ZDF Frontal: "Abhören leicht gemacht" (geht um DECT-Telefone)

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
Hi,
MReimer schrieb:
Das kritische am WPA2 ist aber(...) kann also mehr oder weniger unerkannt über Tage oder Wochen Passwörter probieren.
Zum Vergrößern anklicken....

...dann darf man annehmen, dass diese wochenlangen Versuche nicht protokolliert werden?

03.02.09 14:24:40 Anmeldung (...) gescheitert (falsches Kennwort).
Zum Vergrößern anklicken....

edit:
achso, ja, es geht hier um DECT-Hacken.
 
Hab auch so ne Dect Karte hier rumliegen und würde das Dect-Hacken (mein eigenes Dect!) gerne mal ausprobieren, hat da jemand mal ein verständliches tut dazu?
 
Danke nochmals fürs verlinken der Gigaset Seite. Die aktualisieren die Liste ja fast wöchentlich! Mitterweile hat man sogar die alte SX2x5 mit aufgenommen, dass sie angeblich verschlüsselt. Ich hoffe mal das stimmt und ist kein Bluff um die Leute zu beruhigen.:-Ö

@ Elektro: Du glaubst nich ernsthaft hier eine Anleitung zu bekommen, am besten noch für Klicki-Bunti Windows!? :p Frag doch die Leute die´s veröffentlich haben.
 
Hallo zusammen,

also ich bin der Meinung, dass das Thema nur groß aufgebauscht wird. Klar kann man viele DECT-Geräte abhören. Nur was bringt es, wenn ich jetzt extra ein Telefon kaufe, das verschlüsselt und das keinen Fallback auf unverschlüsselte Kommunikation macht? Gar nichts.

Habt ihr auch mal daran gedacht, dass Verschlüsselung rein gar nichts bringt, wenn keine End-to-End-Verschlüsselung gemacht wird.

Der Weg ist zwar vom Handgerät zur Basisstation sicher, aber danach? Wo bitte ist die Verschlüsselung bei Voip? Wo wird bei der Analog bzw. ISDN-Leitung verschlüsselt? In 99,9% der Telefonate überhaupt nicht.

Es gibt zwar SRTP, nur das bietet fast kein VoIP-Provider an. Hinzu kommt, dass beide Gesprächspartner SRTP unterstützen müssen, da sonst auch wieder ein Fallback gemacht wird. Und das Allheilmittel ist das auch nicht. Denn es handelt sich um keine Verschlüsselung, die auf asyncronen Schlüsseln basiert.

Oder man nimmt dieses ominöse Skype. Ganz toll, da wird ein Protokoll verwendet, das verschlüsselt ist und wo nur Skype entschlüsseln kann.

Das denke ich mir jedes Mal, wenn ich Telefonbanking mache. Das Gespräch läuft unverschlüsselt über das Internet. Beim Onlinebanking schreit jeder, dass man darauf achten soll, dass die Verbindung SSL-gesichert ist. Beim Telefonbanking ist das ganze noch schlimmer. Da reichen Kontonummer und PIN, um Transaktionen durchzuführen. Beim Onlinebanking hat man wenigsten noch iTAN und ähnliches, sprich etwas einmaliges.
Und selbst wenn ich nicht Voip benutze, um bei meiner Bank anzurufen, sondern Festnetz, wird auch hier nicht verschlüsselt. Auch hier kann problemlos abgehört werden.

Also alles wieder nicht weiter als Medienhascherei.

Wenn ich jemand abhören will, der über Voip telefoniert, dann muss ich im Idealfall nicht mal meine Wohnung verlassen und mich vor die Wohnung des Opers stellen, sondern mache das ganz bequem aus dem heimischen Wohnzimmer. Oder iim Falle von Festnetz bau da was schönes in die Vermittlungskästen ein, die da ohne Einbruchsmeldesystem am Straßenrand stehen.

Mehr Sicherheit kann es nur geben, wenn jeder Telefone benutzt, so wie sie die Staatsoberhäupter einsetzen.
Und zwar mit asyncroner Verschlüsselung und Signierung, die auf einem PKI basiert.

Das ist wieder das gleiche Thema wie die Diskussion um offene WLANs. Wenn ich wirklich anonym surfen will, dann fahr ich in die nächste größere Stadt und setz mich in das nächste Internetcafe. Die Websitzung bezahl ich bar. Und damit mich auch garantiert niemand auf dem Überwachungsvideo des Cafes erkennt, vorher verkleiden nicht vergessen.
 
Zuletzt bearbeitet:
Das ist ja auch gar nicht erwünscht. Wie soll denn sonst
Schäuble & Co. bei Verdacht Telefone anzapfen können, ohne
in die Wohnung eindringen zu müssen?

Alle Provider sind per Gesetz verpflichtet, Schnittstellen für eine
Überwachung bereitzustellen (incl. Vorratsdatenspeicherung...)

Eine end-to-end Verschlüsselung ist gar nicht im Staatsinteresse, in vielen
Ländern ist Verschlüsselung sogar verboten (z.B. Frankreich).
 
Mal zur Info, wer sein Telefon auf abhörsicherheit testen will, im Wardriving Forum gibts was.
https://wardriving-forum.de/forum/showthread.php?t=66612&highlight=dect
Die Anleitung ist zwar nicht ganz vollständig, wer aber ein bisschen Ahnung von Linux hat, der wird keine Probleme haben.
Infos über Hard & Soft im Wiki: https://wardriving-forum.de/wiki/DECT

Ich habs ausprobiert, ich sag nur erschreckend, was da alles (ungewollt) kommt!

Werde jetzt die Karte verkaufen (bis zu 200-300 ¤ werden gezahlt! *freu*) und mein Schnurloses am besten gleich dazu....
 
blacksun schrieb:
Der Weg ist zwar vom Handgerät zur Basisstation sicher, aber danach? Wo bitte ist die Verschlüsselung bei Voip? Wo wird bei der Analog bzw. ISDN-Leitung verschlüsselt? In 99,9% der Telefonate überhaupt nicht.
Zum Vergrößern anklicken....
Da hast Du recht.
Aber es geht ja um die Verhältnismäßigkeit.
Bevor Du ein Kabel abhören kannst, musst Du an das Kabel kommen, das heißt physischer Zugriff ist nötig.

Das ganze wir schnell entdeckt, ist zeitaufwendig und wahrscheinlich teuer.

Um eine Funkstrecke abzuhören, kann man sich einfach irgendwo im die Ecke stellen.
Die Geräte sind billig zu bekommen, physischer Zugriff ist nicht nötig, wird also auch nicht so schnell entdeckt.

Ergo: Auf jeden Fall nur verschlüsselte Handgeräte nehmen, auch, wenn der Rest der Strecke unverschlüsselt ist.
Das ganze ist nunmal nur so "sicher" wie das schwächste Glied, und das ist die Funkstrecke.
 
Da muss ich Dir leider widersprechen. Das schwähste Glied
ist die Unwissenheit und Unbekümmertheit (Mein DECT oder
mein GSM Telefon verschlüsselt ja, deshalb bin ich abhörsicher).

Du magst Recht haben, dass das Gefahrenpotential bei DECT
in unmittelbarer Nähe (bis 400 Meter) durch die Funkübertragung
eine Schwachstelle darstellt.

Das ist aber das geringste Problem. Wir haben ein deregulierten Markt,
die Telekom ist nicht mehr mit dem Staatsmonopol auf Kommunikation
gleichzusetzen.Gespräche gehen unkontrolliert sowohl über Festnetz
Leitungen, als auch über IP Strecken, Funkstrecken, Sateliten
Verbindungen etc. ohne dass ein Teilnehmer dedizierte Wahlmöglichkeiten hat.

Hinzu kommt, dass viele Dienstleistungen durch Outsourcing Partner
erbracht werden, eine lückenlose Kontrolle und Sicherheit ist kaum
möglich.

Der Skandal mit den Telekom - Servicecenter, die Kontodaten von
Kunden verkauft haben ist gar nicht so lange her, Abhörskandale in
Unternehmen wie Telekom und Bahn machen die Runde, Nokia
setzt Gesetz zur Mitarbeiterüberwachung im Heimatland durch,
die Politik möchte weitere ermächtigungen zur flächendeckenden
Überwachung der Kommunikation durchsetzen. Niemand hat wirklich
ein Interesse an der Wahrung der Privatsphäre der Bürger und an
eine sichere Kommunikation (ausser die Bürger selbst).

Dass diese Ignoranz natürlich auch Tür und Tor für nicht-staatliche
Organisationen / kriminelle öffnet, wird in Kauf genommen
(wir haben ja Gesetze gagegen, und die bösen Buben erwischen
wir mit der flächendeckenden Überwachung und Vorratsdatenspeicherung...)
 
Richtig, komplette Sicherheit gibt es sowieso nicht.
Aber deswegen zu sagen, es sei egal, ob man ein verschlüsselndes oder nicht verschlüsselndes DECT-Gerät benutzt, finde ich doch sehr gewagt und kontraproduktiv.

Ich glaube, es war in dieser ZDF-Frontalsendung, wo eine Apothekerin abeghört wurde.
Diese geht mit persönlichen Daten um, die nicht nach außen gelangen sollten.
Natürlich kann sie genau so gut auf dem Rest der Strecke abgehört werden, aber bei weitem nicht so einfach und gezielt.
 
Abhören kann man jeden auf vielfältige Art und Weise (Babyphone
Funktion von Handy's / Dect Geräten, Notebooks mit integriertem
Microphone / Lautsprecher, die man über geeignete SW anzapft,
Richtmikrophone, Minisender, eine kleine Drosselspule + Verstärker
in der Nähe der Telefonleitung bei analogen Telefonen...)

Dass man es nun gerade mal bei DECT auch geschafft hat (was
angeblich verschlüsselt) sorg für ein paar Wellen, weil man sonst
keine Nachrichten hat. Das Gefahrenpotential von nicht verschlüsselter
DECT Kommunikation gegenüber den anderen Methoden ist nicht
viel größer. Man kann immer unbefugt in die Privatsphäre anderer
eindringen, dank moderner technik auch aus sicherer Entfernung.
 
Schneewambo schrieb:
Um eine Funkstrecke abzuhören, kann man sich einfach irgendwo im die Ecke stellen.
Zum Vergrößern anklicken....
Um eine spezielle Person, d.h. in diesem Falle ein spezielles DECT-Gerät, abhören zu können, muß man erst einmal herausfinden, welche Basis (RFPI) man "anzapfen" muß.
Mit dem DECT-Sniffer kann man sich auch immer nur auf eine einzelne Basis synchronisieren.
In einem normalen Wohngebiet sieht man aber schnell mehrere Dutzend Basisstationen (RFPIs).
 
Hallo zusammen,

also ich muss sagen, irgendwie widersprecht ihr euch doch.
Auf der einen Seite sprecht ihr von Verhältnismäßigkeit und Aufwand, auf der anderen Seite ach wie wichtig dass es ist, dass DECT auch ja verschlüsselt.
Das ist doch ein Widerspruch.

Wer bitte hat Interesse daran, einen kleinen Privatmann abzuhören. Auch hier kann man das Argument bringen, dass der Aufwand/Verhältnismäßigkeit in keinem Verhältnis zum Ertag stehen. Sprich was soll dabei rauskommen, wenn jemand mich abhört.

Auch in dem Beitrag wird geschimpft, dass die Hersteller die Gefahr herunterspielen. Doch ihr sprecht selber von Verhältnismäßigkeit. Und nichts anderes ist das, was die Hersteller auch sagen.

Seien wir doch mal ehrlich, wer hört denn ab? Das ist zum einen der Staat, und zum anderen Unternehmen (Industriespionage). Unternehmen wollen Firmengeheimnisse, und die gibt's nicht beim kleinen Mann. Und der Staat will auch nichts, solange man keine potentielle Gefahr für den Staat bzw. die öffentliche Sicherheit darstellt. Auch das ist bei 99% der Bundesbürger nicht der Fall.

Also wenn man schon Angst vor dem abgehört werden hat, dann muss man sich vor Staat und Firmen schützen. Und da braucht man mit der lächerlichen DECT-Verschlüsselung nicht kommen.

Und immer Dramatisiererei in solchen Beiträgen. Ach Gott wie schlimm, man hört vertrauchliche Gespräche in der Apotheke ab. Wer bitte will das wissen, was der Apotheker mit den Kunden bespricht? Das interessiert vielleicht eine Versicherung, den Arbeitgeber oder die Krankenkasse. Meint ihr, jetzt parkt in deren Auftrag vor jeder Apotheke in ganz Deutschland während den Öffnungszeiten ein Überwachungswagen, in der Hoffnung, ein eigener Kunde / Mitarbeiter ruft zufällig gerade in dieser Apotheke an?

Und was kommt nächste Woche in Frontal? Wird da gezeigt, dass man mit Richtmikrophonen in eine Wohnung hineinhorchen kann. Und was dann? Dann werden die Maurer beschuldigt, sie hätten die Wände nicht abhörsicher gemauert.

Oder Babyphone: Benutzt ganz Deutschland keine Babyphone mehr?

Ansonsten kann ich cando nur Zustimmen. Heute laufen die eigenen Daten doch über Wege, die keiner Vorhersagen kann.
 
Noch gilt verschlüsseltes DECT als "sicher". Zumindest kann es nicht von jedem Otto-Normal mit Com On Air Karte und Linux abgehört werden.
Respektlos finde ich die Ankündigung auch die Verschlüsselung umgehen zu wollen und so den DECT Standart zu vernichten. In Krankenhäusern z.B hängen alle paar Meter DECT Basen an der Wand rum, über die vertrauliche Daten gehen und auch gebraucht werden, weil bis ein Artz über Festnetz erreicht werden kann, weil man nicht weiß wo er sich aufhält können lebensrettende Minuten verstreichen. Mit einem Programm, dass es jedem ermöglichen würde, verschlüsseltes DECT abzuhören, müsste die gesamte DECT Technick auf/umgerüstet werden, was immense Kosten mit sich bringt. Solche "Programmieren, Crackern, Hackern usw." sollte man doch nicht walten lassen, vorallem mit den absehbaren Folgen. Sicherlich wird es irgendwann jemand knacken, die Verschlüsselung, aber bis dahin, muss man ja nicht noch extra daran arbeiten, dass dieser Zeitpunkt x noch schneller näher rückt. Abgesehen, dass solange es keine Programme gibt, die eine Verschlüsselung umgehen, auch keinen Missbrauchen eben solcher geben kann, z.B von Terroristen (das Argument zieht doch immer ;)) Also Schäuble: Leg den DECT-Hackern das Handwerk. :p
 
Sicherheit durch Ignoranz? Ich denke mal, es ist sehr wichtig, die Grenzen aufzuzeigen, damit Produkte verbessert werden. Solange öffentlich Sicherheitslücken aufgezeigt werden, können die Risiken überhaupt vom Kunden eingeschätzt werden.

Die Hacker, die die Lücken aufzeigen, sind die Guten, die Bösen nutzen die Lücken heimlich aus und haben auch kein Interesse, dass diese überhaupt bekannt werden (da würden sie ja den Vorteil durch die Lücken verlieren).

Deshalb ist eine Verfolgung von "Hackern" etc. nur sinnvoll, wenn diese ihr Wissen für Verbrechen missbrauchen. Wenn sie Ihre Erkenntnisse veröffentlichen, helfen sie die Lücken zu erkennen und zu schliessen. Das ist das Beste Mittel um einen Missbrauch vorzubeugen (und den bösen Jungs das Leben zu erschweren).
 
cando schrieb:
Die Hacker, die die Lücken aufzeigen, sind die Guten, die Bösen nutzen die Lücken heimlich aus und haben auch kein Interesse, dass diese überhaupt bekannt werden (da würden sie ja den Vorteil durch die Lücken verlieren).
Zum Vergrößern anklicken....
Es spricht ja nichts dagegen,wenn "die Guten" Schwachstellen aufzeigen.
Wenn sie allerdings per Internet "den Bösen" Einbruchwerkzeuge zur Verfügung stellen, verschwimmt für mich der Unterschied zwischen Gut und Böse...

Meine Haustür hat noch ein einfaches Zylinderschloss.
Ich fände es überhaupt nicht lustig, wenn selbst ernannte Polizisten Nachschlüssel für meine Haustür an Passanten verteilen, um öffentlich auf Sicherheitsprobleme meines Türschlosses aufmerksam zu machen.
Da würde ich mich schon fragen, ob die "Gutmenschen" nicht in Wirklichkeit Angestellte eines Tür-Schloss-Herstellers sind, der sanften Druck auf seine potentiellen Kunden ausübt...
 
Danke Knuffi! Genau DAS war mein Hintergrundgedanke daran, nur dass du es geschafft hast ihn einleuchtender zu erklären.

Meiner Meinung nach reicht es doch, wenn die "Guten" der Öffentlichkeit mitteilen, das derartige Sicherheitslöcher vorhanden sind, dafür brauch man keine Spionagesoftware veröffentlichen, die doch nur dazu veröffentlicht wird, damit es die "Bösen" auch nutzen. Oder kennt jemand einen legalen Grund, sich derartige Software aus dem Netz zu laden?
 
Ziel war nicht das Finden einer Spionagesoftware, sondern das Entschlüsseln von DECT, um einen Open Source Stack erstellen zu können. Dabei ist man eben über dieses Sicherheitsleck gestoßen. Durch Veröffentlichung der Software ist es erst möglich, verschiedene DECT-Geräte auf Sicherheit zu überprüfen. Ein loses "DECT ist unsicher" holt doch niemanden hinter'm Ofen hervor. Erst wenn eine Lücke wirklich bewiesen wird, wird eine öffentliche Diskussion angestoßen.

Ansonsten zum Veröffentlichen von Sicherheitslücken:
http://www.it-academy.cc/article/1203/Die+Philosophie+des+Full+Disclosure.html

Um mal beim Beispiel des Türschlosses zu bleiben. Nehmen wir an, jemand hat das gleiche Türschloss wie du und stellt bei einem Versuch fest, dass man garkeinen Schlüssel braucht. Eigentlich reicht ein Schraubendreher und etwas Kraft um aufzusperren. Er könnte dieses Wissen jetzt für sich behalten und stillschweigend sein eigenes Schloss austauschen, um selbst sicher zu sein. Oder er könnte erstmal den Hersteller informieren und bei Nichtreaktion an die Presse gehen, um möglichst viele zum Austausch der offensichtlich unsicheren Schlösser zu bewegen.
 
Zitat von ahnungslos99: ...

Das ist doch mal ein sehr passend gewählter Benutzername.
Solange Du von einer Gefahr nichts weißt, gibt es die auch nicht. Wird auch manchmal als "Kopf in den Sand stecken" bezeichnet.

Du gehst also davon aus, daß nachdem es DECT schon seit vielen Jahren gibt, derjenige, der es veröffentlicht hat, auch der erste ist, der es herausgefunden hat? Viel wahrscheinlicher ist, daß es schon verschiedene andere herausgefunden haben und nur nicht veröffentlicht haben. Und solange Du nichts davon erfahren hast, hast Du Dich sicher gefühlt.

@Knuffi
Was den Vergleich mit dem Schloß betrifft, so wäre ein Schoß, das man nur mit Nachschlüssel öffnen kann, sicher. Unsicher ist es, wenn man es auch ohne Nachschlüssel öffnen kann, bzw. wenn man sich diesen Nachschlüssel selbst herstellen kann, ohne dafür den echten Schlüssel zu benötigen.

Und was die "Sicherheit" Deines Schlosses angeht, wenn Du wirklich glaubst, daß Dein Schloß sicher ist, hast Du schon mal Deinen Schlüssel vergessen/verloren und einen Schlosser gerufen, damit der die Tür öffnet? Der bekommt die Tür schneller auf, aus Du schauen kannst. Und willst Du ernsthaft behaupten, daß etwas, was jedem Schlosser bekannt ist, nicht auch in kriminellen Kreisen bekannt wird?
 
Ich denke die Veröffentlichung der Sicherheitslücke war eine korrekte Entscheidung. Nur so kann wirklich zum einen auf das Sicherheitsrisiko aufmerksam gemacht werden und zum anderen wird auch Druck auf die Industrie ausgeübt, den Standart DECT weiterzuentwickeln und wieder sicher zu machen.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 806 (Mitglieder: 48, Gäste: 758)

Neueste Beiträge

Statistik des Forums

Themen
246,491
Beiträge
2,252,975
Mitglieder
374,274
Neuestes Mitglied
freepbx_dd
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück