Schwere Sicherheitslücken beim Schnurlos-Telefonieren mit DECT

@knuffi: Betrachte das bitte als freie Meinungsäußerung. Im GG steht: "eine Zensur findet nicht statt" und ich werde mich hüten, eine solche zu fordern

Es mag ja rechtlich strittig sein,ob es sich bei einem Hackertool um eine eine freie Meinungsäußerung handelt.

Ich darf mich aber wohl darüber aufregen, daß Steuergelder dazu verwendet werden, eine Software zum Abhören meines DECT Telefons zu entwickeln und zu verbreiten.

Mit der Veröffentlichung der Software ist mir und Millionen anderer DECT Nutzer ein materieller Schaden (Entwertung des DECT Telefons) zugefügt worden, denn die Wahrscheinlichkeit, von Kleinganoven abgehört zu werden hat sich durch die Bereitstellung der Software ums Vieltausendfache erhöht. Danke TU Darmstadt !

Und das Ganze nur, damit ein Professor eine prima Reklame für sein neues CASED Institut bekommt.
K
 
Zuletzt bearbeitet:
...womit wir wieder einmal beim Thema Vorratsdatenspeicherung, Onlineüberwachung, Bundestrojanern ..... wären. Auch ich verabscheue die Verwendung von Steuergeldern dafür. Genausogut hätte man das in Schäubleschen Geheimlabors austüfteln können, ob das dann publiziert würde? Genauso verabscheue ich die Verwendung von Steuergeldern für militärische Zwecke.
Leider kenne ich keine Partei(außer Piraten), welche explizit gegen eine Entwertung aller Kommunikationsmittel ist. Unsere Regierung wird schon wissen, was gut für uns ist. Wir wissen schließlich auch, welche Regierung gut für uns ist(siehe Wahlergebnis:confused:)
Gruß
Michael
 
Ein ganz schöner Pressehype.

Voraussetzungen sind: Die PC-Karte, die passende "Hack-Software", kriminelle Energie.
Da bin ich ja richtig beruhigt. Ich hatte schon befürchtet, daß die ganze Nachbarschaft jetzt meine Telefonate mitbekommt, ob sie will oder nicht. Oder daß ich die vom Nachbarn mit anhören muß, was vielleicht noch schlimmer wäre.

Ich persönlich schließe auch meine Wohnung nicht ab, sondern hänge nur ein Schild an die Tür: "Betreten verboten". Wenn jemand sich nicht daran halten wollte, würde ja auch kriminelle Energie dazu gehören.

Wir wissen schließlich auch, welche Regierung gut für uns ist

Nachdem auch in Deutschland vermehrt Wahlgeräte zum Einsatz kommen, deren Funktion nicht überprüfbar ist, stellt sich die Frage, ob es noch einen Bezug gibt zwischen dem, was gewählt wurde, und den Ergebnissen.

Nachdem sich unser Innenminister bei der Überwachung der Bevölkerung von seinem Vorgänger im Osten inspirieren ließ, vielleicht auch bei der Auszählung der Wahlen.
 
Wie glaubst Du, hätte das DECT-Forum (Lobby) drauf reagiert hätte, wenn die nur gesagt hätten: seht mal, das und das sind Sicherheitslücken? Die hätten dememtiert, daß dies geht und das ggf. noch mit Anwaltsunterstützung. So sind sie gezwungen, Stellung zu nehmen und können sich nicht einfach rausreden.
Wenn Du Dir so Sorgen machst, dann darfst Du auch kein WLAN benutzen, denn mit den entsprechend (frei verfügbaren) Tools kann man auch relativ problemlos dort Chaos anrichten. Entsprechendes gilt für Sicherheitslücken in Software usw. Ist die jetzt auch für mich wertlos oder was?
Ich finde Deine Sichtweise etwas sehr einseitig.
 
Feuerwehr steckt massenhaft brandgefährdete Häuser an, um vor Brandgefahren zu warnen

Wie glaubst Du, hätte das DECT-Forum (Lobby) drauf reagiert hätte, wenn die nur gesagt hätten: seht mal, das und das sind Sicherheitslücken? Die hätten dememtiert, daß dies geht und das ggf. noch mit Anwaltsunterstützung.

Dazu reicht es, die Sicherheitslücken öffentlich zu demonstrieren, wie es auch getan wurde.
Es ist nicht nötig, die Erkenntnisse und die Software massenhaft zu verteilen und die Bürger damit ganau in die Gefahr zu versetzen, vor der man angeblich warnen will.

So sind sie gezwungen, Stellung zu nehmen und können sich nicht einfach rausreden.

Ach so ist das,
Der Professor und seine Gruppe machen mein bisher rein theoretisch abhörbares Telefon praktisch abhörbar, nur damit das DECT Forum zur Zusammenarbeit mit seinem Institut gezwungen wird.
Danke schön !
  • Das DECT Forum hat mir ein theoretisch abhörbares Telefon beschert.
  • Der Uni Professor und seine Helden haben dafür gesorgt, daß auch praktisch soviel wie möglich abgehört wird.
Wem ist damit geholfen ?
  • Der Professor und sein Institut bekommen öffentliche Gelder und Aufträge aus der Industrie (DECT Forum)
  • Die Hacker haben ihren EGO-Kick bekommen
  • Die Industrie kann demnächst neue "sicherere" Geräte verkaufen.
Wem ist nicht geholfen
  • Durch den Eingriff der "Sicherheitsexperten" ist des Gefahr des "abgehört werdens" vielfach höher, als zuvor.
  • Auf der Strecke bleibt der Konsument, der zum Neukauf genötigt wird, wenn die neuen Telefone fertig sind.
  • Auf der Strecke bleibt der Konsument, der das nicht mitbekommt oder kein Geld hat.
  • Selbst wer das Geld hat, schaut er in die Röhre, bis die neuen Telefone fertig sind!
  • Auf der Strecke bleibt die Umwelt, welche zusätzlich mit Tonnen kompromitierten Elektroschrotts belastet wird
  • ...und in 2..3 Jahren wiederholt der Prof und sein Team sein Spiel...
Newsticker:
-Feuerwehr steckt massenhaft brandgefährdete Häuser an, um vor Brandgefahren zu warnen. Bürger bleiben auf ihrem Schaden sitzen
.
- Polizei verteilt Nachschlüssel an Kriminelle, um auf unsichere Haustürschlösser hinzuweisen..
(Das würden Feuerwehr und Polizei natürlich nicht tun, da und ihre Aufgabe der Schutz der Bürger ist).

Folgender Vergleich paßt besser:
Erfinder von neuem Sicherheitsschloss verteilt Nachschlüssel für ältere Schloßmodelle an Kriminelle.
"Man habe edle Motive und wolle nur auf Sicherheitsprobleme aufmerksam machen", erklärt man der Presse.
"Selbstverständlich sei man aber auch bereit, den Schloßherstellern bei der Entwicklung besserer Schlösser zu helfen"...
"Die Opfer der durch die Aktion gehäuften Einbrüche seien ein nicht zu vermeidender Kollateralschaden auf dem Weg zu einer sichereren Welt..."
K
 
Zuletzt bearbeitet:
Dazu reicht es, die Sicherheitslücken öffentlich zu demonstrieren

Ich darf mich aber wohl darüber aufregen, daß Steuergelder dazu verwendet werden, eine Software zum Abhören meines DECT Telefons zu entwickeln und zu verbreiten.

-Nein. Das macht der Vatikan. Wer eine wissenschaftsbefähigende Ausbildung hat weiss warum nicht.

-Die können nix dafür wenn Du Dir unsicheren Schrott andrehen lässt obwohl es bekannt ist dass das FBI/BKA DECT seit 20 Jahren abhören kann (sowas weiss man einfach) und auch noch die die Dich in Sachen des Verbraucherschutzes darauf hinweisen, beleidigst, und damit Du Dich richtig aufregst, Du Konsument:

http://www.ip-phone-forum.de/showpost.php?p=1264145&postcount=20
 
Zuletzt bearbeitet:
Ich gebe Knuffi völlig recht. Es hätte absolut gereicht, die Informationen zu den Sicherheitslücken an geeigneter Stelle und in seriöser Weise zu veröffentlichen, statt auch noch die Einbruchswerkzeuge zu "verteilen".

Meiner Meinung geht es den Leuten nach ihrem anfänglichem Forscherdrang mittlerweile auch verstärkt oder nur noch um Selbstdarstellung, oder um anders auszudrücken, um Wichtigtuerei.
Spätestens nach dem dritten (auch noch kostenlosen) Auftritt in mehr oder minder seriösen TV-Boulevard-Magazinen mit ihren bekannt tendenziösen Skandalstories drängt sich der Verdacht auf.

Das Projekt ist angeblich gestartet worden, um einen Open-Source-DECT-Stack zu realisieren. Mittlerweile geht es scheinbar nur noch darum, DECT als Technik zu demontieren und den "einfachen Leuten" eine vermeintliche Unsicherheit bzw. Unbrauchbarkeit ihrer erworbenen Geräte einzureden.
Diese entsteht aber erst dadurch, daß man Kriminellen, Stalkern, Schnüfflern und Terroristen die Technik zur freien Verfügung stellt und sich in Interviews (siehe CCC-Radio) auch nicht zurückhalten können, welchen Unsinn man außer Abhören von Privatgesprächen sonst noch machen kann. Immer mit dem hämischen Hinweis: "Das haben wir natürlich nie gesagt!".

Natürlich gibt es Firmen, die dazu in der Lage sind, Abhörgeräte herzustellen. Mit dem nötigen Wissen, das man ja auch ganz legal erwerben kann, ist das möglich.
 
Ich gebe Knuffi völlig recht. Es hätte absolut gereicht, die Informationen zu den Sicherheitslücken an geeigneter Stelle und in seriöser Weise zu veröffentlichen, statt auch noch die Einbruchswerkzeuge zu "verteilen".

Es handelt sich um einen Fork oder/und Erweiterung eines Open Source- "Einbruchswerkzeugs" dessen Sourcecode schon Jahrelang frei verfügbar ist.
Du willst also den Vertrieb von Freier Software verbieten? Linux verbieten?
Zur Kenntnis genommen. Dein Verständnis von Pressefreiheit auch.
Laut LG München ist die GPL-Lizens aber legal.
Und "an geeigneter Stelle und in seriöser Weise" heisst wo Ottonormalverbraucher nicht liest, in einer Weise die er nicht versteht und somit nicht gewarnt werden kann, richtig? Sehr Verbraucherfreundlich. Sehr seriös.... solche Industriegekauften Wissenschaftler haben wir genug.
Es gibt auch noch eine Forschungsfreiheit ausserhalb der Konzerne.

http://www.ip-phone-forum.de/showpost.php?p=1264174&postcount=22
 
Zuletzt bearbeitet:
Das ist doch kompletter Unsinn. Ich spreche auch nicht allein von KISMET, erst recht nicht von LINUX. Ich will nichts "verbieten" (wo steht das), schon gar nicht den "Vertrieb von freier Software".
Ich halte es nur für unverantwortlich, wie die Leute von deDECTed vorgegangen sind.
Immerhin haben die Projekt-Mitglieder kundgetan, daß sie eine spätere Version, die dann auch verschlüsselte Gespräche abhören können soll, nicht zu veröffentlichen.

Es gibt z.B. auch Schlüsselsysteme, mit denen man praktisch jede Haus- und Wohnungstür öffnen kann, ohne irgendwelche Spuren zu hinterlassen. Wer sich damit brüstet, sich das notwendige Wissen selbst erarbeitet zu haben, solche Gerätschaften zuhause herzustellen, sollte nicht sofort eine Bastelanleitung öffentlich ins Internet stellen und auch nicht überall herumtönen, wo man sich damit überall illegalen Zutritt verschaffen kann.

Es geht hier darum, daß das deDECTed-Team Leuten eine sehr einfache Möglichkeit verschafft, Straftaten zu begehen.
Es hat einige Tage gedauert, bis auch auf der deDECTed-Wiki-Seite ein expliziter deutlicher Hinweis aufgetaucht ist.
 
Zuletzt bearbeitet:
Und Du gehst davon aus, daß die Möglichkeit, DECT abzuhören, in einschlägigen Kreisen bisher nicht bekannt war? Daß diese Gruppe die erste ist, die in 20 Jahren diese Schwachstelle gefunden hat?

Ich halte es für wahrscheinlicher, daß das schon länge bekannt ist, aber eben nicht in der breiten Öffentlichkeit. Und da ist es mir schon lieber, wenn ich weiß, daß DECT unsicher ist, als wenn ich davon ausgehe, daß es sicher ist, aber es ist es trotzdem nicht.
 
Natürlich geh' ich auch davon aus, daß das andere schon vorher kannten und konnten.
Aber welche "andere" und wieviele das sind, macht doch den Unterschied, wieviel Aufwand (auch finanziell) die "anderen" treiben müssen, um an das notwendige "Werkzeug" zu kommen, und wer im Visier dieser "anderen" steht.

Wenn die "einschlägigen Kreise" so groß und leicht zugänglich wären, wie du implizit unterstellst, dann ist es geradezu ein Art Armutszeugnis, daß die Gruppe im Umfeld des CCCs erst jetzt darauf gestoßen ist.

Man hätte über die Abhörmöglichkeit nicht verschlüsselter Telefongespräche seriös informieren können, ohne gleich (wie auf dem CCC-Kongress) dazu "anzuregen", quasi einen preiswerten Volkssport daraus zu machen, indem man gebetsmühlenartig darauf hinzuweist, die notwendige PCMCIA-Karte für (ehemals) nur 23 Euro erwerben und die SW frei downloaden zu können, ohne (wie im CCC-RAdio-Podcast) offen damit zu kokettieren, welchen anderen weit aus gefährlicheren "Unsinn" man damit sonst noch anstellen kann (Stichwort Ampelanlagen, Türöffner, Zugtechnik), und auch ohne sich in reißerischen Boulevard-Magazin-Beiträgen verheizen zu lassen.

Von Leuten, die überwiegend an öffentlichen, stattlich finanzierten Instituten arbeiten, hätte ich ein bißchen mehr Veranwortungsbewußtsein erwartet.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.