-
36C3 Vorspannmusik
-
Herald: Willkommen zum nächsten Vortrag.
Ich muss ja sagen, aus persönlicher
-
Erfahrung, dass der Kongress für mich
gerade deswegen so schön ist, weil er so
-
traumhaft familienfreundlich ist. Wir sind
diesmal wieder mit zwei Kindern da, und da
-
ist natürlich das Kids-Space absolut
goldwert, aber, und das glaubt man gar
-
nicht, dieses Ding hier, das DECT-Telefon,
das macht diesen Kongress auch für mich
-
extrem kinderfreundlich, weil wir eben
schon vor vielen Jahren unseren Sohn mit
-
so einem DECT-Telefon einfach laufen
lassen konnten und der konnte den Kongress
-
für sich selbst entdecken und wir konnten
unseren Sohn später wiederentdecken. Das
-
ist sehr, sehr hilfreich. Deswegen, so
eine Technologie macht eben auch eine
-
Konferenz viel, viel wertvoller. Ich bin
zugegebenerweise nur Dummer, aber
-
dankbarer Nutzer, aber die jungen Herren,
die wir jetzt hier haben, die können uns
-
etwas sagen, was mit dieser Technologie
noch möglich ist. Wir begrüßen nämlich
-
Zivillian und ST, die sind beide
Mitglieder im Eventphone-Team, und wir
-
haben einen Gast-Hacker mit LaForge und
die werden jetzt den Vortrag halten.
-
Hashtag #mifail oder: Mit Gigaset wäre das
nicht passiert! Oder der Untertitel, der
-
mir sehr gut gefällt, DECT ist korrekt.
Vielen Dank!
-
Applaus
-
ST: Ja, vielen Dank. Wir sind total
überrascht, weil wir ja dachten, das ist
-
ein Nischen-Vortrag, da haben wir mit 20
Leuten gerechnet, jetzt sind doch 40
-
gekommen, das ist richtig krass. Ja, im
Prinzip ist die Vorstellung durch. Was
-
machen wir heute? Wir müssen uns auf jeden
Fall beeilen, weil es ist sehr sehr viel.
-
Ganz kurz werden wir etwas dazu erzählen,
was ist das POC eigentlich genau. Was
-
machen die so? Was benutzen wir für
Technologie? Deswegen haben wir auch am
-
Anfang diesen komplizierten Aufbau, dass
wir uns hier direkt die Hardware live
-
angucken können. Wie das alles
funktioniert. Dann kommen wir zu dem
-
eigentlichen Problem, dass es dort, ja,
eine kleine Sicherheitsschwankung gab, die
-
wir herausgefunden haben, LaForge wird das
genau erklären, wir werden Euch erzählen,
-
wie der Hersteller damit umgegangen ist
und was wir dann daraus gebaut haben und
-
wie wir sozusagen mit dieser
Sicherheitsschwankung mehr Features
-
implementiert haben und noch mehr für die
User tun können. Weiter geht's dann mit
-
den Metadaten, wie sind wir eigentlich
dazu gekommen und dann zeigen wir Euch
-
dann nochmal live hier auf dem Tisch, wie
man unwillige Geräte willig bekommt und am
-
Ende gibts noch einen Ausblick. Dann
fangen wir mal damit an... Was ist
-
eigentlich das POC wer oder was ist das
Eventphone und dann haben wir geguckt, was
-
sagt eigentlich dieses Internet? Und das
Internet sagt, das Phone Operations Center
-
ist ein integriertes Hard- und
Softwareprojekt, welches es ermöglicht,
-
auf Grossveranstaltungen ein
fläschendeckendes und funktionsfähiges
-
DECT-Netz zu realisieren. Steht in der
Wikipedia, muss ja stimmen und in der Tat,
-
das ist so und sehr schön finden wir auch
"Eventphone, ein bedeutender Anbieter von
-
drahtloser Kommunikation für
Großveranstaltungen". Bedeutend, ja. Das
-
freut uns natürlich. Nun zu unserem One-
Pager, Was machen wir wirklich wirklich?
-
Also klar, Infrastruktur für drahtlose
Telefone, das wisst Ihr wahrscheinlich
-
alle. Wer von Euch hat ein DECT? Könnt ihr
mal Handzeichen geben? Oh, ja, ja, da ist
-
ja der Raum sagen wir mal die Hälfte. Dann
machen wir Leih-Telefone für Orga- und
-
Infrastruktur-Teams, die bereiten wir im
Wesentlichen vorher schon vor.
-
Provisionieren die, stellen den Betrieb
sicher, nehmen die zurück und reinigen die
-
dann auch wieder. Der Telefondesinfizierer
ist das Stichwort. Dann haben wir SIP und
-
Premium. SIP-Server, die wir betreiben,
Premium-SIP tatsächlich, die haben
-
wikrlich andere Funktionen, zum Beispiel
das CERT, die sichere Leitungen brauchen,
-
die möglichst nicht ge-DDoS-sed werden
haben andere Server und man kann, hat dort
-
mehr Rechte, kann zum Beispiel
raustelefonieren. Das EP-VPN betreiben
-
wir, also ein VPN, was auch außerhalb der
Events funktioniert. Das integrieren wir
-
immer in die Netze der Veranstaltungen.
Das Rufnummern- und Token-Handling, wer
-
quasi ein DECT angemeldet hat, der weiß,
da muss man ein Token eingeben, das machen
-
wir alles. Unser GURU, der Generic User
oder das Generic User Registration
-
Utility, das Self-Service-Portal, dort wo
ihr Eure Nummern anlegen könnt, wo ihr Eure
-
Geräte verbinden könnt. Und so. Das ist
auch von uns. Auch sozusagen der Link zum
-
GSM-Team, deren Rufnummern verwalten wir
auch. Dial-In/Dial-Out, also das Ihr
-
angerufen werden könnt von Außen und das
Ihr Euch auch raustelefonieren könnt.
-
Special Services, zum Beispiel die
Anbindung der Chaos-Vermittlung. Es gibt
-
Spiele, Witze-Hotline, die Uhrzeit oder
eine automatische Annahmestelle für Lärm-
-
Beschwerden.
Gelächter
-
Weiterhin haben wir noch eine neue
Abteilung, die Ausbildung in
-
Medienkompetenz. Wo wir Euch immer wieder
vor Augen halten. Guckt alles kritisch an
-
und nehmt nicht alles so für bare Münze,
was Ihr so in diesem Internet seht und
-
hört. Und, wir sind in diesem Jahr
volljährig geworden.
-
Applaus
Und dazu muss ich noch drei Sekunden etwas
-
sagen, nämlich es gibt eine Person, die
das tatsächlich seit 18 Jahren schon macht
-
und wirklich auf jedem Event, nicht nur
Kongresse, auch in der Sommer-Events und
-
dazwischen immer dabei war, der, egal ob
krank oder nicht, sich für das Telefonnetz
-
eingesetzt hat und das ist Sascha. Und an
der Stelle wollte ich noch mal ganz, ganz
-
lieben Dank sagen, 18 Jahre Eventphone,
für Dich...
-
Applaus
So, kürzen wir das ab. Kurzum, man ist
-
überall erreichbar, auch im Schwimmbad.
Wer die Kampagne kennt, wer sie nicht
-
kennt, der QR-Code im Nachgang, sehr gern.
So, dann. Worum geht es heute nicht? Noch
-
einmal ganz konkret, wir haben auf dem
35C3 einen langen Vortrag gehalten,
-
darüber, wie ist das Eventphone
entstanden, was gibt es für Geschichte und
-
so weiter und so fort. Das werden wir
heute nicht besprechen. Und auch auf dem
-
Easterhegg haben wir sozusagen dieses neue
Telefonsystem nochmal im Detail erklärt,
-
also warum sind wir von dem alten Alcatel-
System auf dieses neue Mitel-System
-
umgestiegen? Und was gehört da alles
dazu. Das alles heute nicht, könnt ihr im
-
Nachgang euch anschauen. Heute geht es
wirklich nur um diese rote Linie, nämlich
-
die Verbindung von dem Open Mobility
Manager, dem OMM, und den RFPs, den Radio
-
Fixed Parts, also den umgangssprachlichen
Antennen. Dann werden die Techjungs ganz
-
viele Abkürzungen benutzen, und die würde
ich nochmal ganz schnell einmal
-
durchgehen. OMM haben wir gerade gesehen
auf der Folie davor. Open Mobility
-
Manager, das ist das Stück Software von
Mitel. RFP das sind diese Radio Fixed
-
Parts, also die Antennen und die PPs das
ist so DECT-Sprech, dass ist alles, was
-
mobil ist. Da klingelt schon wieder eins.
Sehr schön, unser System läuft. Alles, was
-
sich bewegen kann, PPs Portable Parts,
normale DECT-Endgeräte, aber eben auch
-
solche kleinen Headsets. Dann wisst ihr,
was damit gemeint ist. Dann werden wir ein
-
paar Abkürzungen verwenden, die
IPEI und ihr seid ja alle sicherlich im
-
Netzwerksegment ein bisschen firm:
International Portable Equipment
-
Identifier. Das könnt euch vorstellen,
dass ist sowas ähnliches wie die MAC-
-
Adresse. An dem Beispiel seht ihr auch
dort ist ein Teil kursiv geschrieben. Der
-
ist sozusagen der Herstellerteil. Das ist
auch wie bei der MAC-Adresse. Der ist fest
-
zugewiesen. Daran kann man den Hersteller
erkennen, und danach ist einfach ein
-
Zähler. Ebenso kann man einen
Netzwerkvergleich herstellen mit der IPUI
-
der International Portable User Identity.
Das ist so etwas ähnliches wie die IP-
-
Adresse, die wird sozusagen von dem System
ausgegeben, was es sozusagen betreibt,
-
also der DHCP-Server vom NOC vergibt
IP-Adressen und wir vergeben diese IPUIs und
-
dann werden die ETSI kennenlernen, das
European Telecommunications Standards
-
Institute, das verabschiedet im Prinzip
Standards, wie der Name sagt, in Europa.
-
Und da gehört, ganz wichtig, auch DECT
dazu. Die IPUI, noch ganz kurz hinterher,
-
die gibt es in mehreren Formaten. Also das
Beispiel, was dort steht, das muss nicht
-
unbedingt so sein. Das ist nicht so
einfach, wie bei der IT, genormt. So, und
-
jetzt gucken wir uns mal ganz genau an,
wie denn hier soein SIP-DECT
-
zusammengestellt ist und Zivillian wird
euch das erklären und ich verfolge das
-
hier mal mit der Kamera.
zivillian: Genau. Anleitung zum
-
Selbermachen ist der Titel. Wir wurden
schon oft gefragt, was genau macht ihr da?
-
Wie funktioniert das? Kann ich das auch
machen? Ich will Hotel-VPN machen äh
-
Hotel-DECT machen. Was genau muss ich
dafür tun? Ihr braucht natürlich eine
-
Antenne, ein Radio Fixed Part. Die gibt's
in verschiedenen Generationen. Wir
-
empfehlen euch Generation 3 oder höher.
Die sind relativ einfach zu erkennen. Zum
-
Einen haben die Generation-3-Antennen,
Lüftungsschlitze auf der Rückseite, und
-
zum Anderen haben die
Generation-3-Antennen auch einen
-
USB-Anschluss. Das heißt, wenn ihr euch
irgendwo sowas kaufen wollt und nicht
-
sicher seid, was das ist, dann guckt
einfach drauf. Generation 2 oder darunter
-
empfehlen wir nicht mehr. Die Geräte gibt
es unter Anderem beim Hersteller, aber man
-
kann die natürlich auch gebraucht kaufen.
Die gibt's meistens für unter 100 Euro.
-
Wenn sie mehr als 100 Euro kosten, dann
ist es ein bisschen überteuert. Dazu
-
braucht er eine Lizenz, weil das ist
natürlich keine Open-Source-Software von
-
Mitel, sondern ein kommerzielles Produkt.
Da gibts eine Besonderheit: Bis zu fünf
-
Antennen können mit der integrierten
Lizenz betrieben werden, die bei der
-
Software mit dabei ist. Das heißt, für
kleine DECT-Installationen, wie zum
-
Beispiel für unser Aufbau-DECT, braucht
man keine Lizenz. Das hat nur fünf
-
Antennen. Das kann man einfach kostenlos
nutzen. Wenn man telefonieren möchte, also
-
nicht nur zwischen den Geräten, sondern in
Richtung SIP, mit Dial-Out oder Dial-In,
-
dann braucht man natürlich noch einen SIP-
Server dahinter. Wir empfehlen an der
-
Stelle immer den Yate, den wir selber auch
einsetzen in unserer Installation. Und wir
-
haben da in den Slides auch das Cookbook
für Yate verlinkt. Das ist auch in dem QR-
-
Code nochmal zu finden. Das sind relativ
hilfreiche Anleitungen, wenn man da
-
keinerlei Erfahrungen hat, um
reinzukommen. Damit kann man sich auf
-
jeden Fall auch einen eigenen SIP-Server
installieren. Den OMM, den ST schon
-
erwähnt hat, braucht man natürlich auch,
weil der steuert die Antennen. Da gibt es
-
zwei Möglichkeiten, wie man den betreiben
kann. Die eine Möglichkeit ist, den direkt
-
auf der Antenne laufen zu lassen. Da läuft
auch nur ein abgespecktes Linux drauf. Da
-
kann man auch den OMM laufen lassen. Das
haben wir selber nie ausprobiert, deswegen
-
haben wir da keinerlei Erfahrung.
Alternativ reicht irgendwas, wo ein CENTOS
-
läuft. In unserem Beispiel bei dem Aufbau-
DECT ist das halt so eine kleine Hardware-
-
Appliance. Für die Anlage, die wir hier
auf der Veranstaltung betreiben, haben wir
-
beim NOC einen Server stehen, wo die als
VM drauf läuft. Hier nochmal hübsch
-
visualisiert: Wenn man den OMM auf der
Antenne laufen lässt, dann ist die erste
-
Antenne gleichzeitig auch der OMM, und
alle weiteren werden dann einfach per IP
-
mit dieser ersten Antenne verbunden. Und
der OMM braucht dann halt die Verbindung
-
zu dem Yate, zu dem SIP-Server. Der
Nachteil davon ist, dass man in dieser
-
Minimalinstallation, wenn man keinen
eigenständigen OMM betreibt, maximal 512
-
Endgeräte anmelden kann und wenn ihr auf
unser Dashboard schaut, dann seht ihr,
-
dass das für hier nicht funktionieren
würde. Des Weiteren kann man maximal 256
-
Antennen anschließen. Das ist dann schon
eine etwas größere Installation. Aber da
-
gibts halt ein hartes Limit. Wenn man den
standalone betreibt, kann man deutlich
-
mehr Antennen anschließen, bis zu 4096,
und in den aktuellen Versionen werden dann
-
auch 10.000 Benutzer bzw. Geräte
unterstützt. Jetzt haben wir den OMM schon
-
mehrfach erwähnt. Die spannende Frage ist:
Wie kommt man daran? Offizielle Antwort
-
von Mitel ist: Wenn man sich so eine
Antenne kauft, dann bekommt man
-
entsprechende Zugangsdaten als Mitel-Kunde
und kann sich dann in dem Download-Portal
-
von Mitel anmelden und die Software
herunterladen. Wenn man die Antenne auf
-
dem Gebrauchtmarkt kauft, dann hat man
natürlich keine Mitel-Zugangsdaten, aber
-
die Release Notes enthalten Download-
Links. die Release-Notes sind teilweise
-
öffentlich verfügbar und über
Suchmaschinen auffindbar. Und wir haben
-
euch da mal so ein paar Suchbegriffe an
die Hand gegeben, falls ihr Interesse
-
daran habt. Ja, jetzt, wo ihr wisst, wie
das geht, stellt sich natürlich die Frage:
-
Was macht man damit? Das, was Hacker
machen, ist halt sich Sachen anschauen und
-
auch mal ein bisschen tiefer ins Detail
schauen. Und das ist das, was euch LaForge
-
jetzt erzählen wird.
LaForge: Ist dieses Mikro ... ja jetzt ist
-
es offen. Gut, Firmware-Analyse, ja. Man
guckt sich also ... Ich mein für mich ist
-
das normal: Warum guckt man sich Firmware
an? Ist eigentlich klar: Jedes Gerät, was
-
ich einen Finger habe, gucke ich mir an,
was will ich denn sonst mit dem Gerät?
-
Irgendwie, ja ich will ja verstehen, was
es macht und wie es tut und wie es
-
aufgebaut ist und was für Bauteile
verwendet sind und so weiter. Also ist es
-
für mich eigentlich normal, dass ich mir
Geräte, die ich irgendwie habe anschaue.
-
Jetzt hatte ich da gerade zu dem Zeitpunkt
keine so eine Antenne. Aber ich habe mich
-
vor zehn Jahren schon mal mit DECT
intensiver beschäftigt als Teil des
-
Projekts, was damals deDECTed hieß. Wir
hatten da Schwachstellen entdeckt,
-
entDECT. Ja, entDECT, genau. So, ja und
außerdem ist DECT ja auch, wie wir gerade
-
schon gehört haben, eine ETSI-
Spezifikation und ich habe ja mit ETSI-
-
Spezifikationen seit über zehn Jahren
quasi täglich zu tun. Zwar jetzt nicht
-
DECT, aber andere. Aber prinzipiell sind
eigentlich alle mal ganz interessante
-
Lektüre. Ich mein das ist Geschmacksfrage.
Ich mag sowas halt. Und DECT ist ja auch
-
immer noch weit verbreitet und gibt ja
auch jetzt hier auch DECT-ULE für
-
irgendwelche Internet-of-Things-Dinge, da
werden wir später nochmal drauf
-
zurückkommen. Und ich hatte eben gehört,
dass jetzt seit dem letzten Jahr oder seit
-
einiger Zeit das POCsich entschieden hat,
auf ein neues System umzustellen. Eben auf
-
dieses Mitel-IP-DECT/SIP-DECT-System. Und
letztes Jahr bin ich im November umgezogen
-
und dachte mir "Nee, Dezember Kongress,
das ist zu viel Stress. Dann bleib ich mal
-
daheim", und dann war ich daheim an
Weihnachten über den Kongress und dachte
-
mir "Ach, guck ich mir mal diese DECT-
Geschichte an". Und ja, dann guckt man
-
sich natürlich erstmal die Hardware an.
Ging eben auch um diese Generation 3, die
-
schon mal erwähnt wurde. Macht/guckt sich
die Platine an: Was sind da so für
-
Bauteile drauf? Da findet man dann ein
Marvell Kirkwood ARM System-on-a-Chip,
-
der, wie man sich die Firmware anguckt,
tatsächlich ein fast Mainline-Linux laufen
-
lässt. Und der hat zwei Ethernet-Ports.
Falls jemand jetzt mit diesem Begriff
-
Marvell-Kirkwood nichts anfangen kann, der
ist in ganz vielen Network-Attached-
-
Storage-Devices drin. Auch Shiva-Plug, und
wie sie nicht alle irgendwie heißen, da
-
gibts jede Menge Devices, die den
verwenden, der hat zwei Ethernet in dieser
-
Konfiguration hier in dem RFP drin. Ein
Ethernet-Port ist jener, der Richtung OMM
-
spricht, also der, der auch nach außen
herausgeführt ist am Gerät auf der
-
RJ45-Buchse. Und dann gibts einen zweiten
Ethernet-Port. Ein zweiter Ethernet-Port:
-
Was machen Sie denn damit? Und Sie haben
tatsächlich diesen eigentlichen DECT-
-
Prozessor über Ethernet angebunden. Das
heißt, also man hat einmal Ethernet von
-
diesem ARM-System-on-Chip, einmal Ethernet
Richtung dem DECT-Prozessor und einmal
-
Ethernet nach außen und man hat serielle
Konsole für Uboot und Linux und das
-
Passwort wird vom OMM gesetzt. Und das ist
auch in der offiziellen Doku dokumentiert,
-
dass das da gesetzt wird, wenn man den
konfiguriert. Das heißt, man kann da auch
-
prima drauf und sich das anschauen und so
weiter. Also als legitimer User oder
-
Anwender sozusagen dieses Geräts kann man
sich dann einloggen, kann sich umschauen.
-
Unten ist das mal schematisch dargestellt
diese unterschiedlichen Verbindungen. Es
-
ist dann auch noch ein UART da und andere,
paar GPIOs und so weiter. Wenn man sich
-
dann die Software anguckt, die da drauf
läuft, ist, wie gesagt, ein ziemlich,
-
erstaunlicherweise ein sehr, sauberer
Mainline-Kernel. Ganz wenig Patches nur
-
drin. Und letztlich ist es so, dass im
Kernel eigentlich gar nichts DECT-
-
spezifisches ist.Das ist ein ganz normaler
Kernel. Es sind keine komischen Treiber
-
oder irgendwas, sondern sie haben dann
eben ein Programm, eben hier dieses
-
/opt/ip_rfp/ip_rfp, was Pecket-Sockets
aufmacht auf diesem Ethernet-Device zum
-
DECT-Prozessor, und die ganze Verarbeitung
der Kommunikation erfolgt dann in einem
-
Userspace-Programm. Dann gibt es noch ein
paar Bibliotheken und andere interessante
-
Dinge, die man da so findet in der
Firmware, aber es ist eigentlich erstmal
-
ein ziemlich handelsübliches Linux mit
eben diesen proprietären Komponenten, die
-
hier Packet-Sockets aufmachen und
derartige Dinge tun. Interessant ist dann
-
auch, das man sieht, da habe ich jetzt
nicht auf der Slide drauf, aber man findet
-
dann andere, man entdeckt dann auch noch
andere Dinge. Zum Beispiel hatte ich
-
gesehen: Da ist Video-for-Linux in dem
Kernel drin. Ich denk mir so: Was, Video-
-
for-Linux in einer DECT-Basisstation? Was
hat da jemand vergessene Configuration
-
auszuschalten? Nein, es ist tatsächlich so
man kann an diesem USB-Port eine UVC
-
Kamera anschließen, also so eine USB
Videoclass Kamera und kann dann auf seinem
-
DECT Telefon, sofern es videofähig ist das
Kamerabild über DECT sich anschauen. Sehr
-
interessante Funktion. Dann findet man
auch noch ein Bluetooth Chip drin. Aha,
-
man kann also offensichtlich irgendwie
Bluetooth Beacons virtuell erzeugen. Auf
-
diesen DECT-Basisstationen vielleicht um
irgendwelche Location Services in Museen
-
oder irgendwas zu implementieren. Auf den
ersten Blick siehts erst mal komisch aus,
-
was man da so findet im Kernel. Aber macht
dann Sinn. Sie haben tatsächlich irgendwie
-
usecases dafür. So! Dann findet man binary
images für die Firmware dieses DECT
-
Prozessors einmal einen Bootloader, der
über tatsächlich die serielle
-
Schnittstelle, die verbunden ist zwischen
diesem DECT Prozessor und dem ARM erst
-
einmal drüber geschoben wird. Also über
GPIO wird der Reset losgelassen, dann wird
-
diese Firmware da reingeladen und diese
Firmware, also der Bootloader. Der kann
-
dann über Ethernet die eigentliche
Firmware nachladen dieses "rfpng.bin",
-
oder so dann gibt's noch einen
"macmoni.bin" was wohl offensichtlich ein
-
MAC Monitor sein soll. Was genau er tut,
habe ich zumindest mir nicht angeguckt.
-
Ja, nun guckt man sich das so an, da hat
man dieses Ethernet Device. Und was macht
-
man mit einem Ethernet? Man macht
natürlich erst mal ein ".pcap" File und
-
schaut sich an, was irgendwie auf diesem
Ethernet unterwegs ist. Also dieses
-
interne Ethernet auf dem Gerät.
Interessanterweise sieht man da nur rohe
-
Ethernet Frames. Es gibt da
unterschiedliche Subsysteme. Der Ethernet-
-
type unterscheidet dann, was für
Subsysteme da gerade sprechen. Guckt man
-
sich das so ein bisschen an, und mit dem,
was man über DECT weiß und probiert so ein
-
bisschen das eine oder andere aus auf
einem Telefon, das da angeschlossen ist,
-
und versucht, das zu verstehen. Und ich
hab dann so einen minimalistischen
-
Wireshark disector für die Teile des
Protokolls, die ich verstanden habe,
-
gebaut. Irgendwann war dann klar ab einem
gewissen Punkt, wo die eigentlichen DECT
-
standardisierten Pakete sich befinden, und
dafür gibts dann, obwohl es nichts
-
properiäres ist, leider auch kein
Wireshark-disector. Ich hab da auch ein
-
bisschen was angefangen, aber nur ganz
minimalistisch, damit man halt irgendwie
-
so ein bisschen seine Ergebnisse
bestätigen kann. Dann kommen die höheren
-
Schichten und so weiter. Da gibts dann
auch wieder keine Wireshark-disektoren da
-
habe ich dann aufgehört, das wird dann
uferlos das zu beschreiben. Im Grunde
-
sieht der Split der Funktionen. Wenn man
sich den DECT Netzwerkstack anschaut so
-
aus. Ich werde jetzt nicht ins Detail
gehen. Wer sich da mehr dafür
-
interessiert. Ich hatte einen
ausführlicheren, technischen Vortrag
-
gehalten auf der Osmo-Defcon Anfang April
diesen Jahres. Der ist auch bei
-
"media.ccc.de" verlinkt. Aber das ist
sozusagen der Split. Im OMM läuft also der
-
Data DLC layer, der NWK Layer und was dann
oben drüber kommt und im Radio teil, ist
-
eigentlich nur der PHY und der MAC Layer
und an der Schnittstelle zwischen DLC und
-
MAC Layer. Da ist dieses Protokoll, was
man sieht über diesen RAW-Ethernet Frames,
-
die da vorhanden sind. So! Dann war das
irgendwie so ein bisschen klar, was da
-
passiert. Dann guckt man weiter in
Richtung dieses OMM RFP Protokolls. Das
-
sieht man. Da wird eine TCP Verbindung
aufgebaut, und dann guckt man im Wireshark
-
und sieht... Naja, das ist irgendwie
alles, sieht ziemlich random aus, die
-
Entropie ist sehr hoch, muss also
irgendwie verschlüsselt oder zumindest
-
verschleiert sein. Man kann dann in dem
RFP und dem OMM ziemlich viel logging
-
einschalten, und da macht es dann auch
irgendwann Hex-dupms. Aber die Hex-dumps
-
haben überhaupt nichts damit zu tun mit
dem, was über diese TCP-Verbindung geht.
-
Ist also irgendwie verschlüsselt. Ist aber
auch kein TLS. Dann guckt man mal, die
-
Symboltabellen an, findet, da ist Blowfish
drin. Und zwar wird quasi Blowfish
-
Funktionen aus openssl benutzt, und dann
kann man ja, wenn es dynamisch gelinkt
-
ist, kann man ja so mit LD-preload andere
Bibliotheken hinladen, die die gleichen
-
Symbole anbieten. Und das waren dann 2
Bibliotheken eine "libtracefish", die
-
sozusagen cypher Text und plain Text
jeweils als Hex-dump am ausgegeben hat,
-
damit man sieht, was da passiert. Und dann
als nächstes die "libnullfish", die
-
einfach jeden call auf die Blowfish Funktion durch
ein memcopy ersetzt. Und dann hat man eben
-
den plain Text auf der anderen Seite und
sieht das da. Was man erkennt, ist, dass
-
viele der rohen Ethernet Frames, die man
auf der Seite Richtung DECT-Prozessor
-
gesehen hat, einfach 1 zu 1 durchgereicht
werden, die man halt enkapsuliert zusammen
-
mit vielen anderen Dingen über dieses TCP-
Protokoll. Da werden wir noch mehr drüber
-
hören, gleich dann im Anschluss, das haben
sich die Leute von Eventphone dann wieder
-
näher angeguckt. Was wichtig an der Stelle
noch ist. Ja gut, dann kann man diese
-
Verschlüsselung abschalten. Aber Dieter
Spahr, bekannt auch aus dem osmocom
-
Projekt, hat sich dann die Verschlüsselung
nochmal ein bisschen näher angeguckt, die
-
da passiert. Und die, ich meine Blowfish
ist natürlich klar. Aber die Schlüssel
-
Generierung im Speziellen, und es war dann
ziemlich schnell klar, dass es ein
-
statischer, für alle Geräte global
einheitlicher statischer Key ist, der da
-
verwendet wird. Und das ist natürlich
schlecht, wenn man irgendwie einen global
-
auf allen Geräten identischen Key hat, den
man dann da auch rauspopeln kann aus der
-
Firmware. Damit kann man natürlich auch
die Kommunikation anderer Geräte
-
entschlüsseln. Und das bringt uns dann
eigentlich zu dem entdeckten Security
-
Problem. Und ich gebe zurück.
zivillian: Wie LaForge gerade schon sagte
-
Das ist ein statischer Key, der für alle
Installationen genutzt wird. Das ist
-
insofern ein bisschen kritisch, dass
jemand, der in der Lage ist, eine man-in-
-
the-middle Attacke durchzuführen, die
Kommunikation entschlüsseln kann, mitlesen
-
kann, potenziell manipulieren kann. Wir
haben uns dann überlegt Naja, wie kann man
-
denn so eine man-in-the-middle Position
erreichen? Habe hier mal ein Foto. Danke
-
roter Kreis.
Gelächter
-
zivilian: Wir haben dann da noch ein
bisschen rangezoomt. Die hängt jetzt
-
glücklicherweise relativ tief. Manchmal
werden diese Außen-Antennen noch deutlich
-
höher angebracht, zum Beispiel an
Baumärkten. Da braucht man dann noch eine
-
Leiter. Und naja, diese vier schwarzen
Punkte, das sind halt
-
Kreuzschlitzschrauben. Und
Gelächter
-
zivilian: Wenn man die dann aufschraubt,
dann ist da irgendwie ganz schön viel
-
Platz. Und da ist so eine RJ45-Buchse. Da
geht doch was!
-
Gelächter
Applaus
-
Wenn man jetzt keine Motivation hat Nachts
im Dunkeln, draußen bei Regen am Baumarkt.
-
Es gibt auch Indoor Geräte, die werden
ganz gerne zum Beispiel in Hotels
-
eingesetzt. Die hängen dann da von der
Decke. Das Problem an der Stelle ist.
-
Dieses Foto stammt aus einem Hotel in der
Nähe von Paris. Das ist also kein Problem,
-
das nur in Deutschland besteht. Dass es
diese mitel-SIP-DECT Basen haben eine
-
weltweite Installations-Basis. Die werden
überall eingesetzt, die werden in
-
Größenordnungen eingesetzt, wo es nicht
nur darum geht, drei, vier, fünf Antennen
-
zu haben, hauptsächlich in Konferenz,
Gebäuden, Veranstaltungsorten, was auch
-
immer oder eben Hotels. Und das führte uns
dann zu der Überlegung. Okay, können wir
-
so nicht lassen. Wenn wir das können,
können das auch andere. Und wir haben
-
gelernt Responsible Disclosure. Man sagt
dem Hersteller vorher Bescheid und gibt
-
ihm die Möglichkeit, das Problem zu lösen.
Deswegen haben wir auch ein wunderhübschen
-
CVE bekommen. Die Frage ist Wie hat der
Hersteller darauf reagiert? Wir haben da,
-
um das Transparent zu machen, einmal eine
kurze Timeline. Erste Kontaktversuche
-
gab's Mitte/Anfang Oktober. Wir haben beim
Support von Mitel angerufen, weil wir auf
-
der Webseite nur eine E-Mail-Adresse
gefunden hatten, die sehr generisch
-
aussah. Haben uns da durch dieses Telefon-
menü durchgeklickt. Und hatten dann
-
irgendwann einen Mitarbeiter am Apparat
und haben ihm erklärt, wir würden ganz
-
gerne mit jemandem über Security bei SIP-
DECT reden. Die Antwort war SIP-DECT habe
-
ich schon mal gehört, aber von Security
habe ich keine Ahnung. Wir haben dann als
-
Alternative unseren, oder einen, Mitel
Partner kontaktiert, zu dem wir einen sehr
-
guten Kontakt hatten, und haben ihm
gesagt, der Chaos Computer Club würde
-
gerne Mitel Bescheid geben, bevor er einen
Vortrag hält. Das war am 11.10.. Das ist
-
ein Freitag. Am 14.10 hatten wir eine
E-Mail von dem Produktmanager Wireless,
-
der doch mal um ein Gespräch bzw. einen
vorort Termin bat. Dieser vorort Termin
-
hat eine Woche später stattgefunden, und
wir haben mit dieser Aufbau Installation,
-
die ja auch auf dem Tisch liegt,
präsentiert, was wir gemacht haben, wie
-
das aussieht und wo das Sicherheitsproblem
aus unserer Sicht ist. Wir haben uns
-
darüber unterhalten, wie man das Problem
lösen kann, haben erklärt, relativ
-
umfangreich erklären müssen, was
Eventphone ist. Und haben dann abgewartet
-
und einen Monat später nachgefragt und
hatten dann die Zusage bekommen. Ja, wir
-
haben eine Lösung. Wir testen die gerade
noch im Lab. Aber es wird ein Update gegen
-
bis zum Congress, sodass unsere
Installation von diesem Problem nicht mehr
-
betroffen ist. Ein Tag später haben wir
uns dann vor Ort getroffen und den
-
Lösungsansatz besprochen. Und der
Lösungsansatz war: Ihr kriegt eine Custom-
-
Firmware. Die hat einen anderen Blowfish-
Key.
-
Gelächter und Applaus
Das hat uns natürlich nicht gefallen, wir
-
haben uns intensiv Gedanken gemacht, eine
Woche später unseren eigenen Lösungsansatz
-
übermittelt und haben dann kurz vor
Weihnachten die Zusage bekommen: Okay, wir
-
haben uns beeilt, ihr kriegt ein
ordentliches Update aber erst in Q1 2020.
-
Da haben wir gesagt: Na gut, dann relesen
wir unser Tooling nicht, aber wird schon
-
irgendwie gehen. Und am 20. 12., einen Tag
später, gabs einen Anruf. Ja, nee, das
-
kommt doch bis zum Vortrag. Das Product
Security Incident Response Team aus Kanada
-
hat sich eingeschaltet, und augenscheinlich
ist das Problem größer als erwartet.
-
Gelächter
-
Seit zwei Tagen ist das Update verfügbar.
Wie vorhin schon gesagt im Download Center
-
von Mitel, nachdem man Zugangsdaten
eingegeben hat, die wir nicht haben. Es
-
gibt auch einen Security Advisory auf der
Webseite. Und wir haben dem Hersteller
-
gesagt, oder möchten dem Hersteller die
Möglichkeit gegeben, dass er auch die
-
Sicht aus... Die Dinge aus seiner
Sicht einmal darstellen kann.
-
Deswegen haben wir zwei Folien von Mitel.
Bitte nicht blenden lassen, die sind sehr
-
hell. Hab ich den ausgemacht?
ST: Es gibt nen Krassen Hack.
-
Gelächter
zivillian: Na gut. Aus Sicht von Mitel
-
tritt das Problem halt nur auf, wenn man
eine man-in-the-middle Position erhält und
-
das ist ja in Firmen-Netzwerken sehr
schwer möglich. Und hier auch nochmal Das
-
Update IST verfügbar, das kann
heruntergeladen werden. Sind auch nochmal
-
die Download Links und der Link auf das
Security Advisory. Für die Leute, die kein
-
Englisch verstehen, gibt's das ganze auch
nochmal in Deutsch. Und bei Fragen soll
-
man sich an den Support von Mitel wenden
bzw. an den technischen Support der Mitel
-
Partner.
ST: Trotzdem muss man sagen In unter 90
-
Tagen von Reporten bis Bugfix ist für so
einen großen Konzern, schon mal so
-
schlecht nicht, das haben wir schon
schlechter gesehen.
-
Applaus
zivillian: Ja, Geht wieder? Genau am Anfang
-
hatte ST schon erwähnt rfpproxy, was ist
das? Das ist halt ein transparenter, zwei
-
Wege Verschlüsselung, Entschlüsselung,
Maschine-in-the-middle Proxy. Warum? Naja,
-
wenn schon man-in-the-middle, dann
richtig. Der kann halt sämtliche
-
Kommunikation verschlüsseln,
entschlüsseln. Der kümmert sich um das Re-
-
keying was in diesem Protokoll noch mit
drin ist, da werden regelmäßig die
-
Blowfish-keys ausgetauscht. Der bietet
eine Möglichkeit, selektiv Nachrichten zu
-
manipulieren. Man kann Nachrichten
unterdrücken, man kann eigene Nachrichten
-
einschleusen und um die Stabilität unserer
Anlage insbesondere auf diesem Event nicht
-
zu gefährden, findet sämtliche
Verarbeitungen, also das eigentliche
-
Verändern der Kommunikation, extern statt.
Um euch das zu veranschaulichen, so sieht
-
das normalerweise aus. Man hat halt die
Antenne die redet per TCP auf Port 12621
-
mit dem OMM. Wir haben halt auf unserer
Installation neben dem OMM noch den
-
rfpproxy laufen. Der lauscht auf einem
anderen Port. Gibt es so eine kleine
-
iptables Regel und ip Transparent Proxy.
Und dann ist da auf einmal der Proxy
-
dazwischen, und der reicht dann bei Bedarf
die Kommunikation über einen Sockel wieder
-
raus und man kann kleine Tools da
dranhängen. Hier beispielhaft Motorola,
-
ein Loggingtool, was auch ".pcap"
schreiben kann in dem Format, was da noch
-
Richtung Baseband-Management Controller
gesprochen wird, also in der Antenne. Man
-
kann Audio Verarbeitungen damit
manipulieren oder die LEDs steuern. An der
-
Stelle zur Klarstellung noch mal diese
Antennen sind dumm. Sämtliche DECT
-
spezifische Verarbeitungen, was nicht
Audio ist, also der gesamte DECT Protokoll
-
Stack läuft im OMM. Und die Antennen sind
so dumm, die wissen noch nicht einmal, wie
-
sie ihre eigenen LEDs anmachen. Ja, wenn
man diesen Proxy jetzt benutzen möchte,
-
dann hat man immer noch das Problem, dass
er da nicht nur der spezifizierte DECT-Standard
-
drüber gesprochen wird, sondern
auch die proprietären Hersteller
-
spezifischen Informationen wie z.B.: wie
steuert man LEDs? Da gab es einen relativ
-
hohen reverse-Engineering Aufwand, um das
mit den Logdateien und dem Tracing zu
-
korrelieren. Dafür braucht man Daten. Da
darf ST noch mal dran.
-
ST: Wie haben wir jetzt diese Daten
bekommen? Mein Kollege Zuckerberg und ich
-
sagen da immer, woher Daten nehmen ohne
die User zu beklauen. Wir haben das ernst
-
genommen und haben gedacht Ja, wenn wir
jetzt auf irgendeinem Event einfach mal
-
Daten mitschneiden und die auswerten, dann
werden wir hier geteert und gefedert.
-
Deswegen haben wir das einfach mal
transparent gemacht. Wer von euch war auf
-
dem letzten EsterHegg 2019? Ok, wenige.
Dann erkläre ich das mal, vor dem
-
EsterHegg haben wir einen Blogeintrag
geschrieben, dass wir Metadaten erheben
-
wollen. Dass wir im Prinzip alle Daten,
die irgendwas mit den Geräten und der
-
Kommunikation zu tun haben, außer die
Sprache mitschneiden wollen bei den DECT-
-
Geräten. Man musste das im GURU, wenn man
sich eine Nebenstelle für das EsterHegg
-
geklickt hat, noch einmal bestätigen. Es
war auch sehr unangenehm, weil wir einfach
-
wollten, dass es jeder mitbekommt. Und Wir
haben auch ehrlich damit gerechnet, dass
-
da irgendein Shitstorm gibt, wenn wir da
sagen Ja, wir speichern da alles. Dass da
-
irgendwer sagt: ne, macht das mal nicht.
Wir haben aber eben im Vorfeld ganz genau
-
aufgeschrieben wozu und warum. Und
offensichtlich haben wir es geschafft, den
-
Leuten zu erklären, dass es dazu ist, um
die Daten später zu analysieren und dann
-
Fehler zu finden oder Unregelmäßigkeiten
zu finden. Wir haben ja selbst nicht
-
gewusst, wonach wir eigentlich suchen. Wir
haben halt erst mal irgendwie diese
-
Müllhalde voll gemacht um dann da drin
herum zu schnüffeln. Und mit dieser Taktik
-
hat das dann funktioniert. Es gab auch
eine Alternative: Man konnte sich SIP-
-
Nebenstellen, klicken, mit denen man
sozusagen von SIP zu SIP telefonieren
-
konnte. Da hätten wir dann keine
Metadaten erhoben. Aber das hat total gut
-
funktioniert. Wir haben das auch insofern
transparent gemacht. Wir haben alle Daten,
-
die wir nochmal extra gespeichert haben,
oder diese die Daten haben wir extra
-
nochmal gesichert, und verschlüsselt auf
den verschlüsselten Filesystemen
-
gespeichert. Es hatten auch nur ganz
wenige Leute Zugriff vom POC da über haupt
-
darauf. Das war alles ganz genau
reglementiert. Wir sind also im Prinzip so
-
rangegangen, wie wir uns das vorstellen
würden, wenn man mit unseren Daten umgeht.
-
Und dann, Am Ende haben wir uns natürlich
auch Gedanken darüber gemacht: wie werden
-
wir die jetzt wieder los? Und auch da war
unsere große maximale Transparenz.
-
Vielleicht hat das auf dem Camp der eine
oder andere mitbekommen. Wir haben das
-
auch in ein Video gegossen. Wir können das
leider nicht abspielen, weil es gibt ja so
-
Verwertungsgesellschaften. Deswegen hier
nur ein Screenshot und ein QR-Code. Es gab
-
auf jeden Fall bei den Daten
Vier-Augen-Prinzip. Bei allem Spaß. Ich bin
-
auch tatsächlich Datenschutzbeauftragter,
betrieblicher, und hab mir alles genau
-
angeguckt und auch mit den Entwicklern
zusammen die Daten mit dem oder nach dem
-
Vier-Augen-Prinzip gelöscht. Was uns heute
auch ein bisschen auf die Füße gefallen
-
ist, weil wir wollten noch ein paar
statistische Daten hinterher schmeißen.
-
Aber wir haben halt einfach schlicht
nichts mehr davon. Wir können nicht mal
-
mehr sagen, wie viele Daten das waren und
wie groß die waren. Ja so ist das. Aber
-
ich glaube, das ist nicht besonders
schlimm. Deswegen nocheinmal Vielen Dank
-
auch an alle User, die das Spiel auf dem
EsterHegg mitgemacht haben. Das hat uns
-
sehr, sehr viel geholfen und war richtig
richtig informativ. Wir konnten dann
-
nämlich auch ganz tolle neue Features
daraus bauen, weil wir das eben anhand
-
dieser Daten analysieren konnten. Und das
erste tolle Feature zeigt uns zivillian.
-
zivillian: Genau ich hatte ja gerade schon
gesagt die Antennen können nichtmal ihre
-
eigenen LEDs steurern. Das heißt in diesem
Protokolll gibt es eine SysLED-Nachricht,
-
die diese vier verschiedenen LEDs die an
so einer Antenne dran sind, zentral ein-
-
und ausschaltet, gibts verschiedene
Patterns, in denen die blicken können. Uns
-
ist aufgefallen, dass eine Pattern, wenn
man die dritte LED rot-grün blinken lässt.
-
Legst einfach aufs aufbau DECT. Wenn man
die dritte LED rot-grün blinken lässt,
-
dann blinkt die nicht nur, sondern das
setzt auch noch das Busy-bit im BNC-
-
Controller. Damit verweigert die Antenne
jegliche DECT Kommunikation, also über die
-
Lampe wird da auch Funktionalität
gesteuert. Die vierte LED ist
-
normalerweise fürs WLAN. Das dürfen wir
hier nicht, weil da würde uns das NOC
-
hauen, deswegen ist die vierte
LED überall aus auf dem Event.
-
ST: ja. Aber warum blinkt die denn?
zivillian: Die blinkt, weil in diesem
-
Aufbau DECT ein Tool von uns läuft, was
morsen kann, weil wir brauchen die ja nicht.
-
Applaus
-
zivilian: Ihr könnt ja mal schauen
Irgendwo auf der Veranstaltung wird sicher
-
auch noch ein paar blinkende LEDs geben.
Das einzige Problem ist Sie können nur mit
-
einem Herz blinken. Ihr müsst also ein
bisschen Zeit mitbringen. Magst du wieder
-
auf die Folien schallten? Genau eine
zweite interessante Nachricht, die wir
-
gefunden haben, ist Mediatone. Wenn ihr
den Hörer abnehmt, hört ihr ja
-
normalerweise so ein Freizeichen bzw. Wenn
euer Gesprächspartner fertig ist und
-
auflegt, dann hört ihr schon ein hübsches
Tuten. Das wird direkt in den Antennen
-
generiert. Dafür gibt's eine eigene
Nachricht, die da hingeschickt wird, die
-
sagt: bitte spiel mal folgende Frequenzen
parallel in folgender Reihenfolge so und
-
so lange. Dieses Protokoll kann bis zu 256
Einträge. Dieses Protokoll kann bis zu
-
vier Töne gleichzeitig. Dieses Protokoll
kann Schleifen. Wir dachten uns, naja
-
warum nur so langweilige Töne? Also gibt
es jetzt einen MIDI Konverter, der Midi
-
Files nach Antenne konvertieren kann. Das
möchte ich gern einmal vorführen.
-
Applaus
ST: Das ist nicht meins.
-
zivillian: Das ist meins. Wähl doch mal
die 4502!
-
ST: Lieber Mann vom Audio kannst du mich
mal Muten, bitte?
-
zivilian: Ah, es klingelt.
ST (durch DECT) Hallo?
-
zivilian: hört ihr das?
ST (DECT): Ja, Test Test.
-
zivilian: sehr schön.
unverständlich
-
Brummen
zivilian: Da bist du wohl zu weit weg.
-
ST(DECT): Oh entschuldigung!
zivilian: Ja die Reichweite ist ein
-
bisschen begrenzt. So dann mach doch mal
Tetris an.
-
ST(DECT): Ja also wir haben ja eine ganz
normale Telefonverbindung. Das hört man
-
jetzt. Und Jetzt tippe ich mal Tetris.
Moment.
-
DipDupDipDopDop
leises Gelächter
-
zivilian: fehlt da nicht noch einer?
ST(DECT): Haben wir vorhin doch getestet.
-
Jetzt.
Dop
-
ST: Geil. Richtig Gutes Zeug, warte.
lachen aus dem Publikum
-
DipDupDipDapDapDap
Tetris Melodie aus dem DECT
-
Applaus
zivillian: Ja, ihr habt das Telefon von ST
-
gerade schon gesehen. Das ist ein
wunderhübsches Motorola S120x, irgendwas 1
-
bis 4 hintendran steht für die Anzahl der
Geräte, die in der Schachtel sind. Warum
-
dieses? Naja, das ist halt das billigste
Gerät, wenn man nach DECT sucht. Es ist
-
bunt, also das ist orange. Das gibts aber
auch in Türkis, in Rosa, in Grün. Laut
-
Hersteller, wie man auf der rechten Seite
sieht, ist es GAP kompatibel. Das ist
-
immer ein wichtiges Feature.
ST: Und GAP-Kompatibilität erreicht man
-
übrigens nicht, indem man es nur auf die
Schachtes schreibt.
-
Gelächter
zivillian: Und das beste Feature von dem
-
Telefon Es lässt sich nicht anmelden. Wir
hatten auf vielen Veranstaltungen auf dem
-
EasterHegg auf dem letzten Kongress immer
wieder Leute, die sich gerade neu dieses
-
Telefon nur für uns gekauft haben und sehr
traurig waren, dass es nicht funktioniert.
-
Wir haben nicht mehr viel Zeit. Wir
versuchen es aber. Mit dem Proxy konnten
-
wir da mitlesen. Wie redet denn das
Telefon mit dem OMM? Und wenn man so ein
-
Telefon anmeldet, dann muss man die Pin
eingeben, und ganz am Ende gibts dann eine
-
AccessRightsAccept Nachricht. Und da
kriegt das Telefon dann seine UserIdentity
-
zugewiesen. Die endet hier auf "df". Und
wenn das Telefon dann telefonieren möchte,
-
dann sagt es. Ich bin übrigens dieses
Telefon, und dann schickt es die IPUI mit.
-
Die endet nicht mehr auf "df". Und die
Antwort darauf ist: IPUI not Accepted. Im
-
ETSI Standard oder bzw. in dem GAP
Standard ist definiert Requirement N. 18:
-
So und so hat die Anmeldung abzulaufen.
Das verweist wiederum auf den DECT
-
Standard, in dem steht: wenn da so eine
"Acces-Rights-Accept" Nachricht kommt,
-
dann soll das Telefon das abspeichern. Das
tut es wahrscheinlich auch, weil da steht
-
nichts von wieder mitsenden. Aber keine
Ahnung. Und da ist definiert, dass so eine
-
IPUI bis zu 60 Bit lang sein darf. Das,
was wir da gerade gesehen haben, waren in
-
dem Rahmen. Diese IPUI-O hat vorne vier
Bit "Portable User Type" dran stehen, dass
-
es halt eine IPUI-O ist. Und danach kommen
bis zu 60 Bit "Portabel User Number". Wir
-
haben ja die IPUI nochmal farblich
aufbereitet. Hintendran das "df", Das ist
-
das, was gerade eben verloren gegangen
ist. Und Mitel hat eine Besonderheit, die
-
nutzen für diese User Identity einfach die
IPEI, also die Seriennummer von dem Gerät
-
wieder. Und sagen dem Telefon, Du bist
immer noch du. Und die IPEI hat eine Länge
-
von 36 bit, das ist definiert. Und wenn man
sich das hier anschaut, dann gibt's da
-
vorne so 4 bit, oder diese beiden roten
Nullen, die definitiv nicht genutzt
-
werden, zumindest nicht an einer Mitel
SIP-DECT Anlage. Und daher kam dann auch
-
der Lösungsansatz, dieses Telefon
kompatibel zu machen. Wir verschieben
-
einfach die relevanten Daten um, ein Byte
nach vorne in Richtung Telefon und wenn
-
sich das Telefon meldet, dann schieben wir
sie einfach wieder zurück. Und dann ist
-
der OMM glücklich. Und deswegen
funktionieren seit diesem Jahr auch diese
-
Telefone an unserer Anlage.
Applaus
-
zivilian: Und auf dem Event haben wir dann
festgestellt, nein anderesherum. Wir
-
verschieben die Sachen, um sicherzugehen,
dass es nur diese Telefone betrifft,
-
nutzen wir den Hersteller Code, der bei
der IPEI vorne dran steht, um diese
-
Telefone zu identifizieren. Das heißt, wir
müssen das für jedes Telefon, was diese
-
Fehler hat, individuell anschalten. Aber
stellen damit sicher, dass wir nicht nicht
-
so viel kaputtmachen. Wir haben an der
Stelle natürlich auch den Hersteller
-
informiert. Ende September haben wir alle
Informationen per Mail geschickt. Die
-
haben das nach China weitergeleitet. Wir
haben einen Monat später nachgefragt.
-
Wir haben nichts gehört. Vielleicht passiert
noch etwas. Auf dem Event, da wir dann
-
leider feststellen müssen, dass dieses
Telefon nicht das einzige ist. Wir haben
-
dann die Liste der Hersteller, Präfixe,
die auf der Whitelist stehen, deutlich
-
erweitern müssen, damit auch die T-Sinus
Telefone funktionieren, damit das Belgacom
-
Telefon funktioniert. Also Wir haben da so
um die 20 Geräte inzwischen.
-
ST: Audio Visuelles Marketing, mit
Marketing haben Sie es ja nicht so. Aber
-
vielleicht haben Sie was mit Ihren
Telefonen?
-
zivilian: Ja, wer unseren Blog liest. Wir
hatten das letztes Jahr schon Ende letzten
-
Jahres. Das Problem mit dem AVM Telefon,
weswegen wir auch immer von FritzFon
-
abgeraten haben. An unserer Anlage wurde
nicht angezeigt, wer anruft. Es stand
-
immer nur intern. Wir haben das im Blog im
Detail beschrieben. Aber da wir jetzt die
-
Nachrichten nicht nur mitlesen, sondern
auch manipulieren können. Naja, flippen
-
wir halt ein Bit, und dann steht da, wer
es ist.
-
Gelächter und Applaus
zivilian: Wir haben ja noch was Positives
-
zu AVM. Wir haben uns eine Fritzbox
gekauft und waren sehr glücklich, weil die
-
Fritzbox kann nicht nur TCPdump, sondern
die Fritzbox kann auch DTrace. Das D steht
-
für DECT. Unter der URL die da auch
angegeben ist, findet ihr in jeder
-
handelsüblichen Fritzbox dieses Capture
Interface. Da gibts dann ganz am Ende den
-
Eintrag. Und das Spannende ist: Die
Gigaset Telefone können an einer Fritzbox
-
das Telefonbuch anzeigen. Das geht an
unserer Anlage noch nicht, und wir haben
-
ein wenig die Hoffnung, dass wir das
ändern können.
-
ST: Ausblick.
zivillian: Was machen wir damit? Unser
-
Wunsch wäre Leute, die sich für DECT
interessieren, Leute, die Interesse an
-
einer Mitel Installation haben, die sich
auch damit beschäftigen, dass wir nicht
-
die einzigen sind. Wir hoffen, dass ihr
mit den Informationen loslegen könnt. Wir
-
würden uns freuen, wenn der Wireshark
Dissector den LaForge angesprochen hat,
-
weiterentwickelt wird, weil der würde uns
auf jeden Fall helfen, dort tiefer ins
-
Detail zu gehen. Spielt mit der Hardware
spielt mit der Software! Und ich, Du hast
-
noch was?
ST: Ja ich hab noch was, und hier DECT
-
ULE, wir hatten es vorhin auch von LaForge
gehört. Kann man auch mal genauer drauf
-
guchen. Wir haben auch gehört es gibt EC-
Terminals die über DECT funktionieren. Und
-
unsere Bitte, wir sammeln immernoch Daten,
und das hatten wir auch auf dem EsterHegg
-
schon mal angesprochen. Hier nochmal in
großer Runde. Crowdsourcing ist das
-
Stichwort. Wenn ihr wisst, was ihr für ein
DECT Telefon habt und was für ein Modell,
-
und uns das verraten wollt, dann könnt ihr
das im GURU eintragen. Daswürde uns extrem
-
helfen, weil nämlich wir bei der ETSI nach
dieser sogenannten EMC Liste nachgefragt
-
haben Equipment Manufacturers Code,
sozusagen das was ich kursiv auf dieser
-
Folie dargestellt hatte, Woran man
erkennen kann, welcher Hersteller es ist.
-
Und da war die Antwort: die ist geheim.
Gelächter
-
ST: Also es wäre total super, wenn Ihr
euer Modell da eintragt, das hilft uns
-
extrem, weil dann können wir das auch
zuordnen. Im Zweifelsfall, wenn wir Fehler
-
haben. Genau und wenn ihr das, das war im
Prinzip alles, was wir von euch noch
-
wollen. Und wir können da im Prinzip nur
sagen Viele Dank! Und du hast auch noch
-
was?
LaForge: vielleicht zum Proxy, wegen
-
veröffentlichen und so weiter. Soll ich
dazu noch was sagen?
-
ST: Ach so richtig, ja, der Proxy, der ist
noch nicht veröffentlicht. Magst du noch
-
was sagen, warum wir das nicht
veröffentlichen?
-
zivillian: Ich hatte das ja in der
Timeline schon dargestellt. Wir haben
-
sehr, sehr kurzfristig die Zusage
bekommen, dass der Fehler behoben wird.
-
Wir fanden es unverantwortlich, unser
Tooling zu veröffentlichen, nicht nur,
-
weil dann unsere Anlage betroffen ist,
sondern weil es irgendwie mit zwei zeilen
-
Code möglich wäre, jede SIP-DECT
Installation weltweit zu kompromittieren.
-
Wir sind in Abstimmung mit dem Hersteller.
Wir wollen das Tooling veröffentlichen. Wir
-
wollen euch das zur Verfügung stellen,
sodass ihr auch selber reinschauen könnt,
-
wenn ihr so eine SIP-DECT Installation
habt. Der aktuelle Plan ist, dass im
-
ersten Quartal nächsten Jahres zu machen.
Sobald die bestehenden Installationen die
-
Chance hatten, das Update einzuspielen.
Applaus
-
Herald: Vielen, Vielen Dank, für die
schöne Präsentation, ich bin mir sicher,
-
dass ihr Lust habt, mit uns noch ein wenig
zu diskutieren. Ich schau mal, ob ich
-
schon Fragen hier sehe. Wir haben Mikros
aufgestellt im Saal, die eins, die zwei und die
-
drei stellt euch da einfach dran, und wir
haben auch Fragen aus dem Internet. Aber
-
wir fangen sofort hier mit der zwei an.
Deine Frage bitte.
-
Frage: Ihr habt gesagt, es gab erst ein
Update von Mitel und das habt ihr
-
beanstandet. Und dann wurde gesagt es gibt
eine bessere Lösung. Was ist denn jetzt
-
die bessere Lösung? Wie wird der Key denn
jetzt generiert?
-
zivilian: Die Antennen müssen initial
einmal mit der Installation gekoppelt
-
werden. Der Vorgang nennt sich Capture.
Die Annahme, die wir getroffen haben, ist,
-
dass dieser Vorgang in einer
vertrauenswürdigen Umgebung stattfindet.
-
Und im Rahmen dieses Capture Vorgangs wird
individuelles Schlüssel Material zwischen
-
dem OMM und der Antenne ausgehandelt und
für die weitere Kommunikation genutzt. Das
-
heißt, jede DECT Antenne hat einen eigenen
Blowfish-Key.
-
Herald: Da machen wir die Frage von meinem
Signal Angel, also aus dem Internet.
-
Signal-Angel: Wussten die Leute vom Baumarkt,
dass da an der Außenantenne gebastelt
-
wurde.
zivilian: Das könnte auch gephotoshopt
-
gewesen sein. Ich kann das weder
bestätigen noch verneinen.
-
Applaus
Herald: Die 2 bitte.
-
Frage: Euren Tetris Hack da kann man den
nutzen, um zum Beispiel bei den eigenen
-
Extensions eine eigene MIDI-Melodie zu
setzen. Das heißt, wenn ich jemanden
-
anrufe wird der zumbeispiel gerickrolled?
zivilian: ich glaube rickroll, wär zu
-
lang, weil 256 Töne ist das Limit. Das
Hauptproblem ist, dass die 256 Töne nur
-
auf den 2G Antennen funktionieren. Mitel
hat bei den 3G Antennen an der Hardware
-
gespart. Die können nur noch sechs Töne.
Das reicht nicht mehr.
-
Herald: Okay, ich schau nochmal zu meinem
Signal Angel haben wir noch Fragen aus dem
-
Netz?
Signal-Angel: Ja eine kommte gerade noch
-
rein: wo genau kann man seine Telefon
Gerätenummer melden?
-
zivilian: magst du?
ST: Im GURU. Eventphone, bzw.
-
guru3.eventphone.de, wenn du dich dort
einloggst in deinen Account hast so bei
-
deinem Gerät sozusagen ein Schlüssel,
quatsch nicht Schlüssel, einen Stift. Da
-
kannst du das eintragen. Das ist ja auch
auf der Folie zu sehen. Genau, auf den
-
Schlüssel klicken, Dann kannst du dein
Handset editieren, und dort kannst du unten
-
bei Model das Modell eingeben und den
Hersteller. Du kannst dem sogar einen
-
Namen geben, was den Vorteil hat, wenn du
das das nächste Mal benutzt, dann kannst
-
du eine Nebenstelle registrieren und unten
gleich das DECT zuweisen, dann musst du
-
auch den Token nicht mehr eingeben,
sondern kommst auf die Veranstaltung und
-
das Telefon funktioniert einfach.
LaForge: Vielleicht wenn ich da noch kurz
-
ergänzend, oh das mikro ist offensichtlich
wieder aus. Ergänzend nachdem die Frage ja
-
aus dem Netz kam. Das geht natürlich hier
nur für die Leute, die bei Eventphone ihr
-
Telefon eingebucht haben. Das ist damit
das in Ruhe registriert ist, Dann ist die
-
Nummer ja mit dem Account entsprechend
assoziiert. Also wenn jetzt jemand
-
irgendwo da draußen im Internet, der nicht
auf einer CCC-Veranstaltung war oder eine
-
Eventphone-Veranstaltung war, der kann das
natürlich so nicht machen. Das wollte ich
-
noch vielleicht ergänzen.
ST: Ist bestimmt nur jemand in der
-
Assembly, der zu faul ist, herzukommen.
Gelächter
-
Herald: Die drei Bitte.
Frage: Wenn ich es richtig verstanden
-
habe, dann sind für gebraucht-verkaufte
Stationen bisher keine Downloads möglich.
-
Muss oder will Mitel da auch nachbessern,
um das Update zur Verfügung zu stellen?
-
zivillian: Das kann ich leider nicht
beantworten. Das weiß ich nicht.
-
LaForge: Die Kontaktdaten stehen ja in
diesem Advisory drin. Das kann man ja
-
durchaus mal den Leuten nahelegen, dass
man an die Users vielleicht auch denkt in dem
-
Kontext.
Herald: Dann die Zwei Bitte!
-
Frage: Ihr habt jetzt die Kommunikation
zwischen den Antennen und dem OMM
-
angeschaut, gibts auch Bestrebungen, die
Antenne oder den OMM weiter durch
-
OpenSource oder Eigenentwicklungen zu
ersetzen, gerade wenn hier osmocom Leute
-
anwesend sind.
LaForge: Naja, ist halt immer so eine
-
Frage der Zeit. Die Zahl der Projekte
wächst über die Zeit. Die Zahl der Leute,
-
die an den Projekten arbeiten, wächst
leider nicht entsprechend mit. Von daher
-
sehr gerne. Ich wäre der erste, der da
"Hurra" schreit, aber es müssten sich halt
-
auch Leute irgendwie einbringen.
Dementsprechend. Ich denke ein guter
-
Startpunkt für etwaige spätere OpenSource
Entwicklungen, oder überhaupt Arbeit mit
-
DECT wäre, wenn Leute zu dem DECT
Wireshark Dissektor beitragen würden. Ja,
-
das ist ja alles Zeug was in der DECT-
Spezifikation steht. Also man muss diese
-
Specs lesen, man muss sie verstehen, was
man sowieso muss, wenn man an OpenSource
-
in dem Kontext arbeiten will. Zumindest
eben isolierte Teile davon, und das kann
-
man dann in Wireshark Dissector
ausdrücken. Und dann hätte man schon mal
-
eine bessere Ausgangsbasis. Also Sehr
gerne. Aber, ja, Contributions brauchen
-
wir.
Herald: Ok, Im Saal sehe ich keine
-
weiteren Fragen, ich schaue nochmal zu
meinem Signal Angel. Auch keine. Dann
-
bedanke ich mich bei euch erst einmal für
die lebhafte Diskussion bei euch dreien
-
bzw. bei allen von Eventphone für eure
Arbeit. Vielen vielen Dank!
-
Applaus
-
36c3 Abspannmusik
-
Untertitel erstellt von c3subtitles.de
im Jahr 2021. Mach mit und hilf uns!