Developing a framework to detect threats to mobile operators and subscribers through roaming interconnections

Bachelor Studiengang IT Security

Patrick Pirker

Betreuer: Dipl.-Ing. Dipl.-Ing. Christoph Lang-Muhr, BSc

Ausgangslage

Wir setzen immer mehr Vertrauen in die Sicherheit von Mobilfunknetzen, indem wir beispielsweise Sicherheitscodes per SMS versenden, über geheime Informationen am Telefon sprechen oder unseren Standort über unser Mobiltelefon preisgeben. Gleichzeitig gibt es aber immer wieder Berichte über erfolgreiche Angriffe gegen die Mobilfunkanbieter und Nutzer. Da der Grundstein heutiger Mobilfunknetze auf rund 50 Jahre alter Technologie basiert, gibt es für einige Sicherheitslücken keinerlei Möglichkeit diese zu beheben.

Ziel

Diese Arbeit versucht die Sicherheit dieser angreifbaren Technologie zu erhöhen, indem ein modulares System zur Erkennung solcher Angriffe implementiert wurde. Dazu wurde pseudonymisierter Datenverkehr aus dem Netzwerk der A1 Telekom Austria AG untersucht.

Das Ziel ist ein funktionierendes Konzept zu entwickeln, welches einen besonders kritischen Teil von Angriffen erkennt, das mit Datenmengen, die dem Gesamtnetz der A1 Telekom Austria AG entsprechen umgehen kann und modular für neue Angriffe erweiterbar ist.

Die eingebauten Angriffe setzen sich aus verschiedenen Typen zusammen: von dem Abhören von Telefongesprächen, dem Umleiten von SMS bis hin zu dem genauen Lokalisieren von Mobilfunkgeräten über eine für Notfälle entwickelte Funktion.

Eine der größten Schwierigkeiten zeigt sich bei der Implementierung eines zuverlässigen Interpreters für die verschiedenen Datenpakete, da die allgemein verfügbaren Dokumentationen stark fragmentiert und teilweise veraltet sind. Gleichzeitig muss dieser Interpreter in der Lage sein mit dekomprimierten Datenmengen von rund zehn Gigabyte pro Minute umzugehen.

Ergebnis

Tests im tatsächlichen Netzwerk der A1 Telekom Austria AG haben ergeben, dass die entwickelte Software den Erwartungen entsprechend funktioniert, also sowohl die definierten Angriffe erkennt als auch mit der hohen Datenmenge umgehen kann. Des Weiteren zeigte sich, dass die Anzahl an Angriffen deutlich höher als erwartet und der Ursprung über verschiedene Länder verteilt ist.