0:00:00.000,0:00:19.665
<i>36C3 Vorspannmusik</i>

0:00:19.665,0:00:22.867
Herald: Willkommen zum nächsten Vortrag.[br]Ich muss ja sagen, aus persönlicher

0:00:22.867,0:00:26.660
Erfahrung, dass der Kongress für mich[br]gerade deswegen so schön ist, weil er so

0:00:26.660,0:00:30.359
traumhaft familienfreundlich ist. Wir sind[br]diesmal wieder mit zwei Kindern da, und da

0:00:30.359,0:00:35.250
ist natürlich das Kids-Space absolut[br]goldwert, aber, und das glaubt man gar

0:00:35.250,0:00:40.080
nicht, dieses Ding hier, das DECT-Telefon,[br]das macht diesen Kongress auch für mich

0:00:40.080,0:00:44.570
extrem kinderfreundlich, weil wir eben[br]schon vor vielen Jahren unseren Sohn mit

0:00:44.570,0:00:48.940
so einem DECT-Telefon einfach laufen[br]lassen konnten und der konnte den Kongress

0:00:48.940,0:00:53.554
für sich selbst entdecken und wir konnten[br]unseren Sohn später wiederentdecken. Das

0:00:53.554,0:00:57.480
ist sehr, sehr hilfreich. Deswegen, so[br]eine Technologie macht eben auch eine

0:00:57.480,0:01:03.950
Konferenz viel, viel wertvoller. Ich bin[br]zugegebenerweise nur Dummer, aber

0:01:03.950,0:01:08.030
dankbarer Nutzer, aber die jungen Herren,[br]die wir jetzt hier haben, die können uns

0:01:08.030,0:01:12.530
etwas sagen, was mit dieser Technologie[br]noch möglich ist. Wir begrüßen nämlich

0:01:12.530,0:01:16.850
Zivillian und ST, die sind beide[br]Mitglieder im Eventphone-Team, und wir

0:01:16.850,0:01:21.170
haben einen Gast-Hacker mit LaForge und[br]die werden jetzt den Vortrag halten.

0:01:21.170,0:01:25.870
Hashtag #mifail oder: Mit Gigaset wäre das[br]nicht passiert! Oder der Untertitel, der

0:01:25.870,0:01:29.930
mir sehr gut gefällt, DECT ist korrekt.[br]Vielen Dank!

0:01:29.930,0:01:37.654
<i>Applaus</i>

0:01:37.654,0:01:41.671
ST: Ja, vielen Dank. Wir sind total[br]überrascht, weil wir ja dachten, das ist

0:01:41.671,0:01:45.820
ein Nischen-Vortrag, da haben wir mit 20[br]Leuten gerechnet, jetzt sind doch 40

0:01:45.820,0:01:54.870
gekommen, das ist richtig krass. Ja, im[br]Prinzip ist die Vorstellung durch. Was

0:01:54.870,0:01:58.930
machen wir heute? Wir müssen uns auf jeden[br]Fall beeilen, weil es ist sehr sehr viel.

0:01:58.930,0:02:04.560
Ganz kurz werden wir etwas dazu erzählen,[br]was ist das POC eigentlich genau. Was

0:02:04.560,0:02:08.569
machen die so? Was benutzen wir für[br]Technologie? Deswegen haben wir auch am

0:02:08.569,0:02:14.200
Anfang diesen komplizierten Aufbau, dass[br]wir uns hier direkt die Hardware live

0:02:14.200,0:02:19.160
angucken können. Wie das alles[br]funktioniert. Dann kommen wir zu dem

0:02:19.160,0:02:27.250
eigentlichen Problem, dass es dort, ja,[br]eine kleine Sicherheitsschwankung gab, die

0:02:27.250,0:02:33.580
wir herausgefunden haben, LaForge wird das[br]genau erklären, wir werden Euch erzählen,

0:02:33.580,0:02:39.970
wie der Hersteller damit umgegangen ist[br]und was wir dann daraus gebaut haben und

0:02:39.970,0:02:44.810
wie wir sozusagen mit dieser[br]Sicherheitsschwankung mehr Features

0:02:44.810,0:02:51.540
implementiert haben und noch mehr für die[br]User tun können. Weiter geht's dann mit

0:02:51.540,0:02:56.090
den Metadaten, wie sind wir eigentlich[br]dazu gekommen und dann zeigen wir Euch

0:02:56.090,0:03:03.390
dann nochmal live hier auf dem Tisch, wie[br]man unwillige Geräte willig bekommt und am

0:03:03.390,0:03:08.660
Ende gibts noch einen Ausblick. Dann[br]fangen wir mal damit an... Was ist

0:03:08.660,0:03:14.209
eigentlich das POC wer oder was ist das[br]Eventphone und dann haben wir geguckt, was

0:03:14.209,0:03:18.720
sagt eigentlich dieses Internet? Und das[br]Internet sagt, das Phone Operations Center

0:03:18.720,0:03:22.950
ist ein integriertes Hard- und[br]Softwareprojekt, welches es ermöglicht,

0:03:22.950,0:03:26.490
auf Grossveranstaltungen ein[br]fläschendeckendes und funktionsfähiges

0:03:26.490,0:03:32.459
DECT-Netz zu realisieren. Steht in der[br]Wikipedia, muss ja stimmen und in der Tat,

0:03:32.459,0:03:38.260
das ist so und sehr schön finden wir auch[br]"Eventphone, ein bedeutender Anbieter von

0:03:38.260,0:03:44.400
drahtloser Kommunikation für[br]Großveranstaltungen". Bedeutend, ja. Das

0:03:44.400,0:03:49.569
freut uns natürlich. Nun zu unserem One-[br]Pager, Was machen wir wirklich wirklich?

0:03:49.569,0:03:55.650
Also klar, Infrastruktur für drahtlose[br]Telefone, das wisst Ihr wahrscheinlich

0:03:55.650,0:04:00.550
alle. Wer von Euch hat ein DECT? Könnt ihr[br]mal Handzeichen geben? Oh, ja, ja, da ist

0:04:00.550,0:04:07.188
ja der Raum sagen wir mal die Hälfte. Dann[br]machen wir Leih-Telefone für Orga- und

0:04:07.188,0:04:11.550
Infrastruktur-Teams, die bereiten wir im[br]Wesentlichen vorher schon vor.

0:04:11.550,0:04:15.840
Provisionieren die, stellen den Betrieb[br]sicher, nehmen die zurück und reinigen die

0:04:15.840,0:04:23.080
dann auch wieder. Der Telefondesinfizierer[br]ist das Stichwort. Dann haben wir SIP und

0:04:23.080,0:04:27.569
Premium. SIP-Server, die wir betreiben,[br]Premium-SIP tatsächlich, die haben

0:04:27.569,0:04:32.139
wikrlich andere Funktionen, zum Beispiel[br]das CERT, die sichere Leitungen brauchen,

0:04:32.139,0:04:36.819
die möglichst nicht ge-DDoS-sed werden[br]haben andere Server und man kann, hat dort

0:04:36.819,0:04:40.689
mehr Rechte, kann zum Beispiel[br]raustelefonieren. Das EP-VPN betreiben

0:04:40.689,0:04:45.749
wir, also ein VPN, was auch außerhalb der[br]Events funktioniert. Das integrieren wir

0:04:45.749,0:04:50.620
immer in die Netze der Veranstaltungen.[br]Das Rufnummern- und Token-Handling, wer

0:04:50.620,0:04:54.409
quasi ein DECT angemeldet hat, der weiß,[br]da muss man ein Token eingeben, das machen

0:04:54.409,0:05:00.580
wir alles. Unser GURU, der Generic User[br]oder das Generic User Registration

0:05:00.580,0:05:04.819
Utility, das Self-Service-Portal, dort wo[br]ihr Eure Nummern anlegen könnt, wo ihr Eure

0:05:04.819,0:05:09.599
Geräte verbinden könnt. Und so. Das ist[br]auch von uns. Auch sozusagen der Link zum

0:05:09.599,0:05:15.909
GSM-Team, deren Rufnummern verwalten wir[br]auch. Dial-In/Dial-Out, also das Ihr

0:05:15.909,0:05:20.110
angerufen werden könnt von Außen und das[br]Ihr Euch auch raustelefonieren könnt.

0:05:20.110,0:05:25.219
Special Services, zum Beispiel die[br]Anbindung der Chaos-Vermittlung. Es gibt

0:05:25.219,0:05:30.349
Spiele, Witze-Hotline, die Uhrzeit oder[br]eine automatische Annahmestelle für Lärm-

0:05:30.349,0:05:34.919
Beschwerden.[br]<i>Gelächter</i>

0:05:34.919,0:05:39.720
Weiterhin haben wir noch eine neue[br]Abteilung, die Ausbildung in

0:05:39.720,0:05:48.559
Medienkompetenz. Wo wir Euch immer wieder[br]vor Augen halten. Guckt alles kritisch an

0:05:48.559,0:05:55.309
und nehmt nicht alles so für bare Münze,[br]was Ihr so in diesem Internet seht und

0:05:55.309,0:06:04.335
hört. Und, wir sind in diesem Jahr[br]volljährig geworden.

0:06:04.335,0:06:13.569
<i>Applaus</i>[br]Und dazu muss ich noch drei Sekunden etwas

0:06:13.569,0:06:18.029
sagen, nämlich es gibt eine Person, die[br]das tatsächlich seit 18 Jahren schon macht

0:06:18.029,0:06:22.319
und wirklich auf jedem Event, nicht nur[br]Kongresse, auch in der Sommer-Events und

0:06:22.319,0:06:27.650
dazwischen immer dabei war, der, egal ob[br]krank oder nicht, sich für das Telefonnetz

0:06:27.650,0:06:31.461
eingesetzt hat und das ist Sascha. Und an[br]der Stelle wollte ich noch mal ganz, ganz

0:06:31.461,0:06:36.401
lieben Dank sagen, 18 Jahre Eventphone,[br]für Dich...

0:06:36.401,0:06:49.210
<i>Applaus</i>[br]So, kürzen wir das ab. Kurzum, man ist

0:06:49.210,0:06:53.830
überall erreichbar, auch im Schwimmbad.[br]Wer die Kampagne kennt, wer sie nicht

0:06:53.830,0:06:59.012
kennt, der QR-Code im Nachgang, sehr gern.[br]So, dann. Worum geht es heute nicht? Noch

0:06:59.012,0:07:03.939
einmal ganz konkret, wir haben auf dem[br]35C3 einen langen Vortrag gehalten,

0:07:03.939,0:07:07.099
darüber, wie ist das Eventphone[br]entstanden, was gibt es für Geschichte und

0:07:07.099,0:07:10.699
so weiter und so fort. Das werden wir[br]heute nicht besprechen. Und auch auf dem

0:07:10.699,0:07:14.919
Easterhegg haben wir sozusagen dieses neue[br]Telefonsystem nochmal im Detail erklärt,

0:07:14.919,0:07:20.439
also warum sind wir von dem alten Alcatel-[br]System auf dieses neue Mitel-System

0:07:20.439,0:07:25.830
umgestiegen? Und was gehört da alles[br]dazu. Das alles heute nicht, könnt ihr im

0:07:25.830,0:07:31.509
Nachgang euch anschauen. Heute geht es[br]wirklich nur um diese rote Linie, nämlich

0:07:31.509,0:07:38.150
die Verbindung von dem Open Mobility[br]Manager, dem OMM, und den RFPs, den Radio

0:07:38.150,0:07:47.699
Fixed Parts, also den umgangssprachlichen[br]Antennen. Dann werden die Techjungs ganz

0:07:47.699,0:07:51.409
viele Abkürzungen benutzen, und die würde[br]ich nochmal ganz schnell einmal

0:07:51.409,0:07:56.509
durchgehen. OMM haben wir gerade gesehen[br]auf der Folie davor. Open Mobility

0:07:56.509,0:08:02.379
Manager, das ist das Stück Software von[br]Mitel. RFP das sind diese Radio Fixed

0:08:02.379,0:08:09.919
Parts, also die Antennen und die PPs das[br]ist so DECT-Sprech, dass ist alles, was

0:08:09.919,0:08:15.180
mobil ist. Da klingelt schon wieder eins.[br]Sehr schön, unser System läuft. Alles, was

0:08:15.180,0:08:21.189
sich bewegen kann, PPs Portable Parts,[br]normale DECT-Endgeräte, aber eben auch

0:08:21.189,0:08:29.259
solche kleinen Headsets. Dann wisst ihr,[br]was damit gemeint ist. Dann werden wir ein

0:08:29.259,0:08:33.410
paar Abkürzungen verwenden, die [br]IPEI und ihr seid ja alle sicherlich im

0:08:33.410,0:08:37.970
Netzwerksegment ein bisschen firm:[br]International Portable Equipment

0:08:37.970,0:08:42.020
Identifier. Das könnt euch vorstellen,[br]dass ist sowas ähnliches wie die MAC-

0:08:42.020,0:08:48.000
Adresse. An dem Beispiel seht ihr auch[br]dort ist ein Teil kursiv geschrieben. Der

0:08:48.000,0:08:52.340
ist sozusagen der Herstellerteil. Das ist[br]auch wie bei der MAC-Adresse. Der ist fest

0:08:52.340,0:08:56.100
zugewiesen. Daran kann man den Hersteller[br]erkennen, und danach ist einfach ein

0:08:56.100,0:09:01.920
Zähler. Ebenso kann man einen[br]Netzwerkvergleich herstellen mit der IPUI

0:09:01.920,0:09:07.860
der International Portable User Identity.[br]Das ist so etwas ähnliches wie die IP-

0:09:07.860,0:09:14.140
Adresse, die wird sozusagen von dem System[br]ausgegeben, was es sozusagen betreibt,

0:09:14.140,0:09:19.490
also der DHCP-Server vom NOC vergibt [br]IP-Adressen und wir vergeben diese IPUIs und

0:09:19.490,0:09:26.580
dann werden die ETSI kennenlernen, das[br]European Telecommunications Standards

0:09:26.580,0:09:32.170
Institute, das verabschiedet im Prinzip[br]Standards, wie der Name sagt, in Europa.

0:09:32.170,0:09:39.330
Und da gehört, ganz wichtig, auch DECT[br]dazu. Die IPUI, noch ganz kurz hinterher,

0:09:39.330,0:09:42.730
die gibt es in mehreren Formaten. Also das[br]Beispiel, was dort steht, das muss nicht

0:09:42.730,0:09:48.500
unbedingt so sein. Das ist nicht so[br]einfach, wie bei der IT, genormt. So, und

0:09:48.500,0:09:54.050
jetzt gucken wir uns mal ganz genau an,[br]wie denn hier soein SIP-DECT

0:09:54.050,0:09:59.420
zusammengestellt ist und Zivillian wird[br]euch das erklären und ich verfolge das

0:09:59.420,0:10:05.321
hier mal mit der Kamera.[br]zivillian: Genau. Anleitung zum

0:10:05.321,0:10:08.860
Selbermachen ist der Titel. Wir wurden[br]schon oft gefragt, was genau macht ihr da?

0:10:08.860,0:10:12.740
Wie funktioniert das? Kann ich das auch[br]machen? Ich will Hotel-VPN machen äh

0:10:12.740,0:10:19.310
Hotel-DECT machen. Was genau muss ich[br]dafür tun? Ihr braucht natürlich eine

0:10:19.310,0:10:24.710
Antenne, ein Radio Fixed Part. Die gibt's[br]in verschiedenen Generationen. Wir

0:10:24.710,0:10:29.880
empfehlen euch Generation 3 oder höher.[br]Die sind relativ einfach zu erkennen. Zum

0:10:29.880,0:10:33.890
Einen haben die Generation-3-Antennen,[br]Lüftungsschlitze auf der Rückseite, und

0:10:33.890,0:10:36.500
zum Anderen haben die[br]Generation-3-Antennen auch einen

0:10:36.500,0:10:39.710
USB-Anschluss. Das heißt, wenn ihr euch[br]irgendwo sowas kaufen wollt und nicht

0:10:39.710,0:10:43.680
sicher seid, was das ist, dann guckt[br]einfach drauf. Generation 2 oder darunter

0:10:43.680,0:10:49.250
empfehlen wir nicht mehr. Die Geräte gibt[br]es unter Anderem beim Hersteller, aber man

0:10:49.250,0:10:54.131
kann die natürlich auch gebraucht kaufen.[br]Die gibt's meistens für unter 100 Euro.

0:10:54.131,0:10:58.780
Wenn sie mehr als 100 Euro kosten, dann[br]ist es ein bisschen überteuert. Dazu

0:10:58.780,0:11:03.280
braucht er eine Lizenz, weil das ist[br]natürlich keine Open-Source-Software von

0:11:03.280,0:11:08.890
Mitel, sondern ein kommerzielles Produkt.[br]Da gibts eine Besonderheit: Bis zu fünf

0:11:08.890,0:11:11.540
Antennen können mit der integrierten[br]Lizenz betrieben werden, die bei der

0:11:11.540,0:11:14.280
Software mit dabei ist. Das heißt, für[br]kleine DECT-Installationen, wie zum

0:11:14.280,0:11:19.180
Beispiel für unser Aufbau-DECT, braucht[br]man keine Lizenz. Das hat nur fünf

0:11:19.180,0:11:24.571
Antennen. Das kann man einfach kostenlos[br]nutzen. Wenn man telefonieren möchte, also

0:11:24.571,0:11:29.460
nicht nur zwischen den Geräten, sondern in[br]Richtung SIP, mit Dial-Out oder Dial-In,

0:11:29.460,0:11:32.630
dann braucht man natürlich noch einen SIP-[br]Server dahinter. Wir empfehlen an der

0:11:32.630,0:11:38.560
Stelle immer den Yate, den wir selber auch[br]einsetzen in unserer Installation. Und wir

0:11:38.560,0:11:43.060
haben da in den Slides auch das Cookbook[br]für Yate verlinkt. Das ist auch in dem QR-

0:11:43.060,0:11:45.790
Code nochmal zu finden. Das sind relativ[br]hilfreiche Anleitungen, wenn man da

0:11:45.790,0:11:49.540
keinerlei Erfahrungen hat, um[br]reinzukommen. Damit kann man sich auf

0:11:49.540,0:11:54.020
jeden Fall auch einen eigenen SIP-Server[br]installieren. Den OMM, den ST schon

0:11:54.020,0:11:58.760
erwähnt hat, braucht man natürlich auch,[br]weil der steuert die Antennen. Da gibt es

0:11:58.760,0:12:03.090
zwei Möglichkeiten, wie man den betreiben[br]kann. Die eine Möglichkeit ist, den direkt

0:12:03.090,0:12:07.070
auf der Antenne laufen zu lassen. Da läuft[br]auch nur ein abgespecktes Linux drauf. Da

0:12:07.070,0:12:11.090
kann man auch den OMM laufen lassen. Das[br]haben wir selber nie ausprobiert, deswegen

0:12:11.090,0:12:15.340
haben wir da keinerlei Erfahrung.[br]Alternativ reicht irgendwas, wo ein CENTOS

0:12:15.340,0:12:19.250
läuft. In unserem Beispiel bei dem Aufbau-[br]DECT ist das halt so eine kleine Hardware-

0:12:19.250,0:12:24.540
Appliance. Für die Anlage, die wir hier[br]auf der Veranstaltung betreiben, haben wir

0:12:24.540,0:12:31.410
beim NOC einen Server stehen, wo die als[br]VM drauf läuft. Hier nochmal hübsch

0:12:31.410,0:12:35.080
visualisiert: Wenn man den OMM auf der[br]Antenne laufen lässt, dann ist die erste

0:12:35.080,0:12:38.720
Antenne gleichzeitig auch der OMM, und[br]alle weiteren werden dann einfach per IP

0:12:38.720,0:12:43.590
mit dieser ersten Antenne verbunden. Und[br]der OMM braucht dann halt die Verbindung

0:12:43.590,0:12:47.730
zu dem Yate, zu dem SIP-Server. Der[br]Nachteil davon ist, dass man in dieser

0:12:47.730,0:12:53.270
Minimalinstallation, wenn man keinen[br]eigenständigen OMM betreibt, maximal 512

0:12:53.270,0:12:56.840
Endgeräte anmelden kann und wenn ihr auf[br]unser Dashboard schaut, dann seht ihr,

0:12:56.840,0:13:02.340
dass das für hier nicht funktionieren[br]würde. Des Weiteren kann man maximal 256

0:13:02.340,0:13:06.128
Antennen anschließen. Das ist dann schon[br]eine etwas größere Installation. Aber da

0:13:06.128,0:13:10.510
gibts halt ein hartes Limit. Wenn man den[br]standalone betreibt, kann man deutlich

0:13:10.510,0:13:15.920
mehr Antennen anschließen, bis zu 4096,[br]und in den aktuellen Versionen werden dann

0:13:15.920,0:13:21.420
auch 10.000 Benutzer bzw. Geräte[br]unterstützt. Jetzt haben wir den OMM schon

0:13:21.420,0:13:26.590
mehrfach erwähnt. Die spannende Frage ist:[br]Wie kommt man daran? Offizielle Antwort

0:13:26.590,0:13:30.430
von Mitel ist: Wenn man sich so eine[br]Antenne kauft, dann bekommt man

0:13:30.430,0:13:34.210
entsprechende Zugangsdaten als Mitel-Kunde[br]und kann sich dann in dem Download-Portal

0:13:34.210,0:13:37.940
von Mitel anmelden und die Software[br]herunterladen. Wenn man die Antenne auf

0:13:37.940,0:13:42.240
dem Gebrauchtmarkt kauft, dann hat man[br]natürlich keine Mitel-Zugangsdaten, aber

0:13:42.240,0:13:46.240
die Release Notes enthalten Download-[br]Links. die Release-Notes sind teilweise

0:13:46.240,0:13:49.860
öffentlich verfügbar und über[br]Suchmaschinen auffindbar. Und wir haben

0:13:49.860,0:13:52.690
euch da mal so ein paar Suchbegriffe an[br]die Hand gegeben, falls ihr Interesse

0:13:52.690,0:13:59.800
daran habt. Ja, jetzt, wo ihr wisst, wie[br]das geht, stellt sich natürlich die Frage:

0:13:59.800,0:14:06.450
Was macht man damit? Das, was Hacker[br]machen, ist halt sich Sachen anschauen und

0:14:06.450,0:14:10.540
auch mal ein bisschen tiefer ins Detail[br]schauen. Und das ist das, was euch LaForge

0:14:10.540,0:14:18.220
jetzt erzählen wird.[br]LaForge: Ist dieses Mikro ... ja jetzt ist

0:14:18.220,0:14:23.490
es offen. Gut, Firmware-Analyse, ja. Man[br]guckt sich also ... Ich mein für mich ist

0:14:23.490,0:14:27.370
das normal: Warum guckt man sich Firmware[br]an? Ist eigentlich klar: Jedes Gerät, was

0:14:27.370,0:14:30.150
ich einen Finger habe, gucke ich mir an,[br]was will ich denn sonst mit dem Gerät?

0:14:30.150,0:14:33.470
Irgendwie, ja ich will ja verstehen, was[br]es macht und wie es tut und wie es

0:14:33.470,0:14:37.970
aufgebaut ist und was für Bauteile[br]verwendet sind und so weiter. Also ist es

0:14:37.970,0:14:40.540
für mich eigentlich normal, dass ich mir[br]Geräte, die ich irgendwie habe anschaue.

0:14:40.540,0:14:43.690
Jetzt hatte ich da gerade zu dem Zeitpunkt[br]keine so eine Antenne. Aber ich habe mich

0:14:43.690,0:14:47.270
vor zehn Jahren schon mal mit DECT[br]intensiver beschäftigt als Teil des

0:14:47.270,0:14:52.900
Projekts, was damals deDECTed hieß. Wir[br]hatten da Schwachstellen entdeckt,

0:14:52.900,0:15:01.630
entDECT. Ja, entDECT, genau. So, ja und[br]außerdem ist DECT ja auch, wie wir gerade

0:15:01.630,0:15:04.980
schon gehört haben, eine ETSI-[br]Spezifikation und ich habe ja mit ETSI-

0:15:04.980,0:15:08.730
Spezifikationen seit über zehn Jahren[br]quasi täglich zu tun. Zwar jetzt nicht

0:15:08.730,0:15:12.360
DECT, aber andere. Aber prinzipiell sind[br]eigentlich alle mal ganz interessante

0:15:12.360,0:15:17.240
Lektüre. Ich mein das ist Geschmacksfrage.[br]Ich mag sowas halt. Und DECT ist ja auch

0:15:17.240,0:15:23.940
immer noch weit verbreitet und gibt ja[br]auch jetzt hier auch DECT-ULE für

0:15:23.940,0:15:27.270
irgendwelche Internet-of-Things-Dinge, da[br]werden wir später nochmal drauf

0:15:27.270,0:15:32.620
zurückkommen. Und ich hatte eben gehört,[br]dass jetzt seit dem letzten Jahr oder seit

0:15:32.620,0:15:37.776
einiger Zeit das POCsich entschieden hat,[br]auf ein neues System umzustellen. Eben auf

0:15:37.776,0:15:42.820
dieses Mitel-IP-DECT/SIP-DECT-System. Und[br]letztes Jahr bin ich im November umgezogen

0:15:42.820,0:15:46.570
und dachte mir "Nee, Dezember Kongress,[br]das ist zu viel Stress. Dann bleib ich mal

0:15:46.570,0:15:48.960
daheim", und dann war ich daheim an[br]Weihnachten über den Kongress und dachte

0:15:48.960,0:15:55.990
mir "Ach, guck ich mir mal diese DECT-[br]Geschichte an". Und ja, dann guckt man

0:15:55.990,0:15:59.930
sich natürlich erstmal die Hardware an.[br]Ging eben auch um diese Generation 3, die

0:15:59.930,0:16:03.960
schon mal erwähnt wurde. Macht/guckt sich[br]die Platine an: Was sind da so für

0:16:03.960,0:16:08.150
Bauteile drauf? Da findet man dann ein[br]Marvell Kirkwood ARM System-on-a-Chip,

0:16:08.150,0:16:12.400
der, wie man sich die Firmware anguckt,[br]tatsächlich ein fast Mainline-Linux laufen

0:16:12.400,0:16:17.560
lässt. Und der hat zwei Ethernet-Ports.[br]Falls jemand jetzt mit diesem Begriff

0:16:17.560,0:16:20.570
Marvell-Kirkwood nichts anfangen kann, der[br]ist in ganz vielen Network-Attached-

0:16:20.570,0:16:24.790
Storage-Devices drin. Auch Shiva-Plug, und[br]wie sie nicht alle irgendwie heißen, da

0:16:24.790,0:16:29.080
gibts jede Menge Devices, die den[br]verwenden, der hat zwei Ethernet in dieser

0:16:29.080,0:16:34.330
Konfiguration hier in dem RFP drin. Ein[br]Ethernet-Port ist jener, der Richtung OMM

0:16:34.330,0:16:36.970
spricht, also der, der auch nach außen[br]herausgeführt ist am Gerät auf der

0:16:36.970,0:16:40.640
RJ45-Buchse. Und dann gibts einen zweiten[br]Ethernet-Port. Ein zweiter Ethernet-Port:

0:16:40.640,0:16:44.270
Was machen Sie denn damit? Und Sie haben[br]tatsächlich diesen eigentlichen DECT-

0:16:44.270,0:16:48.650
Prozessor über Ethernet angebunden. Das[br]heißt, also man hat einmal Ethernet von

0:16:48.650,0:16:51.841
diesem ARM-System-on-Chip, einmal Ethernet[br]Richtung dem DECT-Prozessor und einmal

0:16:51.841,0:16:56.440
Ethernet nach außen und man hat serielle[br]Konsole für Uboot und Linux und das

0:16:56.440,0:16:59.990
Passwort wird vom OMM gesetzt. Und das ist[br]auch in der offiziellen Doku dokumentiert,

0:16:59.990,0:17:04.029
dass das da gesetzt wird, wenn man den[br]konfiguriert. Das heißt, man kann da auch

0:17:04.029,0:17:07.809
prima drauf und sich das anschauen und so[br]weiter. Also als legitimer User oder

0:17:07.809,0:17:12.740
Anwender sozusagen dieses Geräts kann man[br]sich dann einloggen, kann sich umschauen.

0:17:12.740,0:17:15.720
Unten ist das mal schematisch dargestellt[br]diese unterschiedlichen Verbindungen. Es

0:17:15.720,0:17:21.860
ist dann auch noch ein UART da und andere,[br]paar GPIOs und so weiter. Wenn man sich

0:17:21.860,0:17:25.610
dann die Software anguckt, die da drauf[br]läuft, ist, wie gesagt, ein ziemlich,

0:17:25.610,0:17:29.260
erstaunlicherweise ein sehr, sauberer[br]Mainline-Kernel. Ganz wenig Patches nur

0:17:29.260,0:17:33.780
drin. Und letztlich ist es so, dass im[br]Kernel eigentlich gar nichts DECT-

0:17:33.780,0:17:37.910
spezifisches ist.Das ist ein ganz normaler[br]Kernel. Es sind keine komischen Treiber

0:17:37.910,0:17:40.575
oder irgendwas, sondern sie haben dann[br]eben ein Programm, eben hier dieses

0:17:40.575,0:17:45.679
/opt/ip_rfp/ip_rfp, was Pecket-Sockets[br]aufmacht auf diesem Ethernet-Device zum

0:17:45.679,0:17:50.119
DECT-Prozessor, und die ganze Verarbeitung[br]der Kommunikation erfolgt dann in einem

0:17:50.119,0:17:53.710
Userspace-Programm. Dann gibt es noch ein[br]paar Bibliotheken und andere interessante

0:17:53.710,0:17:57.159
Dinge, die man da so findet in der[br]Firmware, aber es ist eigentlich erstmal

0:17:57.159,0:18:02.509
ein ziemlich handelsübliches Linux mit[br]eben diesen proprietären Komponenten, die

0:18:02.509,0:18:07.639
hier Packet-Sockets aufmachen und[br]derartige Dinge tun. Interessant ist dann

0:18:07.639,0:18:11.360
auch, das man sieht, da habe ich jetzt[br]nicht auf der Slide drauf, aber man findet

0:18:11.360,0:18:16.549
dann andere, man entdeckt dann auch noch[br]andere Dinge. Zum Beispiel hatte ich

0:18:16.549,0:18:20.360
gesehen: Da ist Video-for-Linux in dem[br]Kernel drin. Ich denk mir so: Was, Video-

0:18:20.360,0:18:23.269
for-Linux in einer DECT-Basisstation? Was[br]hat da jemand vergessene Configuration

0:18:23.269,0:18:27.919
auszuschalten? Nein, es ist tatsächlich so[br]man kann an diesem USB-Port eine UVC

0:18:27.919,0:18:31.789
Kamera anschließen, also so eine USB[br]Videoclass Kamera und kann dann auf seinem

0:18:31.789,0:18:39.009
DECT Telefon, sofern es videofähig ist das[br]Kamerabild über DECT sich anschauen. Sehr

0:18:39.009,0:18:43.129
interessante Funktion. Dann findet man[br]auch noch ein Bluetooth Chip drin. Aha,

0:18:43.129,0:18:47.579
man kann also offensichtlich irgendwie[br]Bluetooth Beacons virtuell erzeugen. Auf

0:18:47.579,0:18:51.639
diesen DECT-Basisstationen vielleicht um[br]irgendwelche Location Services in Museen

0:18:51.639,0:18:55.440
oder irgendwas zu implementieren. Auf den[br]ersten Blick siehts erst mal komisch aus,

0:18:55.440,0:18:59.860
was man da so findet im Kernel. Aber macht[br]dann Sinn. Sie haben tatsächlich irgendwie

0:18:59.860,0:19:06.669
usecases dafür. So! Dann findet man binary[br]images für die Firmware dieses DECT

0:19:06.669,0:19:10.629
Prozessors einmal einen Bootloader, der[br]über tatsächlich die serielle

0:19:10.629,0:19:14.600
Schnittstelle, die verbunden ist zwischen[br]diesem DECT Prozessor und dem ARM erst

0:19:14.600,0:19:19.320
einmal drüber geschoben wird. Also über[br]GPIO wird der Reset losgelassen, dann wird

0:19:19.320,0:19:22.840
diese Firmware da reingeladen und diese[br]Firmware, also der Bootloader. Der kann

0:19:22.840,0:19:26.499
dann über Ethernet die eigentliche[br]Firmware nachladen dieses "rfpng.bin",

0:19:26.499,0:19:29.240
oder so dann gibt's noch einen[br]"macmoni.bin" was wohl offensichtlich ein

0:19:29.240,0:19:34.529
MAC Monitor sein soll. Was genau er tut,[br]habe ich zumindest mir nicht angeguckt.

0:19:34.529,0:19:39.330
Ja, nun guckt man sich das so an, da hat[br]man dieses Ethernet Device. Und was macht

0:19:39.330,0:19:41.539
man mit einem Ethernet? Man macht[br]natürlich erst mal ein ".pcap" File und

0:19:41.539,0:19:45.470
schaut sich an, was irgendwie auf diesem[br]Ethernet unterwegs ist. Also dieses

0:19:45.470,0:19:48.490
interne Ethernet auf dem Gerät.[br]Interessanterweise sieht man da nur rohe

0:19:48.490,0:19:53.390
Ethernet Frames. Es gibt da[br]unterschiedliche Subsysteme. Der Ethernet-

0:19:53.390,0:19:58.929
type unterscheidet dann, was für[br]Subsysteme da gerade sprechen. Guckt man

0:19:58.929,0:20:02.279
sich das so ein bisschen an, und mit dem,[br]was man über DECT weiß und probiert so ein

0:20:02.279,0:20:05.269
bisschen das eine oder andere aus auf[br]einem Telefon, das da angeschlossen ist,

0:20:05.269,0:20:11.669
und versucht, das zu verstehen. Und ich[br]hab dann so einen minimalistischen

0:20:11.669,0:20:15.669
Wireshark disector für die Teile des[br]Protokolls, die ich verstanden habe,

0:20:15.669,0:20:20.890
gebaut. Irgendwann war dann klar ab einem[br]gewissen Punkt, wo die eigentlichen DECT

0:20:20.890,0:20:26.590
standardisierten Pakete sich befinden, und[br]dafür gibts dann, obwohl es nichts

0:20:26.590,0:20:30.340
properiäres ist, leider auch kein[br]Wireshark-disector. Ich hab da auch ein

0:20:30.340,0:20:33.799
bisschen was angefangen, aber nur ganz[br]minimalistisch, damit man halt irgendwie

0:20:33.799,0:20:37.499
so ein bisschen seine Ergebnisse[br]bestätigen kann. Dann kommen die höheren

0:20:37.499,0:20:39.769
Schichten und so weiter. Da gibts dann[br]auch wieder keine Wireshark-disektoren da

0:20:39.769,0:20:45.591
habe ich dann aufgehört, das wird dann[br]uferlos das zu beschreiben. Im Grunde

0:20:45.591,0:20:50.070
sieht der Split der Funktionen. Wenn man[br]sich den DECT Netzwerkstack anschaut so

0:20:50.070,0:20:53.529
aus. Ich werde jetzt nicht ins Detail[br]gehen. Wer sich da mehr dafür

0:20:53.529,0:20:57.070
interessiert. Ich hatte einen[br]ausführlicheren, technischen Vortrag

0:20:57.070,0:21:01.820
gehalten auf der Osmo-Defcon Anfang April[br]diesen Jahres. Der ist auch bei

0:21:01.820,0:21:08.200
"media.ccc.de" verlinkt. Aber das ist[br]sozusagen der Split. Im OMM läuft also der

0:21:08.200,0:21:15.200
Data DLC layer, der NWK Layer und was dann[br]oben drüber kommt und im Radio teil, ist

0:21:15.200,0:21:19.720
eigentlich nur der PHY und der MAC Layer[br]und an der Schnittstelle zwischen DLC und

0:21:19.720,0:21:24.200
MAC Layer. Da ist dieses Protokoll, was[br]man sieht über diesen RAW-Ethernet Frames,

0:21:24.200,0:21:28.150
die da vorhanden sind. So! Dann war das[br]irgendwie so ein bisschen klar, was da

0:21:28.150,0:21:34.659
passiert. Dann guckt man weiter in[br]Richtung dieses OMM RFP Protokolls. Das

0:21:34.659,0:21:38.440
sieht man. Da wird eine TCP Verbindung[br]aufgebaut, und dann guckt man im Wireshark

0:21:38.440,0:21:41.850
und sieht... Naja, das ist irgendwie[br]alles, sieht ziemlich random aus, die

0:21:41.850,0:21:44.820
Entropie ist sehr hoch, muss also[br]irgendwie verschlüsselt oder zumindest

0:21:44.820,0:21:49.700
verschleiert sein. Man kann dann in dem[br]RFP und dem OMM ziemlich viel logging

0:21:49.700,0:21:53.309
einschalten, und da macht es dann auch[br]irgendwann Hex-dupms. Aber die Hex-dumps

0:21:53.309,0:21:55.679
haben überhaupt nichts damit zu tun mit[br]dem, was über diese TCP-Verbindung geht.

0:21:55.679,0:22:00.029
Ist also irgendwie verschlüsselt. Ist aber[br]auch kein TLS. Dann guckt man mal, die

0:22:00.029,0:22:04.710
Symboltabellen an, findet, da ist Blowfish[br]drin. Und zwar wird quasi Blowfish

0:22:04.710,0:22:11.030
Funktionen aus openssl benutzt, und dann[br]kann man ja, wenn es dynamisch gelinkt

0:22:11.030,0:22:15.293
ist, kann man ja so mit LD-preload andere[br]Bibliotheken hinladen, die die gleichen

0:22:15.293,0:22:18.980
Symbole anbieten. Und das waren dann 2[br]Bibliotheken eine "libtracefish", die

0:22:18.980,0:22:23.489
sozusagen cypher Text und plain Text[br]jeweils als Hex-dump am ausgegeben hat,

0:22:23.489,0:22:28.241
damit man sieht, was da passiert. Und dann[br]als nächstes die "libnullfish", die

0:22:28.241,0:22:34.270
einfach jeden call auf die Blowfish Funktion durch[br]ein memcopy ersetzt. Und dann hat man eben

0:22:34.270,0:22:39.410
den plain Text auf der anderen Seite und[br]sieht das da. Was man erkennt, ist, dass

0:22:39.410,0:22:43.330
viele der rohen Ethernet Frames, die man[br]auf der Seite Richtung DECT-Prozessor

0:22:43.330,0:22:47.480
gesehen hat, einfach 1 zu 1 durchgereicht[br]werden, die man halt enkapsuliert zusammen

0:22:47.480,0:22:50.870
mit vielen anderen Dingen über dieses TCP-[br]Protokoll. Da werden wir noch mehr drüber

0:22:50.870,0:22:54.590
hören, gleich dann im Anschluss, das haben[br]sich die Leute von Eventphone dann wieder

0:22:54.590,0:23:01.690
näher angeguckt. Was wichtig an der Stelle[br]noch ist. Ja gut, dann kann man diese

0:23:01.690,0:23:06.710
Verschlüsselung abschalten. Aber Dieter[br]Spahr, bekannt auch aus dem osmocom

0:23:06.710,0:23:09.770
Projekt, hat sich dann die Verschlüsselung[br]nochmal ein bisschen näher angeguckt, die

0:23:09.770,0:23:12.929
da passiert. Und die, ich meine Blowfish[br]ist natürlich klar. Aber die Schlüssel

0:23:12.929,0:23:15.310
Generierung im Speziellen, und es war dann[br]ziemlich schnell klar, dass es ein

0:23:15.310,0:23:20.610
statischer, für alle Geräte global[br]einheitlicher statischer Key ist, der da

0:23:20.610,0:23:26.830
verwendet wird. Und das ist natürlich[br]schlecht, wenn man irgendwie einen global

0:23:26.830,0:23:30.529
auf allen Geräten identischen Key hat, den[br]man dann da auch rauspopeln kann aus der

0:23:30.529,0:23:34.230
Firmware. Damit kann man natürlich auch[br]die Kommunikation anderer Geräte

0:23:34.230,0:23:39.299
entschlüsseln. Und das bringt uns dann[br]eigentlich zu dem entdeckten Security

0:23:39.299,0:23:46.389
Problem. Und ich gebe zurück.[br]zivillian: Wie LaForge gerade schon sagte

0:23:46.389,0:23:50.990
Das ist ein statischer Key, der für alle[br]Installationen genutzt wird. Das ist

0:23:50.990,0:23:54.909
insofern ein bisschen kritisch, dass[br]jemand, der in der Lage ist, eine man-in-

0:23:54.909,0:23:59.439
the-middle Attacke durchzuführen, die[br]Kommunikation entschlüsseln kann, mitlesen

0:23:59.439,0:24:04.529
kann, potenziell manipulieren kann. Wir[br]haben uns dann überlegt Naja, wie kann man

0:24:04.529,0:24:12.209
denn so eine man-in-the-middle Position[br]erreichen? Habe hier mal ein Foto. Danke

0:24:12.209,0:24:14.590
roter Kreis.[br]<i>Gelächter</i>

0:24:14.590,0:24:18.019
zivilian: Wir haben dann da noch ein[br]bisschen rangezoomt. Die hängt jetzt

0:24:18.019,0:24:20.539
glücklicherweise relativ tief. Manchmal[br]werden diese Außen-Antennen noch deutlich

0:24:20.539,0:24:24.369
höher angebracht, zum Beispiel an[br]Baumärkten. Da braucht man dann noch eine

0:24:24.369,0:24:32.200
Leiter. Und naja, diese vier schwarzen[br]Punkte, das sind halt

0:24:32.200,0:24:37.429
Kreuzschlitzschrauben. Und[br]<i>Gelächter</i>

0:24:37.429,0:24:41.169
zivilian: Wenn man die dann aufschraubt,[br]dann ist da irgendwie ganz schön viel

0:24:41.169,0:24:45.159
Platz. Und da ist so eine RJ45-Buchse. Da[br]geht doch was!

0:24:45.159,0:24:56.603
<i>Gelächter</i>[br]<i>Applaus</i>

0:24:56.603,0:25:01.179
Wenn man jetzt keine Motivation hat Nachts[br]im Dunkeln, draußen bei Regen am Baumarkt.

0:25:01.179,0:25:04.679
Es gibt auch Indoor Geräte, die werden[br]ganz gerne zum Beispiel in Hotels

0:25:04.679,0:25:13.220
eingesetzt. Die hängen dann da von der[br]Decke. Das Problem an der Stelle ist.

0:25:13.220,0:25:18.340
Dieses Foto stammt aus einem Hotel in der[br]Nähe von Paris. Das ist also kein Problem,

0:25:18.340,0:25:23.429
das nur in Deutschland besteht. Dass es[br]diese mitel-SIP-DECT Basen haben eine

0:25:23.429,0:25:26.976
weltweite Installations-Basis. Die werden[br]überall eingesetzt, die werden in

0:25:26.976,0:25:30.500
Größenordnungen eingesetzt, wo es nicht[br]nur darum geht, drei, vier, fünf Antennen

0:25:30.500,0:25:35.070
zu haben, hauptsächlich in Konferenz,[br]Gebäuden, Veranstaltungsorten, was auch

0:25:35.070,0:25:41.529
immer oder eben Hotels. Und das führte uns[br]dann zu der Überlegung. Okay, können wir

0:25:41.529,0:25:47.559
so nicht lassen. Wenn wir das können,[br]können das auch andere. Und wir haben

0:25:47.559,0:25:51.129
gelernt Responsible Disclosure. Man sagt[br]dem Hersteller vorher Bescheid und gibt

0:25:51.129,0:25:55.779
ihm die Möglichkeit, das Problem zu lösen.[br]Deswegen haben wir auch ein wunderhübschen

0:25:55.779,0:26:03.289
CVE bekommen. Die Frage ist Wie hat der[br]Hersteller darauf reagiert? Wir haben da,

0:26:03.289,0:26:06.779
um das Transparent zu machen, einmal eine[br]kurze Timeline. Erste Kontaktversuche

0:26:06.779,0:26:11.470
gab's Mitte/Anfang Oktober. Wir haben beim[br]Support von Mitel angerufen, weil wir auf

0:26:11.470,0:26:15.470
der Webseite nur eine E-Mail-Adresse[br]gefunden hatten, die sehr generisch

0:26:15.470,0:26:19.509
aussah. Haben uns da durch dieses Telefon-[br]menü durchgeklickt. Und hatten dann

0:26:19.509,0:26:21.740
irgendwann einen Mitarbeiter am Apparat[br]und haben ihm erklärt, wir würden ganz

0:26:21.740,0:26:27.451
gerne mit jemandem über Security bei SIP-[br]DECT reden. Die Antwort war SIP-DECT habe

0:26:27.451,0:26:32.269
ich schon mal gehört, aber von Security[br]habe ich keine Ahnung. Wir haben dann als

0:26:32.269,0:26:37.570
Alternative unseren, oder einen, Mitel[br]Partner kontaktiert, zu dem wir einen sehr

0:26:37.570,0:26:40.499
guten Kontakt hatten, und haben ihm[br]gesagt, der Chaos Computer Club würde

0:26:40.499,0:26:45.639
gerne Mitel Bescheid geben, bevor er einen[br]Vortrag hält. Das war am 11.10.. Das ist

0:26:45.639,0:26:50.960
ein Freitag. Am 14.10 hatten wir eine[br]E-Mail von dem Produktmanager Wireless,

0:26:50.960,0:26:55.730
der doch mal um ein Gespräch bzw. einen[br]vorort Termin bat. Dieser vorort Termin

0:26:55.730,0:26:59.309
hat eine Woche später stattgefunden, und[br]wir haben mit dieser Aufbau Installation,

0:26:59.309,0:27:02.450
die ja auch auf dem Tisch liegt,[br]präsentiert, was wir gemacht haben, wie

0:27:02.450,0:27:07.730
das aussieht und wo das Sicherheitsproblem[br]aus unserer Sicht ist. Wir haben uns

0:27:07.730,0:27:11.759
darüber unterhalten, wie man das Problem[br]lösen kann, haben erklärt, relativ

0:27:11.759,0:27:17.049
umfangreich erklären müssen, was[br]Eventphone ist. Und haben dann abgewartet

0:27:17.049,0:27:21.391
und einen Monat später nachgefragt und[br]hatten dann die Zusage bekommen. Ja, wir

0:27:21.391,0:27:25.109
haben eine Lösung. Wir testen die gerade[br]noch im Lab. Aber es wird ein Update gegen

0:27:25.109,0:27:28.050
bis zum Congress, sodass unsere[br]Installation von diesem Problem nicht mehr

0:27:28.050,0:27:34.000
betroffen ist. Ein Tag später haben wir[br]uns dann vor Ort getroffen und den

0:27:34.000,0:27:38.769
Lösungsansatz besprochen. Und der[br]Lösungsansatz war: Ihr kriegt eine Custom-

0:27:38.769,0:27:42.460
Firmware. Die hat einen anderen Blowfish-[br]Key.

0:27:42.460,0:27:52.009
<i>Gelächter und Applaus</i>[br]Das hat uns natürlich nicht gefallen, wir

0:27:52.009,0:27:56.909
haben uns intensiv Gedanken gemacht, eine[br]Woche später unseren eigenen Lösungsansatz

0:27:56.909,0:28:01.370
übermittelt und haben dann kurz vor[br]Weihnachten die Zusage bekommen: Okay, wir

0:28:01.370,0:28:04.909
haben uns beeilt, ihr kriegt ein[br]ordentliches Update aber erst in Q1 2020.

0:28:04.909,0:28:10.429
Da haben wir gesagt: Na gut, dann relesen[br]wir unser Tooling nicht, aber wird schon

0:28:10.429,0:28:15.519
irgendwie gehen. Und am 20. 12., einen Tag[br]später, gabs einen Anruf. Ja, nee, das

0:28:15.519,0:28:20.159
kommt doch bis zum Vortrag. Das Product[br]Security Incident Response Team aus Kanada

0:28:20.159,0:28:23.770
hat sich eingeschaltet, und augenscheinlich [br]ist das Problem größer als erwartet.

0:28:23.770,0:28:26.622
<i>Gelächter</i>

0:28:26.622,0:28:31.850
Seit zwei Tagen ist das Update verfügbar.[br]Wie vorhin schon gesagt im Download Center

0:28:31.850,0:28:37.180
von Mitel, nachdem man Zugangsdaten[br]eingegeben hat, die wir nicht haben. Es

0:28:37.180,0:28:42.789
gibt auch einen Security Advisory auf der[br]Webseite. Und wir haben dem Hersteller

0:28:42.789,0:28:46.600
gesagt, oder möchten dem Hersteller die[br]Möglichkeit gegeben, dass er auch die

0:28:46.600,0:28:51.519
Sicht aus... Die Dinge aus seiner [br]Sicht einmal darstellen kann.

0:28:51.519,0:28:56.679
Deswegen haben wir zwei Folien von Mitel.[br]Bitte nicht blenden lassen, die sind sehr

0:28:56.679,0:29:03.580
hell. Hab ich den ausgemacht?[br]ST: Es gibt nen Krassen Hack.

0:29:03.580,0:29:11.229
<i>Gelächter</i>[br]zivillian: Na gut. Aus Sicht von Mitel

0:29:11.229,0:29:16.520
tritt das Problem halt nur auf, wenn man[br]eine man-in-the-middle Position erhält und

0:29:16.520,0:29:22.299
das ist ja in Firmen-Netzwerken sehr[br]schwer möglich. Und hier auch nochmal Das

0:29:22.299,0:29:25.549
Update IST verfügbar, das kann[br]heruntergeladen werden. Sind auch nochmal

0:29:25.549,0:29:31.559
die Download Links und der Link auf das[br]Security Advisory. Für die Leute, die kein

0:29:31.559,0:29:37.130
Englisch verstehen, gibt's das ganze auch[br]nochmal in Deutsch. Und bei Fragen soll

0:29:37.130,0:29:41.489
man sich an den Support von Mitel wenden[br]bzw. an den technischen Support der Mitel

0:29:41.489,0:29:45.729
Partner.[br]ST: Trotzdem muss man sagen In unter 90

0:29:45.729,0:29:51.320
Tagen von Reporten bis Bugfix ist für so[br]einen großen Konzern, schon mal so

0:29:51.320,0:29:53.779
schlecht nicht, das haben wir schon[br]schlechter gesehen.

0:29:53.779,0:30:07.330
<i>Applaus</i>[br]zivillian: Ja, Geht wieder? Genau am Anfang

0:30:07.330,0:30:12.190
hatte ST schon erwähnt rfpproxy, was ist[br]das? Das ist halt ein transparenter, zwei

0:30:12.190,0:30:18.070
Wege Verschlüsselung, Entschlüsselung,[br]Maschine-in-the-middle Proxy. Warum? Naja,

0:30:18.070,0:30:22.869
wenn schon man-in-the-middle, dann[br]richtig. Der kann halt sämtliche

0:30:22.869,0:30:26.159
Kommunikation verschlüsseln,[br]entschlüsseln. Der kümmert sich um das Re-

0:30:26.159,0:30:29.809
keying was in diesem Protokoll noch mit[br]drin ist, da werden regelmäßig die

0:30:29.809,0:30:34.549
Blowfish-keys ausgetauscht. Der bietet[br]eine Möglichkeit, selektiv Nachrichten zu

0:30:34.549,0:30:38.659
manipulieren. Man kann Nachrichten[br]unterdrücken, man kann eigene Nachrichten

0:30:38.659,0:30:44.700
einschleusen und um die Stabilität unserer[br]Anlage insbesondere auf diesem Event nicht

0:30:44.700,0:30:48.379
zu gefährden, findet sämtliche[br]Verarbeitungen, also das eigentliche

0:30:48.379,0:30:54.399
Verändern der Kommunikation, extern statt.[br]Um euch das zu veranschaulichen, so sieht

0:30:54.399,0:31:00.809
das normalerweise aus. Man hat halt die[br]Antenne die redet per TCP auf Port 12621

0:31:00.809,0:31:05.419
mit dem OMM. Wir haben halt auf unserer[br]Installation neben dem OMM noch den

0:31:05.419,0:31:09.070
rfpproxy laufen. Der lauscht auf einem[br]anderen Port. Gibt es so eine kleine

0:31:09.070,0:31:14.749
iptables Regel und ip Transparent Proxy.[br]Und dann ist da auf einmal der Proxy

0:31:14.749,0:31:18.789
dazwischen, und der reicht dann bei Bedarf[br]die Kommunikation über einen Sockel wieder

0:31:18.789,0:31:23.039
raus und man kann kleine Tools da[br]dranhängen. Hier beispielhaft Motorola,

0:31:23.039,0:31:27.129
ein Loggingtool, was auch ".pcap"[br]schreiben kann in dem Format, was da noch

0:31:27.129,0:31:31.729
Richtung Baseband-Management Controller[br]gesprochen wird, also in der Antenne. Man

0:31:31.729,0:31:37.919
kann Audio Verarbeitungen damit[br]manipulieren oder die LEDs steuern. An der

0:31:37.919,0:31:46.080
Stelle zur Klarstellung noch mal diese[br]Antennen sind dumm. Sämtliche DECT

0:31:46.080,0:31:49.740
spezifische Verarbeitungen, was nicht[br]Audio ist, also der gesamte DECT Protokoll

0:31:49.740,0:31:54.700
Stack läuft im OMM. Und die Antennen sind[br]so dumm, die wissen noch nicht einmal, wie

0:31:54.700,0:32:03.389
sie ihre eigenen LEDs anmachen. Ja, wenn[br]man diesen Proxy jetzt benutzen möchte,

0:32:03.389,0:32:07.249
dann hat man immer noch das Problem, dass[br]er da nicht nur der spezifizierte DECT-Standard

0:32:07.249,0:32:10.499
drüber gesprochen wird, sondern[br]auch die proprietären Hersteller

0:32:10.499,0:32:15.809
spezifischen Informationen wie z.B.: wie[br]steuert man LEDs? Da gab es einen relativ

0:32:15.809,0:32:19.169
hohen reverse-Engineering Aufwand, um das[br]mit den Logdateien und dem Tracing zu

0:32:19.169,0:32:24.340
korrelieren. Dafür braucht man Daten. Da[br]darf ST noch mal dran.

0:32:24.340,0:32:32.590
ST: Wie haben wir jetzt diese Daten[br]bekommen? Mein Kollege Zuckerberg und ich

0:32:32.590,0:32:38.929
sagen da immer, woher Daten nehmen ohne[br]die User zu beklauen. Wir haben das ernst

0:32:38.929,0:32:43.299
genommen und haben gedacht Ja, wenn wir[br]jetzt auf irgendeinem Event einfach mal

0:32:43.299,0:32:47.970
Daten mitschneiden und die auswerten, dann[br]werden wir hier geteert und gefedert.

0:32:47.970,0:32:53.029
Deswegen haben wir das einfach mal[br]transparent gemacht. Wer von euch war auf

0:32:53.029,0:32:58.809
dem letzten EsterHegg 2019? Ok, wenige.[br]Dann erkläre ich das mal, vor dem

0:32:58.809,0:33:02.359
EsterHegg haben wir einen Blogeintrag[br]geschrieben, dass wir Metadaten erheben

0:33:02.359,0:33:07.780
wollen. Dass wir im Prinzip alle Daten,[br]die irgendwas mit den Geräten und der

0:33:07.780,0:33:12.700
Kommunikation zu tun haben, außer die[br]Sprache mitschneiden wollen bei den DECT-

0:33:12.700,0:33:17.239
Geräten. Man musste das im GURU, wenn man[br]sich eine Nebenstelle für das EsterHegg

0:33:17.239,0:33:21.440
geklickt hat, noch einmal bestätigen. Es[br]war auch sehr unangenehm, weil wir einfach

0:33:21.440,0:33:26.179
wollten, dass es jeder mitbekommt. Und Wir[br]haben auch ehrlich damit gerechnet, dass

0:33:26.179,0:33:30.230
da irgendein Shitstorm gibt, wenn wir da[br]sagen Ja, wir speichern da alles. Dass da

0:33:30.230,0:33:35.729
irgendwer sagt: ne, macht das mal nicht.[br]Wir haben aber eben im Vorfeld ganz genau

0:33:35.729,0:33:39.410
aufgeschrieben wozu und warum. Und[br]offensichtlich haben wir es geschafft, den

0:33:39.410,0:33:44.720
Leuten zu erklären, dass es dazu ist, um[br]die Daten später zu analysieren und dann

0:33:44.720,0:33:48.720
Fehler zu finden oder Unregelmäßigkeiten[br]zu finden. Wir haben ja selbst nicht

0:33:48.720,0:33:52.590
gewusst, wonach wir eigentlich suchen. Wir[br]haben halt erst mal irgendwie diese

0:33:52.590,0:33:59.190
Müllhalde voll gemacht um dann da drin[br]herum zu schnüffeln. Und mit dieser Taktik

0:33:59.190,0:34:03.259
hat das dann funktioniert. Es gab auch[br]eine Alternative: Man konnte sich SIP-

0:34:03.259,0:34:07.960
Nebenstellen, klicken, mit denen man[br]sozusagen von SIP zu SIP telefonieren

0:34:07.960,0:34:14.200
konnte. Da hätten wir dann keine [br]Metadaten erhoben. Aber das hat total gut

0:34:14.200,0:34:17.880
funktioniert. Wir haben das auch insofern[br]transparent gemacht. Wir haben alle Daten,

0:34:17.880,0:34:22.200
die wir nochmal extra gespeichert haben,[br]oder diese die Daten haben wir extra

0:34:22.200,0:34:26.310
nochmal gesichert, und verschlüsselt auf[br]den verschlüsselten Filesystemen

0:34:26.310,0:34:31.980
gespeichert. Es hatten auch nur ganz[br]wenige Leute Zugriff vom POC da über haupt

0:34:31.980,0:34:35.290
darauf. Das war alles ganz genau[br]reglementiert. Wir sind also im Prinzip so

0:34:35.290,0:34:41.240
rangegangen, wie wir uns das vorstellen[br]würden, wenn man mit unseren Daten umgeht.

0:34:41.240,0:34:46.761
Und dann, Am Ende haben wir uns natürlich[br]auch Gedanken darüber gemacht: wie werden

0:34:46.761,0:34:55.270
wir die jetzt wieder los? Und auch da war[br]unsere große maximale Transparenz.

0:34:55.270,0:35:00.980
Vielleicht hat das auf dem Camp der eine[br]oder andere mitbekommen. Wir haben das

0:35:00.980,0:35:05.500
auch in ein Video gegossen. Wir können das[br]leider nicht abspielen, weil es gibt ja so

0:35:05.500,0:35:11.560
Verwertungsgesellschaften. Deswegen hier[br]nur ein Screenshot und ein QR-Code. Es gab

0:35:11.560,0:35:16.060
auf jeden Fall bei den Daten[br]Vier-Augen-Prinzip. Bei allem Spaß. Ich bin

0:35:16.060,0:35:19.990
auch tatsächlich Datenschutzbeauftragter,[br]betrieblicher, und hab mir alles genau

0:35:19.990,0:35:24.950
angeguckt und auch mit den Entwicklern[br]zusammen die Daten mit dem oder nach dem

0:35:24.950,0:35:28.670
Vier-Augen-Prinzip gelöscht. Was uns heute[br]auch ein bisschen auf die Füße gefallen

0:35:28.670,0:35:31.400
ist, weil wir wollten noch ein paar[br]statistische Daten hinterher schmeißen.

0:35:31.400,0:35:34.590
Aber wir haben halt einfach schlicht[br]nichts mehr davon. Wir können nicht mal

0:35:34.590,0:35:40.699
mehr sagen, wie viele Daten das waren und[br]wie groß die waren. Ja so ist das. Aber

0:35:40.699,0:35:44.240
ich glaube, das ist nicht besonders[br]schlimm. Deswegen nocheinmal Vielen Dank

0:35:44.240,0:35:48.330
auch an alle User, die das Spiel auf dem[br]EsterHegg mitgemacht haben. Das hat uns

0:35:48.330,0:35:53.530
sehr, sehr viel geholfen und war richtig[br]richtig informativ. Wir konnten dann

0:35:53.530,0:35:58.400
nämlich auch ganz tolle neue Features[br]daraus bauen, weil wir das eben anhand

0:35:58.400,0:36:08.809
dieser Daten analysieren konnten. Und das[br]erste tolle Feature zeigt uns zivillian.

0:36:08.809,0:36:10.691
zivillian: Genau ich hatte ja gerade schon[br]gesagt die Antennen können nichtmal ihre

0:36:10.691,0:36:15.260
eigenen LEDs steurern. Das heißt in diesem[br]Protokolll gibt es eine SysLED-Nachricht,

0:36:15.260,0:36:19.961
die diese vier verschiedenen LEDs die an[br]so einer Antenne dran sind, zentral ein-

0:36:19.961,0:36:24.120
und ausschaltet, gibts verschiedene[br]Patterns, in denen die blicken können. Uns

0:36:24.120,0:36:29.190
ist aufgefallen, dass eine Pattern, wenn[br]man die dritte LED rot-grün blinken lässt.

0:36:29.190,0:36:36.740
Legst einfach aufs aufbau DECT. Wenn man[br]die dritte LED rot-grün blinken lässt,

0:36:36.740,0:36:40.280
dann blinkt die nicht nur, sondern das[br]setzt auch noch das Busy-bit im BNC-

0:36:40.280,0:36:44.901
Controller. Damit verweigert die Antenne[br]jegliche DECT Kommunikation, also über die

0:36:44.901,0:36:49.870
Lampe wird da auch Funktionalität[br]gesteuert. Die vierte LED ist

0:36:49.870,0:36:54.170
normalerweise fürs WLAN. Das dürfen wir[br]hier nicht, weil da würde uns das NOC

0:36:54.170,0:36:57.120
hauen, deswegen ist die vierte [br]LED überall aus auf dem Event.

0:36:57.120,0:37:00.950
ST: ja. Aber warum blinkt die denn?[br]zivillian: Die blinkt, weil in diesem

0:37:00.950,0:37:09.570
Aufbau DECT ein Tool von uns läuft, was[br]morsen kann, weil wir brauchen die ja nicht.

0:37:09.570,0:37:16.690
<i>Applaus</i>

0:37:16.690,0:37:20.850
zivilian: Ihr könnt ja mal schauen[br]Irgendwo auf der Veranstaltung wird sicher

0:37:20.850,0:37:24.330
auch noch ein paar blinkende LEDs geben.[br]Das einzige Problem ist Sie können nur mit

0:37:24.330,0:37:30.810
einem Herz blinken. Ihr müsst also ein[br]bisschen Zeit mitbringen. Magst du wieder

0:37:30.810,0:37:38.090
auf die Folien schallten? Genau eine[br]zweite interessante Nachricht, die wir

0:37:38.090,0:37:41.050
gefunden haben, ist Mediatone. Wenn ihr[br]den Hörer abnehmt, hört ihr ja

0:37:41.050,0:37:44.460
normalerweise so ein Freizeichen bzw. Wenn[br]euer Gesprächspartner fertig ist und

0:37:44.460,0:37:49.270
auflegt, dann hört ihr schon ein hübsches[br]Tuten. Das wird direkt in den Antennen

0:37:49.270,0:37:51.800
generiert. Dafür gibt's eine eigene[br]Nachricht, die da hingeschickt wird, die

0:37:51.800,0:37:56.060
sagt: bitte spiel mal folgende Frequenzen[br]parallel in folgender Reihenfolge so und

0:37:56.060,0:38:02.950
so lange. Dieses Protokoll kann bis zu 256[br]Einträge. Dieses Protokoll kann bis zu

0:38:02.950,0:38:09.110
vier Töne gleichzeitig. Dieses Protokoll[br]kann Schleifen. Wir dachten uns, naja

0:38:09.110,0:38:12.910
warum nur so langweilige Töne? Also gibt[br]es jetzt einen MIDI Konverter, der Midi

0:38:12.910,0:38:16.920
Files nach Antenne konvertieren kann. Das[br]möchte ich gern einmal vorführen.

0:38:16.920,0:38:25.950
<i>Applaus</i>[br]ST: Das ist nicht meins.

0:38:25.950,0:38:29.260
zivillian: Das ist meins. Wähl doch mal[br]die 4502!

0:38:29.260,0:38:36.050
ST: Lieber Mann vom Audio kannst du mich[br]mal Muten, bitte?

0:38:36.050,0:38:40.920
zivilian: Ah, es klingelt.[br]ST (durch DECT) Hallo?

0:38:40.920,0:38:44.590
zivilian: hört ihr das?[br]ST (DECT): Ja, Test Test.

0:38:44.590,0:38:46.470
zivilian: sehr schön.[br]<i>unverständlich</i>

0:38:46.470,0:38:50.690
<i>Brummen</i>[br]zivilian: Da bist du wohl zu weit weg.

0:38:50.690,0:38:53.670
ST(DECT): Oh entschuldigung![br]zivilian: Ja die Reichweite ist ein

0:38:53.670,0:38:56.080
bisschen begrenzt. So dann mach doch mal[br]Tetris an.

0:38:56.080,0:39:00.800
ST(DECT): Ja also wir haben ja eine ganz[br]normale Telefonverbindung. Das hört man

0:39:00.800,0:39:04.940
jetzt. Und Jetzt tippe ich mal Tetris.[br]Moment.

0:39:04.940,0:39:12.585
<i>Dip<b>Dup</b>Dip<b>Dop</b>Dop</i>[br]<i>leises Gelächter</i>

0:39:12.585,0:39:15.560
zivilian: fehlt da nicht noch einer?[br]ST(DECT): Haben wir vorhin doch getestet.

0:39:15.560,0:39:17.915
Jetzt.[br]<i>Dop</i>

0:39:17.915,0:39:21.210
ST: Geil. Richtig Gutes Zeug, warte.[br]<i>lachen aus dem Publikum</i>

0:39:21.210,0:39:31.340
<i>Dip<b>Dup</b>Dip<b>Dap</b>Dap</i><i>Dap</i>[br]<i>Tetris Melodie aus dem DECT</i>

0:39:31.340,0:39:43.430
<i>Applaus</i>[br]zivillian: Ja, ihr habt das Telefon von ST

0:39:43.430,0:39:50.920
gerade schon gesehen. Das ist ein[br]wunderhübsches Motorola S120x, irgendwas 1

0:39:50.920,0:39:55.260
bis 4 hintendran steht für die Anzahl der[br]Geräte, die in der Schachtel sind. Warum

0:39:55.260,0:40:00.400
dieses? Naja, das ist halt das billigste[br]Gerät, wenn man nach DECT sucht. Es ist

0:40:00.400,0:40:05.940
bunt, also das ist orange. Das gibts aber[br]auch in Türkis, in Rosa, in Grün. Laut

0:40:05.940,0:40:09.220
Hersteller, wie man auf der rechten Seite[br]sieht, ist es GAP kompatibel. Das ist

0:40:09.220,0:40:11.870
immer ein wichtiges Feature.[br]ST: Und GAP-Kompatibilität erreicht man

0:40:11.870,0:40:14.770
übrigens nicht, indem man es nur auf die[br]Schachtes schreibt.

0:40:14.770,0:40:18.660
<i>Gelächter</i>[br]zivillian: Und das beste Feature von dem

0:40:18.660,0:40:22.280
Telefon Es lässt sich nicht anmelden. Wir[br]hatten auf vielen Veranstaltungen auf dem

0:40:22.280,0:40:25.680
EasterHegg auf dem letzten Kongress immer[br]wieder Leute, die sich gerade neu dieses

0:40:25.680,0:40:29.680
Telefon nur für uns gekauft haben und sehr[br]traurig waren, dass es nicht funktioniert.

0:40:29.680,0:40:34.490
Wir haben nicht mehr viel Zeit. Wir[br]versuchen es aber. Mit dem Proxy konnten

0:40:34.490,0:40:40.420
wir da mitlesen. Wie redet denn das[br]Telefon mit dem OMM? Und wenn man so ein

0:40:40.420,0:40:44.300
Telefon anmeldet, dann muss man die Pin[br]eingeben, und ganz am Ende gibts dann eine

0:40:44.300,0:40:48.610
AccessRightsAccept Nachricht. Und da[br]kriegt das Telefon dann seine UserIdentity

0:40:48.610,0:40:52.920
zugewiesen. Die endet hier auf "df". Und[br]wenn das Telefon dann telefonieren möchte,

0:40:52.920,0:40:57.670
dann sagt es. Ich bin übrigens dieses[br]Telefon, und dann schickt es die IPUI mit.

0:40:57.670,0:41:04.260
Die endet nicht mehr auf "df". Und die[br]Antwort darauf ist: IPUI not Accepted. Im

0:41:04.260,0:41:10.100
ETSI Standard oder bzw. in dem GAP[br]Standard ist definiert Requirement N. 18:

0:41:10.100,0:41:14.820
So und so hat die Anmeldung abzulaufen.[br]Das verweist wiederum auf den DECT

0:41:14.820,0:41:18.000
Standard, in dem steht: wenn da so eine[br]"Acces-Rights-Accept" Nachricht kommt,

0:41:18.000,0:41:21.700
dann soll das Telefon das abspeichern. Das[br]tut es wahrscheinlich auch, weil da steht

0:41:21.700,0:41:25.970
nichts von wieder mitsenden. Aber keine[br]Ahnung. Und da ist definiert, dass so eine

0:41:25.970,0:41:29.610
IPUI bis zu 60 Bit lang sein darf. Das,[br]was wir da gerade gesehen haben, waren in

0:41:29.610,0:41:35.820
dem Rahmen. Diese IPUI-O hat vorne vier[br]Bit "Portable User Type" dran stehen, dass

0:41:35.820,0:41:41.020
es halt eine IPUI-O ist. Und danach kommen[br]bis zu 60 Bit "Portabel User Number". Wir

0:41:41.020,0:41:44.900
haben ja die IPUI nochmal farblich[br]aufbereitet. Hintendran das "df", Das ist

0:41:44.900,0:41:49.920
das, was gerade eben verloren gegangen[br]ist. Und Mitel hat eine Besonderheit, die

0:41:49.920,0:41:54.870
nutzen für diese User Identity einfach die[br]IPEI, also die Seriennummer von dem Gerät

0:41:54.870,0:42:01.140
wieder. Und sagen dem Telefon, Du bist[br]immer noch du. Und die IPEI hat eine Länge

0:42:01.140,0:42:05.150
von 36 bit, das ist definiert. Und wenn man[br]sich das hier anschaut, dann gibt's da

0:42:05.150,0:42:10.490
vorne so 4 bit, oder diese beiden roten[br]Nullen, die definitiv nicht genutzt

0:42:10.490,0:42:14.070
werden, zumindest nicht an einer Mitel[br]SIP-DECT Anlage. Und daher kam dann auch

0:42:14.070,0:42:22.740
der Lösungsansatz, dieses Telefon[br]kompatibel zu machen. Wir verschieben

0:42:22.740,0:42:26.910
einfach die relevanten Daten um, ein Byte[br]nach vorne in Richtung Telefon und wenn

0:42:26.910,0:42:30.540
sich das Telefon meldet, dann schieben wir[br]sie einfach wieder zurück. Und dann ist

0:42:30.540,0:42:34.770
der OMM glücklich. Und deswegen[br]funktionieren seit diesem Jahr auch diese

0:42:34.770,0:42:46.990
Telefone an unserer Anlage.[br]<i>Applaus</i>

0:42:46.990,0:42:52.340
zivilian: Und auf dem Event haben wir dann[br]festgestellt, nein anderesherum. Wir

0:42:52.340,0:42:55.460
verschieben die Sachen, um sicherzugehen,[br]dass es nur diese Telefone betrifft,

0:42:55.460,0:42:58.560
nutzen wir den Hersteller Code, der bei[br]der IPEI vorne dran steht, um diese

0:42:58.560,0:43:02.890
Telefone zu identifizieren. Das heißt, wir[br]müssen das für jedes Telefon, was diese

0:43:02.890,0:43:07.170
Fehler hat, individuell anschalten. Aber[br]stellen damit sicher, dass wir nicht nicht

0:43:07.170,0:43:10.571
so viel kaputtmachen. Wir haben an der[br]Stelle natürlich auch den Hersteller

0:43:10.571,0:43:15.190
informiert. Ende September haben wir alle[br]Informationen per Mail geschickt. Die

0:43:15.190,0:43:19.920
haben das nach China weitergeleitet. Wir[br]haben einen Monat später nachgefragt.

0:43:19.920,0:43:24.760
Wir haben nichts gehört. Vielleicht passiert[br]noch etwas. Auf dem Event, da wir dann

0:43:24.760,0:43:30.410
leider feststellen müssen, dass dieses[br]Telefon nicht das einzige ist. Wir haben

0:43:30.410,0:43:34.600
dann die Liste der Hersteller, Präfixe,[br]die auf der Whitelist stehen, deutlich

0:43:34.600,0:43:38.970
erweitern müssen, damit auch die T-Sinus[br]Telefone funktionieren, damit das Belgacom

0:43:38.970,0:43:48.157
Telefon funktioniert. Also Wir haben da so[br]um die 20 Geräte inzwischen.

0:43:48.157,0:43:53.630
ST: Audio Visuelles Marketing, mit[br]Marketing haben Sie es ja nicht so. Aber

0:43:53.630,0:43:56.960
vielleicht haben Sie was mit Ihren[br]Telefonen?

0:43:56.960,0:44:00.370
zivilian: Ja, wer unseren Blog liest. Wir[br]hatten das letztes Jahr schon Ende letzten

0:44:00.370,0:44:04.900
Jahres. Das Problem mit dem AVM Telefon,[br]weswegen wir auch immer von FritzFon

0:44:04.900,0:44:09.780
abgeraten haben. An unserer Anlage wurde[br]nicht angezeigt, wer anruft. Es stand

0:44:09.780,0:44:13.780
immer nur intern. Wir haben das im Blog im[br]Detail beschrieben. Aber da wir jetzt die

0:44:13.780,0:44:17.640
Nachrichten nicht nur mitlesen, sondern[br]auch manipulieren können. Naja, flippen

0:44:17.640,0:44:22.280
wir halt ein Bit, und dann steht da, wer[br]es ist.

0:44:22.280,0:44:31.240
<i>Gelächter und Applaus</i>[br]zivilian: Wir haben ja noch was Positives

0:44:31.240,0:44:35.130
zu AVM. Wir haben uns eine Fritzbox[br]gekauft und waren sehr glücklich, weil die

0:44:35.130,0:44:40.330
Fritzbox kann nicht nur TCPdump, sondern[br]die Fritzbox kann auch DTrace. Das D steht

0:44:40.330,0:44:44.510
für DECT. Unter der URL die da auch[br]angegeben ist, findet ihr in jeder

0:44:44.510,0:44:48.542
handelsüblichen Fritzbox dieses Capture[br]Interface. Da gibts dann ganz am Ende den

0:44:48.542,0:44:53.030
Eintrag. Und das Spannende ist: Die[br]Gigaset Telefone können an einer Fritzbox

0:44:53.030,0:44:57.980
das Telefonbuch anzeigen. Das geht an[br]unserer Anlage noch nicht, und wir haben

0:44:57.980,0:45:07.443
ein wenig die Hoffnung, dass wir das[br]ändern können.

0:45:07.443,0:45:10.990
ST: Ausblick.[br]zivillian: Was machen wir damit? Unser

0:45:10.990,0:45:15.770
Wunsch wäre Leute, die sich für DECT[br]interessieren, Leute, die Interesse an

0:45:15.770,0:45:19.970
einer Mitel Installation haben, die sich[br]auch damit beschäftigen, dass wir nicht

0:45:19.970,0:45:25.300
die einzigen sind. Wir hoffen, dass ihr[br]mit den Informationen loslegen könnt. Wir

0:45:25.300,0:45:29.740
würden uns freuen, wenn der Wireshark[br]Dissector den LaForge angesprochen hat,

0:45:29.740,0:45:32.340
weiterentwickelt wird, weil der würde uns[br]auf jeden Fall helfen, dort tiefer ins

0:45:32.340,0:45:38.720
Detail zu gehen. Spielt mit der Hardware[br]spielt mit der Software! Und ich, Du hast

0:45:38.720,0:45:40.720
noch was?[br]ST: Ja ich hab noch was, und hier DECT

0:45:40.720,0:45:44.510
ULE, wir hatten es vorhin auch von LaForge[br]gehört. Kann man auch mal genauer drauf

0:45:44.510,0:45:53.470
guchen. Wir haben auch gehört es gibt EC-[br]Terminals die über DECT funktionieren. Und

0:45:53.470,0:46:00.690
unsere Bitte, wir sammeln immernoch Daten,[br]und das hatten wir auch auf dem EsterHegg

0:46:00.690,0:46:05.660
schon mal angesprochen. Hier nochmal in[br]großer Runde. Crowdsourcing ist das

0:46:05.660,0:46:11.520
Stichwort. Wenn ihr wisst, was ihr für ein[br]DECT Telefon habt und was für ein Modell,

0:46:11.520,0:46:17.680
und uns das verraten wollt, dann könnt ihr[br]das im GURU eintragen. Daswürde uns extrem

0:46:17.680,0:46:23.430
helfen, weil nämlich wir bei der ETSI nach[br]dieser sogenannten EMC Liste nachgefragt

0:46:23.430,0:46:30.390
haben Equipment Manufacturers Code,[br]sozusagen das was ich kursiv auf dieser

0:46:30.390,0:46:33.750
Folie dargestellt hatte, Woran man[br]erkennen kann, welcher Hersteller es ist.

0:46:33.750,0:46:40.227
Und da war die Antwort: die ist geheim.[br]<i>Gelächter</i>

0:46:40.227,0:46:44.440
ST: Also es wäre total super, wenn Ihr[br]euer Modell da eintragt, das hilft uns

0:46:44.440,0:46:47.550
extrem, weil dann können wir das auch[br]zuordnen. Im Zweifelsfall, wenn wir Fehler

0:46:47.550,0:46:51.750
haben. Genau und wenn ihr das, das war im[br]Prinzip alles, was wir von euch noch

0:46:51.750,0:46:57.632
wollen. Und wir können da im Prinzip nur[br]sagen Viele Dank! Und du hast auch noch

0:46:57.632,0:47:00.930
was?[br]LaForge: vielleicht zum Proxy, wegen

0:47:00.930,0:47:04.070
veröffentlichen und so weiter. Soll ich[br]dazu noch was sagen?

0:47:04.070,0:47:06.503
ST: Ach so richtig, ja, der Proxy, der ist[br]noch nicht veröffentlicht. Magst du noch

0:47:06.503,0:47:09.890
was sagen, warum wir das nicht[br]veröffentlichen?

0:47:09.890,0:47:12.480
zivillian: Ich hatte das ja in der[br]Timeline schon dargestellt. Wir haben

0:47:12.480,0:47:16.870
sehr, sehr kurzfristig die Zusage[br]bekommen, dass der Fehler behoben wird.

0:47:16.870,0:47:20.210
Wir fanden es unverantwortlich, unser[br]Tooling zu veröffentlichen, nicht nur,

0:47:20.210,0:47:23.410
weil dann unsere Anlage betroffen ist,[br]sondern weil es irgendwie mit zwei zeilen

0:47:23.410,0:47:27.080
Code möglich wäre, jede SIP-DECT[br]Installation weltweit zu kompromittieren.

0:47:27.080,0:47:32.230
Wir sind in Abstimmung mit dem Hersteller.[br]Wir wollen das Tooling veröffentlichen. Wir

0:47:32.230,0:47:34.220
wollen euch das zur Verfügung stellen,[br]sodass ihr auch selber reinschauen könnt,

0:47:34.220,0:47:38.950
wenn ihr so eine SIP-DECT Installation[br]habt. Der aktuelle Plan ist, dass im

0:47:38.950,0:47:44.080
ersten Quartal nächsten Jahres zu machen.[br]Sobald die bestehenden Installationen die

0:47:44.080,0:48:00.460
Chance hatten, das Update einzuspielen.[br]<i>Applaus</i>

0:48:00.460,0:48:02.720
Herald: Vielen, Vielen Dank, für die[br]schöne Präsentation, ich bin mir sicher,

0:48:02.720,0:48:07.490
dass ihr Lust habt, mit uns noch ein wenig[br]zu diskutieren. Ich schau mal, ob ich

0:48:07.490,0:48:13.151
schon Fragen hier sehe. Wir haben Mikros[br]aufgestellt im Saal, die eins, die zwei und die

0:48:13.151,0:48:18.020
drei stellt euch da einfach dran, und wir[br]haben auch Fragen aus dem Internet. Aber

0:48:18.020,0:48:21.650
wir fangen sofort hier mit der zwei an.[br]Deine Frage bitte.

0:48:21.650,0:48:27.320
Frage: Ihr habt gesagt, es gab erst ein[br]Update von Mitel und das habt ihr

0:48:27.320,0:48:31.930
beanstandet. Und dann wurde gesagt es gibt[br]eine bessere Lösung. Was ist denn jetzt

0:48:31.930,0:48:33.930
die bessere Lösung? Wie wird der Key denn[br]jetzt generiert?

0:48:33.930,0:48:39.570
zivilian: Die Antennen müssen initial[br]einmal mit der Installation gekoppelt

0:48:39.570,0:48:45.080
werden. Der Vorgang nennt sich Capture.[br]Die Annahme, die wir getroffen haben, ist,

0:48:45.080,0:48:48.250
dass dieser Vorgang in einer[br]vertrauenswürdigen Umgebung stattfindet.

0:48:48.250,0:48:52.470
Und im Rahmen dieses Capture Vorgangs wird[br]individuelles Schlüssel Material zwischen

0:48:52.470,0:48:56.530
dem OMM und der Antenne ausgehandelt und[br]für die weitere Kommunikation genutzt. Das

0:48:56.530,0:48:59.700
heißt, jede DECT Antenne hat einen eigenen[br]Blowfish-Key.

0:48:59.700,0:49:06.760
Herald: Da machen wir die Frage von meinem[br]Signal Angel, also aus dem Internet.

0:49:06.760,0:49:10.740
Signal-Angel: Wussten die Leute vom Baumarkt,[br]dass da an der Außenantenne gebastelt

0:49:10.740,0:49:14.990
wurde.[br]zivilian: Das könnte auch gephotoshopt

0:49:14.990,0:49:19.661
gewesen sein. Ich kann das weder[br]bestätigen noch verneinen.

0:49:19.661,0:49:29.210
<i>Applaus</i>[br]Herald: Die 2 bitte.

0:49:29.210,0:49:33.480
Frage: Euren Tetris Hack da kann man den[br]nutzen, um zum Beispiel bei den eigenen

0:49:33.480,0:49:37.060
Extensions eine eigene MIDI-Melodie zu[br]setzen. Das heißt, wenn ich jemanden

0:49:37.060,0:49:42.337
anrufe wird der zumbeispiel gerickrolled?[br]zivilian: ich glaube rickroll, wär zu

0:49:42.337,0:49:48.250
lang, weil 256 Töne ist das Limit. Das[br]Hauptproblem ist, dass die 256 Töne nur

0:49:48.250,0:49:52.421
auf den 2G Antennen funktionieren. Mitel[br]hat bei den 3G Antennen an der Hardware

0:49:52.421,0:50:00.750
gespart. Die können nur noch sechs Töne.[br]Das reicht nicht mehr.

0:50:00.750,0:50:03.430
Herald: Okay, ich schau nochmal zu meinem[br]Signal Angel haben wir noch Fragen aus dem

0:50:03.430,0:50:08.180
Netz?[br]Signal-Angel: Ja eine kommte gerade noch

0:50:08.180,0:50:14.418
rein: wo genau kann man seine Telefon[br]Gerätenummer melden?

0:50:14.418,0:50:17.770
zivilian: magst du?[br]ST: Im GURU. Eventphone, bzw.

0:50:17.770,0:50:24.050
guru3.eventphone.de, wenn du dich dort[br]einloggst in deinen Account hast so bei

0:50:24.050,0:50:30.410
deinem Gerät sozusagen ein Schlüssel,[br]quatsch nicht Schlüssel, einen Stift. Da

0:50:30.410,0:50:35.150
kannst du das eintragen. Das ist ja auch[br]auf der Folie zu sehen. Genau, auf den

0:50:35.150,0:50:39.480
Schlüssel klicken, Dann kannst du dein[br]Handset editieren, und dort kannst du unten

0:50:39.480,0:50:46.880
bei Model das Modell eingeben und den[br]Hersteller. Du kannst dem sogar einen

0:50:46.880,0:50:51.170
Namen geben, was den Vorteil hat, wenn du[br]das das nächste Mal benutzt, dann kannst

0:50:51.170,0:50:55.320
du eine Nebenstelle registrieren und unten[br]gleich das DECT zuweisen, dann musst du

0:50:55.320,0:50:58.580
auch den Token nicht mehr eingeben,[br]sondern kommst auf die Veranstaltung und

0:50:58.580,0:51:03.600
das Telefon funktioniert einfach.[br]LaForge: Vielleicht wenn ich da noch kurz

0:51:03.600,0:51:08.960
ergänzend, oh das mikro ist offensichtlich[br]wieder aus. Ergänzend nachdem die Frage ja

0:51:08.960,0:51:14.830
aus dem Netz kam. Das geht natürlich hier[br]nur für die Leute, die bei Eventphone ihr

0:51:14.830,0:51:17.740
Telefon eingebucht haben. Das ist damit[br]das in Ruhe registriert ist, Dann ist die

0:51:17.740,0:51:21.480
Nummer ja mit dem Account entsprechend[br]assoziiert. Also wenn jetzt jemand

0:51:21.480,0:51:25.030
irgendwo da draußen im Internet, der nicht[br]auf einer CCC-Veranstaltung war oder eine

0:51:25.030,0:51:28.000
Eventphone-Veranstaltung war, der kann das[br]natürlich so nicht machen. Das wollte ich

0:51:28.000,0:51:30.300
noch vielleicht ergänzen.[br]ST: Ist bestimmt nur jemand in der

0:51:30.300,0:51:35.130
Assembly, der zu faul ist, herzukommen.[br]<i>Gelächter</i>

0:51:35.130,0:51:37.800
Herald: Die drei Bitte.[br]Frage: Wenn ich es richtig verstanden

0:51:37.800,0:51:42.030
habe, dann sind für gebraucht-verkaufte[br]Stationen bisher keine Downloads möglich.

0:51:42.030,0:51:46.640
Muss oder will Mitel da auch nachbessern,[br]um das Update zur Verfügung zu stellen?

0:51:46.640,0:51:50.380
zivillian: Das kann ich leider nicht[br]beantworten. Das weiß ich nicht.

0:51:50.380,0:51:54.610
LaForge: Die Kontaktdaten stehen ja in[br]diesem Advisory drin. Das kann man ja

0:51:54.610,0:51:58.810
durchaus mal den Leuten nahelegen, dass[br]man an die Users vielleicht auch denkt in dem

0:51:58.810,0:52:02.490
Kontext.[br]Herald: Dann die Zwei Bitte!

0:52:02.490,0:52:07.410
Frage: Ihr habt jetzt die Kommunikation[br]zwischen den Antennen und dem OMM

0:52:07.410,0:52:10.840
angeschaut, gibts auch Bestrebungen, die[br]Antenne oder den OMM weiter durch

0:52:10.840,0:52:14.780
OpenSource oder Eigenentwicklungen zu[br]ersetzen, gerade wenn hier osmocom Leute

0:52:14.780,0:52:20.650
anwesend sind.[br]LaForge: Naja, ist halt immer so eine

0:52:20.650,0:52:26.030
Frage der Zeit. Die Zahl der Projekte[br]wächst über die Zeit. Die Zahl der Leute,

0:52:26.030,0:52:31.380
die an den Projekten arbeiten, wächst[br]leider nicht entsprechend mit. Von daher

0:52:31.380,0:52:36.940
sehr gerne. Ich wäre der erste, der da[br]"Hurra" schreit, aber es müssten sich halt

0:52:36.940,0:52:40.160
auch Leute irgendwie einbringen.[br]Dementsprechend. Ich denke ein guter

0:52:40.160,0:52:45.360
Startpunkt für etwaige spätere OpenSource[br]Entwicklungen, oder überhaupt Arbeit mit

0:52:45.360,0:52:51.210
DECT wäre, wenn Leute zu dem DECT[br]Wireshark Dissektor beitragen würden. Ja,

0:52:51.210,0:52:55.130
das ist ja alles Zeug was in der DECT-[br]Spezifikation steht. Also man muss diese

0:52:55.130,0:52:58.700
Specs lesen, man muss sie verstehen, was[br]man sowieso muss, wenn man an OpenSource

0:52:58.700,0:53:02.200
in dem Kontext arbeiten will. Zumindest[br]eben isolierte Teile davon, und das kann

0:53:02.200,0:53:05.660
man dann in Wireshark Dissector[br]ausdrücken. Und dann hätte man schon mal

0:53:05.660,0:53:12.560
eine bessere Ausgangsbasis. Also Sehr[br]gerne. Aber, ja, Contributions brauchen

0:53:12.560,0:53:17.630
wir.[br]Herald: Ok, Im Saal sehe ich keine

0:53:17.630,0:53:21.891
weiteren Fragen, ich schaue nochmal zu[br]meinem Signal Angel. Auch keine. Dann

0:53:21.891,0:53:25.770
bedanke ich mich bei euch erst einmal für[br]die lebhafte Diskussion bei euch dreien

0:53:25.770,0:53:31.140
bzw. bei allen von Eventphone für eure[br]Arbeit. Vielen vielen Dank!

0:53:31.140,0:53:39.768
<i>Applaus</i>

0:53:39.768,0:53:50.690
<i>36c3 Abspannmusik</i>

0:53:50.690,0:54:07.000
Untertitel erstellt von c3subtitles.de[br]im Jahr 2021. Mach mit und hilf uns!