den Überwachern in die Suppe spucken

serveimage
Erstveröffentlicht: 
22.06.2015

Dass im Keller der Kantonspolizei Zürich mindestens zwei IMSI-Catcher stehen, ist bekannt. Da eine rechtliche Grundlage für ihren den Einsatz fehlt und die Kantonspolizei konkrete Auskünfte verweigert, lässt sich nur schlecht abschätzen, wofür die spezialisierten Überwachungsgeräte tatsächlich verwendet werden. Sie eignen sich weniger, um Gespräche abzuhören oder eine bereits verdächtige Person zu lokalisieren oder zu überwachen. Dafür kann mit Hilfe von IMSI-Catchern einfach festgestellt werden, wer sich an einem Ort aufhält. So liesse sich beispielsweise mit wenigen Messungen bestimmen, wer an einer Demonstration teilgenommen oder sich in in deren Umfeld aufgehalten hat. Aus diesem Grund haben wir, in Zusammenarbeit mit einem Medienpartner, in Zürich zum 1. Mai eine Installation aus mehreren sogenannten IMSI-Catcher-Catchern aufgebaut. Dieser Artikel beschreibt die Konfiguration und unsere gesammelten Erkenntnisse.


Konfiguration

Diese Anleitung beschreibt die Schritte, um Informationen über einen möglichen Einsatz eines IMSI-Catchers zu gewinnen. Wir verwenden gerootete Android Smartphones mit SnoopSnitch.

Szenario

Unser Szenario bezieht sich auf Situationen in urbanen Gegenden mit grosser Bevölkerungsdichte. Ein IMSI-Catcher wird unserer Annahme nach kurz (wahrscheinlich wenige Sekunden) aber in mehreren Intervallen (z.B. halbstündlich) eingesetzt. Dadurch ergeben sich kurze Veränderungen, in Form von neu aktiv werdenden Antennen, respektive massive Unterschiede in der Stärke des Antennensignals, in der Antennenlandschaft im entsprechenden Gebiet.

 

Unseres Erachtens sind fix installierte SnoopSnitch-Handys an Standorten im möglichen Einsatzgebiet die bevorzugte Installation. Die Geräte sollten möglichst schon einige Tage vor einem entsprechendem Anlass installiert und nicht mehr bewegt werden. Dadurch werden Informationen über die lokale Antennenlandschaft (Baseline) gewonnen, welche bei der späteren Auswertung hilfreich sein können.

Mehrere fixe Standorte für SnoopSnitch-Handys sind strategisch gut auszuwählen, sodass stationäre wie auch mobile IMSI-Catcher möglichst lokalisiert werden können. Eine stationäre Konfiguration kann durch mobile SnoopSnitch-Handys ergänzt werden, um einen Einsatz eines mobilen IMSI-Catchers möglichst genau zu dokumentieren (Route, Fotos, Einsatzzeit und -intervall, etc.).

Anforderung

  • Gerootetes Android mit Qualcom GSM-Chip (siehe Kompatibilitätsliste)
  • SIM-Karte
  • Stromversorgung pro SnoopSnitch-Handy
  • SnoopSnitch in aktuellster Version (derzeit 0.9.7)
  • Root Dateisystemzugriff (App wie bspw. «Root Browser»)

Vorbereitung

Die SnoopSnitch-Geräte für die Standorte am besten zwei bis drei Tage im Voraus installieren.

  • App ID aller Geräte notieren

Konfiguration SnoopSnitch App

Fixe wie auch mobile SnoopSnitch-Geräte identisch konfigurieren.

Logdateien

  • Baseband log clean interval: Never
  • Location log clean interval: Never
  • Analysis data clean interval: Never
  • Debug log clean interval: Never

Position

  • GPS Location: On

Development

Wer die Logrohdaten selbst noch auswerten möchte, sollte die standardmässig aktive (und sinnvolle) Verschlüsselung dieser vorher deaktivieren:

  • Enable development options: yes
  • Unencrypted log files: yes
  • Unencrypted radio data: yes

Fixe Standorte

  • Stromversorgung für mehrere Tage

Mobil

  • Stromversorgung für mehrere Stunden (z.B. mobile USB-Akkus)
  • Zusätzliches GPS-Gerät zur Aufzeichnung der Route
  • Zusätzliche Kamera um möglichen Einsatz zu dokumentieren

Auswertung

In der aktuellen App-Oberfläche ist die Sektion IMSI-Catcher relevant. Werden dort Events mit einem hohen Rating (grösser 3) angezeigt, ist ein Einsatz eines IMSI-Catcher eher wahrscheinlich. In diesem Fall empfiehlt es sich SR Labs zu informieren (siehe Upload).

Wichtig ist bei entsprechenden Events nicht voreilig Schlüsse zu ziehen und Schuldige zu bestimmen. Potenziell können IMSI-Catcher von unterschiedlichen Interessengruppen mit vielfältigen Zielen eingesetzt werden. Die technischen und finanziellen Hürden sind hierfür nicht mehr so gross.

Upload

IMSI Events grösser 3 sollten in der App an SR Labs übermittelt werden. In einem zusätzlichen kurzen Mail an snoopsnitch@srlabs.de sollten weitere Informationen zum Umstand des IMSI-Events mitgeteilt werden:

  • App ID
  • Beschreibung des eingesetzten Handys (Android Version, Gerättyp/Modellnummer)
  • Beschreibung des Ereignisorts/Anlasses

Abschliessend

Im Zeitraum um die 1. Mai-Demo 2015 in Zürich haben wir keine Hinweise auf einen möglichen Einsatz eines IMSI-Catchers gefunden. Unsere Installation und das gewählte Vorgehen erachten wir auch nach dem Anlass als sinnvoll.
Mit diesem Beitrag möchten wir unsere gesammelten Erfahrungen teilen.

Weiterführendes

Das FAQ bietet ebenso wie die Mailinglist weitere Hilfestellungen und ist vor einem Einsatz zu studieren.

Zeige Kommentare: ausgeklappt | moderiert

ich dachte, die Dinger (Hersteller z.B. Rhode & Schwarz) wären *gerade* für das Abhören von Gesprächen konzipiert ? Sie simulieren eine Basisstation, um alle Mobiltelefone im näheren Umkreis durch eine kurzzeitig erhöhte Antennenleistung auf den Catcher einzubuchen und somit gezielt einzelne "Handys" herauspicken zu können. (IMEI usw.)

Ich wage zu behaupten, selbst schonmal Ziel eines solchen Angriffes geworden zu sein. Mitten im Gespräch sauberer Verbindungsabbruch, danach Neueinwahl und plötzlich ein riesiges Echo im Gespräch. Danach ein paar Begebenheiten, die den Verdacht auf ziemlich eindeutige Art erhärteten. Mag ich jetzt nicht weiter ausführen. Damals gab es noch als Software den Nokia Network-Monitor, der die Verbindungsdaten der Basisstationen mitloggen konnte. Hat mir keine neuen Hinweise gebracht, nicht jeder schleppt ganztags 'nen Laptop mit sich rum, um die ganzen Einbuchungen zu protokollieren.

Von technischer Seite jedenfalls muss auch der IMSI-Catcher eine "eindeutige" Adresse haben. Da er von der Funktion her wie eine normale Basisstation auftritt, nur eben nicht dauerhaft infrastrukturmässig, sondern eher zu "besonderen Anlässen".

 

Bewegungsrelevante Daten liefert ohnehin jeder Provider bzw. jedes Mobilfunknetz, da brauchts keine heimliche Technik.

 

Eine kleine Genugtuung : Um sich einzelne Phones zu schnappen, muss der IMSI-Catcher ordentlich Sendelesitung bringen. Sonst bucht sich das Handy vielleicht ungewollt nebenan ein. Im Idealfall grillt die erzeugte HF-Strahlung gleich noch bissl das Hirn oder den Hoden der Abhörspezialisten.