36C3 Vorspannmusik
Herald: Willkommen zum nächsten Vortrag.
Ich muss ja sagen, aus persönlicher
Erfahrung, dass der Kongress für mich
gerade deswegen so schön ist, weil er so
traumhaft familienfreundlich ist. Wir sind
diesmal wieder mit zwei Kindern da, und da
ist natürlich das Kids-Space absolut
goldwert, aber, und das glaubt man gar
nicht, dieses Ding hier, das DECT-Telefon,
das macht diesen Kongress auch für mich
extrem kinderfreundlich, weil wir eben
schon vor vielen Jahren unseren Sohn mit
so einem DECT-Telefon einfach laufen
lassen konnten und der konnte den Kongress
für sich selbst entdecken und wir konnten
unseren Sohn später wiederentdecken. Das
ist sehr, sehr hilfreich. Deswegen, so
eine Technologie macht eben auch eine
Konferenz viel, viel wertvoller. Ich bin
zugegebenerweise nur Dummer, aber
dankbarer Nutzer, aber die jungen Herren,
die wir jetzt hier haben, die können uns
etwas sagen, was mit dieser Technologie
noch möglich ist. Wir begrüßen nämlich
Zivillian und ST, die sind beide
Mitglieder im Eventphone-Team, und wir
haben einen Gast-Hacker mit LaForge und
die werden jetzt den Vortrag halten.
Hashtag #mifail oder: Mit Gigaset wäre das
nicht passiert! Oder der Untertitel, der
mir sehr gut gefällt, DECT ist korrekt.
Vielen Dank!
Applaus
ST: Ja, vielen Dank. Wir sind total
überrascht, weil wir ja dachten, das ist
ein Nischen-Vortrag, da haben wir mit 20
Leuten gerechnet, jetzt sind doch 40
gekommen, das ist richtig krass. Ja, im
Prinzip ist die Vorstellung durch. Was
machen wir heute? Wir müssen uns auf jeden
Fall beeilen, weil es ist sehr sehr viel.
Ganz kurz werden wir etwas dazu erzählen,
was ist das POC eigentlich genau. Was
machen die so? Was benutzen wir für
Technologie? Deswegen haben wir auch am
Anfang diesen komplizierten Aufbau, dass
wir uns hier direkt die Hardware live
angucken können. Wie das alles
funktioniert. Dann kommen wir zu dem
eigentlichen Problem, dass es dort, ja,
eine kleine Sicherheitsschwankung gab, die
wir herausgefunden haben, LaForge wird das
genau erklären, wir werden Euch erzählen,
wie der Hersteller damit umgegangen ist
und was wir dann daraus gebaut haben und
wie wir sozusagen mit dieser
Sicherheitsschwankung mehr Features
implementiert haben und noch mehr für die
User tun können. Weiter geht's dann mit
den Metadaten, wie sind wir eigentlich
dazu gekommen und dann zeigen wir Euch
dann nochmal live hier auf dem Tisch, wie
man unwillige Geräte willig bekommt und am
Ende gibts noch einen Ausblick. Dann
fangen wir mal damit an... Was ist
eigentlich das POC wer oder was ist das
Eventphone und dann haben wir geguckt, was
sagt eigentlich dieses Internet? Und das
Internet sagt, das Phone Operations Center
ist ein integriertes Hard- und
Softwareprojekt, welches es ermöglicht,
auf Grossveranstaltungen ein
fläschendeckendes und funktionsfähiges
DECT-Netz zu realisieren. Steht in der
Wikipedia, muss ja stimmen und in der Tat,
das ist so und sehr schön finden wir auch
"Eventphone, ein bedeutender Anbieter von
drahtloser Kommunikation für
Großveranstaltungen". Bedeutend, ja. Das
freut uns natürlich. Nun zu unserem One-
Pager, Was machen wir wirklich wirklich?
Also klar, Infrastruktur für drahtlose
Telefone, das wisst Ihr wahrscheinlich
alle. Wer von Euch hat ein DECT? Könnt ihr
mal Handzeichen geben? Oh, ja, ja, da ist
ja der Raum sagen wir mal die Hälfte. Dann
machen wir Leih-Telefone für Orga- und
Infrastruktur-Teams, die bereiten wir im
Wesentlichen vorher schon vor.
Provisionieren die, stellen den Betrieb
sicher, nehmen die zurück und reinigen die
dann auch wieder. Der Telefondesinfizierer
ist das Stichwort. Dann haben wir SIP und
Premium. SIP-Server, die wir betreiben,
Premium-SIP tatsächlich, die haben
wikrlich andere Funktionen, zum Beispiel
das CERT, die sichere Leitungen brauchen,
die möglichst nicht ge-DDoS-sed werden
haben andere Server und man kann, hat dort
mehr Rechte, kann zum Beispiel
raustelefonieren. Das EP-VPN betreiben
wir, also ein VPN, was auch außerhalb der
Events funktioniert. Das integrieren wir
immer in die Netze der Veranstaltungen.
Das Rufnummern- und Token-Handling, wer
quasi ein DECT angemeldet hat, der weiß,
da muss man ein Token eingeben, das machen
wir alles. Unser GURU, der Generic User
oder das Generic User Registration
Utility, das Self-Service-Portal, dort wo
ihr Eure Nummern anlegen könnt, wo ihr Eure
Geräte verbinden könnt. Und so. Das ist
auch von uns. Auch sozusagen der Link zum
GSM-Team, deren Rufnummern verwalten wir
auch. Dial-In/Dial-Out, also das Ihr
angerufen werden könnt von Außen und das
Ihr Euch auch raustelefonieren könnt.
Special Services, zum Beispiel die
Anbindung der Chaos-Vermittlung. Es gibt
Spiele, Witze-Hotline, die Uhrzeit oder
eine automatische Annahmestelle für Lärm-
Beschwerden.
Gelächter
Weiterhin haben wir noch eine neue
Abteilung, die Ausbildung in
Medienkompetenz. Wo wir Euch immer wieder
vor Augen halten. Guckt alles kritisch an
und nehmt nicht alles so für bare Münze,
was Ihr so in diesem Internet seht und
hört. Und, wir sind in diesem Jahr
volljährig geworden.
Applaus
Und dazu muss ich noch drei Sekunden etwas
sagen, nämlich es gibt eine Person, die
das tatsächlich seit 18 Jahren schon macht
und wirklich auf jedem Event, nicht nur
Kongresse, auch in der Sommer-Events und
dazwischen immer dabei war, der, egal ob
krank oder nicht, sich für das Telefonnetz
eingesetzt hat und das ist Sascha. Und an
der Stelle wollte ich noch mal ganz, ganz
lieben Dank sagen, 18 Jahre Eventphone,
für Dich...
Applaus
So, kürzen wir das ab. Kurzum, man ist
überall erreichbar, auch im Schwimmbad.
Wer die Kampagne kennt, wer sie nicht
kennt, der QR-Code im Nachgang, sehr gern.
So, dann. Worum geht es heute nicht? Noch
einmal ganz konkret, wir haben auf dem
35C3 einen langen Vortrag gehalten,
darüber, wie ist das Eventphone
entstanden, was gibt es für Geschichte und
so weiter und so fort. Das werden wir
heute nicht besprechen. Und auch auf dem
Easterhegg haben wir sozusagen dieses neue
Telefonsystem nochmal im Detail erklärt,
also warum sind wir von dem alten Alcatel-
System auf dieses neue Mitel-System
umgestiegen? Und was gehört da alles
dazu. Das alles heute nicht, könnt ihr im
Nachgang euch anschauen. Heute geht es
wirklich nur um diese rote Linie, nämlich
die Verbindung von dem Open Mobility
Manager, dem OMM, und den RFPs, den Radio
Fixed Parts, also den umgangssprachlichen
Antennen. Dann werden die Techjungs ganz
viele Abkürzungen benutzen, und die würde
ich nochmal ganz schnell einmal
durchgehen. OMM haben wir gerade gesehen
auf der Folie davor. Open Mobility
Manager, das ist das Stück Software von
Mitel. RFP das sind diese Radio Fixed
Parts, also die Antennen und die PPs das
ist so DECT-Sprech, dass ist alles, was
mobil ist. Da klingelt schon wieder eins.
Sehr schön, unser System läuft. Alles, was
sich bewegen kann, PPs Portable Parts,
normale DECT-Endgeräte, aber eben auch
solche kleinen Headsets. Dann wisst ihr,
was damit gemeint ist. Dann werden wir ein
paar Abkürzungen verwenden, die
IPEI und ihr seid ja alle sicherlich im
Netzwerksegment ein bisschen firm:
International Portable Equipment
Identifier. Das könnt euch vorstellen,
dass ist sowas ähnliches wie die MAC-
Adresse. An dem Beispiel seht ihr auch
dort ist ein Teil kursiv geschrieben. Der
ist sozusagen der Herstellerteil. Das ist
auch wie bei der MAC-Adresse. Der ist fest
zugewiesen. Daran kann man den Hersteller
erkennen, und danach ist einfach ein
Zähler. Ebenso kann man einen
Netzwerkvergleich herstellen mit der IPUI
der International Portable User Identity.
Das ist so etwas ähnliches wie die IP-
Adresse, die wird sozusagen von dem System
ausgegeben, was es sozusagen betreibt,
also der DHCP-Server vom NOC vergibt
IP-Adressen und wir vergeben diese IPUIs und
dann werden die ETSI kennenlernen, das
European Telecommunications Standards
Institute, das verabschiedet im Prinzip
Standards, wie der Name sagt, in Europa.
Und da gehört, ganz wichtig, auch DECT
dazu. Die IPUI, noch ganz kurz hinterher,
die gibt es in mehreren Formaten. Also das
Beispiel, was dort steht, das muss nicht
unbedingt so sein. Das ist nicht so
einfach, wie bei der IT, genormt. So, und
jetzt gucken wir uns mal ganz genau an,
wie denn hier soein SIP-DECT
zusammengestellt ist und Zivillian wird
euch das erklären und ich verfolge das
hier mal mit der Kamera.
zivillian: Genau. Anleitung zum
Selbermachen ist der Titel. Wir wurden
schon oft gefragt, was genau macht ihr da?
Wie funktioniert das? Kann ich das auch
machen? Ich will Hotel-VPN machen äh
Hotel-DECT machen. Was genau muss ich
dafür tun? Ihr braucht natürlich eine
Antenne, ein Radio Fixed Part. Die gibt's
in verschiedenen Generationen. Wir
empfehlen euch Generation 3 oder höher.
Die sind relativ einfach zu erkennen. Zum
Einen haben die Generation-3-Antennen,
Lüftungsschlitze auf der Rückseite, und
zum Anderen haben die
Generation-3-Antennen auch einen
USB-Anschluss. Das heißt, wenn ihr euch
irgendwo sowas kaufen wollt und nicht
sicher seid, was das ist, dann guckt
einfach drauf. Generation 2 oder darunter
empfehlen wir nicht mehr. Die Geräte gibt
es unter Anderem beim Hersteller, aber man
kann die natürlich auch gebraucht kaufen.
Die gibt's meistens für unter 100 Euro.
Wenn sie mehr als 100 Euro kosten, dann
ist es ein bisschen überteuert. Dazu
braucht er eine Lizenz, weil das ist
natürlich keine Open-Source-Software von
Mitel, sondern ein kommerzielles Produkt.
Da gibts eine Besonderheit: Bis zu fünf
Antennen können mit der integrierten
Lizenz betrieben werden, die bei der
Software mit dabei ist. Das heißt, für
kleine DECT-Installationen, wie zum
Beispiel für unser Aufbau-DECT, braucht
man keine Lizenz. Das hat nur fünf
Antennen. Das kann man einfach kostenlos
nutzen. Wenn man telefonieren möchte, also
nicht nur zwischen den Geräten, sondern in
Richtung SIP, mit Dial-Out oder Dial-In,
dann braucht man natürlich noch einen SIP-
Server dahinter. Wir empfehlen an der
Stelle immer den Yate, den wir selber auch
einsetzen in unserer Installation. Und wir
haben da in den Slides auch das Cookbook
für Yate verlinkt. Das ist auch in dem QR-
Code nochmal zu finden. Das sind relativ
hilfreiche Anleitungen, wenn man da
keinerlei Erfahrungen hat, um
reinzukommen. Damit kann man sich auf
jeden Fall auch einen eigenen SIP-Server
installieren. Den OMM, den ST schon
erwähnt hat, braucht man natürlich auch,
weil der steuert die Antennen. Da gibt es
zwei Möglichkeiten, wie man den betreiben
kann. Die eine Möglichkeit ist, den direkt
auf der Antenne laufen zu lassen. Da läuft
auch nur ein abgespecktes Linux drauf. Da
kann man auch den OMM laufen lassen. Das
haben wir selber nie ausprobiert, deswegen
haben wir da keinerlei Erfahrung.
Alternativ reicht irgendwas, wo ein CENTOS
läuft. In unserem Beispiel bei dem Aufbau-
DECT ist das halt so eine kleine Hardware-
Appliance. Für die Anlage, die wir hier
auf der Veranstaltung betreiben, haben wir
beim NOC einen Server stehen, wo die als
VM drauf läuft. Hier nochmal hübsch
visualisiert: Wenn man den OMM auf der
Antenne laufen lässt, dann ist die erste
Antenne gleichzeitig auch der OMM, und
alle weiteren werden dann einfach per IP
mit dieser ersten Antenne verbunden. Und
der OMM braucht dann halt die Verbindung
zu dem Yate, zu dem SIP-Server. Der
Nachteil davon ist, dass man in dieser
Minimalinstallation, wenn man keinen
eigenständigen OMM betreibt, maximal 512
Endgeräte anmelden kann und wenn ihr auf
unser Dashboard schaut, dann seht ihr,
dass das für hier nicht funktionieren
würde. Des Weiteren kann man maximal 256
Antennen anschließen. Das ist dann schon
eine etwas größere Installation. Aber da
gibts halt ein hartes Limit. Wenn man den
standalone betreibt, kann man deutlich
mehr Antennen anschließen, bis zu 4096,
und in den aktuellen Versionen werden dann
auch 10.000 Benutzer bzw. Geräte
unterstützt. Jetzt haben wir den OMM schon
mehrfach erwähnt. Die spannende Frage ist:
Wie kommt man daran? Offizielle Antwort
von Mitel ist: Wenn man sich so eine
Antenne kauft, dann bekommt man
entsprechende Zugangsdaten als Mitel-Kunde
und kann sich dann in dem Download-Portal
von Mitel anmelden und die Software
herunterladen. Wenn man die Antenne auf
dem Gebrauchtmarkt kauft, dann hat man
natürlich keine Mitel-Zugangsdaten, aber
die Release Notes enthalten Download-
Links. die Release-Notes sind teilweise
öffentlich verfügbar und über
Suchmaschinen auffindbar. Und wir haben
euch da mal so ein paar Suchbegriffe an
die Hand gegeben, falls ihr Interesse
daran habt. Ja, jetzt, wo ihr wisst, wie
das geht, stellt sich natürlich die Frage:
Was macht man damit? Das, was Hacker
machen, ist halt sich Sachen anschauen und
auch mal ein bisschen tiefer ins Detail
schauen. Und das ist das, was euch LaForge
jetzt erzählen wird.
LaForge: Ist dieses Mikro ... ja jetzt ist
es offen. Gut, Firmware-Analyse, ja. Man
guckt sich also ... Ich mein für mich ist
das normal: Warum guckt man sich Firmware
an? Ist eigentlich klar: Jedes Gerät, was
ich einen Finger habe, gucke ich mir an,
was will ich denn sonst mit dem Gerät?
Irgendwie, ja ich will ja verstehen, was
es macht und wie es tut und wie es
aufgebaut ist und was für Bauteile
verwendet sind und so weiter. Also ist es
für mich eigentlich normal, dass ich mir
Geräte, die ich irgendwie habe anschaue.
Jetzt hatte ich da gerade zu dem Zeitpunkt
keine so eine Antenne. Aber ich habe mich
vor zehn Jahren schon mal mit DECT
intensiver beschäftigt als Teil des
Projekts, was damals deDECTed hieß. Wir
hatten da Schwachstellen entdeckt,
entDECT. Ja, entDECT, genau. So, ja und
außerdem ist DECT ja auch, wie wir gerade
schon gehört haben, eine ETSI-
Spezifikation und ich habe ja mit ETSI-
Spezifikationen seit über zehn Jahren
quasi täglich zu tun. Zwar jetzt nicht
DECT, aber andere. Aber prinzipiell sind
eigentlich alle mal ganz interessante
Lektüre. Ich mein das ist Geschmacksfrage.
Ich mag sowas halt. Und DECT ist ja auch
immer noch weit verbreitet und gibt ja
auch jetzt hier auch DECT-ULE für
irgendwelche Internet-of-Things-Dinge, da
werden wir später nochmal drauf
zurückkommen. Und ich hatte eben gehört,
dass jetzt seit dem letzten Jahr oder seit
einiger Zeit das POCsich entschieden hat,
auf ein neues System umzustellen. Eben auf
dieses Mitel-IP-DECT/SIP-DECT-System. Und
letztes Jahr bin ich im November umgezogen
und dachte mir "Nee, Dezember Kongress,
das ist zu viel Stress. Dann bleib ich mal
daheim", und dann war ich daheim an
Weihnachten über den Kongress und dachte
mir "Ach, guck ich mir mal diese DECT-
Geschichte an". Und ja, dann guckt man
sich natürlich erstmal die Hardware an.
Ging eben auch um diese Generation 3, die
schon mal erwähnt wurde. Macht/guckt sich
die Platine an: Was sind da so für
Bauteile drauf? Da findet man dann ein
Marvell Kirkwood ARM System-on-a-Chip,
der, wie man sich die Firmware anguckt,
tatsächlich ein fast Mainline-Linux laufen
lässt. Und der hat zwei Ethernet-Ports.
Falls jemand jetzt mit diesem Begriff
Marvell-Kirkwood nichts anfangen kann, der
ist in ganz vielen Network-Attached-
Storage-Devices drin. Auch Shiva-Plug, und
wie sie nicht alle irgendwie heißen, da
gibts jede Menge Devices, die den
verwenden, der hat zwei Ethernet in dieser
Konfiguration hier in dem RFP drin. Ein
Ethernet-Port ist jener, der Richtung OMM
spricht, also der, der auch nach außen
herausgeführt ist am Gerät auf der
RJ45-Buchse. Und dann gibts einen zweiten
Ethernet-Port. Ein zweiter Ethernet-Port:
Was machen Sie denn damit? Und Sie haben
tatsächlich diesen eigentlichen DECT-
Prozessor über Ethernet angebunden. Das
heißt, also man hat einmal Ethernet von
diesem ARM-System-on-Chip, einmal Ethernet
Richtung dem DECT-Prozessor und einmal
Ethernet nach außen und man hat serielle
Konsole für Uboot und Linux und das
Passwort wird vom OMM gesetzt. Und das ist
auch in der offiziellen Doku dokumentiert,
dass das da gesetzt wird, wenn man den
konfiguriert. Das heißt, man kann da auch
prima drauf und sich das anschauen und so
weiter. Also als legitimer User oder
Anwender sozusagen dieses Geräts kann man
sich dann einloggen, kann sich umschauen.
Unten ist das mal schematisch dargestellt
diese unterschiedlichen Verbindungen. Es
ist dann auch noch ein UART da und andere,
paar GPIOs und so weiter. Wenn man sich
dann die Software anguckt, die da drauf
läuft, ist, wie gesagt, ein ziemlich,
erstaunlicherweise ein sehr, sauberer
Mainline-Kernel. Ganz wenig Patches nur
drin. Und letztlich ist es so, dass im
Kernel eigentlich gar nichts DECT-
spezifisches ist.Das ist ein ganz normaler
Kernel. Es sind keine komischen Treiber
oder irgendwas, sondern sie haben dann
eben ein Programm, eben hier dieses
/opt/ip_rfp/ip_rfp, was Pecket-Sockets
aufmacht auf diesem Ethernet-Device zum
DECT-Prozessor, und die ganze Verarbeitung
der Kommunikation erfolgt dann in einem
Userspace-Programm. Dann gibt es noch ein
paar Bibliotheken und andere interessante
Dinge, die man da so findet in der
Firmware, aber es ist eigentlich erstmal
ein ziemlich handelsübliches Linux mit
eben diesen proprietären Komponenten, die
hier Packet-Sockets aufmachen und
derartige Dinge tun. Interessant ist dann
auch, das man sieht, da habe ich jetzt
nicht auf der Slide drauf, aber man findet
dann andere, man entdeckt dann auch noch
andere Dinge. Zum Beispiel hatte ich
gesehen: Da ist Video-for-Linux in dem
Kernel drin. Ich denk mir so: Was, Video-
for-Linux in einer DECT-Basisstation? Was
hat da jemand vergessene Configuration
auszuschalten? Nein, es ist tatsächlich so
man kann an diesem USB-Port eine UVC
Kamera anschließen, also so eine USB
Videoclass Kamera und kann dann auf seinem
DECT Telefon, sofern es videofähig ist das
Kamerabild über DECT sich anschauen. Sehr
interessante Funktion. Dann findet man
auch noch ein Bluetooth Chip drin. Aha,
man kann also offensichtlich irgendwie
Bluetooth Beacons virtuell erzeugen. Auf
diesen DECT-Basisstationen vielleicht um
irgendwelche Location Services in Museen
oder irgendwas zu implementieren. Auf den
ersten Blick siehts erst mal komisch aus,
was man da so findet im Kernel. Aber macht
dann Sinn. Sie haben tatsächlich irgendwie
usecases dafür. So! Dann findet man binary
images für die Firmware dieses DECT
Prozessors einmal einen Bootloader, der
über tatsächlich die serielle
Schnittstelle, die verbunden ist zwischen
diesem DECT Prozessor und dem ARM erst
einmal drüber geschoben wird. Also über
GPIO wird der Reset losgelassen, dann wird
diese Firmware da reingeladen und diese
Firmware, also der Bootloader. Der kann
dann über Ethernet die eigentliche
Firmware nachladen dieses "rfpng.bin",
oder so dann gibt's noch einen
"macmoni.bin" was wohl offensichtlich ein
MAC Monitor sein soll. Was genau er tut,
habe ich zumindest mir nicht angeguckt.
Ja, nun guckt man sich das so an, da hat
man dieses Ethernet Device. Und was macht
man mit einem Ethernet? Man macht
natürlich erst mal ein ".pcap" File und
schaut sich an, was irgendwie auf diesem
Ethernet unterwegs ist. Also dieses
interne Ethernet auf dem Gerät.
Interessanterweise sieht man da nur rohe
Ethernet Frames. Es gibt da
unterschiedliche Subsysteme. Der Ethernet-
type unterscheidet dann, was für
Subsysteme da gerade sprechen. Guckt man
sich das so ein bisschen an, und mit dem,
was man über DECT weiß und probiert so ein
bisschen das eine oder andere aus auf
einem Telefon, das da angeschlossen ist,
und versucht, das zu verstehen. Und ich
hab dann so einen minimalistischen
Wireshark disector für die Teile des
Protokolls, die ich verstanden habe,
gebaut. Irgendwann war dann klar ab einem
gewissen Punkt, wo die eigentlichen DECT
standardisierten Pakete sich befinden, und
dafür gibts dann, obwohl es nichts
properiäres ist, leider auch kein
Wireshark-disector. Ich hab da auch ein
bisschen was angefangen, aber nur ganz
minimalistisch, damit man halt irgendwie
so ein bisschen seine Ergebnisse
bestätigen kann. Dann kommen die höheren
Schichten und so weiter. Da gibts dann
auch wieder keine Wireshark-disektoren da
habe ich dann aufgehört, das wird dann
uferlos das zu beschreiben. Im Grunde
sieht der Split der Funktionen. Wenn man
sich den DECT Netzwerkstack anschaut so
aus. Ich werde jetzt nicht ins Detail
gehen. Wer sich da mehr dafür
interessiert. Ich hatte einen
ausführlicheren, technischen Vortrag
gehalten auf der Osmo-Defcon Anfang April
diesen Jahres. Der ist auch bei
"media.ccc.de" verlinkt. Aber das ist
sozusagen der Split. Im OMM läuft also der
Data DLC layer, der NWK Layer und was dann
oben drüber kommt und im Radio teil, ist
eigentlich nur der PHY und der MAC Layer
und an der Schnittstelle zwischen DLC und
MAC Layer. Da ist dieses Protokoll, was
man sieht über diesen RAW-Ethernet Frames,
die da vorhanden sind. So! Dann war das
irgendwie so ein bisschen klar, was da
passiert. Dann guckt man weiter in
Richtung dieses OMM RFP Protokolls. Das
sieht man. Da wird eine TCP Verbindung
aufgebaut, und dann guckt man im Wireshark
und sieht... Naja, das ist irgendwie
alles, sieht ziemlich random aus, die
Entropie ist sehr hoch, muss also
irgendwie verschlüsselt oder zumindest
verschleiert sein. Man kann dann in dem
RFP und dem OMM ziemlich viel logging
einschalten, und da macht es dann auch
irgendwann Hex-dupms. Aber die Hex-dumps
haben überhaupt nichts damit zu tun mit
dem, was über diese TCP-Verbindung geht.
Ist also irgendwie verschlüsselt. Ist aber
auch kein TLS. Dann guckt man mal, die
Symboltabellen an, findet, da ist Blowfish
drin. Und zwar wird quasi Blowfish
Funktionen aus openssl benutzt, und dann
kann man ja, wenn es dynamisch gelinkt
ist, kann man ja so mit LD-preload andere
Bibliotheken hinladen, die die gleichen
Symbole anbieten. Und das waren dann 2
Bibliotheken eine "libtracefish", die
sozusagen cypher Text und plain Text
jeweils als Hex-dump am ausgegeben hat,
damit man sieht, was da passiert. Und dann
als nächstes die "libnullfish", die
einfach jeden call auf die Blowfish Funktion durch
ein memcopy ersetzt. Und dann hat man eben
den plain Text auf der anderen Seite und
sieht das da. Was man erkennt, ist, dass
viele der rohen Ethernet Frames, die man
auf der Seite Richtung DECT-Prozessor
gesehen hat, einfach 1 zu 1 durchgereicht
werden, die man halt enkapsuliert zusammen
mit vielen anderen Dingen über dieses TCP-
Protokoll. Da werden wir noch mehr drüber
hören, gleich dann im Anschluss, das haben
sich die Leute von Eventphone dann wieder
näher angeguckt. Was wichtig an der Stelle
noch ist. Ja gut, dann kann man diese
Verschlüsselung abschalten. Aber Dieter
Spahr, bekannt auch aus dem osmocom
Projekt, hat sich dann die Verschlüsselung
nochmal ein bisschen näher angeguckt, die
da passiert. Und die, ich meine Blowfish
ist natürlich klar. Aber die Schlüssel
Generierung im Speziellen, und es war dann
ziemlich schnell klar, dass es ein
statischer, für alle Geräte global
einheitlicher statischer Key ist, der da
verwendet wird. Und das ist natürlich
schlecht, wenn man irgendwie einen global
auf allen Geräten identischen Key hat, den
man dann da auch rauspopeln kann aus der
Firmware. Damit kann man natürlich auch
die Kommunikation anderer Geräte
entschlüsseln. Und das bringt uns dann
eigentlich zu dem entdeckten Security
Problem. Und ich gebe zurück.
zivillian: Wie LaForge gerade schon sagte
Das ist ein statischer Key, der für alle
Installationen genutzt wird. Das ist
insofern ein bisschen kritisch, dass
jemand, der in der Lage ist, eine man-in-
the-middle Attacke durchzuführen, die
Kommunikation entschlüsseln kann, mitlesen
kann, potenziell manipulieren kann. Wir
haben uns dann überlegt Naja, wie kann man
denn so eine man-in-the-middle Position
erreichen? Habe hier mal ein Foto. Danke
roter Kreis.
Gelächter
zivilian: Wir haben dann da noch ein
bisschen rangezoomt. Die hängt jetzt
glücklicherweise relativ tief. Manchmal
werden diese Außen-Antennen noch deutlich
höher angebracht, zum Beispiel an
Baumärkten. Da braucht man dann noch eine
Leiter. Und naja, diese vier schwarzen
Punkte, das sind halt
Kreuzschlitzschrauben. Und
Gelächter
zivilian: Wenn man die dann aufschraubt,
dann ist da irgendwie ganz schön viel
Platz. Und da ist so eine RJ45-Buchse. Da
geht doch was!
Gelächter
Applaus
Wenn man jetzt keine Motivation hat Nachts
im Dunkeln, draußen bei Regen am Baumarkt.
Es gibt auch Indoor Geräte, die werden
ganz gerne zum Beispiel in Hotels
eingesetzt. Die hängen dann da von der
Decke. Das Problem an der Stelle ist.
Dieses Foto stammt aus einem Hotel in der
Nähe von Paris. Das ist also kein Problem,
das nur in Deutschland besteht. Dass es
diese mitel-SIP-DECT Basen haben eine
weltweite Installations-Basis. Die werden
überall eingesetzt, die werden in
Größenordnungen eingesetzt, wo es nicht
nur darum geht, drei, vier, fünf Antennen
zu haben, hauptsächlich in Konferenz,
Gebäuden, Veranstaltungsorten, was auch
immer oder eben Hotels. Und das führte uns
dann zu der Überlegung. Okay, können wir
so nicht lassen. Wenn wir das können,
können das auch andere. Und wir haben
gelernt Responsible Disclosure. Man sagt
dem Hersteller vorher Bescheid und gibt
ihm die Möglichkeit, das Problem zu lösen.
Deswegen haben wir auch ein wunderhübschen
CVE bekommen. Die Frage ist Wie hat der
Hersteller darauf reagiert? Wir haben da,
um das Transparent zu machen, einmal eine
kurze Timeline. Erste Kontaktversuche
gab's Mitte/Anfang Oktober. Wir haben beim
Support von Mitel angerufen, weil wir auf
der Webseite nur eine E-Mail-Adresse
gefunden hatten, die sehr generisch
aussah. Haben uns da durch dieses Telefon-
menü durchgeklickt. Und hatten dann
irgendwann einen Mitarbeiter am Apparat
und haben ihm erklärt, wir würden ganz
gerne mit jemandem über Security bei SIP-
DECT reden. Die Antwort war SIP-DECT habe
ich schon mal gehört, aber von Security
habe ich keine Ahnung. Wir haben dann als
Alternative unseren, oder einen, Mitel
Partner kontaktiert, zu dem wir einen sehr
guten Kontakt hatten, und haben ihm
gesagt, der Chaos Computer Club würde
gerne Mitel Bescheid geben, bevor er einen
Vortrag hält. Das war am 11.10.. Das ist
ein Freitag. Am 14.10 hatten wir eine
E-Mail von dem Produktmanager Wireless,
der doch mal um ein Gespräch bzw. einen
vorort Termin bat. Dieser vorort Termin
hat eine Woche später stattgefunden, und
wir haben mit dieser Aufbau Installation,
die ja auch auf dem Tisch liegt,
präsentiert, was wir gemacht haben, wie
das aussieht und wo das Sicherheitsproblem
aus unserer Sicht ist. Wir haben uns
darüber unterhalten, wie man das Problem
lösen kann, haben erklärt, relativ
umfangreich erklären müssen, was
Eventphone ist. Und haben dann abgewartet
und einen Monat später nachgefragt und
hatten dann die Zusage bekommen. Ja, wir
haben eine Lösung. Wir testen die gerade
noch im Lab. Aber es wird ein Update gegen
bis zum Congress, sodass unsere
Installation von diesem Problem nicht mehr
betroffen ist. Ein Tag später haben wir
uns dann vor Ort getroffen und den
Lösungsansatz besprochen. Und der
Lösungsansatz war: Ihr kriegt eine Custom-
Firmware. Die hat einen anderen Blowfish-
Key.
Gelächter und Applaus
Das hat uns natürlich nicht gefallen, wir
haben uns intensiv Gedanken gemacht, eine
Woche später unseren eigenen Lösungsansatz
übermittelt und haben dann kurz vor
Weihnachten die Zusage bekommen: Okay, wir
haben uns beeilt, ihr kriegt ein
ordentliches Update aber erst in Q1 2020.
Da haben wir gesagt: Na gut, dann relesen
wir unser Tooling nicht, aber wird schon
irgendwie gehen. Und am 20. 12., einen Tag
später, gabs einen Anruf. Ja, nee, das
kommt doch bis zum Vortrag. Das Product
Security Incident Response Team aus Kanada
hat sich eingeschaltet, und augenscheinlich
ist das Problem größer als erwartet.
Gelächter
Seit zwei Tagen ist das Update verfügbar.
Wie vorhin schon gesagt im Download Center
von Mitel, nachdem man Zugangsdaten
eingegeben hat, die wir nicht haben. Es
gibt auch einen Security Advisory auf der
Webseite. Und wir haben dem Hersteller
gesagt, oder möchten dem Hersteller die
Möglichkeit gegeben, dass er auch die
Sicht aus... Die Dinge aus seiner
Sicht einmal darstellen kann.
Deswegen haben wir zwei Folien von Mitel.
Bitte nicht blenden lassen, die sind sehr
hell. Hab ich den ausgemacht?
ST: Es gibt nen Krassen Hack.
Gelächter
zivillian: Na gut. Aus Sicht von Mitel
tritt das Problem halt nur auf, wenn man
eine man-in-the-middle Position erhält und
das ist ja in Firmen-Netzwerken sehr
schwer möglich. Und hier auch nochmal Das
Update IST verfügbar, das kann
heruntergeladen werden. Sind auch nochmal
die Download Links und der Link auf das
Security Advisory. Für die Leute, die kein
Englisch verstehen, gibt's das ganze auch
nochmal in Deutsch. Und bei Fragen soll
man sich an den Support von Mitel wenden
bzw. an den technischen Support der Mitel
Partner.
ST: Trotzdem muss man sagen In unter 90
Tagen von Reporten bis Bugfix ist für so
einen großen Konzern, schon mal so
schlecht nicht, das haben wir schon
schlechter gesehen.
Applaus
zivillian: Ja, Geht wieder? Genau am Anfang
hatte ST schon erwähnt rfpproxy, was ist
das? Das ist halt ein transparenter, zwei
Wege Verschlüsselung, Entschlüsselung,
Maschine-in-the-middle Proxy. Warum? Naja,
wenn schon man-in-the-middle, dann
richtig. Der kann halt sämtliche
Kommunikation verschlüsseln,
entschlüsseln. Der kümmert sich um das Re-
keying was in diesem Protokoll noch mit
drin ist, da werden regelmäßig die
Blowfish-keys ausgetauscht. Der bietet
eine Möglichkeit, selektiv Nachrichten zu
manipulieren. Man kann Nachrichten
unterdrücken, man kann eigene Nachrichten
einschleusen und um die Stabilität unserer
Anlage insbesondere auf diesem Event nicht
zu gefährden, findet sämtliche
Verarbeitungen, also das eigentliche
Verändern der Kommunikation, extern statt.
Um euch das zu veranschaulichen, so sieht
das normalerweise aus. Man hat halt die
Antenne die redet per TCP auf Port 12621
mit dem OMM. Wir haben halt auf unserer
Installation neben dem OMM noch den
rfpproxy laufen. Der lauscht auf einem
anderen Port. Gibt es so eine kleine
iptables Regel und ip Transparent Proxy.
Und dann ist da auf einmal der Proxy
dazwischen, und der reicht dann bei Bedarf
die Kommunikation über einen Sockel wieder
raus und man kann kleine Tools da
dranhängen. Hier beispielhaft Motorola,
ein Loggingtool, was auch ".pcap"
schreiben kann in dem Format, was da noch
Richtung Baseband-Management Controller
gesprochen wird, also in der Antenne. Man
kann Audio Verarbeitungen damit
manipulieren oder die LEDs steuern. An der
Stelle zur Klarstellung noch mal diese
Antennen sind dumm. Sämtliche DECT
spezifische Verarbeitungen, was nicht
Audio ist, also der gesamte DECT Protokoll
Stack läuft im OMM. Und die Antennen sind
so dumm, die wissen noch nicht einmal, wie
sie ihre eigenen LEDs anmachen. Ja, wenn
man diesen Proxy jetzt benutzen möchte,
dann hat man immer noch das Problem, dass
er da nicht nur der spezifizierte DECT-Standard
drüber gesprochen wird, sondern
auch die proprietären Hersteller
spezifischen Informationen wie z.B.: wie
steuert man LEDs? Da gab es einen relativ
hohen reverse-Engineering Aufwand, um das
mit den Logdateien und dem Tracing zu
korrelieren. Dafür braucht man Daten. Da
darf ST noch mal dran.
ST: Wie haben wir jetzt diese Daten
bekommen? Mein Kollege Zuckerberg und ich
sagen da immer, woher Daten nehmen ohne
die User zu beklauen. Wir haben das ernst
genommen und haben gedacht Ja, wenn wir
jetzt auf irgendeinem Event einfach mal
Daten mitschneiden und die auswerten, dann
werden wir hier geteert und gefedert.
Deswegen haben wir das einfach mal
transparent gemacht. Wer von euch war auf
dem letzten EsterHegg 2019? Ok, wenige.
Dann erkläre ich das mal, vor dem
EsterHegg haben wir einen Blogeintrag
geschrieben, dass wir Metadaten erheben
wollen. Dass wir im Prinzip alle Daten,
die irgendwas mit den Geräten und der
Kommunikation zu tun haben, außer die
Sprache mitschneiden wollen bei den DECT-
Geräten. Man musste das im GURU, wenn man
sich eine Nebenstelle für das EsterHegg
geklickt hat, noch einmal bestätigen. Es
war auch sehr unangenehm, weil wir einfach
wollten, dass es jeder mitbekommt. Und Wir
haben auch ehrlich damit gerechnet, dass
da irgendein Shitstorm gibt, wenn wir da
sagen Ja, wir speichern da alles. Dass da
irgendwer sagt: ne, macht das mal nicht.
Wir haben aber eben im Vorfeld ganz genau
aufgeschrieben wozu und warum. Und
offensichtlich haben wir es geschafft, den
Leuten zu erklären, dass es dazu ist, um
die Daten später zu analysieren und dann
Fehler zu finden oder Unregelmäßigkeiten
zu finden. Wir haben ja selbst nicht
gewusst, wonach wir eigentlich suchen. Wir
haben halt erst mal irgendwie diese
Müllhalde voll gemacht um dann da drin
herum zu schnüffeln. Und mit dieser Taktik
hat das dann funktioniert. Es gab auch
eine Alternative: Man konnte sich SIP-
Nebenstellen, klicken, mit denen man
sozusagen von SIP zu SIP telefonieren
konnte. Da hätten wir dann keine
Metadaten erhoben. Aber das hat total gut
funktioniert. Wir haben das auch insofern
transparent gemacht. Wir haben alle Daten,
die wir nochmal extra gespeichert haben,
oder diese die Daten haben wir extra
nochmal gesichert, und verschlüsselt auf
den verschlüsselten Filesystemen
gespeichert. Es hatten auch nur ganz
wenige Leute Zugriff vom POC da über haupt
darauf. Das war alles ganz genau
reglementiert. Wir sind also im Prinzip so
rangegangen, wie wir uns das vorstellen
würden, wenn man mit unseren Daten umgeht.
Und dann, Am Ende haben wir uns natürlich
auch Gedanken darüber gemacht: wie werden
wir die jetzt wieder los? Und auch da war
unsere große maximale Transparenz.
Vielleicht hat das auf dem Camp der eine
oder andere mitbekommen. Wir haben das
auch in ein Video gegossen. Wir können das
leider nicht abspielen, weil es gibt ja so
Verwertungsgesellschaften. Deswegen hier
nur ein Screenshot und ein QR-Code. Es gab
auf jeden Fall bei den Daten
Vier-Augen-Prinzip. Bei allem Spaß. Ich bin
auch tatsächlich Datenschutzbeauftragter,
betrieblicher, und hab mir alles genau
angeguckt und auch mit den Entwicklern
zusammen die Daten mit dem oder nach dem
Vier-Augen-Prinzip gelöscht. Was uns heute
auch ein bisschen auf die Füße gefallen
ist, weil wir wollten noch ein paar
statistische Daten hinterher schmeißen.
Aber wir haben halt einfach schlicht
nichts mehr davon. Wir können nicht mal
mehr sagen, wie viele Daten das waren und
wie groß die waren. Ja so ist das. Aber
ich glaube, das ist nicht besonders
schlimm. Deswegen nocheinmal Vielen Dank
auch an alle User, die das Spiel auf dem
EsterHegg mitgemacht haben. Das hat uns
sehr, sehr viel geholfen und war richtig
richtig informativ. Wir konnten dann
nämlich auch ganz tolle neue Features
daraus bauen, weil wir das eben anhand
dieser Daten analysieren konnten. Und das
erste tolle Feature zeigt uns zivillian.
zivillian: Genau ich hatte ja gerade schon
gesagt die Antennen können nichtmal ihre
eigenen LEDs steurern. Das heißt in diesem
Protokolll gibt es eine SysLED-Nachricht,
die diese vier verschiedenen LEDs die an
so einer Antenne dran sind, zentral ein-
und ausschaltet, gibts verschiedene
Patterns, in denen die blicken können. Uns
ist aufgefallen, dass eine Pattern, wenn
man die dritte LED rot-grün blinken lässt.
Legst einfach aufs aufbau DECT. Wenn man
die dritte LED rot-grün blinken lässt,
dann blinkt die nicht nur, sondern das
setzt auch noch das Busy-bit im BNC-
Controller. Damit verweigert die Antenne
jegliche DECT Kommunikation, also über die
Lampe wird da auch Funktionalität
gesteuert. Die vierte LED ist
normalerweise fürs WLAN. Das dürfen wir
hier nicht, weil da würde uns das NOC
hauen, deswegen ist die vierte
LED überall aus auf dem Event.
ST: ja. Aber warum blinkt die denn?
zivillian: Die blinkt, weil in diesem
Aufbau DECT ein Tool von uns läuft, was
morsen kann, weil wir brauchen die ja nicht.
Applaus
zivilian: Ihr könnt ja mal schauen
Irgendwo auf der Veranstaltung wird sicher
auch noch ein paar blinkende LEDs geben.
Das einzige Problem ist Sie können nur mit
einem Herz blinken. Ihr müsst also ein
bisschen Zeit mitbringen. Magst du wieder
auf die Folien schallten? Genau eine
zweite interessante Nachricht, die wir
gefunden haben, ist Mediatone. Wenn ihr
den Hörer abnehmt, hört ihr ja
normalerweise so ein Freizeichen bzw. Wenn
euer Gesprächspartner fertig ist und
auflegt, dann hört ihr schon ein hübsches
Tuten. Das wird direkt in den Antennen
generiert. Dafür gibt's eine eigene
Nachricht, die da hingeschickt wird, die
sagt: bitte spiel mal folgende Frequenzen
parallel in folgender Reihenfolge so und
so lange. Dieses Protokoll kann bis zu 256
Einträge. Dieses Protokoll kann bis zu
vier Töne gleichzeitig. Dieses Protokoll
kann Schleifen. Wir dachten uns, naja
warum nur so langweilige Töne? Also gibt
es jetzt einen MIDI Konverter, der Midi
Files nach Antenne konvertieren kann. Das
möchte ich gern einmal vorführen.
Applaus
ST: Das ist nicht meins.
zivillian: Das ist meins. Wähl doch mal
die 4502!
ST: Lieber Mann vom Audio kannst du mich
mal Muten, bitte?
zivilian: Ah, es klingelt.
ST (durch DECT) Hallo?
zivilian: hört ihr das?
ST (DECT): Ja, Test Test.
zivilian: sehr schön.
unverständlich
Brummen
zivilian: Da bist du wohl zu weit weg.
ST(DECT): Oh entschuldigung!
zivilian: Ja die Reichweite ist ein
bisschen begrenzt. So dann mach doch mal
Tetris an.
ST(DECT): Ja also wir haben ja eine ganz
normale Telefonverbindung. Das hört man
jetzt. Und Jetzt tippe ich mal Tetris.
Moment.
DipDupDipDopDop
leises Gelächter
zivilian: fehlt da nicht noch einer?
ST(DECT): Haben wir vorhin doch getestet.
Jetzt.
Dop
ST: Geil. Richtig Gutes Zeug, warte.
lachen aus dem Publikum
DipDupDipDapDapDap
Tetris Melodie aus dem DECT
Applaus
zivillian: Ja, ihr habt das Telefon von ST
gerade schon gesehen. Das ist ein
wunderhübsches Motorola S120x, irgendwas 1
bis 4 hintendran steht für die Anzahl der
Geräte, die in der Schachtel sind. Warum
dieses? Naja, das ist halt das billigste
Gerät, wenn man nach DECT sucht. Es ist
bunt, also das ist orange. Das gibts aber
auch in Türkis, in Rosa, in Grün. Laut
Hersteller, wie man auf der rechten Seite
sieht, ist es GAP kompatibel. Das ist
immer ein wichtiges Feature.
ST: Und GAP-Kompatibilität erreicht man
übrigens nicht, indem man es nur auf die
Schachtes schreibt.
Gelächter
zivillian: Und das beste Feature von dem
Telefon Es lässt sich nicht anmelden. Wir
hatten auf vielen Veranstaltungen auf dem
EasterHegg auf dem letzten Kongress immer
wieder Leute, die sich gerade neu dieses
Telefon nur für uns gekauft haben und sehr
traurig waren, dass es nicht funktioniert.
Wir haben nicht mehr viel Zeit. Wir
versuchen es aber. Mit dem Proxy konnten
wir da mitlesen. Wie redet denn das
Telefon mit dem OMM? Und wenn man so ein
Telefon anmeldet, dann muss man die Pin
eingeben, und ganz am Ende gibts dann eine
AccessRightsAccept Nachricht. Und da
kriegt das Telefon dann seine UserIdentity
zugewiesen. Die endet hier auf "df". Und
wenn das Telefon dann telefonieren möchte,
dann sagt es. Ich bin übrigens dieses
Telefon, und dann schickt es die IPUI mit.
Die endet nicht mehr auf "df". Und die
Antwort darauf ist: IPUI not Accepted. Im
ETSI Standard oder bzw. in dem GAP
Standard ist definiert Requirement N. 18:
So und so hat die Anmeldung abzulaufen.
Das verweist wiederum auf den DECT
Standard, in dem steht: wenn da so eine
"Acces-Rights-Accept" Nachricht kommt,
dann soll das Telefon das abspeichern. Das
tut es wahrscheinlich auch, weil da steht
nichts von wieder mitsenden. Aber keine
Ahnung. Und da ist definiert, dass so eine
IPUI bis zu 60 Bit lang sein darf. Das,
was wir da gerade gesehen haben, waren in
dem Rahmen. Diese IPUI-O hat vorne vier
Bit "Portable User Type" dran stehen, dass
es halt eine IPUI-O ist. Und danach kommen
bis zu 60 Bit "Portabel User Number". Wir
haben ja die IPUI nochmal farblich
aufbereitet. Hintendran das "df", Das ist
das, was gerade eben verloren gegangen
ist. Und Mitel hat eine Besonderheit, die
nutzen für diese User Identity einfach die
IPEI, also die Seriennummer von dem Gerät
wieder. Und sagen dem Telefon, Du bist
immer noch du. Und die IPEI hat eine Länge
von 36 bit, das ist definiert. Und wenn man
sich das hier anschaut, dann gibt's da
vorne so 4 bit, oder diese beiden roten
Nullen, die definitiv nicht genutzt
werden, zumindest nicht an einer Mitel
SIP-DECT Anlage. Und daher kam dann auch
der Lösungsansatz, dieses Telefon
kompatibel zu machen. Wir verschieben
einfach die relevanten Daten um, ein Byte
nach vorne in Richtung Telefon und wenn
sich das Telefon meldet, dann schieben wir
sie einfach wieder zurück. Und dann ist
der OMM glücklich. Und deswegen
funktionieren seit diesem Jahr auch diese
Telefone an unserer Anlage.
Applaus
zivilian: Und auf dem Event haben wir dann
festgestellt, nein anderesherum. Wir
verschieben die Sachen, um sicherzugehen,
dass es nur diese Telefone betrifft,
nutzen wir den Hersteller Code, der bei
der IPEI vorne dran steht, um diese
Telefone zu identifizieren. Das heißt, wir
müssen das für jedes Telefon, was diese
Fehler hat, individuell anschalten. Aber
stellen damit sicher, dass wir nicht nicht
so viel kaputtmachen. Wir haben an der
Stelle natürlich auch den Hersteller
informiert. Ende September haben wir alle
Informationen per Mail geschickt. Die
haben das nach China weitergeleitet. Wir
haben einen Monat später nachgefragt.
Wir haben nichts gehört. Vielleicht passiert
noch etwas. Auf dem Event, da wir dann
leider feststellen müssen, dass dieses
Telefon nicht das einzige ist. Wir haben
dann die Liste der Hersteller, Präfixe,
die auf der Whitelist stehen, deutlich
erweitern müssen, damit auch die T-Sinus
Telefone funktionieren, damit das Belgacom
Telefon funktioniert. Also Wir haben da so
um die 20 Geräte inzwischen.
ST: Audio Visuelles Marketing, mit
Marketing haben Sie es ja nicht so. Aber
vielleicht haben Sie was mit Ihren
Telefonen?
zivilian: Ja, wer unseren Blog liest. Wir
hatten das letztes Jahr schon Ende letzten
Jahres. Das Problem mit dem AVM Telefon,
weswegen wir auch immer von FritzFon
abgeraten haben. An unserer Anlage wurde
nicht angezeigt, wer anruft. Es stand
immer nur intern. Wir haben das im Blog im
Detail beschrieben. Aber da wir jetzt die
Nachrichten nicht nur mitlesen, sondern
auch manipulieren können. Naja, flippen
wir halt ein Bit, und dann steht da, wer
es ist.
Gelächter und Applaus
zivilian: Wir haben ja noch was Positives
zu AVM. Wir haben uns eine Fritzbox
gekauft und waren sehr glücklich, weil die
Fritzbox kann nicht nur TCPdump, sondern
die Fritzbox kann auch DTrace. Das D steht
für DECT. Unter der URL die da auch
angegeben ist, findet ihr in jeder
handelsüblichen Fritzbox dieses Capture
Interface. Da gibts dann ganz am Ende den
Eintrag. Und das Spannende ist: Die
Gigaset Telefone können an einer Fritzbox
das Telefonbuch anzeigen. Das geht an
unserer Anlage noch nicht, und wir haben
ein wenig die Hoffnung, dass wir das
ändern können.
ST: Ausblick.
zivillian: Was machen wir damit? Unser
Wunsch wäre Leute, die sich für DECT
interessieren, Leute, die Interesse an
einer Mitel Installation haben, die sich
auch damit beschäftigen, dass wir nicht
die einzigen sind. Wir hoffen, dass ihr
mit den Informationen loslegen könnt. Wir
würden uns freuen, wenn der Wireshark
Dissector den LaForge angesprochen hat,
weiterentwickelt wird, weil der würde uns
auf jeden Fall helfen, dort tiefer ins
Detail zu gehen. Spielt mit der Hardware
spielt mit der Software! Und ich, Du hast
noch was?
ST: Ja ich hab noch was, und hier DECT
ULE, wir hatten es vorhin auch von LaForge
gehört. Kann man auch mal genauer drauf
guchen. Wir haben auch gehört es gibt EC-
Terminals die über DECT funktionieren. Und
unsere Bitte, wir sammeln immernoch Daten,
und das hatten wir auch auf dem EsterHegg
schon mal angesprochen. Hier nochmal in
großer Runde. Crowdsourcing ist das
Stichwort. Wenn ihr wisst, was ihr für ein
DECT Telefon habt und was für ein Modell,
und uns das verraten wollt, dann könnt ihr
das im GURU eintragen. Daswürde uns extrem
helfen, weil nämlich wir bei der ETSI nach
dieser sogenannten EMC Liste nachgefragt
haben Equipment Manufacturers Code,
sozusagen das was ich kursiv auf dieser
Folie dargestellt hatte, Woran man
erkennen kann, welcher Hersteller es ist.
Und da war die Antwort: die ist geheim.
Gelächter
ST: Also es wäre total super, wenn Ihr
euer Modell da eintragt, das hilft uns
extrem, weil dann können wir das auch
zuordnen. Im Zweifelsfall, wenn wir Fehler
haben. Genau und wenn ihr das, das war im
Prinzip alles, was wir von euch noch
wollen. Und wir können da im Prinzip nur
sagen Viele Dank! Und du hast auch noch
was?
LaForge: vielleicht zum Proxy, wegen
veröffentlichen und so weiter. Soll ich
dazu noch was sagen?
ST: Ach so richtig, ja, der Proxy, der ist
noch nicht veröffentlicht. Magst du noch
was sagen, warum wir das nicht
veröffentlichen?
zivillian: Ich hatte das ja in der
Timeline schon dargestellt. Wir haben
sehr, sehr kurzfristig die Zusage
bekommen, dass der Fehler behoben wird.
Wir fanden es unverantwortlich, unser
Tooling zu veröffentlichen, nicht nur,
weil dann unsere Anlage betroffen ist,
sondern weil es irgendwie mit zwei zeilen
Code möglich wäre, jede SIP-DECT
Installation weltweit zu kompromittieren.
Wir sind in Abstimmung mit dem Hersteller.
Wir wollen das Tooling veröffentlichen. Wir
wollen euch das zur Verfügung stellen,
sodass ihr auch selber reinschauen könnt,
wenn ihr so eine SIP-DECT Installation
habt. Der aktuelle Plan ist, dass im
ersten Quartal nächsten Jahres zu machen.
Sobald die bestehenden Installationen die
Chance hatten, das Update einzuspielen.
Applaus
Herald: Vielen, Vielen Dank, für die
schöne Präsentation, ich bin mir sicher,
dass ihr Lust habt, mit uns noch ein wenig
zu diskutieren. Ich schau mal, ob ich
schon Fragen hier sehe. Wir haben Mikros
aufgestellt im Saal, die eins, die zwei und die
drei stellt euch da einfach dran, und wir
haben auch Fragen aus dem Internet. Aber
wir fangen sofort hier mit der zwei an.
Deine Frage bitte.
Frage: Ihr habt gesagt, es gab erst ein
Update von Mitel und das habt ihr
beanstandet. Und dann wurde gesagt es gibt
eine bessere Lösung. Was ist denn jetzt
die bessere Lösung? Wie wird der Key denn
jetzt generiert?
zivilian: Die Antennen müssen initial
einmal mit der Installation gekoppelt
werden. Der Vorgang nennt sich Capture.
Die Annahme, die wir getroffen haben, ist,
dass dieser Vorgang in einer
vertrauenswürdigen Umgebung stattfindet.
Und im Rahmen dieses Capture Vorgangs wird
individuelles Schlüssel Material zwischen
dem OMM und der Antenne ausgehandelt und
für die weitere Kommunikation genutzt. Das
heißt, jede DECT Antenne hat einen eigenen
Blowfish-Key.
Herald: Da machen wir die Frage von meinem
Signal Angel, also aus dem Internet.
Signal-Angel: Wussten die Leute vom Baumarkt,
dass da an der Außenantenne gebastelt
wurde.
zivilian: Das könnte auch gephotoshopt
gewesen sein. Ich kann das weder
bestätigen noch verneinen.
Applaus
Herald: Die 2 bitte.
Frage: Euren Tetris Hack da kann man den
nutzen, um zum Beispiel bei den eigenen
Extensions eine eigene MIDI-Melodie zu
setzen. Das heißt, wenn ich jemanden
anrufe wird der zumbeispiel gerickrolled?
zivilian: ich glaube rickroll, wär zu
lang, weil 256 Töne ist das Limit. Das
Hauptproblem ist, dass die 256 Töne nur
auf den 2G Antennen funktionieren. Mitel
hat bei den 3G Antennen an der Hardware
gespart. Die können nur noch sechs Töne.
Das reicht nicht mehr.
Herald: Okay, ich schau nochmal zu meinem
Signal Angel haben wir noch Fragen aus dem
Netz?
Signal-Angel: Ja eine kommte gerade noch
rein: wo genau kann man seine Telefon
Gerätenummer melden?
zivilian: magst du?
ST: Im GURU. Eventphone, bzw.
guru3.eventphone.de, wenn du dich dort
einloggst in deinen Account hast so bei
deinem Gerät sozusagen ein Schlüssel,
quatsch nicht Schlüssel, einen Stift. Da
kannst du das eintragen. Das ist ja auch
auf der Folie zu sehen. Genau, auf den
Schlüssel klicken, Dann kannst du dein
Handset editieren, und dort kannst du unten
bei Model das Modell eingeben und den
Hersteller. Du kannst dem sogar einen
Namen geben, was den Vorteil hat, wenn du
das das nächste Mal benutzt, dann kannst
du eine Nebenstelle registrieren und unten
gleich das DECT zuweisen, dann musst du
auch den Token nicht mehr eingeben,
sondern kommst auf die Veranstaltung und
das Telefon funktioniert einfach.
LaForge: Vielleicht wenn ich da noch kurz
ergänzend, oh das mikro ist offensichtlich
wieder aus. Ergänzend nachdem die Frage ja
aus dem Netz kam. Das geht natürlich hier
nur für die Leute, die bei Eventphone ihr
Telefon eingebucht haben. Das ist damit
das in Ruhe registriert ist, Dann ist die
Nummer ja mit dem Account entsprechend
assoziiert. Also wenn jetzt jemand
irgendwo da draußen im Internet, der nicht
auf einer CCC-Veranstaltung war oder eine
Eventphone-Veranstaltung war, der kann das
natürlich so nicht machen. Das wollte ich
noch vielleicht ergänzen.
ST: Ist bestimmt nur jemand in der
Assembly, der zu faul ist, herzukommen.
Gelächter
Herald: Die drei Bitte.
Frage: Wenn ich es richtig verstanden
habe, dann sind für gebraucht-verkaufte
Stationen bisher keine Downloads möglich.
Muss oder will Mitel da auch nachbessern,
um das Update zur Verfügung zu stellen?
zivillian: Das kann ich leider nicht
beantworten. Das weiß ich nicht.
LaForge: Die Kontaktdaten stehen ja in
diesem Advisory drin. Das kann man ja
durchaus mal den Leuten nahelegen, dass
man an die Users vielleicht auch denkt in dem
Kontext.
Herald: Dann die Zwei Bitte!
Frage: Ihr habt jetzt die Kommunikation
zwischen den Antennen und dem OMM
angeschaut, gibts auch Bestrebungen, die
Antenne oder den OMM weiter durch
OpenSource oder Eigenentwicklungen zu
ersetzen, gerade wenn hier osmocom Leute
anwesend sind.
LaForge: Naja, ist halt immer so eine
Frage der Zeit. Die Zahl der Projekte
wächst über die Zeit. Die Zahl der Leute,
die an den Projekten arbeiten, wächst
leider nicht entsprechend mit. Von daher
sehr gerne. Ich wäre der erste, der da
"Hurra" schreit, aber es müssten sich halt
auch Leute irgendwie einbringen.
Dementsprechend. Ich denke ein guter
Startpunkt für etwaige spätere OpenSource
Entwicklungen, oder überhaupt Arbeit mit
DECT wäre, wenn Leute zu dem DECT
Wireshark Dissektor beitragen würden. Ja,
das ist ja alles Zeug was in der DECT-
Spezifikation steht. Also man muss diese
Specs lesen, man muss sie verstehen, was
man sowieso muss, wenn man an OpenSource
in dem Kontext arbeiten will. Zumindest
eben isolierte Teile davon, und das kann
man dann in Wireshark Dissector
ausdrücken. Und dann hätte man schon mal
eine bessere Ausgangsbasis. Also Sehr
gerne. Aber, ja, Contributions brauchen
wir.
Herald: Ok, Im Saal sehe ich keine
weiteren Fragen, ich schaue nochmal zu
meinem Signal Angel. Auch keine. Dann
bedanke ich mich bei euch erst einmal für
die lebhafte Diskussion bei euch dreien
bzw. bei allen von Eventphone für eure
Arbeit. Vielen vielen Dank!
Applaus
36c3 Abspannmusik
Untertitel erstellt von c3subtitles.de
im Jahr 2021. Mach mit und hilf uns!