlage betrieben oder nicht?

ISDN-Dienste

ISDN steht für Integrated Services Digital Network (zu deutsch: diensteintegrierendes digitales Netzwerk). Es integriert alle bisher existierenden Dienste in einem einzigen digitalen Netz. Waren bisher neben dem Fernsprechnetz eigene Netze für die Datenübertragungen der Dienste Telex, Teletex, Datex-L, Datex-P, Temex etc. nötig, so können alle diese Dienste nun über ein einziges Netz angeboten werden.7 Hinzu kommen noch einige neue Dienste, die erst im ISDN möglich werden. Insgesamt sind folgende Dienste verfügbar:8

  • Fernsprechen 3.1 kHz / 7 kHz

  • Fax Gruppe 3 / Gruppe 4

  • Daten 64 kBit/sec

  • X.21 / X.25

  • BTX / BTX neu

  • Teletex 64

  • Bild-Telefonie / Grafik-Telefonie

  • Temex (Fernwirken)

  • Mix-Mode

Leistungs- und Komfortmerkmale

Verbindungsunabhängige Merkmale

Verbindungsunabhängige Leistungs- und Komfortmerkmale sind das elektronische Telefonbuch, die Anwahl bei aufliegendem Hörer sowie Lauthören und Freisprechen.

Das elektronische Telefonbuch bietet dem Benutzer die Möglichkeit, Namen und dazugehörige Telefonnummern im Telefon abzuspeichern. Zum Anwählen eines bestimmten Teilnehmers wird dieser menügesteuert über seinen Namen aufgerufen und das Telefon stellt selbständig die Verbindung mit der dazugehörigen Telefonnummer her.

Die Anwahl bei aufliegendem Hörer erlaubt es dem Benutzer, beim Verbindungsaufbau die Hände frei zu behalten und andere Arbeiten zu erledigen, bis die Verbindung erfolgreich hergestellt ist. Dieses Komfortmerkmal ist immer kombiniert mit dem Lauthören.

Das Lauthören und Freisprechen ermöglicht es dem Benutzer in Ergänzung zur Wahl bei aufliegendem Hörer, auch beim eigentlichen Gespräch die Hände frei zu haben. Dabei unterscheidet man das reine Lauthören und das Freisprechen.

Beim reinen Lauthören wird ein im Telefon eingeschalteter Lautsprecher aktiviert, der es auch anderen Personen im Raum des Anrufers gestattet, mitzuhören. Der Gespächspartner hört hingegen nur das, was sein unmittelbarer Gegenüber sagt.

Beim Freisprechen werden ein eingebauter Lautsprecher und ein Mikrofon aktiviert, so daß das gemeinsame Telefonieren mehrerer Gesprächspartner in einem Raum mit dem Gegenüber am anderen Ende der Leitung möglich wird.

Verbindungsabhängige Merkmale

Verbindungsabhängige Leistungs- und Komfortmerkmale sind die Rufnummernanzeige, Rückfragen, Makeln, Konferenz, Anklopfen und Rückruf bei Besetzt.

Die Rufnummernanzeige ermöglicht es dem Angerufenen, bereits vor dem Abheben zu erkennen, wer ihn anruft. Im Display des Telefons erscheint die Rufnummer des Angerufenen,9 sofern dieser das nicht ausdrücklich unterbindet.10 Ist die Nummer des Anrufers gar im elektronischen Telefonbuch des Angerufenen gespeichert, wird statt der Nummer der Name des Anrufers eingeblendet. Der Angerufene kann sich also gleich auf das Gespräch einstellen.

Rückfragen ermöglicht den Aufbau einer zweiten Verbindung, während die erste gehalten wird. Der Gesprächspartner der ersten Verbindung kann dabei das zweite Gespräch nicht hören.

Makeln bezeichnet das Umschalten zwischen zwei Verbindungen; immer eine von ihnen ist aktiv, die andere wird gehalten. Auch hier kann der gerade gehaltene Gesprächspartner das andere Gespräch nicht hören.

Eine Konferenz ermöglicht das Zusammenschalten von bis zu zehn Teilnehmern11 zu einem Gespräch; dabei kann jeder jeden hören. Einer der Teilnehmer hat dabei die Aufgabe eines Konferenzleiters. Nur er kann neue Teilnehmer hinzunehmen und er zahlt die Gespräche.

Anklopfen verhindert das Besetztzeichen beim Anrufer. Selbst wenn der Angerufene bereits ein Gespräch führt, hört der Anrufer das Freizeichen. Im Hörer bzw. Lautsprecher des Angerufenen wird ein Aufmerksamkeitston erzeugt, der ihn auf einen weiteren Anruf hinweist. Er kann dann das erste Gespräch beenden oder durch Makeln zum anderen Teilnehmer wechseln.

Rückruf bei Besetzt erspart es dem Benutzer, einen lange besetzten Anschluß immer wieder anzuwählen. 15 Sekunden nachdem der Angerufene aufgelegt hat, wird dies dem erfolglosen Anrufer signalisiert und er kann durch Abheben des Hörers den Verbindungsaufbau einleiten.

ISDN-Endgeräte12

Im Folgenden werden die Endgeräte zunächst klassifiziert und ihre typischen Leistungsmerkmale beschrieben. Anschließend werden potentielle Schwachstellen aufgezeigt und erläutert.

Mit der Digitalisierung des Telefonnetzes werden auch neue, digital arbeitende Endgeräte nötig. Bereits beim Übergang vom Wählscheibentelefon zum Tastentelefon kamen sogenannte Komfortmerkmale auf. Dazu gehören die Wahlwiederholung der zuletzt gewählten Nummer, das Lauthören und das Freisprechen. Vereinzelt gab es auch Telefone mit integrierter Flüssigkristall-Anzeige (LCD), um die gewählte Nummer und den Zustand des Telefons darzustellen. Die digitalen ISDN-Endgeräte bieten alle diese Merkmale und noch einige mehr:

ISDN-Telefone

Digitale, ISDN-fähige Telefone sind mit diesen herkömmlichen Telefonen nicht zu vergleichen, so komfortabel sie auch gewesen sein mögen.

Ein ISDN-Telefon ist ein mikroprozessorgesteuertes, softwareprogrammiertes Gerät. Dadurch sind sie sehr flexibel. Sie verfügen meist über ein größeres Display, das neben Zahlen auch Text anzeigen kann. Die Anzeige dient zum einen einer Menüführung des Benutzers und zum anderen zur Anzeige von Verbindungsdaten. Mit Softkeys13 erfolgt die gesamte Programmierung und Bedienung des Telefons menügesteuert. Der Benutzer kann darüber die neuen, erst mit dem ISDN möglich gewordenen Leistungsmerkmale steuern.

Der allgemeine Trend bei ISDN-Telefonen zu mehr Benutzerkomfort hat sich auch auf die aktuelle Generation analoger Telefone übertragen. Leistungsmerkmale wie namentliches Telefonbuch, integrierter digitaler Anrufbeantworter, Tasten für Makeln und Rückfragen und Ähnliches sind immer häufiger zu finden.

ISDN-TK-Anlagen

In kleinen und großen Firmen und zunehmend auch in Privathaushalten haben Telekommunikationsanlagen Einzug gehalten. Sie verbinden interne und externe Kommunikation miteinander und mit den ISDN-Leistungsmerkmalen.

Von den herkömmlichen Telefonanlagen unterscheiden sie sich außerdem dadurch, daß über sie neben dem Telefonieren auch die anderen Dienste des ISDN möglich sind.

Überwiegend für den Hausgebrauch sind kleine ISDN-TK-Anlagen gedacht. Sie sind für ein bis zwei Basisanschlüsse und vier bis 16 Nebenstellen geeignet. Bei diesen Anlagen sind die Nebenstellen meist in analoger Technik gehalten, so daß vorhandene Endgeräte weiter genutzt werden können. Zusätzlich sind ein bis zwei digitale Anschlüsse14 vorhanden, an die handelsübliche ISDN-Telefone angeschlossen werden können, um das volle Spektrum der ISDN-Merkmale zu nutzen.

Davon muß man die großen ISDN-TK-Anlagen unterscheiden, die größere Firmen und Behörden betreiben. Hier können mehrere Primärmultiplexanschlüsse und einige tausend Nebenstellen vorhanden sein. Die überwiegende Zahl der Nebenstellen ist hier digital, nur ein kleiner Teil analog ausgeführt. Die verwendeten digitalen Endgeräte sind meist herstellerspezifisch. Sie lassen sich deshalb nur zusammen mit der Anlage betreiben. Für solche Anlagen wird eigenes Wartungs- und Konfigurationspersonal benötigt. Sie verfügen über Rechneranschlüsse für die Konfiguration und Auswertung der Anlagendaten und für die Gebührenabrechnung. Oft sind auch spezielle Schnittstellen für die Fernwartung vorhanden.

Sonstige Endgeräte

Neben den oben genannten Endgeräten gibt es noch eine Reihe weiterer. Sie lassen sich unterteilen in digitale und analoge Endgeräte.

Digitale Endgeräte wurden speziell für das ISDN geschaffen und können direkt an einen ISDN-Anschluß geschaltet werden. Dazu gehören ISDN-Telefone, ISDN-Karten für PCs und ISDN-Telefaxgeräte (Gruppe 4).

Analoge Endgeräte stammen meist aus der Zeit vor ISDN. Um sie weiterhin betreiben zu können, kann man sogenannte Terminaladapter (TA) zwischen Endgerät und ISDN-Anschluß schalten. Der Terminaladapter übersetzt die Daten und Signale zwischen dem analogen Dienst und dem ISDN.

Zu den analogen Endgeräten gehören Anrufbeantworter,15 analoge Telefone, Faxgeräte der Gruppe 3, Datex-L-, Datex-P-, Telex-, Teletex-, Temex-16 und BTX-Geräte.

Sicherheit bei ISDN-Dienstmerkmalen

Die digitale Steuerung und Signalverarbeitung im ISDN erhöht zwar ganz wesentlich den Komfort, birgt aber auch ganz neue Risiken. Das ISDN ist stärker mit klassischen Computernetzen verwandt als mit dem Vorgänger Telefonnetz. Das gilt auch für seine Angreifbarkeit. Eine Reihe von Komfortfunktionen stellen dabei eine besondere Gefahr dar. Sie werden zum besseren Verständnis zunächst beschrieben. Anschließend werden die Gefahren erläutert.

Leistungs- und Komfortmerkmale in TK-Anlagen

Innerhalb einer TK-Anlage stehen alle Leistungsmerkmale des ISDN-Anschlusses zur Verfügung und oft noch einige darüber hinausgehende, wie zum Beispiel Direktansprechen, Rückruf im Freifall, Nachziehen der Telefonnummer und Heranholen von Rufen.

Direktansprechen wird auch als Chef-Sekretär-Funktion, kurz „Chese“, bezeichnet. Dabei ersetzt die ISDN-TK-Anlage eine Gegensprechanlage. Ein Teilnehmer kann über die Freisprecheinrichtung seines Telefons mit einem anderen Teilnehmer innerhalb der Anlage sprechen. Dieser muß dazu weder den Hörer abnehmen noch das Mikrofon von sich aus aktivieren. Alles geschieht automatisch.

Der Rückruf im Freifall ergänzt den Rückruf im Besetztfall. Anlagenintern kann ein Rückrufwunsch auch dann eingeleitet werden, wenn der Gerufene nicht an seinem Platz ist. Sobald er anschließend ein Telefonat führt, weiß die Anlage, daß er wieder da ist und leitet nach Beendigung des Gesprächs den automatischen Rückruf ein.

Nachziehen der Telefonnummer ermöglicht es mobilen Teilnehmern, jeden Telefonapparat in der TK-Anlage zu ihrem eigenen zu machen. Sie geben dort ihre Benutzerkennung und Geheimzahl (PIN) ein und schon werden ihre Gespräche dorthin umgeleitet. Außerdem verfügt der Apparat dann über alle Rechte des Benutzers.

Durch das Heranholen von Rufen kann in einer Arbeitsgruppe ein beliebiger Kollege das Gespräch entgegennehmen, wenn der Gerufene gerade nicht an seinem Platz ist, ohne daß dieser seinen Apparat gezielt umleiten müßte.

Abhören von Räumen

Ein Raum ist prinzipiell über die Telefonleitung abhörbar, sobald sich in ihm ein Telefon mit Mikrofon befindet. Zwei ISDN-Leistungsmerkmale kommen hierfür in Frage: Das Freisprechen und das Direktansprechen.

Wenn ein Angreifer zu dem abzuhörenden Raum Zutritt hat, kann er eine Telefonverbindung zu einem beliebigen Telefon in der Welt aufbauen, wenn gerade niemand außer ihm im Raum ist. Sobald er die Freisprecheinrichtung aktiviert hat, kann der Gesprächspartner am anderen Ende der Leitung den Raum abhören, bis die bestehende Verbindung entdeckt wird oder er selbst sie auslöst.

Deshalb gibt es Vorschläge, bei aktiviertem Freisprechen in regelmäßigen Abständen ein Aufmerksamkeitston zu erzeugen. Doch auch dieser läßt sich bei zusätzlichem Zugang zur Anlage möglicherweise deaktivieren.17

Ein Angreifer braucht aber noch nicht einmal Zutritt zu dem abzuhörenden Raum, wenn das darin befindliche Telefon das Leistungsmerkmal Direktansprechen freigegeben hat. Dann kann von jedem Telefon der Anlage aus, das die Berechtigung zum Direktansprechen besitzt, das Mikrofon im abzuhörenden Raum aktiviert werden. Zwar ist auch hier ein Aufmerksamkeitston zu Beginn des Ansprechens vorgesehen, doch auch der läßt sich mit entsprechender Systemkenntnis umgehen.

Abhören von Telefongesprächen

Früher war ein physikalischer Zugang zu einer abzuhörenden Leitung notwendig; im ISDN reicht dafür ein Telefonanschluß und genügend kriminelle Energie.

Drei verschiedene Leistungsmerkmale ermöglichen es einem Angreifer, Telefongespräche abzuhören: Das Aufschalten, die Konferenz und die Zeugenschaltung.

Das Aufschalten ist vorgesehen, um in dringenden Fällen Telefongespräche unterbrechen und in die laufende Verbindung hinein eine Nachricht absetzen zu können. Normalerweise ist das Aufschalten nur wenigen Endgeräten (typischerweise der Vermittlung und eventuell der Sekretärin) erlaubt. Außerdem ist ein regelmäßig wiederkehrender Aufmerksamkeitston vorgesehen. Ein Angreifer mit Zugang zur Anlage könnte sich jedoch die benötigten Rechte verschaffen und den Aufmerksamkeitston unterbinden.

Die Konferenz birgt ein ganz anderes Risiko: Ein Teilnehmer könnte sich von den anderen Konferenzteilnehmern verabschieden, aber nicht auflegen. Er kann dann den weiteren Verlauf der Konferenz mithören, ohne daß die anderen Teilnehmer dies bemerken.18

Das Leistungsmerkmal Zeugenschaltung ermöglicht die gezielte Zuschaltung eines Dritten als Zeugen durch einen der Teilnehmer an einer Telefonverbindung. Das ist in Deutschland nicht zulässig. Da - dank Euro-ISDN- die Endgeräte aber auch in Ländern verkauft werden, wo dieses Merkmal zulässig ist und auch gefordert wird, kann man davon ausgehen, daß es auch in deutschen Telefonanlagen vorhanden ist.19

Angreifbarkeit von TK-Anlagen

Wenn man sich über die Sicherheit von TK-Anlagen Gedanken macht, muß man zwischen Angriffen durch Außentäter und durch Innentäter unterscheiden:

Angriffe durch Außentäter

Außenstehende haben verschiedene Möglichkeiten, in eine TK-Anlage einzudringen oder sie zu manipulieren:

Die wohl klassische Möglichkeit ist der Einbruch in den TK-Anlagen-Raum. Oftmals sind solche Räume für Außenstehende leicht zu finden20 und unzureichend durch Alarmanlagen gesichert. Auch können Eindringlinge als Wartungstechniker getarnt Zugang zur Anlage oder zu Schalt- und Verteilerschränken sogar während der Geschäftszeiten erlangen.

Der Eindringling kann zusätzliche Baugruppen in der Anlage unterbringen, die vorhandenen manipulieren oder Nebenstellen mit beliebigen Berechtigungen hinzufügen.

Die zusätzlichen Baugruppen können beispielsweise Gespräche bestimmter Nebenstellen oder Fax- und Datenübertragungen abhören. Der Wirtschaftsspionage ist damit Tür und Tor geöffnet.

Die Chancen stehen gut, daß diese Baugruppen über einen längeren Zeitraum unentdeckt bleiben. In alten, analogen Anlagen wurden die mechanischen Anlagenteile wie Drehwähler in regelmäßigen Intervallen ausgetauscht. In den digitalen Anlagen wird erst jemand aktiv, wenn die Anlage selbst einen Defekt erkannt hat. Solange wird vermutlich niemand einen Blick hinein werfen.

Über zusätzliche Nebenstellen könnte unbemerkt auf Kosten des betroffenen Unternehmens kommuniziert werden21 oder Leistungsmerkmale benutzt werden, die für normale Apparate nicht freigegeben sind wie Aufschalten oder Direktansprechen.

Neben diesen Manipulationen an der Hardware der Anlage sind auch Softwaremanipulationen möglich:

Jede größere Anlage verfügt über einen Wartungs- und Bedienplatz, der meist in unmittelbarer Nähe der Anlage aufgestellt ist. Die Anlagenhersteller sichern diesen Zugang zur Anlage mit einem Paßwort ab, das aber in vielen Fällen durch den Betreiber nie geändert wird. Nach Auskunft von Insidern gibt es auch Hersteller, die für alle Anlagen das selbe, vom Kunden nicht zu ändernde Paßwort verwenden. Wer also die Standardpaßwörter der gängigen TK-Anlagen kennt, wird auch diese Hürde in vielen Fällen nehmen können.

Dann kann er zusätzliche Rufnummern einrichten, die Paßwörter für den Wartungszugang verändern, die Gebührendaten auslesen und möglicherweise verändern, Warntöne für Funktionen wie Aufschalten oder Direktansprechen manipulieren oder die Anlage durch unsinnige Konfiguration zum Absturz bringen.

Die zusätzlichen Rufnummern können von außen benutzt werden, um auf Kosten des betroffenen Unternehmens zu kommunizieren. Dazu richtet der Angreifer eine Rufumleitung zu dem Teilnehmer ein, mit dem er eigentlich telefonieren möchte. Jeder, der später diesen Anschluß anwählt, wird auf Kosten des Unternehmens weiterverbunden.

Mit Hilfe des Paßworts für den Fernwartungszugang22 steht die gesamte Anlage wiederholbar offen, ohne daß erneut jemand persönlich eindringen müßte. Alle weiteren Einbrüche können dann von jedem Telefon der Welt aus geschehen. Damit sinkt das Risiko, entdeckt zu werden.

Die Gebührendaten können im Zusammenhang mit Wirtschaftsspionage oder zur Erstellung von Kommunikationsprofilen mißbraucht werden.23

Das Abschalten der Warntöne beim Aufschalten oder Direktansprechen macht diese Leistungsmerkmale zu den kritischsten innerhalb einer TK-Anlage. Denn damit können Räume oder Gespräche unbemerkt abgehört werden. Oft lassen sich die Warntöne per Programmierung nicht abschalten, aber die Lautstärke, Dauer oder Tonfrequenz lassen sich so verändern, daß die Töne nicht mehr wahrgenommen werden.

Das unsinnige Umprogrammieren der Anlage hat zum Ziel, sie zum Abstürzen zu bringen. Bis zur Wiederherstellung des ursprünglichen Zustands können die Anlagenbenutzer nicht mehr telefonieren, keine Faxe senden und empfangen und keine Daten mit Anderen austauschen. Diese Art der Manipulation gehört ebenso wie sonstige Sabotage zu den Anschlägen:

Viele Unternehmen hängen heute essentiell von ihrer Telekommunikations-Infrastuktur ab. Ein Ausfall der TK-Anlage schon für wenige Stunden oder Tage kann einem Unternehmen das Genick brechen.24

Deshalb stellt die Hard- und Software der TK-Anlage einen kritischen Angriffspunkt dar. Über Manipulationen an der Software kann die gesamte Anlage in einen unsinnigen Zustand gebracht werden, so daß sie erst nach einem Neustart wieder zu benutzen ist. Schlimmstenfalls müssen vor dem Neustart Sicherungen der Anlagenkonfigurations-Daten wieder eingespielt werden. Der gesamte Vorgang kann so Stunden bis Tage in Anspruch nehmen.

Schlimmer kann ein Unternehmen die physikalische Zerstörung der Anlage oder von Anlagenteilen treffen. Ein Feuer, eindringendes Wasser oder Überspannung an Anlagen-Baugruppen legen mindestens diese Teile bis zum Austausch mit anschließendem Neustart der gesamten Anlage lahm.

Ein Feuer im Kabel-Rangierraum25 kann nach Auskunft von Fachleuten eine Anlage mehrere Wochen lahmlegen. Ähnliche Auswirkungen kann bereits das Durchtrennen wichtiger Kabelstränge in diesem Raum oder in angrenzenden Kabelschächten haben.

Fernwartungszugang

Moderne Anlagen bieten die Möglichkeit, über eine bestimmte Nebenstellennummer administriert zu werden, ohne daß ein Techniker anwesend sein muß. Gerade für mittelgroße TK-Anlagen lohnt sich ein eigener Techniker nicht und einen Techniker des Herstellers anreisen zu lassen ist teuer. Diese Unternehmen kaufen dann beim Hersteller die Dienstleistung der Fernwartung ein.

Größere Unternehmen haben zwar in der Regel eigene Techniker, die befinden sich aber oft nur an einem Standort. Um die TK-Anlagen in den Niederlassungen mit zu warten, bietet sich auch hier ein Fernwartungszugang an.

Derselbe Zugang, der berechtigten Technikern die Anlage öffnet, kann aber auch von unberechtigten Eindringlingen mißbraucht werden. Deshalb sollte jedes Unternehmen prüfen, ob es zugunsten der Sicherheit nicht ganz auf die Fernwartung verzichtet oder den Fernwartungszugang nur innerhalb des Firmennetzes verfügbar macht.

Den besten Kompromiß zwischen Komfort, Kosten und Sicherheit stellt die Fernwartung mit Call-Back-Lösung dar. Dabei ruft der Wartungstechniker die zu wartende Anlage an; diese erkennt den Wartungswunsch, trennt die Verbindung und ruft die ihr bekannte Nummer des Wartungsplatzes zurück. Erst dann erlaubt sie den Zugriff auf die Anlagendaten.

Doch auch beim Einsatz des Call-Back-Verfahrens bleibt ein nicht zu unterschätzendes Restrisiko. Wenn der Anlagenbetreiber dem Anlagenhersteller die Administration der Anlage überläßt, hat er keine Möglichkeit, die Konfiguration zu prüfen. Ein prinzipiell berechtigter Wartungstechniker könnte also durch Bestechung dazu gebracht werden, die Anlage eines Kunden zu manipulieren, so daß der oben beschriebene Mißbrauch möglich ist, ohne selbst in die Anlage einzudringen.

Angriffe über den D-Kanal

Über den D-Kanal kann ein Angreifer von außen unsinnige oder manipulierende Kommandos an eine TK-Anlage schicken. Wenn diese sie ungefiltert an die Endgeräte weiterleitet, besteht eine große Sicherheitslücke. Dann könnten beispielsweise von jedem Telefonapparat der Welt beliebige Räume oder Telefonate abgehört werden. Es wäre nicht mehr notwendig, in das abzuhörende Unternehmen einzudringen.

Eine Lösung für dieses Problem stellt die D-Kanal-Firewall dar, die analog zu Firewalls in Rechnernetzen wie dem Internet die ankommenden Datenpakete filtert. Nur für unkritisch befundene Datenpakete werden durchgelassen.

Der D-Kanal selbst und seine Sicherheitslücken werden im nächsten Kapitel ausführlich beschrieben; der Firewall-Ansatz wird in Kapitel näher untersucht.

Angriffe durch Innentäter

Firmenangehörige können ebenso wie Außentäter versuchen, die TK-Anlage zu kompromittieren. Das größte Risiko stellen diejenigen dar, die Privilegien in der Anlage haben. Das sind die Servicetechniker und die Vermittlungskräfte.

Die Servicetechniker können sich und anderen Nutzern Nebenstellen so einrichten wie sie möchten. Die Berechtigung, internationale Gespräche zu führen ist damit ebenso möglich, wie die Berechtigung zum Aufschalten auf Verbindungen oder für das Direktansprechen. Außerdem können sie eine Manipulation der Gebührendaten vornehmen oder zulassen. Und sie können eine unbenutzte Durchwahlnummer ins Ausland umleiten, so daß auf Kosten des Anlagenbetreibers dorthin telefoniert werden kann.

Die Vermittlungskräfte können den Benutzern von Nebenstellen entgegen etwaigen Arbeitsanweisungen internationale Gespräche ermöglichen. Sie verfügen außerdem in der Regel über das Recht, sich auf eine bestehende Verbindung aufzuschalten. Dies dient eigentlich dazu, besonders dringende Anrufe zu signalisieren, wenn bereits mit einem anderen Teilnehmer gesprochen wird, kann aber zum Abhören von Gesprächen mißbraucht werden.

Aber auch die Nebenstelleninhaber sind potentielle Angreifer von Innen. Falls sie über eine entsprechende Berechtigung verfügen, können auch sie eine Rufumleitung ins Ausland programmieren, die dann von Außenstehenden mißbraucht wird.

Kommunikationsprofile

In ISDN-Anlagen ist es häufig notwendig, folgende Verbindungsdaten zu Abrechnungszwecken für einen Zeitraum von mehreren Wochen zwischenzuspeichern:

  • Datum, Uhrzeit des Anrufs

  • rufende Nebenstelle

  • angewählte Nummer

  • Dauer des Gesprächs

  • entstandene Gebühren

Da die Abrechnung der Gebühren EDV-gestützt abläuft, werden die Daten in Rechneranlagen zwischengespeichert und verarbeitet. Damit ist es möglich, das Kommunikationsverhalten einzelner oder aller Teilnehmer rechnerunterstützt zu analysieren. Das hat zum einen datenschutzrechtlich eine Bedeutung, weil es zu einer Überwachung der Mitarbeiter führen kann. Allein die Möglichkeit läßt schon einen Vertrauensverlust zwischen Unternehmen und Mitarbeiter befürchten.

Zum anderen können die Daten von Außenstehenden mißbraucht werden. Sie können daraus die Intensität der Geschäftsbeziehungen mit anderen Unternehmen ablesen. Das kann für die Konkurrenz durchaus eine wertvolle Information sein. Außerdem könnten Mitarbeiter erpreßbar werden, wenn zum Beispiel aus ihren Gesprächsprofilen hervorgeht, daß sie regelmäßige Telefonate mit ihrer Geliebten führen.

Fazit

Wenn es einem Angreifer erst einmal gelungen ist, eine ISDN-Anlage unter Kontrolle zu bringen, wird es in der Regel eine ganze Weile dauern, bis seine Machenschaften entdeckt werden. Dazu trägt bei, daß er unter Umständen gar nicht oder nur einmal physikalisch eindringen muß. Alle weiteren Manipulationen können aus der sicheren Ferne erfolgen.

Nutzt er die Anlage für kostenlose Gespräche im großen Stil, wird er nach der nächsten Rechnung auffliegen. Aber das kann schon einmal sechs bis acht Wochen dauern.

Andere Manipulationen können noch länger unentdeckt bleiben. Das liegt an der Komplexität größerer Anlagen. Kein Mensch ist in der Lage, eine große TK-Anlage mit ihren Hardwarekomponenten und den freigeschalteten Dienst- und Leistungsmerkmalen zu überblicken. Und mit jedem Software-Update, das vorhandene Probleme löst, kauft man sich mehrere neue ein. Das Ziel der Wartungstechniker muß es sein, diese zu finden, bevor es ein Anderer tut.

Computerunterstützung gibt es für diese Tätigkeit leider (noch) nicht.

Man könnte sich aber vorstellen, ein Pendant zu „Satan“ zu schaffen. Satan26 ist ein Programm, das gängige Sicherheitslücken in UNIX-Rechnern kennt und einen Zielrechner systematisch mit Hilfe dieser Kenntnis angreift. Anschließend generiert es einen Bericht der gefundenen Lücken. Es ist eine übliche Methode, sich die Mittel und das Wissen der potentiellen Angreifer zu besorgen und sich selbst anzugreifen, um so Lücken aufzudecken. Damit kann man Lücken schließen bevor Angreifer sie ausnutzen. Es gibt aber auch Lücken, die sich nicht ohne weiteres schließen lassen, weil sie in der Verantwortung des Anlagenherstellers oder des Netzbetreibers liegen. Auf sie können die Verantwortlichen aber zumindest besonderes Augenmerk richten.

Unter Umständen muß man aus Sicherheitsgründen auf einige komfortable aber unsichere Leistungsmerkmale verzichten. Dazu werden sie anlagenweit gesperrt. Das Wartungspersonal muß dann regelmäßig prüfen, daß die Sperrung noch aktiv ist, um einen heimlichen Mißbrauch durch Umprogrammieren auszuschließen.


ISDN-vernetzte Rechner

ISDN-Leitungen werden wegen ihrer relativ hohen Bandbreite von 64 kBit/sec je B-Kanal zunehmend auch zur Rechnervernetzung verwendet. Insbesondere Rechenzentren stellen ISDN-Zugänge bereit, über die die Anrufer ihre Daten übertragen können.

So manches Rechenzentrum benutzt dabei die Rufnummernübermittlung27 als Identifizierung des Anrufers und verzichtet auf weitere Sicherheitsabfragen. Das kann aber gefährlich werden. Wie im nächsten Kapitel über das D-Kanal-Protokoll gezeigt, kann eine Rufnummer übermittelt werden, die vom Netz nicht geprüft wurde. Damit ist es möglich, von überall in dieses Rechenzentrum einzudringen, indem eine berechtigte Rufnummer vorgetäuscht wird.

Deshalb kann auf keinen Fall auf weitere Sicherheitsabfragen oder auf Call-Back verzichtet werden. Beim Call-Back-Verfahren wird durch den Anruf im Rechenzentrum nur der Verbindungswunsch von einer bestimmten Telefonnummer aus signalisiert. Die Verbindung wird sofort unterbrochen und die übermittelte Nummer zurückgerufen. Erst dann wird die eigentliche Verbindung aufgebaut.

Eine andere Möglichkeit, die Rechnerkommunikation über das ISDN sicherer zu machen, ist die geschlossene Benutzergruppe (GBG, CUG28). Dieses Dienstmerkmal erlaubt es, für einen ISDN-Anschluß festzulegen, mit wem er kommend und gehend kommunizieren darf. Die GBG kann dabei für jede Dienstekennung individuell eingestellt werden. So kann ein Basisanschluß beispielsweise so eingerichtet werden, daß der Benutzer mit jedem anderen Anschluß telefonieren, aber nur mit ganz bestimmten Anschlüssen Daten austauschen darf.

Dadurch läßt sich beispielsweise auch der Fernwartungszugang zusätzlich absichern: Nur berechtigte Fernwartplätze erhalten Zugriff auf den Anschluß.

Aber gerade weil die GBG für einzelne Dienstekennungen getrennt aktiviert werden kann, ist sie unsicher: Durch eine einfache Manipulation der Dienstekennung ist es beispielsweise möglich, doch eine Datenverbindung aus einem Unternehmen heraus aufzubauen und Daten nach außen zu leiten, die sicher geglaubt werden.

Zusammenfassung

Gerade für die Betreiber großer Telefonanlagen hat das ISDN Komfortverbesserungen gebracht: Die Rechte der einzelnen Nebenstellen sind frei programmierbar, den Vermittlungskräften steht ein Computer mit elektronischem Telefonbuch zur Verfügung, die Abrechnung der Gebühren erfolgt mit Computerhilfe, durch Anrufumleitung gehen weniger Gespräche verloren und neue Funktionen lassen sich relativ leicht in die bestehende Anlage integrieren.

1 Kapitel befaßt sich mit der Sicherheit des D-Kanals.

2 vgl. z.B. [boe95] Abschnitt 2.1

3 auch Punkt-zu-Punkt-Verbindung genannt

4 auch Punkt-zu-Mehrpunkt-Verbindung genannt

5 Erst 1998 (Wegfall des Sprachmonopols) werden andere Anbieter hinzukommen.

6 vgl. [boe95]

7 Zur Problematik der Endgeräte siehe Abschnitt

8 siehe [göl97]

9 CLIP - Calling Line Identification Presentation

10 CLIR - Calling Line Identification Restriction

11 Bei der sogenannten „großen“ Konferenz. Es gibt auch die Dreierkonferenz.

12 Eine Übersicht findet man z.B. in [boc86] und in [boe95].

13 Das sind Tasten, die ihre Bedeutung ändern können. Die aktuelle Funktion wird angezeigt.

14 sogenannter S0-Bus

15 Es gibt heute noch keine alleinstehenden Anrufbeantworter für das ISDN. Lediglich ISDN-Telefone mit integriertem Anrufbeantworter sind im Kommen.

16 Fernwirken

17 Dazu später mehr.

18 vgl. [bsi94]

19 vgl. [bsi94]

20 weil sie auf Lageplänen als solche gekennzeichnet werden. Siehe [bsi94]

21 „Gebührenbetrug“, siehe unten

22 zum Fernwartungszugang siehe Abschnitt

23 siehe Abschnitt

24 vgl. [bsi94]

25 dort werden die Teilnehmerleitungen physikalisch auf die Anlage aufgeschaltet

26 http://web.indstate.edu/~cckeg/security/satan/satan_documentation.html

27 CLIP - Calling Line Identification Presentation

28 Closed User Group

 

  [Chaos CD]
[Contrib] [Sicherheit im ISDN]    Kapitel 2: Schwachstellen in ISDN-Endgeräten
[Gescannte Version] [ -- ] [ ++ ] [Suchen]