<i>36C3 Vorspannmusik</i>

Herald: Willkommen zum nächsten Vortrag.
Ich muss ja sagen, aus persönlicher

Erfahrung, dass der Kongress für mich
gerade deswegen so schön ist, weil er so

traumhaft familienfreundlich ist. Wir sind
diesmal wieder mit zwei Kindern da, und da

ist natürlich das Kids-Space absolut
goldwert, aber, und das glaubt man gar

nicht, dieses Ding hier, das DECT-Telefon,
das macht diesen Kongress auch für mich

extrem kinderfreundlich, weil wir eben
schon vor vielen Jahren unseren Sohn mit

so einem DECT-Telefon einfach laufen
lassen konnten und der konnte den Kongress

für sich selbst entdecken und wir konnten
unseren Sohn später wiederentdecken. Das

ist sehr, sehr hilfreich. Deswegen, so
eine Technologie macht eben auch eine

Konferenz viel, viel wertvoller. Ich bin
zugegebenerweise nur Dummer, aber

dankbarer Nutzer, aber die jungen Herren,
die wir jetzt hier haben, die können uns

etwas sagen, was mit dieser Technologie
noch möglich ist. Wir begrüßen nämlich

Zivillian und ST, die sind beide
Mitglieder im Eventphone-Team, und wir

haben einen Gast-Hacker mit LaForge und
die werden jetzt den Vortrag halten.

Hashtag #mifail oder: Mit Gigaset wäre das
nicht passiert! Oder der Untertitel, der

mir sehr gut gefällt, DECT ist korrekt.
Vielen Dank!

<i>Applaus</i>

ST: Ja, vielen Dank. Wir sind total
überrascht, weil wir ja dachten, das ist

ein Nischen-Vortrag, da haben wir mit 20
Leuten gerechnet, jetzt sind doch 40

gekommen, das ist richtig krass. Ja, im
Prinzip ist die Vorstellung durch. Was

machen wir heute? Wir müssen uns auf jeden
Fall beeilen, weil es ist sehr sehr viel.

Ganz kurz werden wir etwas dazu erzählen,
was ist das POC eigentlich genau. Was

machen die so? Was benutzen wir für
Technologie? Deswegen haben wir auch am

Anfang diesen komplizierten Aufbau, dass
wir uns hier direkt die Hardware live

angucken können. Wie das alles
funktioniert. Dann kommen wir zu dem

eigentlichen Problem, dass es dort, ja,
eine kleine Sicherheitsschwankung gab, die

wir herausgefunden haben, LaForge wird das
genau erklären, wir werden Euch erzählen,

wie der Hersteller damit umgegangen ist
und was wir dann daraus gebaut haben und

wie wir sozusagen mit dieser
Sicherheitsschwankung mehr Features

implementiert haben und noch mehr für die
User tun können. Weiter geht's dann mit

den Metadaten, wie sind wir eigentlich
dazu gekommen und dann zeigen wir Euch

dann nochmal live hier auf dem Tisch, wie
man unwillige Geräte willig bekommt und am

Ende gibts noch einen Ausblick. Dann
fangen wir mal damit an... Was ist

eigentlich das POC wer oder was ist das
Eventphone und dann haben wir geguckt, was

sagt eigentlich dieses Internet? Und das
Internet sagt, das Phone Operations Center

ist ein integriertes Hard- und
Softwareprojekt, welches es ermöglicht,

auf Grossveranstaltungen ein
fläschendeckendes und funktionsfähiges

DECT-Netz zu realisieren. Steht in der
Wikipedia, muss ja stimmen und in der Tat,

das ist so und sehr schön finden wir auch
"Eventphone, ein bedeutender Anbieter von

drahtloser Kommunikation für
Großveranstaltungen". Bedeutend, ja. Das

freut uns natürlich. Nun zu unserem One-
Pager, Was machen wir wirklich wirklich?

Also klar, Infrastruktur für drahtlose
Telefone, das wisst Ihr wahrscheinlich

alle. Wer von Euch hat ein DECT? Könnt ihr
mal Handzeichen geben? Oh, ja, ja, da ist

ja der Raum sagen wir mal die Hälfte. Dann
machen wir Leih-Telefone für Orga- und

Infrastruktur-Teams, die bereiten wir im
Wesentlichen vorher schon vor.

Provisionieren die, stellen den Betrieb
sicher, nehmen die zurück und reinigen die

dann auch wieder. Der Telefondesinfizierer
ist das Stichwort. Dann haben wir SIP und

Premium. SIP-Server, die wir betreiben,
Premium-SIP tatsächlich, die haben

wikrlich andere Funktionen, zum Beispiel
das CERT, die sichere Leitungen brauchen,

die möglichst nicht ge-DDoS-sed werden
haben andere Server und man kann, hat dort

mehr Rechte, kann zum Beispiel
raustelefonieren. Das EP-VPN betreiben

wir, also ein VPN, was auch außerhalb der
Events funktioniert. Das integrieren wir

immer in die Netze der Veranstaltungen.
Das Rufnummern- und Token-Handling, wer

quasi ein DECT angemeldet hat, der weiß,
da muss man ein Token eingeben, das machen

wir alles. Unser GURU, der Generic User
oder das Generic User Registration

Utility, das Self-Service-Portal, dort wo
ihr Eure Nummern anlegen könnt, wo ihr Eure

Geräte verbinden könnt. Und so. Das ist
auch von uns. Auch sozusagen der Link zum

GSM-Team, deren Rufnummern verwalten wir
auch. Dial-In/Dial-Out, also das Ihr

angerufen werden könnt von Außen und das
Ihr Euch auch raustelefonieren könnt.

Special Services, zum Beispiel die
Anbindung der Chaos-Vermittlung. Es gibt

Spiele, Witze-Hotline, die Uhrzeit oder
eine automatische Annahmestelle für Lärm-

Beschwerden.
<i>Gelächter</i>

Weiterhin haben wir noch eine neue
Abteilung, die Ausbildung in

Medienkompetenz. Wo wir Euch immer wieder
vor Augen halten. Guckt alles kritisch an

und nehmt nicht alles so für bare Münze,
was Ihr so in diesem Internet seht und

hört. Und, wir sind in diesem Jahr
volljährig geworden.

<i>Applaus</i>
Und dazu muss ich noch drei Sekunden etwas

sagen, nämlich es gibt eine Person, die
das tatsächlich seit 18 Jahren schon macht

und wirklich auf jedem Event, nicht nur
Kongresse, auch in der Sommer-Events und

dazwischen immer dabei war, der, egal ob
krank oder nicht, sich für das Telefonnetz

eingesetzt hat und das ist Sascha. Und an
der Stelle wollte ich noch mal ganz, ganz

lieben Dank sagen, 18 Jahre Eventphone,
für Dich...

<i>Applaus</i>
So, kürzen wir das ab. Kurzum, man ist

überall erreichbar, auch im Schwimmbad.
Wer die Kampagne kennt, wer sie nicht

kennt, der QR-Code im Nachgang, sehr gern.
So, dann. Worum geht es heute nicht? Noch

einmal ganz konkret, wir haben auf dem
35C3 einen langen Vortrag gehalten,

darüber, wie ist das Eventphone
entstanden, was gibt es für Geschichte und

so weiter und so fort. Das werden wir
heute nicht besprechen. Und auch auf dem

Easterhegg haben wir sozusagen dieses neue
Telefonsystem nochmal im Detail erklärt,

also warum sind wir von dem alten Alcatel-
System auf dieses neue Mitel-System

umgestiegen? Und was gehört da alles
dazu. Das alles heute nicht, könnt ihr im

Nachgang euch anschauen. Heute geht es
wirklich nur um diese rote Linie, nämlich

die Verbindung von dem Open Mobility
Manager, dem OMM, und den RFPs, den Radio

Fixed Parts, also den umgangssprachlichen
Antennen. Dann werden die Techjungs ganz

viele Abkürzungen benutzen, und die würde
ich nochmal ganz schnell einmal

durchgehen. OMM haben wir gerade gesehen
auf der Folie davor. Open Mobility

Manager, das ist das Stück Software von
Mitel. RFP das sind diese Radio Fixed

Parts, also die Antennen und die PPs das
ist so DECT-Sprech, dass ist alles, was

mobil ist. Da klingelt schon wieder eins.
Sehr schön, unser System läuft. Alles, was

sich bewegen kann, PPs Portable Parts,
normale DECT-Endgeräte, aber eben auch

solche kleinen Headsets. Dann wisst ihr,
was damit gemeint ist. Dann werden wir ein

paar Abkürzungen verwenden, die 
IPEI und ihr seid ja alle sicherlich im

Netzwerksegment ein bisschen firm:
International Portable Equipment

Identifier. Das könnt euch vorstellen,
dass ist sowas ähnliches wie die MAC-

Adresse. An dem Beispiel seht ihr auch
dort ist ein Teil kursiv geschrieben. Der

ist sozusagen der Herstellerteil. Das ist
auch wie bei der MAC-Adresse. Der ist fest

zugewiesen. Daran kann man den Hersteller
erkennen, und danach ist einfach ein

Zähler. Ebenso kann man einen
Netzwerkvergleich herstellen mit der IPUI

der International Portable User Identity.
Das ist so etwas ähnliches wie die IP-

Adresse, die wird sozusagen von dem System
ausgegeben, was es sozusagen betreibt,

also der DHCP-Server vom NOC vergibt 
IP-Adressen und wir vergeben diese IPUIs und

dann werden die ETSI kennenlernen, das
European Telecommunications Standards

Institute, das verabschiedet im Prinzip
Standards, wie der Name sagt, in Europa.

Und da gehört, ganz wichtig, auch DECT
dazu. Die IPUI, noch ganz kurz hinterher,

die gibt es in mehreren Formaten. Also das
Beispiel, was dort steht, das muss nicht

unbedingt so sein. Das ist nicht so
einfach, wie bei der IT, genormt. So, und

jetzt gucken wir uns mal ganz genau an,
wie denn hier soein SIP-DECT

zusammengestellt ist und Zivillian wird
euch das erklären und ich verfolge das

hier mal mit der Kamera.
zivillian: Genau. Anleitung zum

Selbermachen ist der Titel. Wir wurden
schon oft gefragt, was genau macht ihr da?

Wie funktioniert das? Kann ich das auch
machen? Ich will Hotel-VPN machen äh

Hotel-DECT machen. Was genau muss ich
dafür tun? Ihr braucht natürlich eine

Antenne, ein Radio Fixed Part. Die gibt's
in verschiedenen Generationen. Wir

empfehlen euch Generation 3 oder höher.
Die sind relativ einfach zu erkennen. Zum

Einen haben die Generation-3-Antennen,
Lüftungsschlitze auf der Rückseite, und

zum Anderen haben die
Generation-3-Antennen auch einen

USB-Anschluss. Das heißt, wenn ihr euch
irgendwo sowas kaufen wollt und nicht

sicher seid, was das ist, dann guckt
einfach drauf. Generation 2 oder darunter

empfehlen wir nicht mehr. Die Geräte gibt
es unter Anderem beim Hersteller, aber man

kann die natürlich auch gebraucht kaufen.
Die gibt's meistens für unter 100 Euro.

Wenn sie mehr als 100 Euro kosten, dann
ist es ein bisschen überteuert. Dazu

braucht er eine Lizenz, weil das ist
natürlich keine Open-Source-Software von

Mitel, sondern ein kommerzielles Produkt.
Da gibts eine Besonderheit: Bis zu fünf

Antennen können mit der integrierten
Lizenz betrieben werden, die bei der

Software mit dabei ist. Das heißt, für
kleine DECT-Installationen, wie zum

Beispiel für unser Aufbau-DECT, braucht
man keine Lizenz. Das hat nur fünf

Antennen. Das kann man einfach kostenlos
nutzen. Wenn man telefonieren möchte, also

nicht nur zwischen den Geräten, sondern in
Richtung SIP, mit Dial-Out oder Dial-In,

dann braucht man natürlich noch einen SIP-
Server dahinter. Wir empfehlen an der

Stelle immer den Yate, den wir selber auch
einsetzen in unserer Installation. Und wir

haben da in den Slides auch das Cookbook
für Yate verlinkt. Das ist auch in dem QR-

Code nochmal zu finden. Das sind relativ
hilfreiche Anleitungen, wenn man da

keinerlei Erfahrungen hat, um
reinzukommen. Damit kann man sich auf

jeden Fall auch einen eigenen SIP-Server
installieren. Den OMM, den ST schon

erwähnt hat, braucht man natürlich auch,
weil der steuert die Antennen. Da gibt es

zwei Möglichkeiten, wie man den betreiben
kann. Die eine Möglichkeit ist, den direkt

auf der Antenne laufen zu lassen. Da läuft
auch nur ein abgespecktes Linux drauf. Da

kann man auch den OMM laufen lassen. Das
haben wir selber nie ausprobiert, deswegen

haben wir da keinerlei Erfahrung.
Alternativ reicht irgendwas, wo ein CENTOS

läuft. In unserem Beispiel bei dem Aufbau-
DECT ist das halt so eine kleine Hardware-

Appliance. Für die Anlage, die wir hier
auf der Veranstaltung betreiben, haben wir

beim NOC einen Server stehen, wo die als
VM drauf läuft. Hier nochmal hübsch

visualisiert: Wenn man den OMM auf der
Antenne laufen lässt, dann ist die erste

Antenne gleichzeitig auch der OMM, und
alle weiteren werden dann einfach per IP

mit dieser ersten Antenne verbunden. Und
der OMM braucht dann halt die Verbindung

zu dem Yate, zu dem SIP-Server. Der
Nachteil davon ist, dass man in dieser

Minimalinstallation, wenn man keinen
eigenständigen OMM betreibt, maximal 512

Endgeräte anmelden kann und wenn ihr auf
unser Dashboard schaut, dann seht ihr,

dass das für hier nicht funktionieren
würde. Des Weiteren kann man maximal 256

Antennen anschließen. Das ist dann schon
eine etwas größere Installation. Aber da

gibts halt ein hartes Limit. Wenn man den
standalone betreibt, kann man deutlich

mehr Antennen anschließen, bis zu 4096,
und in den aktuellen Versionen werden dann

auch 10.000 Benutzer bzw. Geräte
unterstützt. Jetzt haben wir den OMM schon

mehrfach erwähnt. Die spannende Frage ist:
Wie kommt man daran? Offizielle Antwort

von Mitel ist: Wenn man sich so eine
Antenne kauft, dann bekommt man

entsprechende Zugangsdaten als Mitel-Kunde
und kann sich dann in dem Download-Portal

von Mitel anmelden und die Software
herunterladen. Wenn man die Antenne auf

dem Gebrauchtmarkt kauft, dann hat man
natürlich keine Mitel-Zugangsdaten, aber

die Release Notes enthalten Download-
Links. die Release-Notes sind teilweise

öffentlich verfügbar und über
Suchmaschinen auffindbar. Und wir haben

euch da mal so ein paar Suchbegriffe an
die Hand gegeben, falls ihr Interesse

daran habt. Ja, jetzt, wo ihr wisst, wie
das geht, stellt sich natürlich die Frage:

Was macht man damit? Das, was Hacker
machen, ist halt sich Sachen anschauen und

auch mal ein bisschen tiefer ins Detail
schauen. Und das ist das, was euch LaForge

jetzt erzählen wird.
LaForge: Ist dieses Mikro ... ja jetzt ist

es offen. Gut, Firmware-Analyse, ja. Man
guckt sich also ... Ich mein für mich ist

das normal: Warum guckt man sich Firmware
an? Ist eigentlich klar: Jedes Gerät, was

ich einen Finger habe, gucke ich mir an,
was will ich denn sonst mit dem Gerät?

Irgendwie, ja ich will ja verstehen, was
es macht und wie es tut und wie es

aufgebaut ist und was für Bauteile
verwendet sind und so weiter. Also ist es

für mich eigentlich normal, dass ich mir
Geräte, die ich irgendwie habe anschaue.

Jetzt hatte ich da gerade zu dem Zeitpunkt
keine so eine Antenne. Aber ich habe mich

vor zehn Jahren schon mal mit DECT
intensiver beschäftigt als Teil des

Projekts, was damals deDECTed hieß. Wir
hatten da Schwachstellen entdeckt,

entDECT. Ja, entDECT, genau. So, ja und
außerdem ist DECT ja auch, wie wir gerade

schon gehört haben, eine ETSI-
Spezifikation und ich habe ja mit ETSI-

Spezifikationen seit über zehn Jahren
quasi täglich zu tun. Zwar jetzt nicht

DECT, aber andere. Aber prinzipiell sind
eigentlich alle mal ganz interessante

Lektüre. Ich mein das ist Geschmacksfrage.
Ich mag sowas halt. Und DECT ist ja auch

immer noch weit verbreitet und gibt ja
auch jetzt hier auch DECT-ULE für

irgendwelche Internet-of-Things-Dinge, da
werden wir später nochmal drauf

zurückkommen. Und ich hatte eben gehört,
dass jetzt seit dem letzten Jahr oder seit

einiger Zeit das POCsich entschieden hat,
auf ein neues System umzustellen. Eben auf

dieses Mitel-IP-DECT/SIP-DECT-System. Und
letztes Jahr bin ich im November umgezogen

und dachte mir "Nee, Dezember Kongress,
das ist zu viel Stress. Dann bleib ich mal

daheim", und dann war ich daheim an
Weihnachten über den Kongress und dachte

mir "Ach, guck ich mir mal diese DECT-
Geschichte an". Und ja, dann guckt man

sich natürlich erstmal die Hardware an.
Ging eben auch um diese Generation 3, die

schon mal erwähnt wurde. Macht/guckt sich
die Platine an: Was sind da so für

Bauteile drauf? Da findet man dann ein
Marvell Kirkwood ARM System-on-a-Chip,

der, wie man sich die Firmware anguckt,
tatsächlich ein fast Mainline-Linux laufen

lässt. Und der hat zwei Ethernet-Ports.
Falls jemand jetzt mit diesem Begriff

Marvell-Kirkwood nichts anfangen kann, der
ist in ganz vielen Network-Attached-

Storage-Devices drin. Auch Shiva-Plug, und
wie sie nicht alle irgendwie heißen, da

gibts jede Menge Devices, die den
verwenden, der hat zwei Ethernet in dieser

Konfiguration hier in dem RFP drin. Ein
Ethernet-Port ist jener, der Richtung OMM

spricht, also der, der auch nach außen
herausgeführt ist am Gerät auf der

RJ45-Buchse. Und dann gibts einen zweiten
Ethernet-Port. Ein zweiter Ethernet-Port:

Was machen Sie denn damit? Und Sie haben
tatsächlich diesen eigentlichen DECT-

Prozessor über Ethernet angebunden. Das
heißt, also man hat einmal Ethernet von

diesem ARM-System-on-Chip, einmal Ethernet
Richtung dem DECT-Prozessor und einmal

Ethernet nach außen und man hat serielle
Konsole für Uboot und Linux und das

Passwort wird vom OMM gesetzt. Und das ist
auch in der offiziellen Doku dokumentiert,

dass das da gesetzt wird, wenn man den
konfiguriert. Das heißt, man kann da auch

prima drauf und sich das anschauen und so
weiter. Also als legitimer User oder

Anwender sozusagen dieses Geräts kann man
sich dann einloggen, kann sich umschauen.

Unten ist das mal schematisch dargestellt
diese unterschiedlichen Verbindungen. Es

ist dann auch noch ein UART da und andere,
paar GPIOs und so weiter. Wenn man sich

dann die Software anguckt, die da drauf
läuft, ist, wie gesagt, ein ziemlich,

erstaunlicherweise ein sehr, sauberer
Mainline-Kernel. Ganz wenig Patches nur

drin. Und letztlich ist es so, dass im
Kernel eigentlich gar nichts DECT-

spezifisches ist.Das ist ein ganz normaler
Kernel. Es sind keine komischen Treiber

oder irgendwas, sondern sie haben dann
eben ein Programm, eben hier dieses

/opt/ip_rfp/ip_rfp, was Pecket-Sockets
aufmacht auf diesem Ethernet-Device zum

DECT-Prozessor, und die ganze Verarbeitung
der Kommunikation erfolgt dann in einem

Userspace-Programm. Dann gibt es noch ein
paar Bibliotheken und andere interessante

Dinge, die man da so findet in der
Firmware, aber es ist eigentlich erstmal

ein ziemlich handelsübliches Linux mit
eben diesen proprietären Komponenten, die

hier Packet-Sockets aufmachen und
derartige Dinge tun. Interessant ist dann

auch, das man sieht, da habe ich jetzt
nicht auf der Slide drauf, aber man findet

dann andere, man entdeckt dann auch noch
andere Dinge. Zum Beispiel hatte ich

gesehen: Da ist Video-for-Linux in dem
Kernel drin. Ich denk mir so: Was, Video-

for-Linux in einer DECT-Basisstation? Was
hat da jemand vergessene Configuration

auszuschalten? Nein, es ist tatsächlich so
man kann an diesem USB-Port eine UVC

Kamera anschließen, also so eine USB
Videoclass Kamera und kann dann auf seinem

DECT Telefon, sofern es videofähig ist das
Kamerabild über DECT sich anschauen. Sehr

interessante Funktion. Dann findet man
auch noch ein Bluetooth Chip drin. Aha,

man kann also offensichtlich irgendwie
Bluetooth Beacons virtuell erzeugen. Auf

diesen DECT-Basisstationen vielleicht um
irgendwelche Location Services in Museen

oder irgendwas zu implementieren. Auf den
ersten Blick siehts erst mal komisch aus,

was man da so findet im Kernel. Aber macht
dann Sinn. Sie haben tatsächlich irgendwie

usecases dafür. So! Dann findet man binary
images für die Firmware dieses DECT

Prozessors einmal einen Bootloader, der
über tatsächlich die serielle

Schnittstelle, die verbunden ist zwischen
diesem DECT Prozessor und dem ARM erst

einmal drüber geschoben wird. Also über
GPIO wird der Reset losgelassen, dann wird

diese Firmware da reingeladen und diese
Firmware, also der Bootloader. Der kann

dann über Ethernet die eigentliche
Firmware nachladen dieses "rfpng.bin",

oder so dann gibt's noch einen
"macmoni.bin" was wohl offensichtlich ein

MAC Monitor sein soll. Was genau er tut,
habe ich zumindest mir nicht angeguckt.

Ja, nun guckt man sich das so an, da hat
man dieses Ethernet Device. Und was macht

man mit einem Ethernet? Man macht
natürlich erst mal ein ".pcap" File und

schaut sich an, was irgendwie auf diesem
Ethernet unterwegs ist. Also dieses

interne Ethernet auf dem Gerät.
Interessanterweise sieht man da nur rohe

Ethernet Frames. Es gibt da
unterschiedliche Subsysteme. Der Ethernet-

type unterscheidet dann, was für
Subsysteme da gerade sprechen. Guckt man

sich das so ein bisschen an, und mit dem,
was man über DECT weiß und probiert so ein

bisschen das eine oder andere aus auf
einem Telefon, das da angeschlossen ist,

und versucht, das zu verstehen. Und ich
hab dann so einen minimalistischen

Wireshark disector für die Teile des
Protokolls, die ich verstanden habe,

gebaut. Irgendwann war dann klar ab einem
gewissen Punkt, wo die eigentlichen DECT

standardisierten Pakete sich befinden, und
dafür gibts dann, obwohl es nichts

properiäres ist, leider auch kein
Wireshark-disector. Ich hab da auch ein

bisschen was angefangen, aber nur ganz
minimalistisch, damit man halt irgendwie

so ein bisschen seine Ergebnisse
bestätigen kann. Dann kommen die höheren

Schichten und so weiter. Da gibts dann
auch wieder keine Wireshark-disektoren da

habe ich dann aufgehört, das wird dann
uferlos das zu beschreiben. Im Grunde

sieht der Split der Funktionen. Wenn man
sich den DECT Netzwerkstack anschaut so

aus. Ich werde jetzt nicht ins Detail
gehen. Wer sich da mehr dafür

interessiert. Ich hatte einen
ausführlicheren, technischen Vortrag

gehalten auf der Osmo-Defcon Anfang April
diesen Jahres. Der ist auch bei

"media.ccc.de" verlinkt. Aber das ist
sozusagen der Split. Im OMM läuft also der

Data DLC layer, der NWK Layer und was dann
oben drüber kommt und im Radio teil, ist

eigentlich nur der PHY und der MAC Layer
und an der Schnittstelle zwischen DLC und

MAC Layer. Da ist dieses Protokoll, was
man sieht über diesen RAW-Ethernet Frames,

die da vorhanden sind. So! Dann war das
irgendwie so ein bisschen klar, was da

passiert. Dann guckt man weiter in
Richtung dieses OMM RFP Protokolls. Das

sieht man. Da wird eine TCP Verbindung
aufgebaut, und dann guckt man im Wireshark

und sieht... Naja, das ist irgendwie
alles, sieht ziemlich random aus, die

Entropie ist sehr hoch, muss also
irgendwie verschlüsselt oder zumindest

verschleiert sein. Man kann dann in dem
RFP und dem OMM ziemlich viel logging

einschalten, und da macht es dann auch
irgendwann Hex-dupms. Aber die Hex-dumps

haben überhaupt nichts damit zu tun mit
dem, was über diese TCP-Verbindung geht.

Ist also irgendwie verschlüsselt. Ist aber
auch kein TLS. Dann guckt man mal, die

Symboltabellen an, findet, da ist Blowfish
drin. Und zwar wird quasi Blowfish

Funktionen aus openssl benutzt, und dann
kann man ja, wenn es dynamisch gelinkt

ist, kann man ja so mit LD-preload andere
Bibliotheken hinladen, die die gleichen

Symbole anbieten. Und das waren dann 2
Bibliotheken eine "libtracefish", die

sozusagen cypher Text und plain Text
jeweils als Hex-dump am ausgegeben hat,

damit man sieht, was da passiert. Und dann
als nächstes die "libnullfish", die

einfach jeden call auf die Blowfish Funktion durch
ein memcopy ersetzt. Und dann hat man eben

den plain Text auf der anderen Seite und
sieht das da. Was man erkennt, ist, dass

viele der rohen Ethernet Frames, die man
auf der Seite Richtung DECT-Prozessor

gesehen hat, einfach 1 zu 1 durchgereicht
werden, die man halt enkapsuliert zusammen

mit vielen anderen Dingen über dieses TCP-
Protokoll. Da werden wir noch mehr drüber

hören, gleich dann im Anschluss, das haben
sich die Leute von Eventphone dann wieder

näher angeguckt. Was wichtig an der Stelle
noch ist. Ja gut, dann kann man diese

Verschlüsselung abschalten. Aber Dieter
Spahr, bekannt auch aus dem osmocom

Projekt, hat sich dann die Verschlüsselung
nochmal ein bisschen näher angeguckt, die

da passiert. Und die, ich meine Blowfish
ist natürlich klar. Aber die Schlüssel

Generierung im Speziellen, und es war dann
ziemlich schnell klar, dass es ein

statischer, für alle Geräte global
einheitlicher statischer Key ist, der da

verwendet wird. Und das ist natürlich
schlecht, wenn man irgendwie einen global

auf allen Geräten identischen Key hat, den
man dann da auch rauspopeln kann aus der

Firmware. Damit kann man natürlich auch
die Kommunikation anderer Geräte

entschlüsseln. Und das bringt uns dann
eigentlich zu dem entdeckten Security

Problem. Und ich gebe zurück.
zivillian: Wie LaForge gerade schon sagte

Das ist ein statischer Key, der für alle
Installationen genutzt wird. Das ist

insofern ein bisschen kritisch, dass
jemand, der in der Lage ist, eine man-in-

the-middle Attacke durchzuführen, die
Kommunikation entschlüsseln kann, mitlesen

kann, potenziell manipulieren kann. Wir
haben uns dann überlegt Naja, wie kann man

denn so eine man-in-the-middle Position
erreichen? Habe hier mal ein Foto. Danke

roter Kreis.
<i>Gelächter</i>

zivilian: Wir haben dann da noch ein
bisschen rangezoomt. Die hängt jetzt

glücklicherweise relativ tief. Manchmal
werden diese Außen-Antennen noch deutlich

höher angebracht, zum Beispiel an
Baumärkten. Da braucht man dann noch eine

Leiter. Und naja, diese vier schwarzen
Punkte, das sind halt

Kreuzschlitzschrauben. Und
<i>Gelächter</i>

zivilian: Wenn man die dann aufschraubt,
dann ist da irgendwie ganz schön viel

Platz. Und da ist so eine RJ45-Buchse. Da
geht doch was!

<i>Gelächter</i>
<i>Applaus</i>

Wenn man jetzt keine Motivation hat Nachts
im Dunkeln, draußen bei Regen am Baumarkt.

Es gibt auch Indoor Geräte, die werden
ganz gerne zum Beispiel in Hotels

eingesetzt. Die hängen dann da von der
Decke. Das Problem an der Stelle ist.

Dieses Foto stammt aus einem Hotel in der
Nähe von Paris. Das ist also kein Problem,

das nur in Deutschland besteht. Dass es
diese mitel-SIP-DECT Basen haben eine

weltweite Installations-Basis. Die werden
überall eingesetzt, die werden in

Größenordnungen eingesetzt, wo es nicht
nur darum geht, drei, vier, fünf Antennen

zu haben, hauptsächlich in Konferenz,
Gebäuden, Veranstaltungsorten, was auch

immer oder eben Hotels. Und das führte uns
dann zu der Überlegung. Okay, können wir

so nicht lassen. Wenn wir das können,
können das auch andere. Und wir haben

gelernt Responsible Disclosure. Man sagt
dem Hersteller vorher Bescheid und gibt

ihm die Möglichkeit, das Problem zu lösen.
Deswegen haben wir auch ein wunderhübschen

CVE bekommen. Die Frage ist Wie hat der
Hersteller darauf reagiert? Wir haben da,

um das Transparent zu machen, einmal eine
kurze Timeline. Erste Kontaktversuche

gab's Mitte/Anfang Oktober. Wir haben beim
Support von Mitel angerufen, weil wir auf

der Webseite nur eine E-Mail-Adresse
gefunden hatten, die sehr generisch

aussah. Haben uns da durch dieses Telefon-
menü durchgeklickt. Und hatten dann

irgendwann einen Mitarbeiter am Apparat
und haben ihm erklärt, wir würden ganz

gerne mit jemandem über Security bei SIP-
DECT reden. Die Antwort war SIP-DECT habe

ich schon mal gehört, aber von Security
habe ich keine Ahnung. Wir haben dann als

Alternative unseren, oder einen, Mitel
Partner kontaktiert, zu dem wir einen sehr

guten Kontakt hatten, und haben ihm
gesagt, der Chaos Computer Club würde

gerne Mitel Bescheid geben, bevor er einen
Vortrag hält. Das war am 11.10.. Das ist

ein Freitag. Am 14.10 hatten wir eine
E-Mail von dem Produktmanager Wireless,

der doch mal um ein Gespräch bzw. einen
vorort Termin bat. Dieser vorort Termin

hat eine Woche später stattgefunden, und
wir haben mit dieser Aufbau Installation,

die ja auch auf dem Tisch liegt,
präsentiert, was wir gemacht haben, wie

das aussieht und wo das Sicherheitsproblem
aus unserer Sicht ist. Wir haben uns

darüber unterhalten, wie man das Problem
lösen kann, haben erklärt, relativ

umfangreich erklären müssen, was
Eventphone ist. Und haben dann abgewartet

und einen Monat später nachgefragt und
hatten dann die Zusage bekommen. Ja, wir

haben eine Lösung. Wir testen die gerade
noch im Lab. Aber es wird ein Update gegen

bis zum Congress, sodass unsere
Installation von diesem Problem nicht mehr

betroffen ist. Ein Tag später haben wir
uns dann vor Ort getroffen und den

Lösungsansatz besprochen. Und der
Lösungsansatz war: Ihr kriegt eine Custom-

Firmware. Die hat einen anderen Blowfish-
Key.

<i>Gelächter und Applaus</i>
Das hat uns natürlich nicht gefallen, wir

haben uns intensiv Gedanken gemacht, eine
Woche später unseren eigenen Lösungsansatz

übermittelt und haben dann kurz vor
Weihnachten die Zusage bekommen: Okay, wir

haben uns beeilt, ihr kriegt ein
ordentliches Update aber erst in Q1 2020.

Da haben wir gesagt: Na gut, dann relesen
wir unser Tooling nicht, aber wird schon

irgendwie gehen. Und am 20. 12., einen Tag
später, gabs einen Anruf. Ja, nee, das

kommt doch bis zum Vortrag. Das Product
Security Incident Response Team aus Kanada

hat sich eingeschaltet, und augenscheinlich 
ist das Problem größer als erwartet.

<i>Gelächter</i>

Seit zwei Tagen ist das Update verfügbar.
Wie vorhin schon gesagt im Download Center

von Mitel, nachdem man Zugangsdaten
eingegeben hat, die wir nicht haben. Es

gibt auch einen Security Advisory auf der
Webseite. Und wir haben dem Hersteller

gesagt, oder möchten dem Hersteller die
Möglichkeit gegeben, dass er auch die

Sicht aus... Die Dinge aus seiner 
Sicht einmal darstellen kann.

Deswegen haben wir zwei Folien von Mitel.
Bitte nicht blenden lassen, die sind sehr

hell. Hab ich den ausgemacht?
ST: Es gibt nen Krassen Hack.

<i>Gelächter</i>
zivillian: Na gut. Aus Sicht von Mitel

tritt das Problem halt nur auf, wenn man
eine man-in-the-middle Position erhält und

das ist ja in Firmen-Netzwerken sehr
schwer möglich. Und hier auch nochmal Das

Update IST verfügbar, das kann
heruntergeladen werden. Sind auch nochmal

die Download Links und der Link auf das
Security Advisory. Für die Leute, die kein

Englisch verstehen, gibt's das ganze auch
nochmal in Deutsch. Und bei Fragen soll

man sich an den Support von Mitel wenden
bzw. an den technischen Support der Mitel

Partner.
ST: Trotzdem muss man sagen In unter 90

Tagen von Reporten bis Bugfix ist für so
einen großen Konzern, schon mal so

schlecht nicht, das haben wir schon
schlechter gesehen.

<i>Applaus</i>
zivillian: Ja, Geht wieder? Genau am Anfang

hatte ST schon erwähnt rfpproxy, was ist
das? Das ist halt ein transparenter, zwei

Wege Verschlüsselung, Entschlüsselung,
Maschine-in-the-middle Proxy. Warum? Naja,

wenn schon man-in-the-middle, dann
richtig. Der kann halt sämtliche

Kommunikation verschlüsseln,
entschlüsseln. Der kümmert sich um das Re-

keying was in diesem Protokoll noch mit
drin ist, da werden regelmäßig die

Blowfish-keys ausgetauscht. Der bietet
eine Möglichkeit, selektiv Nachrichten zu

manipulieren. Man kann Nachrichten
unterdrücken, man kann eigene Nachrichten

einschleusen und um die Stabilität unserer
Anlage insbesondere auf diesem Event nicht

zu gefährden, findet sämtliche
Verarbeitungen, also das eigentliche

Verändern der Kommunikation, extern statt.
Um euch das zu veranschaulichen, so sieht

das normalerweise aus. Man hat halt die
Antenne die redet per TCP auf Port 12621

mit dem OMM. Wir haben halt auf unserer
Installation neben dem OMM noch den

rfpproxy laufen. Der lauscht auf einem
anderen Port. Gibt es so eine kleine

iptables Regel und ip Transparent Proxy.
Und dann ist da auf einmal der Proxy

dazwischen, und der reicht dann bei Bedarf
die Kommunikation über einen Sockel wieder

raus und man kann kleine Tools da
dranhängen. Hier beispielhaft Motorola,

ein Loggingtool, was auch ".pcap"
schreiben kann in dem Format, was da noch

Richtung Baseband-Management Controller
gesprochen wird, also in der Antenne. Man

kann Audio Verarbeitungen damit
manipulieren oder die LEDs steuern. An der

Stelle zur Klarstellung noch mal diese
Antennen sind dumm. Sämtliche DECT

spezifische Verarbeitungen, was nicht
Audio ist, also der gesamte DECT Protokoll

Stack läuft im OMM. Und die Antennen sind
so dumm, die wissen noch nicht einmal, wie

sie ihre eigenen LEDs anmachen. Ja, wenn
man diesen Proxy jetzt benutzen möchte,

dann hat man immer noch das Problem, dass
er da nicht nur der spezifizierte DECT-Standard

drüber gesprochen wird, sondern
auch die proprietären Hersteller

spezifischen Informationen wie z.B.: wie
steuert man LEDs? Da gab es einen relativ

hohen reverse-Engineering Aufwand, um das
mit den Logdateien und dem Tracing zu

korrelieren. Dafür braucht man Daten. Da
darf ST noch mal dran.

ST: Wie haben wir jetzt diese Daten
bekommen? Mein Kollege Zuckerberg und ich

sagen da immer, woher Daten nehmen ohne
die User zu beklauen. Wir haben das ernst

genommen und haben gedacht Ja, wenn wir
jetzt auf irgendeinem Event einfach mal

Daten mitschneiden und die auswerten, dann
werden wir hier geteert und gefedert.

Deswegen haben wir das einfach mal
transparent gemacht. Wer von euch war auf

dem letzten EsterHegg 2019? Ok, wenige.
Dann erkläre ich das mal, vor dem

EsterHegg haben wir einen Blogeintrag
geschrieben, dass wir Metadaten erheben

wollen. Dass wir im Prinzip alle Daten,
die irgendwas mit den Geräten und der

Kommunikation zu tun haben, außer die
Sprache mitschneiden wollen bei den DECT-

Geräten. Man musste das im GURU, wenn man
sich eine Nebenstelle für das EsterHegg

geklickt hat, noch einmal bestätigen. Es
war auch sehr unangenehm, weil wir einfach

wollten, dass es jeder mitbekommt. Und Wir
haben auch ehrlich damit gerechnet, dass

da irgendein Shitstorm gibt, wenn wir da
sagen Ja, wir speichern da alles. Dass da

irgendwer sagt: ne, macht das mal nicht.
Wir haben aber eben im Vorfeld ganz genau

aufgeschrieben wozu und warum. Und
offensichtlich haben wir es geschafft, den

Leuten zu erklären, dass es dazu ist, um
die Daten später zu analysieren und dann

Fehler zu finden oder Unregelmäßigkeiten
zu finden. Wir haben ja selbst nicht

gewusst, wonach wir eigentlich suchen. Wir
haben halt erst mal irgendwie diese

Müllhalde voll gemacht um dann da drin
herum zu schnüffeln. Und mit dieser Taktik

hat das dann funktioniert. Es gab auch
eine Alternative: Man konnte sich SIP-

Nebenstellen, klicken, mit denen man
sozusagen von SIP zu SIP telefonieren

konnte. Da hätten wir dann keine 
Metadaten erhoben. Aber das hat total gut

funktioniert. Wir haben das auch insofern
transparent gemacht. Wir haben alle Daten,

die wir nochmal extra gespeichert haben,
oder diese die Daten haben wir extra

nochmal gesichert, und verschlüsselt auf
den verschlüsselten Filesystemen

gespeichert. Es hatten auch nur ganz
wenige Leute Zugriff vom POC da über haupt

darauf. Das war alles ganz genau
reglementiert. Wir sind also im Prinzip so

rangegangen, wie wir uns das vorstellen
würden, wenn man mit unseren Daten umgeht.

Und dann, Am Ende haben wir uns natürlich
auch Gedanken darüber gemacht: wie werden

wir die jetzt wieder los? Und auch da war
unsere große maximale Transparenz.

Vielleicht hat das auf dem Camp der eine
oder andere mitbekommen. Wir haben das

auch in ein Video gegossen. Wir können das
leider nicht abspielen, weil es gibt ja so

Verwertungsgesellschaften. Deswegen hier
nur ein Screenshot und ein QR-Code. Es gab

auf jeden Fall bei den Daten
Vier-Augen-Prinzip. Bei allem Spaß. Ich bin

auch tatsächlich Datenschutzbeauftragter,
betrieblicher, und hab mir alles genau

angeguckt und auch mit den Entwicklern
zusammen die Daten mit dem oder nach dem

Vier-Augen-Prinzip gelöscht. Was uns heute
auch ein bisschen auf die Füße gefallen

ist, weil wir wollten noch ein paar
statistische Daten hinterher schmeißen.

Aber wir haben halt einfach schlicht
nichts mehr davon. Wir können nicht mal

mehr sagen, wie viele Daten das waren und
wie groß die waren. Ja so ist das. Aber

ich glaube, das ist nicht besonders
schlimm. Deswegen nocheinmal Vielen Dank

auch an alle User, die das Spiel auf dem
EsterHegg mitgemacht haben. Das hat uns

sehr, sehr viel geholfen und war richtig
richtig informativ. Wir konnten dann

nämlich auch ganz tolle neue Features
daraus bauen, weil wir das eben anhand

dieser Daten analysieren konnten. Und das
erste tolle Feature zeigt uns zivillian.

zivillian: Genau ich hatte ja gerade schon
gesagt die Antennen können nichtmal ihre

eigenen LEDs steurern. Das heißt in diesem
Protokolll gibt es eine SysLED-Nachricht,

die diese vier verschiedenen LEDs die an
so einer Antenne dran sind, zentral ein-

und ausschaltet, gibts verschiedene
Patterns, in denen die blicken können. Uns

ist aufgefallen, dass eine Pattern, wenn
man die dritte LED rot-grün blinken lässt.

Legst einfach aufs aufbau DECT. Wenn man
die dritte LED rot-grün blinken lässt,

dann blinkt die nicht nur, sondern das
setzt auch noch das Busy-bit im BNC-

Controller. Damit verweigert die Antenne
jegliche DECT Kommunikation, also über die

Lampe wird da auch Funktionalität
gesteuert. Die vierte LED ist

normalerweise fürs WLAN. Das dürfen wir
hier nicht, weil da würde uns das NOC

hauen, deswegen ist die vierte 
LED überall aus auf dem Event.

ST: ja. Aber warum blinkt die denn?
zivillian: Die blinkt, weil in diesem

Aufbau DECT ein Tool von uns läuft, was
morsen kann, weil wir brauchen die ja nicht.

<i>Applaus</i>

zivilian: Ihr könnt ja mal schauen
Irgendwo auf der Veranstaltung wird sicher

auch noch ein paar blinkende LEDs geben.
Das einzige Problem ist Sie können nur mit

einem Herz blinken. Ihr müsst also ein
bisschen Zeit mitbringen. Magst du wieder

auf die Folien schallten? Genau eine
zweite interessante Nachricht, die wir

gefunden haben, ist Mediatone. Wenn ihr
den Hörer abnehmt, hört ihr ja

normalerweise so ein Freizeichen bzw. Wenn
euer Gesprächspartner fertig ist und

auflegt, dann hört ihr schon ein hübsches
Tuten. Das wird direkt in den Antennen

generiert. Dafür gibt's eine eigene
Nachricht, die da hingeschickt wird, die

sagt: bitte spiel mal folgende Frequenzen
parallel in folgender Reihenfolge so und

so lange. Dieses Protokoll kann bis zu 256
Einträge. Dieses Protokoll kann bis zu

vier Töne gleichzeitig. Dieses Protokoll
kann Schleifen. Wir dachten uns, naja

warum nur so langweilige Töne? Also gibt
es jetzt einen MIDI Konverter, der Midi

Files nach Antenne konvertieren kann. Das
möchte ich gern einmal vorführen.

<i>Applaus</i>
ST: Das ist nicht meins.

zivillian: Das ist meins. Wähl doch mal
die 4502!

ST: Lieber Mann vom Audio kannst du mich
mal Muten, bitte?

zivilian: Ah, es klingelt.
ST (durch DECT) Hallo?

zivilian: hört ihr das?
ST (DECT): Ja, Test Test.

zivilian: sehr schön.
<i>unverständlich</i>

<i>Brummen</i>
zivilian: Da bist du wohl zu weit weg.

ST(DECT): Oh entschuldigung!
zivilian: Ja die Reichweite ist ein

bisschen begrenzt. So dann mach doch mal
Tetris an.

ST(DECT): Ja also wir haben ja eine ganz
normale Telefonverbindung. Das hört man

jetzt. Und Jetzt tippe ich mal Tetris.
Moment.

<i>Dip<b>Dup</b>Dip<b>Dop</b>Dop</i>
<i>leises Gelächter</i>

zivilian: fehlt da nicht noch einer?
ST(DECT): Haben wir vorhin doch getestet.

Jetzt.
<i>Dop</i>

ST: Geil. Richtig Gutes Zeug, warte.
<i>lachen aus dem Publikum</i>

<i>Dip<b>Dup</b>Dip<b>Dap</b>Dap</i><i>Dap</i>
<i>Tetris Melodie aus dem DECT</i>

<i>Applaus</i>
zivillian: Ja, ihr habt das Telefon von ST

gerade schon gesehen. Das ist ein
wunderhübsches Motorola S120x, irgendwas 1

bis 4 hintendran steht für die Anzahl der
Geräte, die in der Schachtel sind. Warum

dieses? Naja, das ist halt das billigste
Gerät, wenn man nach DECT sucht. Es ist

bunt, also das ist orange. Das gibts aber
auch in Türkis, in Rosa, in Grün. Laut

Hersteller, wie man auf der rechten Seite
sieht, ist es GAP kompatibel. Das ist

immer ein wichtiges Feature.
ST: Und GAP-Kompatibilität erreicht man

übrigens nicht, indem man es nur auf die
Schachtes schreibt.

<i>Gelächter</i>
zivillian: Und das beste Feature von dem

Telefon Es lässt sich nicht anmelden. Wir
hatten auf vielen Veranstaltungen auf dem

EasterHegg auf dem letzten Kongress immer
wieder Leute, die sich gerade neu dieses

Telefon nur für uns gekauft haben und sehr
traurig waren, dass es nicht funktioniert.

Wir haben nicht mehr viel Zeit. Wir
versuchen es aber. Mit dem Proxy konnten

wir da mitlesen. Wie redet denn das
Telefon mit dem OMM? Und wenn man so ein

Telefon anmeldet, dann muss man die Pin
eingeben, und ganz am Ende gibts dann eine

AccessRightsAccept Nachricht. Und da
kriegt das Telefon dann seine UserIdentity

zugewiesen. Die endet hier auf "df". Und
wenn das Telefon dann telefonieren möchte,

dann sagt es. Ich bin übrigens dieses
Telefon, und dann schickt es die IPUI mit.

Die endet nicht mehr auf "df". Und die
Antwort darauf ist: IPUI not Accepted. Im

ETSI Standard oder bzw. in dem GAP
Standard ist definiert Requirement N. 18:

So und so hat die Anmeldung abzulaufen.
Das verweist wiederum auf den DECT

Standard, in dem steht: wenn da so eine
"Acces-Rights-Accept" Nachricht kommt,

dann soll das Telefon das abspeichern. Das
tut es wahrscheinlich auch, weil da steht

nichts von wieder mitsenden. Aber keine
Ahnung. Und da ist definiert, dass so eine

IPUI bis zu 60 Bit lang sein darf. Das,
was wir da gerade gesehen haben, waren in

dem Rahmen. Diese IPUI-O hat vorne vier
Bit "Portable User Type" dran stehen, dass

es halt eine IPUI-O ist. Und danach kommen
bis zu 60 Bit "Portabel User Number". Wir

haben ja die IPUI nochmal farblich
aufbereitet. Hintendran das "df", Das ist

das, was gerade eben verloren gegangen
ist. Und Mitel hat eine Besonderheit, die

nutzen für diese User Identity einfach die
IPEI, also die Seriennummer von dem Gerät

wieder. Und sagen dem Telefon, Du bist
immer noch du. Und die IPEI hat eine Länge

von 36 bit, das ist definiert. Und wenn man
sich das hier anschaut, dann gibt's da

vorne so 4 bit, oder diese beiden roten
Nullen, die definitiv nicht genutzt

werden, zumindest nicht an einer Mitel
SIP-DECT Anlage. Und daher kam dann auch

der Lösungsansatz, dieses Telefon
kompatibel zu machen. Wir verschieben

einfach die relevanten Daten um, ein Byte
nach vorne in Richtung Telefon und wenn

sich das Telefon meldet, dann schieben wir
sie einfach wieder zurück. Und dann ist

der OMM glücklich. Und deswegen
funktionieren seit diesem Jahr auch diese

Telefone an unserer Anlage.
<i>Applaus</i>

zivilian: Und auf dem Event haben wir dann
festgestellt, nein anderesherum. Wir

verschieben die Sachen, um sicherzugehen,
dass es nur diese Telefone betrifft,

nutzen wir den Hersteller Code, der bei
der IPEI vorne dran steht, um diese

Telefone zu identifizieren. Das heißt, wir
müssen das für jedes Telefon, was diese

Fehler hat, individuell anschalten. Aber
stellen damit sicher, dass wir nicht nicht

so viel kaputtmachen. Wir haben an der
Stelle natürlich auch den Hersteller

informiert. Ende September haben wir alle
Informationen per Mail geschickt. Die

haben das nach China weitergeleitet. Wir
haben einen Monat später nachgefragt.

Wir haben nichts gehört. Vielleicht passiert
noch etwas. Auf dem Event, da wir dann

leider feststellen müssen, dass dieses
Telefon nicht das einzige ist. Wir haben

dann die Liste der Hersteller, Präfixe,
die auf der Whitelist stehen, deutlich

erweitern müssen, damit auch die T-Sinus
Telefone funktionieren, damit das Belgacom

Telefon funktioniert. Also Wir haben da so
um die 20 Geräte inzwischen.

ST: Audio Visuelles Marketing, mit
Marketing haben Sie es ja nicht so. Aber

vielleicht haben Sie was mit Ihren
Telefonen?

zivilian: Ja, wer unseren Blog liest. Wir
hatten das letztes Jahr schon Ende letzten

Jahres. Das Problem mit dem AVM Telefon,
weswegen wir auch immer von FritzFon

abgeraten haben. An unserer Anlage wurde
nicht angezeigt, wer anruft. Es stand

immer nur intern. Wir haben das im Blog im
Detail beschrieben. Aber da wir jetzt die

Nachrichten nicht nur mitlesen, sondern
auch manipulieren können. Naja, flippen

wir halt ein Bit, und dann steht da, wer
es ist.

<i>Gelächter und Applaus</i>
zivilian: Wir haben ja noch was Positives

zu AVM. Wir haben uns eine Fritzbox
gekauft und waren sehr glücklich, weil die

Fritzbox kann nicht nur TCPdump, sondern
die Fritzbox kann auch DTrace. Das D steht

für DECT. Unter der URL die da auch
angegeben ist, findet ihr in jeder

handelsüblichen Fritzbox dieses Capture
Interface. Da gibts dann ganz am Ende den

Eintrag. Und das Spannende ist: Die
Gigaset Telefone können an einer Fritzbox

das Telefonbuch anzeigen. Das geht an
unserer Anlage noch nicht, und wir haben

ein wenig die Hoffnung, dass wir das
ändern können.

ST: Ausblick.
zivillian: Was machen wir damit? Unser

Wunsch wäre Leute, die sich für DECT
interessieren, Leute, die Interesse an

einer Mitel Installation haben, die sich
auch damit beschäftigen, dass wir nicht

die einzigen sind. Wir hoffen, dass ihr
mit den Informationen loslegen könnt. Wir

würden uns freuen, wenn der Wireshark
Dissector den LaForge angesprochen hat,

weiterentwickelt wird, weil der würde uns
auf jeden Fall helfen, dort tiefer ins

Detail zu gehen. Spielt mit der Hardware
spielt mit der Software! Und ich, Du hast

noch was?
ST: Ja ich hab noch was, und hier DECT

ULE, wir hatten es vorhin auch von LaForge
gehört. Kann man auch mal genauer drauf

guchen. Wir haben auch gehört es gibt EC-
Terminals die über DECT funktionieren. Und

unsere Bitte, wir sammeln immernoch Daten,
und das hatten wir auch auf dem EsterHegg

schon mal angesprochen. Hier nochmal in
großer Runde. Crowdsourcing ist das

Stichwort. Wenn ihr wisst, was ihr für ein
DECT Telefon habt und was für ein Modell,

und uns das verraten wollt, dann könnt ihr
das im GURU eintragen. Daswürde uns extrem

helfen, weil nämlich wir bei der ETSI nach
dieser sogenannten EMC Liste nachgefragt

haben Equipment Manufacturers Code,
sozusagen das was ich kursiv auf dieser

Folie dargestellt hatte, Woran man
erkennen kann, welcher Hersteller es ist.

Und da war die Antwort: die ist geheim.
<i>Gelächter</i>

ST: Also es wäre total super, wenn Ihr
euer Modell da eintragt, das hilft uns

extrem, weil dann können wir das auch
zuordnen. Im Zweifelsfall, wenn wir Fehler

haben. Genau und wenn ihr das, das war im
Prinzip alles, was wir von euch noch

wollen. Und wir können da im Prinzip nur
sagen Viele Dank! Und du hast auch noch

was?
LaForge: vielleicht zum Proxy, wegen

veröffentlichen und so weiter. Soll ich
dazu noch was sagen?

ST: Ach so richtig, ja, der Proxy, der ist
noch nicht veröffentlicht. Magst du noch

was sagen, warum wir das nicht
veröffentlichen?

zivillian: Ich hatte das ja in der
Timeline schon dargestellt. Wir haben

sehr, sehr kurzfristig die Zusage
bekommen, dass der Fehler behoben wird.

Wir fanden es unverantwortlich, unser
Tooling zu veröffentlichen, nicht nur,

weil dann unsere Anlage betroffen ist,
sondern weil es irgendwie mit zwei zeilen

Code möglich wäre, jede SIP-DECT
Installation weltweit zu kompromittieren.

Wir sind in Abstimmung mit dem Hersteller.
Wir wollen das Tooling veröffentlichen. Wir

wollen euch das zur Verfügung stellen,
sodass ihr auch selber reinschauen könnt,

wenn ihr so eine SIP-DECT Installation
habt. Der aktuelle Plan ist, dass im

ersten Quartal nächsten Jahres zu machen.
Sobald die bestehenden Installationen die

Chance hatten, das Update einzuspielen.
<i>Applaus</i>

Herald: Vielen, Vielen Dank, für die
schöne Präsentation, ich bin mir sicher,

dass ihr Lust habt, mit uns noch ein wenig
zu diskutieren. Ich schau mal, ob ich

schon Fragen hier sehe. Wir haben Mikros
aufgestellt im Saal, die eins, die zwei und die

drei stellt euch da einfach dran, und wir
haben auch Fragen aus dem Internet. Aber

wir fangen sofort hier mit der zwei an.
Deine Frage bitte.

Frage: Ihr habt gesagt, es gab erst ein
Update von Mitel und das habt ihr

beanstandet. Und dann wurde gesagt es gibt
eine bessere Lösung. Was ist denn jetzt

die bessere Lösung? Wie wird der Key denn
jetzt generiert?

zivilian: Die Antennen müssen initial
einmal mit der Installation gekoppelt

werden. Der Vorgang nennt sich Capture.
Die Annahme, die wir getroffen haben, ist,

dass dieser Vorgang in einer
vertrauenswürdigen Umgebung stattfindet.

Und im Rahmen dieses Capture Vorgangs wird
individuelles Schlüssel Material zwischen

dem OMM und der Antenne ausgehandelt und
für die weitere Kommunikation genutzt. Das

heißt, jede DECT Antenne hat einen eigenen
Blowfish-Key.

Herald: Da machen wir die Frage von meinem
Signal Angel, also aus dem Internet.

Signal-Angel: Wussten die Leute vom Baumarkt,
dass da an der Außenantenne gebastelt

wurde.
zivilian: Das könnte auch gephotoshopt

gewesen sein. Ich kann das weder
bestätigen noch verneinen.

<i>Applaus</i>
Herald: Die 2 bitte.

Frage: Euren Tetris Hack da kann man den
nutzen, um zum Beispiel bei den eigenen

Extensions eine eigene MIDI-Melodie zu
setzen. Das heißt, wenn ich jemanden

anrufe wird der zumbeispiel gerickrolled?
zivilian: ich glaube rickroll, wär zu

lang, weil 256 Töne ist das Limit. Das
Hauptproblem ist, dass die 256 Töne nur

auf den 2G Antennen funktionieren. Mitel
hat bei den 3G Antennen an der Hardware

gespart. Die können nur noch sechs Töne.
Das reicht nicht mehr.

Herald: Okay, ich schau nochmal zu meinem
Signal Angel haben wir noch Fragen aus dem

Netz?
Signal-Angel: Ja eine kommte gerade noch

rein: wo genau kann man seine Telefon
Gerätenummer melden?

zivilian: magst du?
ST: Im GURU. Eventphone, bzw.

guru3.eventphone.de, wenn du dich dort
einloggst in deinen Account hast so bei

deinem Gerät sozusagen ein Schlüssel,
quatsch nicht Schlüssel, einen Stift. Da

kannst du das eintragen. Das ist ja auch
auf der Folie zu sehen. Genau, auf den

Schlüssel klicken, Dann kannst du dein
Handset editieren, und dort kannst du unten

bei Model das Modell eingeben und den
Hersteller. Du kannst dem sogar einen

Namen geben, was den Vorteil hat, wenn du
das das nächste Mal benutzt, dann kannst

du eine Nebenstelle registrieren und unten
gleich das DECT zuweisen, dann musst du

auch den Token nicht mehr eingeben,
sondern kommst auf die Veranstaltung und

das Telefon funktioniert einfach.
LaForge: Vielleicht wenn ich da noch kurz

ergänzend, oh das mikro ist offensichtlich
wieder aus. Ergänzend nachdem die Frage ja

aus dem Netz kam. Das geht natürlich hier
nur für die Leute, die bei Eventphone ihr

Telefon eingebucht haben. Das ist damit
das in Ruhe registriert ist, Dann ist die

Nummer ja mit dem Account entsprechend
assoziiert. Also wenn jetzt jemand

irgendwo da draußen im Internet, der nicht
auf einer CCC-Veranstaltung war oder eine

Eventphone-Veranstaltung war, der kann das
natürlich so nicht machen. Das wollte ich

noch vielleicht ergänzen.
ST: Ist bestimmt nur jemand in der

Assembly, der zu faul ist, herzukommen.
<i>Gelächter</i>

Herald: Die drei Bitte.
Frage: Wenn ich es richtig verstanden

habe, dann sind für gebraucht-verkaufte
Stationen bisher keine Downloads möglich.

Muss oder will Mitel da auch nachbessern,
um das Update zur Verfügung zu stellen?

zivillian: Das kann ich leider nicht
beantworten. Das weiß ich nicht.

LaForge: Die Kontaktdaten stehen ja in
diesem Advisory drin. Das kann man ja

durchaus mal den Leuten nahelegen, dass
man an die Users vielleicht auch denkt in dem

Kontext.
Herald: Dann die Zwei Bitte!

Frage: Ihr habt jetzt die Kommunikation
zwischen den Antennen und dem OMM

angeschaut, gibts auch Bestrebungen, die
Antenne oder den OMM weiter durch

OpenSource oder Eigenentwicklungen zu
ersetzen, gerade wenn hier osmocom Leute

anwesend sind.
LaForge: Naja, ist halt immer so eine

Frage der Zeit. Die Zahl der Projekte
wächst über die Zeit. Die Zahl der Leute,

die an den Projekten arbeiten, wächst
leider nicht entsprechend mit. Von daher

sehr gerne. Ich wäre der erste, der da
"Hurra" schreit, aber es müssten sich halt

auch Leute irgendwie einbringen.
Dementsprechend. Ich denke ein guter

Startpunkt für etwaige spätere OpenSource
Entwicklungen, oder überhaupt Arbeit mit

DECT wäre, wenn Leute zu dem DECT
Wireshark Dissektor beitragen würden. Ja,

das ist ja alles Zeug was in der DECT-
Spezifikation steht. Also man muss diese

Specs lesen, man muss sie verstehen, was
man sowieso muss, wenn man an OpenSource

in dem Kontext arbeiten will. Zumindest
eben isolierte Teile davon, und das kann

man dann in Wireshark Dissector
ausdrücken. Und dann hätte man schon mal

eine bessere Ausgangsbasis. Also Sehr
gerne. Aber, ja, Contributions brauchen

wir.
Herald: Ok, Im Saal sehe ich keine

weiteren Fragen, ich schaue nochmal zu
meinem Signal Angel. Auch keine. Dann

bedanke ich mich bei euch erst einmal für
die lebhafte Diskussion bei euch dreien

bzw. bei allen von Eventphone für eure
Arbeit. Vielen vielen Dank!

<i>Applaus</i>

<i>36c3 Abspannmusik</i>

Untertitel erstellt von c3subtitles.de
im Jahr 2021. Mach mit und hilf uns!