1 00:00:00,000 --> 00:00:19,665 *36C3 Vorspannmusik* 2 00:00:19,665 --> 00:00:22,867 Herald: Willkommen zum nächsten Vortrag. Ich muss ja sagen, aus persönlicher 3 00:00:22,867 --> 00:00:26,660 Erfahrung, dass der Kongress für mich gerade deswegen so schön ist, weil er so 4 00:00:26,660 --> 00:00:30,359 traumhaft familienfreundlich ist. Wir sind diesmal wieder mit zwei Kindern da, und da 5 00:00:30,359 --> 00:00:35,250 ist natürlich das Kids-Space absolut goldwert, aber, und das glaubt man gar 6 00:00:35,250 --> 00:00:40,080 nicht, dieses Ding hier, das DECT-Telefon, das macht diesen Kongress auch für mich 7 00:00:40,080 --> 00:00:44,570 extrem kinderfreundlich, weil wir eben schon vor vielen Jahren unseren Sohn mit 8 00:00:44,570 --> 00:00:48,940 so einem DECT-Telefon einfach laufen lassen konnten und der konnte den Kongress 9 00:00:48,940 --> 00:00:53,554 für sich selbst entdecken und wir konnten unseren Sohn später wiederentdecken. Das 10 00:00:53,554 --> 00:00:57,480 ist sehr, sehr hilfreich. Deswegen, so eine Technologie macht eben auch eine 11 00:00:57,480 --> 00:01:03,950 Konferenz viel, viel wertvoller. Ich bin zugegebenerweise nur Dummer, aber 12 00:01:03,950 --> 00:01:08,030 dankbarer Nutzer, aber die jungen Herren, die wir jetzt hier haben, die können uns 13 00:01:08,030 --> 00:01:12,530 etwas sagen, was mit dieser Technologie noch möglich ist. Wir begrüßen nämlich 14 00:01:12,530 --> 00:01:16,850 Zivillian und ST, die sind beide Mitglieder im Eventphone-Team, und wir 15 00:01:16,850 --> 00:01:21,170 haben einen Gast-Hacker mit LaForge und die werden jetzt den Vortrag halten. 16 00:01:21,170 --> 00:01:25,870 Hashtag #mifail oder: Mit Gigaset wäre das nicht passiert! Oder der Untertitel, der 17 00:01:25,870 --> 00:01:29,930 mir sehr gut gefällt, DECT ist korrekt. Vielen Dank! 18 00:01:29,930 --> 00:01:37,654 *Applaus* 19 00:01:37,654 --> 00:01:41,671 ST: Ja, vielen Dank. Wir sind total überrascht, weil wir ja dachten, das ist 20 00:01:41,671 --> 00:01:45,820 ein Nischen-Vortrag, da haben wir mit 20 Leuten gerechnet, jetzt sind doch 40 21 00:01:45,820 --> 00:01:54,870 gekommen, das ist richtig krass. Ja, im Prinzip ist die Vorstellung durch. Was 22 00:01:54,870 --> 00:01:58,930 machen wir heute? Wir müssen uns auf jeden Fall beeilen, weil es ist sehr sehr viel. 23 00:01:58,930 --> 00:02:04,560 Ganz kurz werden wir etwas dazu erzählen, was ist das POC eigentlich genau. Was 24 00:02:04,560 --> 00:02:08,569 machen die so? Was benutzen wir für Technologie? Deswegen haben wir auch am 25 00:02:08,569 --> 00:02:14,200 Anfang diesen komplizierten Aufbau, dass wir uns hier direkt die Hardware live 26 00:02:14,200 --> 00:02:19,160 angucken können. Wie das alles funktioniert. Dann kommen wir zu dem 27 00:02:19,160 --> 00:02:27,250 eigentlichen Problem, dass es dort, ja, eine kleine Sicherheitsschwankung gab, die 28 00:02:27,250 --> 00:02:33,580 wir herausgefunden haben, LaForge wird das genau erklären, wir werden Euch erzählen, 29 00:02:33,580 --> 00:02:39,970 wie der Hersteller damit umgegangen ist und was wir dann daraus gebaut haben und 30 00:02:39,970 --> 00:02:44,810 wie wir sozusagen mit dieser Sicherheitsschwankung mehr Features 31 00:02:44,810 --> 00:02:51,540 implementiert haben und noch mehr für die User tun können. Weiter geht's dann mit 32 00:02:51,540 --> 00:02:56,090 den Metadaten, wie sind wir eigentlich dazu gekommen und dann zeigen wir Euch 33 00:02:56,090 --> 00:03:03,390 dann nochmal live hier auf dem Tisch, wie man unwillige Geräte willig bekommt und am 34 00:03:03,390 --> 00:03:08,660 Ende gibts noch einen Ausblick. Dann fangen wir mal damit an... Was ist 35 00:03:08,660 --> 00:03:14,209 eigentlich das POC wer oder was ist das Eventphone und dann haben wir geguckt, was 36 00:03:14,209 --> 00:03:18,720 sagt eigentlich dieses Internet? Und das Internet sagt, das Phone Operations Center 37 00:03:18,720 --> 00:03:22,950 ist ein integriertes Hard- und Softwareprojekt, welches es ermöglicht, 38 00:03:22,950 --> 00:03:26,490 auf Grossveranstaltungen ein fläschendeckendes und funktionsfähiges 39 00:03:26,490 --> 00:03:32,459 DECT-Netz zu realisieren. Steht in der Wikipedia, muss ja stimmen und in der Tat, 40 00:03:32,459 --> 00:03:38,260 das ist so und sehr schön finden wir auch "Eventphone, ein bedeutender Anbieter von 41 00:03:38,260 --> 00:03:44,400 drahtloser Kommunikation für Großveranstaltungen". Bedeutend, ja. Das 42 00:03:44,400 --> 00:03:49,569 freut uns natürlich. Nun zu unserem One- Pager, Was machen wir wirklich wirklich? 43 00:03:49,569 --> 00:03:55,650 Also klar, Infrastruktur für drahtlose Telefone, das wisst Ihr wahrscheinlich 44 00:03:55,650 --> 00:04:00,550 alle. Wer von Euch hat ein DECT? Könnt ihr mal Handzeichen geben? Oh, ja, ja, da ist 45 00:04:00,550 --> 00:04:07,188 ja der Raum sagen wir mal die Hälfte. Dann machen wir Leih-Telefone für Orga- und 46 00:04:07,188 --> 00:04:11,550 Infrastruktur-Teams, die bereiten wir im Wesentlichen vorher schon vor. 47 00:04:11,550 --> 00:04:15,840 Provisionieren die, stellen den Betrieb sicher, nehmen die zurück und reinigen die 48 00:04:15,840 --> 00:04:23,080 dann auch wieder. Der Telefondesinfizierer ist das Stichwort. Dann haben wir SIP und 49 00:04:23,080 --> 00:04:27,569 Premium. SIP-Server, die wir betreiben, Premium-SIP tatsächlich, die haben 50 00:04:27,569 --> 00:04:32,139 wikrlich andere Funktionen, zum Beispiel das CERT, die sichere Leitungen brauchen, 51 00:04:32,139 --> 00:04:36,819 die möglichst nicht ge-DDoS-sed werden haben andere Server und man kann, hat dort 52 00:04:36,819 --> 00:04:40,689 mehr Rechte, kann zum Beispiel raustelefonieren. Das EP-VPN betreiben 53 00:04:40,689 --> 00:04:45,749 wir, also ein VPN, was auch außerhalb der Events funktioniert. Das integrieren wir 54 00:04:45,749 --> 00:04:50,620 immer in die Netze der Veranstaltungen. Das Rufnummern- und Token-Handling, wer 55 00:04:50,620 --> 00:04:54,409 quasi ein DECT angemeldet hat, der weiß, da muss man ein Token eingeben, das machen 56 00:04:54,409 --> 00:05:00,580 wir alles. Unser GURU, der Generic User oder das Generic User Registration 57 00:05:00,580 --> 00:05:04,819 Utility, das Self-Service-Portal, dort wo ihr Eure Nummern anlegen könnt, wo ihr Eure 58 00:05:04,819 --> 00:05:09,599 Geräte verbinden könnt. Und so. Das ist auch von uns. Auch sozusagen der Link zum 59 00:05:09,599 --> 00:05:15,909 GSM-Team, deren Rufnummern verwalten wir auch. Dial-In/Dial-Out, also das Ihr 60 00:05:15,909 --> 00:05:20,110 angerufen werden könnt von Außen und das Ihr Euch auch raustelefonieren könnt. 61 00:05:20,110 --> 00:05:25,219 Special Services, zum Beispiel die Anbindung der Chaos-Vermittlung. Es gibt 62 00:05:25,219 --> 00:05:30,349 Spiele, Witze-Hotline, die Uhrzeit oder eine automatische Annahmestelle für Lärm- 63 00:05:30,349 --> 00:05:34,919 Beschwerden. *Gelächter* 64 00:05:34,919 --> 00:05:39,720 Weiterhin haben wir noch eine neue Abteilung, die Ausbildung in 65 00:05:39,720 --> 00:05:48,559 Medienkompetenz. Wo wir Euch immer wieder vor Augen halten. Guckt alles kritisch an 66 00:05:48,559 --> 00:05:55,309 und nehmt nicht alles so für bare Münze, was Ihr so in diesem Internet seht und 67 00:05:55,309 --> 00:06:04,335 hört. Und, wir sind in diesem Jahr volljährig geworden. 68 00:06:04,335 --> 00:06:13,569 *Applaus* Und dazu muss ich noch drei Sekunden etwas 69 00:06:13,569 --> 00:06:18,029 sagen, nämlich es gibt eine Person, die das tatsächlich seit 18 Jahren schon macht 70 00:06:18,029 --> 00:06:22,319 und wirklich auf jedem Event, nicht nur Kongresse, auch in der Sommer-Events und 71 00:06:22,319 --> 00:06:27,650 dazwischen immer dabei war, der, egal ob krank oder nicht, sich für das Telefonnetz 72 00:06:27,650 --> 00:06:31,461 eingesetzt hat und das ist Sascha. Und an der Stelle wollte ich noch mal ganz, ganz 73 00:06:31,461 --> 00:06:36,401 lieben Dank sagen, 18 Jahre Eventphone, für Dich... 74 00:06:36,401 --> 00:06:49,210 *Applaus* So, kürzen wir das ab. Kurzum, man ist 75 00:06:49,210 --> 00:06:53,830 überall erreichbar, auch im Schwimmbad. Wer die Kampagne kennt, wer sie nicht 76 00:06:53,830 --> 00:06:59,012 kennt, der QR-Code im Nachgang, sehr gern. So, dann. Worum geht es heute nicht? Noch 77 00:06:59,012 --> 00:07:03,939 einmal ganz konkret, wir haben auf dem 35C3 einen langen Vortrag gehalten, 78 00:07:03,939 --> 00:07:07,099 darüber, wie ist das Eventphone entstanden, was gibt es für Geschichte und 79 00:07:07,099 --> 00:07:10,699 so weiter und so fort. Das werden wir heute nicht besprechen. Und auch auf dem 80 00:07:10,699 --> 00:07:14,919 Easterhegg haben wir sozusagen dieses neue Telefonsystem nochmal im Detail erklärt, 81 00:07:14,919 --> 00:07:20,439 also warum sind wir von dem alten Alcatel- System auf dieses neue Mitel-System 82 00:07:20,439 --> 00:07:25,830 umgestiegen? Und was gehört da alles dazu. Das alles heute nicht, könnt ihr im 83 00:07:25,830 --> 00:07:31,509 Nachgang euch anschauen. Heute geht es wirklich nur um diese rote Linie, nämlich 84 00:07:31,509 --> 00:07:38,150 die Verbindung von dem Open Mobility Manager, dem OMM, und den RFPs, den Radio 85 00:07:38,150 --> 00:07:47,699 Fixed Parts, also den umgangssprachlichen Antennen. Dann werden die Techjungs ganz 86 00:07:47,699 --> 00:07:51,409 viele Abkürzungen benutzen, und die würde ich nochmal ganz schnell einmal 87 00:07:51,409 --> 00:07:56,509 durchgehen. OMM haben wir gerade gesehen auf der Folie davor. Open Mobility 88 00:07:56,509 --> 00:08:02,379 Manager, das ist das Stück Software von Mitel. RFP das sind diese Radio Fixed 89 00:08:02,379 --> 00:08:09,919 Parts, also die Antennen und die PPs das ist so DECT-Sprech, dass ist alles, was 90 00:08:09,919 --> 00:08:15,180 mobil ist. Da klingelt schon wieder eins. Sehr schön, unser System läuft. Alles, was 91 00:08:15,180 --> 00:08:21,189 sich bewegen kann, PPs Portable Parts, normale DECT-Endgeräte, aber eben auch 92 00:08:21,189 --> 00:08:29,259 solche kleinen Headsets. Dann wisst ihr, was damit gemeint ist. Dann werden wir ein 93 00:08:29,259 --> 00:08:33,410 paar Abkürzungen verwenden, die IPEI und ihr seid ja alle sicherlich im 94 00:08:33,410 --> 00:08:37,970 Netzwerksegment ein bisschen firm: International Portable Equipment 95 00:08:37,970 --> 00:08:42,020 Identifier. Das könnt euch vorstellen, dass ist sowas ähnliches wie die MAC- 96 00:08:42,020 --> 00:08:48,000 Adresse. An dem Beispiel seht ihr auch dort ist ein Teil kursiv geschrieben. Der 97 00:08:48,000 --> 00:08:52,340 ist sozusagen der Herstellerteil. Das ist auch wie bei der MAC-Adresse. Der ist fest 98 00:08:52,340 --> 00:08:56,100 zugewiesen. Daran kann man den Hersteller erkennen, und danach ist einfach ein 99 00:08:56,100 --> 00:09:01,920 Zähler. Ebenso kann man einen Netzwerkvergleich herstellen mit der IPUI 100 00:09:01,920 --> 00:09:07,860 der International Portable User Identity. Das ist so etwas ähnliches wie die IP- 101 00:09:07,860 --> 00:09:14,140 Adresse, die wird sozusagen von dem System ausgegeben, was es sozusagen betreibt, 102 00:09:14,140 --> 00:09:19,490 also der DHCP-Server vom NOC vergibt IP-Adressen und wir vergeben diese IPUIs und 103 00:09:19,490 --> 00:09:26,580 dann werden die ETSI kennenlernen, das European Telecommunications Standards 104 00:09:26,580 --> 00:09:32,170 Institute, das verabschiedet im Prinzip Standards, wie der Name sagt, in Europa. 105 00:09:32,170 --> 00:09:39,330 Und da gehört, ganz wichtig, auch DECT dazu. Die IPUI, noch ganz kurz hinterher, 106 00:09:39,330 --> 00:09:42,730 die gibt es in mehreren Formaten. Also das Beispiel, was dort steht, das muss nicht 107 00:09:42,730 --> 00:09:48,500 unbedingt so sein. Das ist nicht so einfach, wie bei der IT, genormt. So, und 108 00:09:48,500 --> 00:09:54,050 jetzt gucken wir uns mal ganz genau an, wie denn hier soein SIP-DECT 109 00:09:54,050 --> 00:09:59,420 zusammengestellt ist und Zivillian wird euch das erklären und ich verfolge das 110 00:09:59,420 --> 00:10:05,321 hier mal mit der Kamera. zivillian: Genau. Anleitung zum 111 00:10:05,321 --> 00:10:08,860 Selbermachen ist der Titel. Wir wurden schon oft gefragt, was genau macht ihr da? 112 00:10:08,860 --> 00:10:12,740 Wie funktioniert das? Kann ich das auch machen? Ich will Hotel-VPN machen äh 113 00:10:12,740 --> 00:10:19,310 Hotel-DECT machen. Was genau muss ich dafür tun? Ihr braucht natürlich eine 114 00:10:19,310 --> 00:10:24,710 Antenne, ein Radio Fixed Part. Die gibt's in verschiedenen Generationen. Wir 115 00:10:24,710 --> 00:10:29,880 empfehlen euch Generation 3 oder höher. Die sind relativ einfach zu erkennen. Zum 116 00:10:29,880 --> 00:10:33,890 Einen haben die Generation-3-Antennen, Lüftungsschlitze auf der Rückseite, und 117 00:10:33,890 --> 00:10:36,500 zum Anderen haben die Generation-3-Antennen auch einen 118 00:10:36,500 --> 00:10:39,710 USB-Anschluss. Das heißt, wenn ihr euch irgendwo sowas kaufen wollt und nicht 119 00:10:39,710 --> 00:10:43,680 sicher seid, was das ist, dann guckt einfach drauf. Generation 2 oder darunter 120 00:10:43,680 --> 00:10:49,250 empfehlen wir nicht mehr. Die Geräte gibt es unter Anderem beim Hersteller, aber man 121 00:10:49,250 --> 00:10:54,131 kann die natürlich auch gebraucht kaufen. Die gibt's meistens für unter 100 Euro. 122 00:10:54,131 --> 00:10:58,780 Wenn sie mehr als 100 Euro kosten, dann ist es ein bisschen überteuert. Dazu 123 00:10:58,780 --> 00:11:03,280 braucht er eine Lizenz, weil das ist natürlich keine Open-Source-Software von 124 00:11:03,280 --> 00:11:08,890 Mitel, sondern ein kommerzielles Produkt. Da gibts eine Besonderheit: Bis zu fünf 125 00:11:08,890 --> 00:11:11,540 Antennen können mit der integrierten Lizenz betrieben werden, die bei der 126 00:11:11,540 --> 00:11:14,280 Software mit dabei ist. Das heißt, für kleine DECT-Installationen, wie zum 127 00:11:14,280 --> 00:11:19,180 Beispiel für unser Aufbau-DECT, braucht man keine Lizenz. Das hat nur fünf 128 00:11:19,180 --> 00:11:24,571 Antennen. Das kann man einfach kostenlos nutzen. Wenn man telefonieren möchte, also 129 00:11:24,571 --> 00:11:29,460 nicht nur zwischen den Geräten, sondern in Richtung SIP, mit Dial-Out oder Dial-In, 130 00:11:29,460 --> 00:11:32,630 dann braucht man natürlich noch einen SIP- Server dahinter. Wir empfehlen an der 131 00:11:32,630 --> 00:11:38,560 Stelle immer den Yate, den wir selber auch einsetzen in unserer Installation. Und wir 132 00:11:38,560 --> 00:11:43,060 haben da in den Slides auch das Cookbook für Yate verlinkt. Das ist auch in dem QR- 133 00:11:43,060 --> 00:11:45,790 Code nochmal zu finden. Das sind relativ hilfreiche Anleitungen, wenn man da 134 00:11:45,790 --> 00:11:49,540 keinerlei Erfahrungen hat, um reinzukommen. Damit kann man sich auf 135 00:11:49,540 --> 00:11:54,020 jeden Fall auch einen eigenen SIP-Server installieren. Den OMM, den ST schon 136 00:11:54,020 --> 00:11:58,760 erwähnt hat, braucht man natürlich auch, weil der steuert die Antennen. Da gibt es 137 00:11:58,760 --> 00:12:03,090 zwei Möglichkeiten, wie man den betreiben kann. Die eine Möglichkeit ist, den direkt 138 00:12:03,090 --> 00:12:07,070 auf der Antenne laufen zu lassen. Da läuft auch nur ein abgespecktes Linux drauf. Da 139 00:12:07,070 --> 00:12:11,090 kann man auch den OMM laufen lassen. Das haben wir selber nie ausprobiert, deswegen 140 00:12:11,090 --> 00:12:15,340 haben wir da keinerlei Erfahrung. Alternativ reicht irgendwas, wo ein CENTOS 141 00:12:15,340 --> 00:12:19,250 läuft. In unserem Beispiel bei dem Aufbau- DECT ist das halt so eine kleine Hardware- 142 00:12:19,250 --> 00:12:24,540 Appliance. Für die Anlage, die wir hier auf der Veranstaltung betreiben, haben wir 143 00:12:24,540 --> 00:12:31,410 beim NOC einen Server stehen, wo die als VM drauf läuft. Hier nochmal hübsch 144 00:12:31,410 --> 00:12:35,080 visualisiert: Wenn man den OMM auf der Antenne laufen lässt, dann ist die erste 145 00:12:35,080 --> 00:12:38,720 Antenne gleichzeitig auch der OMM, und alle weiteren werden dann einfach per IP 146 00:12:38,720 --> 00:12:43,590 mit dieser ersten Antenne verbunden. Und der OMM braucht dann halt die Verbindung 147 00:12:43,590 --> 00:12:47,730 zu dem Yate, zu dem SIP-Server. Der Nachteil davon ist, dass man in dieser 148 00:12:47,730 --> 00:12:53,270 Minimalinstallation, wenn man keinen eigenständigen OMM betreibt, maximal 512 149 00:12:53,270 --> 00:12:56,840 Endgeräte anmelden kann und wenn ihr auf unser Dashboard schaut, dann seht ihr, 150 00:12:56,840 --> 00:13:02,340 dass das für hier nicht funktionieren würde. Des Weiteren kann man maximal 256 151 00:13:02,340 --> 00:13:06,128 Antennen anschließen. Das ist dann schon eine etwas größere Installation. Aber da 152 00:13:06,128 --> 00:13:10,510 gibts halt ein hartes Limit. Wenn man den standalone betreibt, kann man deutlich 153 00:13:10,510 --> 00:13:15,920 mehr Antennen anschließen, bis zu 4096, und in den aktuellen Versionen werden dann 154 00:13:15,920 --> 00:13:21,420 auch 10.000 Benutzer bzw. Geräte unterstützt. Jetzt haben wir den OMM schon 155 00:13:21,420 --> 00:13:26,590 mehrfach erwähnt. Die spannende Frage ist: Wie kommt man daran? Offizielle Antwort 156 00:13:26,590 --> 00:13:30,430 von Mitel ist: Wenn man sich so eine Antenne kauft, dann bekommt man 157 00:13:30,430 --> 00:13:34,210 entsprechende Zugangsdaten als Mitel-Kunde und kann sich dann in dem Download-Portal 158 00:13:34,210 --> 00:13:37,940 von Mitel anmelden und die Software herunterladen. Wenn man die Antenne auf 159 00:13:37,940 --> 00:13:42,240 dem Gebrauchtmarkt kauft, dann hat man natürlich keine Mitel-Zugangsdaten, aber 160 00:13:42,240 --> 00:13:46,240 die Release Notes enthalten Download- Links. die Release-Notes sind teilweise 161 00:13:46,240 --> 00:13:49,860 öffentlich verfügbar und über Suchmaschinen auffindbar. Und wir haben 162 00:13:49,860 --> 00:13:52,690 euch da mal so ein paar Suchbegriffe an die Hand gegeben, falls ihr Interesse 163 00:13:52,690 --> 00:13:59,800 daran habt. Ja, jetzt, wo ihr wisst, wie das geht, stellt sich natürlich die Frage: 164 00:13:59,800 --> 00:14:06,450 Was macht man damit? Das, was Hacker machen, ist halt sich Sachen anschauen und 165 00:14:06,450 --> 00:14:10,540 auch mal ein bisschen tiefer ins Detail schauen. Und das ist das, was euch LaForge 166 00:14:10,540 --> 00:14:18,220 jetzt erzählen wird. LaForge: Ist dieses Mikro ... ja jetzt ist 167 00:14:18,220 --> 00:14:23,490 es offen. Gut, Firmware-Analyse, ja. Man guckt sich also ... Ich mein für mich ist 168 00:14:23,490 --> 00:14:27,370 das normal: Warum guckt man sich Firmware an? Ist eigentlich klar: Jedes Gerät, was 169 00:14:27,370 --> 00:14:30,150 ich einen Finger habe, gucke ich mir an, was will ich denn sonst mit dem Gerät? 170 00:14:30,150 --> 00:14:33,470 Irgendwie, ja ich will ja verstehen, was es macht und wie es tut und wie es 171 00:14:33,470 --> 00:14:37,970 aufgebaut ist und was für Bauteile verwendet sind und so weiter. Also ist es 172 00:14:37,970 --> 00:14:40,540 für mich eigentlich normal, dass ich mir Geräte, die ich irgendwie habe anschaue. 173 00:14:40,540 --> 00:14:43,690 Jetzt hatte ich da gerade zu dem Zeitpunkt keine so eine Antenne. Aber ich habe mich 174 00:14:43,690 --> 00:14:47,270 vor zehn Jahren schon mal mit DECT intensiver beschäftigt als Teil des 175 00:14:47,270 --> 00:14:52,900 Projekts, was damals deDECTed hieß. Wir hatten da Schwachstellen entdeckt, 176 00:14:52,900 --> 00:15:01,630 entDECT. Ja, entDECT, genau. So, ja und außerdem ist DECT ja auch, wie wir gerade 177 00:15:01,630 --> 00:15:04,980 schon gehört haben, eine ETSI- Spezifikation und ich habe ja mit ETSI- 178 00:15:04,980 --> 00:15:08,730 Spezifikationen seit über zehn Jahren quasi täglich zu tun. Zwar jetzt nicht 179 00:15:08,730 --> 00:15:12,360 DECT, aber andere. Aber prinzipiell sind eigentlich alle mal ganz interessante 180 00:15:12,360 --> 00:15:17,240 Lektüre. Ich mein das ist Geschmacksfrage. Ich mag sowas halt. Und DECT ist ja auch 181 00:15:17,240 --> 00:15:23,940 immer noch weit verbreitet und gibt ja auch jetzt hier auch DECT-ULE für 182 00:15:23,940 --> 00:15:27,270 irgendwelche Internet-of-Things-Dinge, da werden wir später nochmal drauf 183 00:15:27,270 --> 00:15:32,620 zurückkommen. Und ich hatte eben gehört, dass jetzt seit dem letzten Jahr oder seit 184 00:15:32,620 --> 00:15:37,776 einiger Zeit das POCsich entschieden hat, auf ein neues System umzustellen. Eben auf 185 00:15:37,776 --> 00:15:42,820 dieses Mitel-IP-DECT/SIP-DECT-System. Und letztes Jahr bin ich im November umgezogen 186 00:15:42,820 --> 00:15:46,570 und dachte mir "Nee, Dezember Kongress, das ist zu viel Stress. Dann bleib ich mal 187 00:15:46,570 --> 00:15:48,960 daheim", und dann war ich daheim an Weihnachten über den Kongress und dachte 188 00:15:48,960 --> 00:15:55,990 mir "Ach, guck ich mir mal diese DECT- Geschichte an". Und ja, dann guckt man 189 00:15:55,990 --> 00:15:59,930 sich natürlich erstmal die Hardware an. Ging eben auch um diese Generation 3, die 190 00:15:59,930 --> 00:16:03,960 schon mal erwähnt wurde. Macht/guckt sich die Platine an: Was sind da so für 191 00:16:03,960 --> 00:16:08,150 Bauteile drauf? Da findet man dann ein Marvell Kirkwood ARM System-on-a-Chip, 192 00:16:08,150 --> 00:16:12,400 der, wie man sich die Firmware anguckt, tatsächlich ein fast Mainline-Linux laufen 193 00:16:12,400 --> 00:16:17,560 lässt. Und der hat zwei Ethernet-Ports. Falls jemand jetzt mit diesem Begriff 194 00:16:17,560 --> 00:16:20,570 Marvell-Kirkwood nichts anfangen kann, der ist in ganz vielen Network-Attached- 195 00:16:20,570 --> 00:16:24,790 Storage-Devices drin. Auch Shiva-Plug, und wie sie nicht alle irgendwie heißen, da 196 00:16:24,790 --> 00:16:29,080 gibts jede Menge Devices, die den verwenden, der hat zwei Ethernet in dieser 197 00:16:29,080 --> 00:16:34,330 Konfiguration hier in dem RFP drin. Ein Ethernet-Port ist jener, der Richtung OMM 198 00:16:34,330 --> 00:16:36,970 spricht, also der, der auch nach außen herausgeführt ist am Gerät auf der 199 00:16:36,970 --> 00:16:40,640 RJ45-Buchse. Und dann gibts einen zweiten Ethernet-Port. Ein zweiter Ethernet-Port: 200 00:16:40,640 --> 00:16:44,270 Was machen Sie denn damit? Und Sie haben tatsächlich diesen eigentlichen DECT- 201 00:16:44,270 --> 00:16:48,650 Prozessor über Ethernet angebunden. Das heißt, also man hat einmal Ethernet von 202 00:16:48,650 --> 00:16:51,841 diesem ARM-System-on-Chip, einmal Ethernet Richtung dem DECT-Prozessor und einmal 203 00:16:51,841 --> 00:16:56,440 Ethernet nach außen und man hat serielle Konsole für Uboot und Linux und das 204 00:16:56,440 --> 00:16:59,990 Passwort wird vom OMM gesetzt. Und das ist auch in der offiziellen Doku dokumentiert, 205 00:16:59,990 --> 00:17:04,029 dass das da gesetzt wird, wenn man den konfiguriert. Das heißt, man kann da auch 206 00:17:04,029 --> 00:17:07,809 prima drauf und sich das anschauen und so weiter. Also als legitimer User oder 207 00:17:07,809 --> 00:17:12,740 Anwender sozusagen dieses Geräts kann man sich dann einloggen, kann sich umschauen. 208 00:17:12,740 --> 00:17:15,720 Unten ist das mal schematisch dargestellt diese unterschiedlichen Verbindungen. Es 209 00:17:15,720 --> 00:17:21,860 ist dann auch noch ein UART da und andere, paar GPIOs und so weiter. Wenn man sich 210 00:17:21,860 --> 00:17:25,610 dann die Software anguckt, die da drauf läuft, ist, wie gesagt, ein ziemlich, 211 00:17:25,610 --> 00:17:29,260 erstaunlicherweise ein sehr, sauberer Mainline-Kernel. Ganz wenig Patches nur 212 00:17:29,260 --> 00:17:33,780 drin. Und letztlich ist es so, dass im Kernel eigentlich gar nichts DECT- 213 00:17:33,780 --> 00:17:37,910 spezifisches ist.Das ist ein ganz normaler Kernel. Es sind keine komischen Treiber 214 00:17:37,910 --> 00:17:40,575 oder irgendwas, sondern sie haben dann eben ein Programm, eben hier dieses 215 00:17:40,575 --> 00:17:45,679 /opt/ip_rfp/ip_rfp, was Pecket-Sockets aufmacht auf diesem Ethernet-Device zum 216 00:17:45,679 --> 00:17:50,119 DECT-Prozessor, und die ganze Verarbeitung der Kommunikation erfolgt dann in einem 217 00:17:50,119 --> 00:17:53,710 Userspace-Programm. Dann gibt es noch ein paar Bibliotheken und andere interessante 218 00:17:53,710 --> 00:17:57,159 Dinge, die man da so findet in der Firmware, aber es ist eigentlich erstmal 219 00:17:57,159 --> 00:18:02,509 ein ziemlich handelsübliches Linux mit eben diesen proprietären Komponenten, die 220 00:18:02,509 --> 00:18:07,639 hier Packet-Sockets aufmachen und derartige Dinge tun. Interessant ist dann 221 00:18:07,639 --> 00:18:11,360 auch, das man sieht, da habe ich jetzt nicht auf der Slide drauf, aber man findet 222 00:18:11,360 --> 00:18:16,549 dann andere, man entdeckt dann auch noch andere Dinge. Zum Beispiel hatte ich 223 00:18:16,549 --> 00:18:20,360 gesehen: Da ist Video-for-Linux in dem Kernel drin. Ich denk mir so: Was, Video- 224 00:18:20,360 --> 00:18:23,269 for-Linux in einer DECT-Basisstation? Was hat da jemand vergessene Configuration 225 00:18:23,269 --> 00:18:27,919 auszuschalten? Nein, es ist tatsächlich so man kann an diesem USB-Port eine UVC 226 00:18:27,919 --> 00:18:31,789 Kamera anschließen, also so eine USB Videoclass Kamera und kann dann auf seinem 227 00:18:31,789 --> 00:18:39,009 DECT Telefon, sofern es videofähig ist das Kamerabild über DECT sich anschauen. Sehr 228 00:18:39,009 --> 00:18:43,129 interessante Funktion. Dann findet man auch noch ein Bluetooth Chip drin. Aha, 229 00:18:43,129 --> 00:18:47,579 man kann also offensichtlich irgendwie Bluetooth Beacons virtuell erzeugen. Auf 230 00:18:47,579 --> 00:18:51,639 diesen DECT-Basisstationen vielleicht um irgendwelche Location Services in Museen 231 00:18:51,639 --> 00:18:55,440 oder irgendwas zu implementieren. Auf den ersten Blick siehts erst mal komisch aus, 232 00:18:55,440 --> 00:18:59,860 was man da so findet im Kernel. Aber macht dann Sinn. Sie haben tatsächlich irgendwie 233 00:18:59,860 --> 00:19:06,669 usecases dafür. So! Dann findet man binary images für die Firmware dieses DECT 234 00:19:06,669 --> 00:19:10,629 Prozessors einmal einen Bootloader, der über tatsächlich die serielle 235 00:19:10,629 --> 00:19:14,600 Schnittstelle, die verbunden ist zwischen diesem DECT Prozessor und dem ARM erst 236 00:19:14,600 --> 00:19:19,320 einmal drüber geschoben wird. Also über GPIO wird der Reset losgelassen, dann wird 237 00:19:19,320 --> 00:19:22,840 diese Firmware da reingeladen und diese Firmware, also der Bootloader. Der kann 238 00:19:22,840 --> 00:19:26,499 dann über Ethernet die eigentliche Firmware nachladen dieses "rfpng.bin", 239 00:19:26,499 --> 00:19:29,240 oder so dann gibt's noch einen "macmoni.bin" was wohl offensichtlich ein 240 00:19:29,240 --> 00:19:34,529 MAC Monitor sein soll. Was genau er tut, habe ich zumindest mir nicht angeguckt. 241 00:19:34,529 --> 00:19:39,330 Ja, nun guckt man sich das so an, da hat man dieses Ethernet Device. Und was macht 242 00:19:39,330 --> 00:19:41,539 man mit einem Ethernet? Man macht natürlich erst mal ein ".pcap" File und 243 00:19:41,539 --> 00:19:45,470 schaut sich an, was irgendwie auf diesem Ethernet unterwegs ist. Also dieses 244 00:19:45,470 --> 00:19:48,490 interne Ethernet auf dem Gerät. Interessanterweise sieht man da nur rohe 245 00:19:48,490 --> 00:19:53,390 Ethernet Frames. Es gibt da unterschiedliche Subsysteme. Der Ethernet- 246 00:19:53,390 --> 00:19:58,929 type unterscheidet dann, was für Subsysteme da gerade sprechen. Guckt man 247 00:19:58,929 --> 00:20:02,279 sich das so ein bisschen an, und mit dem, was man über DECT weiß und probiert so ein 248 00:20:02,279 --> 00:20:05,269 bisschen das eine oder andere aus auf einem Telefon, das da angeschlossen ist, 249 00:20:05,269 --> 00:20:11,669 und versucht, das zu verstehen. Und ich hab dann so einen minimalistischen 250 00:20:11,669 --> 00:20:15,669 Wireshark disector für die Teile des Protokolls, die ich verstanden habe, 251 00:20:15,669 --> 00:20:20,890 gebaut. Irgendwann war dann klar ab einem gewissen Punkt, wo die eigentlichen DECT 252 00:20:20,890 --> 00:20:26,590 standardisierten Pakete sich befinden, und dafür gibts dann, obwohl es nichts 253 00:20:26,590 --> 00:20:30,340 properiäres ist, leider auch kein Wireshark-disector. Ich hab da auch ein 254 00:20:30,340 --> 00:20:33,799 bisschen was angefangen, aber nur ganz minimalistisch, damit man halt irgendwie 255 00:20:33,799 --> 00:20:37,499 so ein bisschen seine Ergebnisse bestätigen kann. Dann kommen die höheren 256 00:20:37,499 --> 00:20:39,769 Schichten und so weiter. Da gibts dann auch wieder keine Wireshark-disektoren da 257 00:20:39,769 --> 00:20:45,591 habe ich dann aufgehört, das wird dann uferlos das zu beschreiben. Im Grunde 258 00:20:45,591 --> 00:20:50,070 sieht der Split der Funktionen. Wenn man sich den DECT Netzwerkstack anschaut so 259 00:20:50,070 --> 00:20:53,529 aus. Ich werde jetzt nicht ins Detail gehen. Wer sich da mehr dafür 260 00:20:53,529 --> 00:20:57,070 interessiert. Ich hatte einen ausführlicheren, technischen Vortrag 261 00:20:57,070 --> 00:21:01,820 gehalten auf der Osmo-Defcon Anfang April diesen Jahres. Der ist auch bei 262 00:21:01,820 --> 00:21:08,200 "media.ccc.de" verlinkt. Aber das ist sozusagen der Split. Im OMM läuft also der 263 00:21:08,200 --> 00:21:15,200 Data DLC layer, der NWK Layer und was dann oben drüber kommt und im Radio teil, ist 264 00:21:15,200 --> 00:21:19,720 eigentlich nur der PHY und der MAC Layer und an der Schnittstelle zwischen DLC und 265 00:21:19,720 --> 00:21:24,200 MAC Layer. Da ist dieses Protokoll, was man sieht über diesen RAW-Ethernet Frames, 266 00:21:24,200 --> 00:21:28,150 die da vorhanden sind. So! Dann war das irgendwie so ein bisschen klar, was da 267 00:21:28,150 --> 00:21:34,659 passiert. Dann guckt man weiter in Richtung dieses OMM RFP Protokolls. Das 268 00:21:34,659 --> 00:21:38,440 sieht man. Da wird eine TCP Verbindung aufgebaut, und dann guckt man im Wireshark 269 00:21:38,440 --> 00:21:41,850 und sieht... Naja, das ist irgendwie alles, sieht ziemlich random aus, die 270 00:21:41,850 --> 00:21:44,820 Entropie ist sehr hoch, muss also irgendwie verschlüsselt oder zumindest 271 00:21:44,820 --> 00:21:49,700 verschleiert sein. Man kann dann in dem RFP und dem OMM ziemlich viel logging 272 00:21:49,700 --> 00:21:53,309 einschalten, und da macht es dann auch irgendwann Hex-dupms. Aber die Hex-dumps 273 00:21:53,309 --> 00:21:55,679 haben überhaupt nichts damit zu tun mit dem, was über diese TCP-Verbindung geht. 274 00:21:55,679 --> 00:22:00,029 Ist also irgendwie verschlüsselt. Ist aber auch kein TLS. Dann guckt man mal, die 275 00:22:00,029 --> 00:22:04,710 Symboltabellen an, findet, da ist Blowfish drin. Und zwar wird quasi Blowfish 276 00:22:04,710 --> 00:22:11,030 Funktionen aus openssl benutzt, und dann kann man ja, wenn es dynamisch gelinkt 277 00:22:11,030 --> 00:22:15,293 ist, kann man ja so mit LD-preload andere Bibliotheken hinladen, die die gleichen 278 00:22:15,293 --> 00:22:18,980 Symbole anbieten. Und das waren dann 2 Bibliotheken eine "libtracefish", die 279 00:22:18,980 --> 00:22:23,489 sozusagen cypher Text und plain Text jeweils als Hex-dump am ausgegeben hat, 280 00:22:23,489 --> 00:22:28,241 damit man sieht, was da passiert. Und dann als nächstes die "libnullfish", die 281 00:22:28,241 --> 00:22:34,270 einfach jeden call auf die Blowfish Funktion durch ein memcopy ersetzt. Und dann hat man eben 282 00:22:34,270 --> 00:22:39,410 den plain Text auf der anderen Seite und sieht das da. Was man erkennt, ist, dass 283 00:22:39,410 --> 00:22:43,330 viele der rohen Ethernet Frames, die man auf der Seite Richtung DECT-Prozessor 284 00:22:43,330 --> 00:22:47,480 gesehen hat, einfach 1 zu 1 durchgereicht werden, die man halt enkapsuliert zusammen 285 00:22:47,480 --> 00:22:50,870 mit vielen anderen Dingen über dieses TCP- Protokoll. Da werden wir noch mehr drüber 286 00:22:50,870 --> 00:22:54,590 hören, gleich dann im Anschluss, das haben sich die Leute von Eventphone dann wieder 287 00:22:54,590 --> 00:23:01,690 näher angeguckt. Was wichtig an der Stelle noch ist. Ja gut, dann kann man diese 288 00:23:01,690 --> 00:23:06,710 Verschlüsselung abschalten. Aber Dieter Spahr, bekannt auch aus dem osmocom 289 00:23:06,710 --> 00:23:09,770 Projekt, hat sich dann die Verschlüsselung nochmal ein bisschen näher angeguckt, die 290 00:23:09,770 --> 00:23:12,929 da passiert. Und die, ich meine Blowfish ist natürlich klar. Aber die Schlüssel 291 00:23:12,929 --> 00:23:15,310 Generierung im Speziellen, und es war dann ziemlich schnell klar, dass es ein 292 00:23:15,310 --> 00:23:20,610 statischer, für alle Geräte global einheitlicher statischer Key ist, der da 293 00:23:20,610 --> 00:23:26,830 verwendet wird. Und das ist natürlich schlecht, wenn man irgendwie einen global 294 00:23:26,830 --> 00:23:30,529 auf allen Geräten identischen Key hat, den man dann da auch rauspopeln kann aus der 295 00:23:30,529 --> 00:23:34,230 Firmware. Damit kann man natürlich auch die Kommunikation anderer Geräte 296 00:23:34,230 --> 00:23:39,299 entschlüsseln. Und das bringt uns dann eigentlich zu dem entdeckten Security 297 00:23:39,299 --> 00:23:46,389 Problem. Und ich gebe zurück. zivillian: Wie LaForge gerade schon sagte 298 00:23:46,389 --> 00:23:50,990 Das ist ein statischer Key, der für alle Installationen genutzt wird. Das ist 299 00:23:50,990 --> 00:23:54,909 insofern ein bisschen kritisch, dass jemand, der in der Lage ist, eine man-in- 300 00:23:54,909 --> 00:23:59,439 the-middle Attacke durchzuführen, die Kommunikation entschlüsseln kann, mitlesen 301 00:23:59,439 --> 00:24:04,529 kann, potenziell manipulieren kann. Wir haben uns dann überlegt Naja, wie kann man 302 00:24:04,529 --> 00:24:12,209 denn so eine man-in-the-middle Position erreichen? Habe hier mal ein Foto. Danke 303 00:24:12,209 --> 00:24:14,590 roter Kreis. *Gelächter* 304 00:24:14,590 --> 00:24:18,019 zivilian: Wir haben dann da noch ein bisschen rangezoomt. Die hängt jetzt 305 00:24:18,019 --> 00:24:20,539 glücklicherweise relativ tief. Manchmal werden diese Außen-Antennen noch deutlich 306 00:24:20,539 --> 00:24:24,369 höher angebracht, zum Beispiel an Baumärkten. Da braucht man dann noch eine 307 00:24:24,369 --> 00:24:32,200 Leiter. Und naja, diese vier schwarzen Punkte, das sind halt 308 00:24:32,200 --> 00:24:37,429 Kreuzschlitzschrauben. Und *Gelächter* 309 00:24:37,429 --> 00:24:41,169 zivilian: Wenn man die dann aufschraubt, dann ist da irgendwie ganz schön viel 310 00:24:41,169 --> 00:24:45,159 Platz. Und da ist so eine RJ45-Buchse. Da geht doch was! 311 00:24:45,159 --> 00:24:56,603 *Gelächter* *Applaus* 312 00:24:56,603 --> 00:25:01,179 Wenn man jetzt keine Motivation hat Nachts im Dunkeln, draußen bei Regen am Baumarkt. 313 00:25:01,179 --> 00:25:04,679 Es gibt auch Indoor Geräte, die werden ganz gerne zum Beispiel in Hotels 314 00:25:04,679 --> 00:25:13,220 eingesetzt. Die hängen dann da von der Decke. Das Problem an der Stelle ist. 315 00:25:13,220 --> 00:25:18,340 Dieses Foto stammt aus einem Hotel in der Nähe von Paris. Das ist also kein Problem, 316 00:25:18,340 --> 00:25:23,429 das nur in Deutschland besteht. Dass es diese mitel-SIP-DECT Basen haben eine 317 00:25:23,429 --> 00:25:26,976 weltweite Installations-Basis. Die werden überall eingesetzt, die werden in 318 00:25:26,976 --> 00:25:30,500 Größenordnungen eingesetzt, wo es nicht nur darum geht, drei, vier, fünf Antennen 319 00:25:30,500 --> 00:25:35,070 zu haben, hauptsächlich in Konferenz, Gebäuden, Veranstaltungsorten, was auch 320 00:25:35,070 --> 00:25:41,529 immer oder eben Hotels. Und das führte uns dann zu der Überlegung. Okay, können wir 321 00:25:41,529 --> 00:25:47,559 so nicht lassen. Wenn wir das können, können das auch andere. Und wir haben 322 00:25:47,559 --> 00:25:51,129 gelernt Responsible Disclosure. Man sagt dem Hersteller vorher Bescheid und gibt 323 00:25:51,129 --> 00:25:55,779 ihm die Möglichkeit, das Problem zu lösen. Deswegen haben wir auch ein wunderhübschen 324 00:25:55,779 --> 00:26:03,289 CVE bekommen. Die Frage ist Wie hat der Hersteller darauf reagiert? Wir haben da, 325 00:26:03,289 --> 00:26:06,779 um das Transparent zu machen, einmal eine kurze Timeline. Erste Kontaktversuche 326 00:26:06,779 --> 00:26:11,470 gab's Mitte/Anfang Oktober. Wir haben beim Support von Mitel angerufen, weil wir auf 327 00:26:11,470 --> 00:26:15,470 der Webseite nur eine E-Mail-Adresse gefunden hatten, die sehr generisch 328 00:26:15,470 --> 00:26:19,509 aussah. Haben uns da durch dieses Telefon- menü durchgeklickt. Und hatten dann 329 00:26:19,509 --> 00:26:21,740 irgendwann einen Mitarbeiter am Apparat und haben ihm erklärt, wir würden ganz 330 00:26:21,740 --> 00:26:27,451 gerne mit jemandem über Security bei SIP- DECT reden. Die Antwort war SIP-DECT habe 331 00:26:27,451 --> 00:26:32,269 ich schon mal gehört, aber von Security habe ich keine Ahnung. Wir haben dann als 332 00:26:32,269 --> 00:26:37,570 Alternative unseren, oder einen, Mitel Partner kontaktiert, zu dem wir einen sehr 333 00:26:37,570 --> 00:26:40,499 guten Kontakt hatten, und haben ihm gesagt, der Chaos Computer Club würde 334 00:26:40,499 --> 00:26:45,639 gerne Mitel Bescheid geben, bevor er einen Vortrag hält. Das war am 11.10.. Das ist 335 00:26:45,639 --> 00:26:50,960 ein Freitag. Am 14.10 hatten wir eine E-Mail von dem Produktmanager Wireless, 336 00:26:50,960 --> 00:26:55,730 der doch mal um ein Gespräch bzw. einen vorort Termin bat. Dieser vorort Termin 337 00:26:55,730 --> 00:26:59,309 hat eine Woche später stattgefunden, und wir haben mit dieser Aufbau Installation, 338 00:26:59,309 --> 00:27:02,450 die ja auch auf dem Tisch liegt, präsentiert, was wir gemacht haben, wie 339 00:27:02,450 --> 00:27:07,730 das aussieht und wo das Sicherheitsproblem aus unserer Sicht ist. Wir haben uns 340 00:27:07,730 --> 00:27:11,759 darüber unterhalten, wie man das Problem lösen kann, haben erklärt, relativ 341 00:27:11,759 --> 00:27:17,049 umfangreich erklären müssen, was Eventphone ist. Und haben dann abgewartet 342 00:27:17,049 --> 00:27:21,391 und einen Monat später nachgefragt und hatten dann die Zusage bekommen. Ja, wir 343 00:27:21,391 --> 00:27:25,109 haben eine Lösung. Wir testen die gerade noch im Lab. Aber es wird ein Update gegen 344 00:27:25,109 --> 00:27:28,050 bis zum Congress, sodass unsere Installation von diesem Problem nicht mehr 345 00:27:28,050 --> 00:27:34,000 betroffen ist. Ein Tag später haben wir uns dann vor Ort getroffen und den 346 00:27:34,000 --> 00:27:38,769 Lösungsansatz besprochen. Und der Lösungsansatz war: Ihr kriegt eine Custom- 347 00:27:38,769 --> 00:27:42,460 Firmware. Die hat einen anderen Blowfish- Key. 348 00:27:42,460 --> 00:27:52,009 *Gelächter und Applaus* Das hat uns natürlich nicht gefallen, wir 349 00:27:52,009 --> 00:27:56,909 haben uns intensiv Gedanken gemacht, eine Woche später unseren eigenen Lösungsansatz 350 00:27:56,909 --> 00:28:01,370 übermittelt und haben dann kurz vor Weihnachten die Zusage bekommen: Okay, wir 351 00:28:01,370 --> 00:28:04,909 haben uns beeilt, ihr kriegt ein ordentliches Update aber erst in Q1 2020. 352 00:28:04,909 --> 00:28:10,429 Da haben wir gesagt: Na gut, dann relesen wir unser Tooling nicht, aber wird schon 353 00:28:10,429 --> 00:28:15,519 irgendwie gehen. Und am 20. 12., einen Tag später, gabs einen Anruf. Ja, nee, das 354 00:28:15,519 --> 00:28:20,159 kommt doch bis zum Vortrag. Das Product Security Incident Response Team aus Kanada 355 00:28:20,159 --> 00:28:23,770 hat sich eingeschaltet, und augenscheinlich ist das Problem größer als erwartet. 356 00:28:23,770 --> 00:28:26,622 *Gelächter* 357 00:28:26,622 --> 00:28:31,850 Seit zwei Tagen ist das Update verfügbar. Wie vorhin schon gesagt im Download Center 358 00:28:31,850 --> 00:28:37,180 von Mitel, nachdem man Zugangsdaten eingegeben hat, die wir nicht haben. Es 359 00:28:37,180 --> 00:28:42,789 gibt auch einen Security Advisory auf der Webseite. Und wir haben dem Hersteller 360 00:28:42,789 --> 00:28:46,600 gesagt, oder möchten dem Hersteller die Möglichkeit gegeben, dass er auch die 361 00:28:46,600 --> 00:28:51,519 Sicht aus... Die Dinge aus seiner Sicht einmal darstellen kann. 362 00:28:51,519 --> 00:28:56,679 Deswegen haben wir zwei Folien von Mitel. Bitte nicht blenden lassen, die sind sehr 363 00:28:56,679 --> 00:29:03,580 hell. Hab ich den ausgemacht? ST: Es gibt nen Krassen Hack. 364 00:29:03,580 --> 00:29:11,229 *Gelächter* zivillian: Na gut. Aus Sicht von Mitel 365 00:29:11,229 --> 00:29:16,520 tritt das Problem halt nur auf, wenn man eine man-in-the-middle Position erhält und 366 00:29:16,520 --> 00:29:22,299 das ist ja in Firmen-Netzwerken sehr schwer möglich. Und hier auch nochmal Das 367 00:29:22,299 --> 00:29:25,549 Update IST verfügbar, das kann heruntergeladen werden. Sind auch nochmal 368 00:29:25,549 --> 00:29:31,559 die Download Links und der Link auf das Security Advisory. Für die Leute, die kein 369 00:29:31,559 --> 00:29:37,130 Englisch verstehen, gibt's das ganze auch nochmal in Deutsch. Und bei Fragen soll 370 00:29:37,130 --> 00:29:41,489 man sich an den Support von Mitel wenden bzw. an den technischen Support der Mitel 371 00:29:41,489 --> 00:29:45,729 Partner. ST: Trotzdem muss man sagen In unter 90 372 00:29:45,729 --> 00:29:51,320 Tagen von Reporten bis Bugfix ist für so einen großen Konzern, schon mal so 373 00:29:51,320 --> 00:29:53,779 schlecht nicht, das haben wir schon schlechter gesehen. 374 00:29:53,779 --> 00:30:07,330 *Applaus* zivillian: Ja, Geht wieder? Genau am Anfang 375 00:30:07,330 --> 00:30:12,190 hatte ST schon erwähnt rfpproxy, was ist das? Das ist halt ein transparenter, zwei 376 00:30:12,190 --> 00:30:18,070 Wege Verschlüsselung, Entschlüsselung, Maschine-in-the-middle Proxy. Warum? Naja, 377 00:30:18,070 --> 00:30:22,869 wenn schon man-in-the-middle, dann richtig. Der kann halt sämtliche 378 00:30:22,869 --> 00:30:26,159 Kommunikation verschlüsseln, entschlüsseln. Der kümmert sich um das Re- 379 00:30:26,159 --> 00:30:29,809 keying was in diesem Protokoll noch mit drin ist, da werden regelmäßig die 380 00:30:29,809 --> 00:30:34,549 Blowfish-keys ausgetauscht. Der bietet eine Möglichkeit, selektiv Nachrichten zu 381 00:30:34,549 --> 00:30:38,659 manipulieren. Man kann Nachrichten unterdrücken, man kann eigene Nachrichten 382 00:30:38,659 --> 00:30:44,700 einschleusen und um die Stabilität unserer Anlage insbesondere auf diesem Event nicht 383 00:30:44,700 --> 00:30:48,379 zu gefährden, findet sämtliche Verarbeitungen, also das eigentliche 384 00:30:48,379 --> 00:30:54,399 Verändern der Kommunikation, extern statt. Um euch das zu veranschaulichen, so sieht 385 00:30:54,399 --> 00:31:00,809 das normalerweise aus. Man hat halt die Antenne die redet per TCP auf Port 12621 386 00:31:00,809 --> 00:31:05,419 mit dem OMM. Wir haben halt auf unserer Installation neben dem OMM noch den 387 00:31:05,419 --> 00:31:09,070 rfpproxy laufen. Der lauscht auf einem anderen Port. Gibt es so eine kleine 388 00:31:09,070 --> 00:31:14,749 iptables Regel und ip Transparent Proxy. Und dann ist da auf einmal der Proxy 389 00:31:14,749 --> 00:31:18,789 dazwischen, und der reicht dann bei Bedarf die Kommunikation über einen Sockel wieder 390 00:31:18,789 --> 00:31:23,039 raus und man kann kleine Tools da dranhängen. Hier beispielhaft Motorola, 391 00:31:23,039 --> 00:31:27,129 ein Loggingtool, was auch ".pcap" schreiben kann in dem Format, was da noch 392 00:31:27,129 --> 00:31:31,729 Richtung Baseband-Management Controller gesprochen wird, also in der Antenne. Man 393 00:31:31,729 --> 00:31:37,919 kann Audio Verarbeitungen damit manipulieren oder die LEDs steuern. An der 394 00:31:37,919 --> 00:31:46,080 Stelle zur Klarstellung noch mal diese Antennen sind dumm. Sämtliche DECT 395 00:31:46,080 --> 00:31:49,740 spezifische Verarbeitungen, was nicht Audio ist, also der gesamte DECT Protokoll 396 00:31:49,740 --> 00:31:54,700 Stack läuft im OMM. Und die Antennen sind so dumm, die wissen noch nicht einmal, wie 397 00:31:54,700 --> 00:32:03,389 sie ihre eigenen LEDs anmachen. Ja, wenn man diesen Proxy jetzt benutzen möchte, 398 00:32:03,389 --> 00:32:07,249 dann hat man immer noch das Problem, dass er da nicht nur der spezifizierte DECT-Standard 399 00:32:07,249 --> 00:32:10,499 drüber gesprochen wird, sondern auch die proprietären Hersteller 400 00:32:10,499 --> 00:32:15,809 spezifischen Informationen wie z.B.: wie steuert man LEDs? Da gab es einen relativ 401 00:32:15,809 --> 00:32:19,169 hohen reverse-Engineering Aufwand, um das mit den Logdateien und dem Tracing zu 402 00:32:19,169 --> 00:32:24,340 korrelieren. Dafür braucht man Daten. Da darf ST noch mal dran. 403 00:32:24,340 --> 00:32:32,590 ST: Wie haben wir jetzt diese Daten bekommen? Mein Kollege Zuckerberg und ich 404 00:32:32,590 --> 00:32:38,929 sagen da immer, woher Daten nehmen ohne die User zu beklauen. Wir haben das ernst 405 00:32:38,929 --> 00:32:43,299 genommen und haben gedacht Ja, wenn wir jetzt auf irgendeinem Event einfach mal 406 00:32:43,299 --> 00:32:47,970 Daten mitschneiden und die auswerten, dann werden wir hier geteert und gefedert. 407 00:32:47,970 --> 00:32:53,029 Deswegen haben wir das einfach mal transparent gemacht. Wer von euch war auf 408 00:32:53,029 --> 00:32:58,809 dem letzten EsterHegg 2019? Ok, wenige. Dann erkläre ich das mal, vor dem 409 00:32:58,809 --> 00:33:02,359 EsterHegg haben wir einen Blogeintrag geschrieben, dass wir Metadaten erheben 410 00:33:02,359 --> 00:33:07,780 wollen. Dass wir im Prinzip alle Daten, die irgendwas mit den Geräten und der 411 00:33:07,780 --> 00:33:12,700 Kommunikation zu tun haben, außer die Sprache mitschneiden wollen bei den DECT- 412 00:33:12,700 --> 00:33:17,239 Geräten. Man musste das im GURU, wenn man sich eine Nebenstelle für das EsterHegg 413 00:33:17,239 --> 00:33:21,440 geklickt hat, noch einmal bestätigen. Es war auch sehr unangenehm, weil wir einfach 414 00:33:21,440 --> 00:33:26,179 wollten, dass es jeder mitbekommt. Und Wir haben auch ehrlich damit gerechnet, dass 415 00:33:26,179 --> 00:33:30,230 da irgendein Shitstorm gibt, wenn wir da sagen Ja, wir speichern da alles. Dass da 416 00:33:30,230 --> 00:33:35,729 irgendwer sagt: ne, macht das mal nicht. Wir haben aber eben im Vorfeld ganz genau 417 00:33:35,729 --> 00:33:39,410 aufgeschrieben wozu und warum. Und offensichtlich haben wir es geschafft, den 418 00:33:39,410 --> 00:33:44,720 Leuten zu erklären, dass es dazu ist, um die Daten später zu analysieren und dann 419 00:33:44,720 --> 00:33:48,720 Fehler zu finden oder Unregelmäßigkeiten zu finden. Wir haben ja selbst nicht 420 00:33:48,720 --> 00:33:52,590 gewusst, wonach wir eigentlich suchen. Wir haben halt erst mal irgendwie diese 421 00:33:52,590 --> 00:33:59,190 Müllhalde voll gemacht um dann da drin herum zu schnüffeln. Und mit dieser Taktik 422 00:33:59,190 --> 00:34:03,259 hat das dann funktioniert. Es gab auch eine Alternative: Man konnte sich SIP- 423 00:34:03,259 --> 00:34:07,960 Nebenstellen, klicken, mit denen man sozusagen von SIP zu SIP telefonieren 424 00:34:07,960 --> 00:34:14,200 konnte. Da hätten wir dann keine Metadaten erhoben. Aber das hat total gut 425 00:34:14,200 --> 00:34:17,880 funktioniert. Wir haben das auch insofern transparent gemacht. Wir haben alle Daten, 426 00:34:17,880 --> 00:34:22,200 die wir nochmal extra gespeichert haben, oder diese die Daten haben wir extra 427 00:34:22,200 --> 00:34:26,310 nochmal gesichert, und verschlüsselt auf den verschlüsselten Filesystemen 428 00:34:26,310 --> 00:34:31,980 gespeichert. Es hatten auch nur ganz wenige Leute Zugriff vom POC da über haupt 429 00:34:31,980 --> 00:34:35,290 darauf. Das war alles ganz genau reglementiert. Wir sind also im Prinzip so 430 00:34:35,290 --> 00:34:41,240 rangegangen, wie wir uns das vorstellen würden, wenn man mit unseren Daten umgeht. 431 00:34:41,240 --> 00:34:46,761 Und dann, Am Ende haben wir uns natürlich auch Gedanken darüber gemacht: wie werden 432 00:34:46,761 --> 00:34:55,270 wir die jetzt wieder los? Und auch da war unsere große maximale Transparenz. 433 00:34:55,270 --> 00:35:00,980 Vielleicht hat das auf dem Camp der eine oder andere mitbekommen. Wir haben das 434 00:35:00,980 --> 00:35:05,500 auch in ein Video gegossen. Wir können das leider nicht abspielen, weil es gibt ja so 435 00:35:05,500 --> 00:35:11,560 Verwertungsgesellschaften. Deswegen hier nur ein Screenshot und ein QR-Code. Es gab 436 00:35:11,560 --> 00:35:16,060 auf jeden Fall bei den Daten Vier-Augen-Prinzip. Bei allem Spaß. Ich bin 437 00:35:16,060 --> 00:35:19,990 auch tatsächlich Datenschutzbeauftragter, betrieblicher, und hab mir alles genau 438 00:35:19,990 --> 00:35:24,950 angeguckt und auch mit den Entwicklern zusammen die Daten mit dem oder nach dem 439 00:35:24,950 --> 00:35:28,670 Vier-Augen-Prinzip gelöscht. Was uns heute auch ein bisschen auf die Füße gefallen 440 00:35:28,670 --> 00:35:31,400 ist, weil wir wollten noch ein paar statistische Daten hinterher schmeißen. 441 00:35:31,400 --> 00:35:34,590 Aber wir haben halt einfach schlicht nichts mehr davon. Wir können nicht mal 442 00:35:34,590 --> 00:35:40,699 mehr sagen, wie viele Daten das waren und wie groß die waren. Ja so ist das. Aber 443 00:35:40,699 --> 00:35:44,240 ich glaube, das ist nicht besonders schlimm. Deswegen nocheinmal Vielen Dank 444 00:35:44,240 --> 00:35:48,330 auch an alle User, die das Spiel auf dem EsterHegg mitgemacht haben. Das hat uns 445 00:35:48,330 --> 00:35:53,530 sehr, sehr viel geholfen und war richtig richtig informativ. Wir konnten dann 446 00:35:53,530 --> 00:35:58,400 nämlich auch ganz tolle neue Features daraus bauen, weil wir das eben anhand 447 00:35:58,400 --> 00:36:08,809 dieser Daten analysieren konnten. Und das erste tolle Feature zeigt uns zivillian. 448 00:36:08,809 --> 00:36:10,691 zivillian: Genau ich hatte ja gerade schon gesagt die Antennen können nichtmal ihre 449 00:36:10,691 --> 00:36:15,260 eigenen LEDs steurern. Das heißt in diesem Protokolll gibt es eine SysLED-Nachricht, 450 00:36:15,260 --> 00:36:19,961 die diese vier verschiedenen LEDs die an so einer Antenne dran sind, zentral ein- 451 00:36:19,961 --> 00:36:24,120 und ausschaltet, gibts verschiedene Patterns, in denen die blicken können. Uns 452 00:36:24,120 --> 00:36:29,190 ist aufgefallen, dass eine Pattern, wenn man die dritte LED rot-grün blinken lässt. 453 00:36:29,190 --> 00:36:36,740 Legst einfach aufs aufbau DECT. Wenn man die dritte LED rot-grün blinken lässt, 454 00:36:36,740 --> 00:36:40,280 dann blinkt die nicht nur, sondern das setzt auch noch das Busy-bit im BNC- 455 00:36:40,280 --> 00:36:44,901 Controller. Damit verweigert die Antenne jegliche DECT Kommunikation, also über die 456 00:36:44,901 --> 00:36:49,870 Lampe wird da auch Funktionalität gesteuert. Die vierte LED ist 457 00:36:49,870 --> 00:36:54,170 normalerweise fürs WLAN. Das dürfen wir hier nicht, weil da würde uns das NOC 458 00:36:54,170 --> 00:36:57,120 hauen, deswegen ist die vierte LED überall aus auf dem Event. 459 00:36:57,120 --> 00:37:00,950 ST: ja. Aber warum blinkt die denn? zivillian: Die blinkt, weil in diesem 460 00:37:00,950 --> 00:37:09,570 Aufbau DECT ein Tool von uns läuft, was morsen kann, weil wir brauchen die ja nicht. 461 00:37:09,570 --> 00:37:16,690 *Applaus* 462 00:37:16,690 --> 00:37:20,850 zivilian: Ihr könnt ja mal schauen Irgendwo auf der Veranstaltung wird sicher 463 00:37:20,850 --> 00:37:24,330 auch noch ein paar blinkende LEDs geben. Das einzige Problem ist Sie können nur mit 464 00:37:24,330 --> 00:37:30,810 einem Herz blinken. Ihr müsst also ein bisschen Zeit mitbringen. Magst du wieder 465 00:37:30,810 --> 00:37:38,090 auf die Folien schallten? Genau eine zweite interessante Nachricht, die wir 466 00:37:38,090 --> 00:37:41,050 gefunden haben, ist Mediatone. Wenn ihr den Hörer abnehmt, hört ihr ja 467 00:37:41,050 --> 00:37:44,460 normalerweise so ein Freizeichen bzw. Wenn euer Gesprächspartner fertig ist und 468 00:37:44,460 --> 00:37:49,270 auflegt, dann hört ihr schon ein hübsches Tuten. Das wird direkt in den Antennen 469 00:37:49,270 --> 00:37:51,800 generiert. Dafür gibt's eine eigene Nachricht, die da hingeschickt wird, die 470 00:37:51,800 --> 00:37:56,060 sagt: bitte spiel mal folgende Frequenzen parallel in folgender Reihenfolge so und 471 00:37:56,060 --> 00:38:02,950 so lange. Dieses Protokoll kann bis zu 256 Einträge. Dieses Protokoll kann bis zu 472 00:38:02,950 --> 00:38:09,110 vier Töne gleichzeitig. Dieses Protokoll kann Schleifen. Wir dachten uns, naja 473 00:38:09,110 --> 00:38:12,910 warum nur so langweilige Töne? Also gibt es jetzt einen MIDI Konverter, der Midi 474 00:38:12,910 --> 00:38:16,920 Files nach Antenne konvertieren kann. Das möchte ich gern einmal vorführen. 475 00:38:16,920 --> 00:38:25,950 *Applaus* ST: Das ist nicht meins. 476 00:38:25,950 --> 00:38:29,260 zivillian: Das ist meins. Wähl doch mal die 4502! 477 00:38:29,260 --> 00:38:36,050 ST: Lieber Mann vom Audio kannst du mich mal Muten, bitte? 478 00:38:36,050 --> 00:38:40,920 zivilian: Ah, es klingelt. ST (durch DECT) Hallo? 479 00:38:40,920 --> 00:38:44,590 zivilian: hört ihr das? ST (DECT): Ja, Test Test. 480 00:38:44,590 --> 00:38:46,470 zivilian: sehr schön. *unverständlich* 481 00:38:46,470 --> 00:38:50,690 *Brummen* zivilian: Da bist du wohl zu weit weg. 482 00:38:50,690 --> 00:38:53,670 ST(DECT): Oh entschuldigung! zivilian: Ja die Reichweite ist ein 483 00:38:53,670 --> 00:38:56,080 bisschen begrenzt. So dann mach doch mal Tetris an. 484 00:38:56,080 --> 00:39:00,800 ST(DECT): Ja also wir haben ja eine ganz normale Telefonverbindung. Das hört man 485 00:39:00,800 --> 00:39:04,940 jetzt. Und Jetzt tippe ich mal Tetris. Moment. 486 00:39:04,940 --> 00:39:12,585 *DipDupDipDopDop* *leises Gelächter* 487 00:39:12,585 --> 00:39:15,560 zivilian: fehlt da nicht noch einer? ST(DECT): Haben wir vorhin doch getestet. 488 00:39:15,560 --> 00:39:17,915 Jetzt. *Dop* 489 00:39:17,915 --> 00:39:21,210 ST: Geil. Richtig Gutes Zeug, warte. *lachen aus dem Publikum* 490 00:39:21,210 --> 00:39:31,340 *DipDupDipDapDap**Dap* *Tetris Melodie aus dem DECT* 491 00:39:31,340 --> 00:39:43,430 *Applaus* zivillian: Ja, ihr habt das Telefon von ST 492 00:39:43,430 --> 00:39:50,920 gerade schon gesehen. Das ist ein wunderhübsches Motorola S120x, irgendwas 1 493 00:39:50,920 --> 00:39:55,260 bis 4 hintendran steht für die Anzahl der Geräte, die in der Schachtel sind. Warum 494 00:39:55,260 --> 00:40:00,400 dieses? Naja, das ist halt das billigste Gerät, wenn man nach DECT sucht. Es ist 495 00:40:00,400 --> 00:40:05,940 bunt, also das ist orange. Das gibts aber auch in Türkis, in Rosa, in Grün. Laut 496 00:40:05,940 --> 00:40:09,220 Hersteller, wie man auf der rechten Seite sieht, ist es GAP kompatibel. Das ist 497 00:40:09,220 --> 00:40:11,870 immer ein wichtiges Feature. ST: Und GAP-Kompatibilität erreicht man 498 00:40:11,870 --> 00:40:14,770 übrigens nicht, indem man es nur auf die Schachtes schreibt. 499 00:40:14,770 --> 00:40:18,660 *Gelächter* zivillian: Und das beste Feature von dem 500 00:40:18,660 --> 00:40:22,280 Telefon Es lässt sich nicht anmelden. Wir hatten auf vielen Veranstaltungen auf dem 501 00:40:22,280 --> 00:40:25,680 EasterHegg auf dem letzten Kongress immer wieder Leute, die sich gerade neu dieses 502 00:40:25,680 --> 00:40:29,680 Telefon nur für uns gekauft haben und sehr traurig waren, dass es nicht funktioniert. 503 00:40:29,680 --> 00:40:34,490 Wir haben nicht mehr viel Zeit. Wir versuchen es aber. Mit dem Proxy konnten 504 00:40:34,490 --> 00:40:40,420 wir da mitlesen. Wie redet denn das Telefon mit dem OMM? Und wenn man so ein 505 00:40:40,420 --> 00:40:44,300 Telefon anmeldet, dann muss man die Pin eingeben, und ganz am Ende gibts dann eine 506 00:40:44,300 --> 00:40:48,610 AccessRightsAccept Nachricht. Und da kriegt das Telefon dann seine UserIdentity 507 00:40:48,610 --> 00:40:52,920 zugewiesen. Die endet hier auf "df". Und wenn das Telefon dann telefonieren möchte, 508 00:40:52,920 --> 00:40:57,670 dann sagt es. Ich bin übrigens dieses Telefon, und dann schickt es die IPUI mit. 509 00:40:57,670 --> 00:41:04,260 Die endet nicht mehr auf "df". Und die Antwort darauf ist: IPUI not Accepted. Im 510 00:41:04,260 --> 00:41:10,100 ETSI Standard oder bzw. in dem GAP Standard ist definiert Requirement N. 18: 511 00:41:10,100 --> 00:41:14,820 So und so hat die Anmeldung abzulaufen. Das verweist wiederum auf den DECT 512 00:41:14,820 --> 00:41:18,000 Standard, in dem steht: wenn da so eine "Acces-Rights-Accept" Nachricht kommt, 513 00:41:18,000 --> 00:41:21,700 dann soll das Telefon das abspeichern. Das tut es wahrscheinlich auch, weil da steht 514 00:41:21,700 --> 00:41:25,970 nichts von wieder mitsenden. Aber keine Ahnung. Und da ist definiert, dass so eine 515 00:41:25,970 --> 00:41:29,610 IPUI bis zu 60 Bit lang sein darf. Das, was wir da gerade gesehen haben, waren in 516 00:41:29,610 --> 00:41:35,820 dem Rahmen. Diese IPUI-O hat vorne vier Bit "Portable User Type" dran stehen, dass 517 00:41:35,820 --> 00:41:41,020 es halt eine IPUI-O ist. Und danach kommen bis zu 60 Bit "Portabel User Number". Wir 518 00:41:41,020 --> 00:41:44,900 haben ja die IPUI nochmal farblich aufbereitet. Hintendran das "df", Das ist 519 00:41:44,900 --> 00:41:49,920 das, was gerade eben verloren gegangen ist. Und Mitel hat eine Besonderheit, die 520 00:41:49,920 --> 00:41:54,870 nutzen für diese User Identity einfach die IPEI, also die Seriennummer von dem Gerät 521 00:41:54,870 --> 00:42:01,140 wieder. Und sagen dem Telefon, Du bist immer noch du. Und die IPEI hat eine Länge 522 00:42:01,140 --> 00:42:05,150 von 36 bit, das ist definiert. Und wenn man sich das hier anschaut, dann gibt's da 523 00:42:05,150 --> 00:42:10,490 vorne so 4 bit, oder diese beiden roten Nullen, die definitiv nicht genutzt 524 00:42:10,490 --> 00:42:14,070 werden, zumindest nicht an einer Mitel SIP-DECT Anlage. Und daher kam dann auch 525 00:42:14,070 --> 00:42:22,740 der Lösungsansatz, dieses Telefon kompatibel zu machen. Wir verschieben 526 00:42:22,740 --> 00:42:26,910 einfach die relevanten Daten um, ein Byte nach vorne in Richtung Telefon und wenn 527 00:42:26,910 --> 00:42:30,540 sich das Telefon meldet, dann schieben wir sie einfach wieder zurück. Und dann ist 528 00:42:30,540 --> 00:42:34,770 der OMM glücklich. Und deswegen funktionieren seit diesem Jahr auch diese 529 00:42:34,770 --> 00:42:46,990 Telefone an unserer Anlage. *Applaus* 530 00:42:46,990 --> 00:42:52,340 zivilian: Und auf dem Event haben wir dann festgestellt, nein anderesherum. Wir 531 00:42:52,340 --> 00:42:55,460 verschieben die Sachen, um sicherzugehen, dass es nur diese Telefone betrifft, 532 00:42:55,460 --> 00:42:58,560 nutzen wir den Hersteller Code, der bei der IPEI vorne dran steht, um diese 533 00:42:58,560 --> 00:43:02,890 Telefone zu identifizieren. Das heißt, wir müssen das für jedes Telefon, was diese 534 00:43:02,890 --> 00:43:07,170 Fehler hat, individuell anschalten. Aber stellen damit sicher, dass wir nicht nicht 535 00:43:07,170 --> 00:43:10,571 so viel kaputtmachen. Wir haben an der Stelle natürlich auch den Hersteller 536 00:43:10,571 --> 00:43:15,190 informiert. Ende September haben wir alle Informationen per Mail geschickt. Die 537 00:43:15,190 --> 00:43:19,920 haben das nach China weitergeleitet. Wir haben einen Monat später nachgefragt. 538 00:43:19,920 --> 00:43:24,760 Wir haben nichts gehört. Vielleicht passiert noch etwas. Auf dem Event, da wir dann 539 00:43:24,760 --> 00:43:30,410 leider feststellen müssen, dass dieses Telefon nicht das einzige ist. Wir haben 540 00:43:30,410 --> 00:43:34,600 dann die Liste der Hersteller, Präfixe, die auf der Whitelist stehen, deutlich 541 00:43:34,600 --> 00:43:38,970 erweitern müssen, damit auch die T-Sinus Telefone funktionieren, damit das Belgacom 542 00:43:38,970 --> 00:43:48,157 Telefon funktioniert. Also Wir haben da so um die 20 Geräte inzwischen. 543 00:43:48,157 --> 00:43:53,630 ST: Audio Visuelles Marketing, mit Marketing haben Sie es ja nicht so. Aber 544 00:43:53,630 --> 00:43:56,960 vielleicht haben Sie was mit Ihren Telefonen? 545 00:43:56,960 --> 00:44:00,370 zivilian: Ja, wer unseren Blog liest. Wir hatten das letztes Jahr schon Ende letzten 546 00:44:00,370 --> 00:44:04,900 Jahres. Das Problem mit dem AVM Telefon, weswegen wir auch immer von FritzFon 547 00:44:04,900 --> 00:44:09,780 abgeraten haben. An unserer Anlage wurde nicht angezeigt, wer anruft. Es stand 548 00:44:09,780 --> 00:44:13,780 immer nur intern. Wir haben das im Blog im Detail beschrieben. Aber da wir jetzt die 549 00:44:13,780 --> 00:44:17,640 Nachrichten nicht nur mitlesen, sondern auch manipulieren können. Naja, flippen 550 00:44:17,640 --> 00:44:22,280 wir halt ein Bit, und dann steht da, wer es ist. 551 00:44:22,280 --> 00:44:31,240 *Gelächter und Applaus* zivilian: Wir haben ja noch was Positives 552 00:44:31,240 --> 00:44:35,130 zu AVM. Wir haben uns eine Fritzbox gekauft und waren sehr glücklich, weil die 553 00:44:35,130 --> 00:44:40,330 Fritzbox kann nicht nur TCPdump, sondern die Fritzbox kann auch DTrace. Das D steht 554 00:44:40,330 --> 00:44:44,510 für DECT. Unter der URL die da auch angegeben ist, findet ihr in jeder 555 00:44:44,510 --> 00:44:48,542 handelsüblichen Fritzbox dieses Capture Interface. Da gibts dann ganz am Ende den 556 00:44:48,542 --> 00:44:53,030 Eintrag. Und das Spannende ist: Die Gigaset Telefone können an einer Fritzbox 557 00:44:53,030 --> 00:44:57,980 das Telefonbuch anzeigen. Das geht an unserer Anlage noch nicht, und wir haben 558 00:44:57,980 --> 00:45:07,443 ein wenig die Hoffnung, dass wir das ändern können. 559 00:45:07,443 --> 00:45:10,990 ST: Ausblick. zivillian: Was machen wir damit? Unser 560 00:45:10,990 --> 00:45:15,770 Wunsch wäre Leute, die sich für DECT interessieren, Leute, die Interesse an 561 00:45:15,770 --> 00:45:19,970 einer Mitel Installation haben, die sich auch damit beschäftigen, dass wir nicht 562 00:45:19,970 --> 00:45:25,300 die einzigen sind. Wir hoffen, dass ihr mit den Informationen loslegen könnt. Wir 563 00:45:25,300 --> 00:45:29,740 würden uns freuen, wenn der Wireshark Dissector den LaForge angesprochen hat, 564 00:45:29,740 --> 00:45:32,340 weiterentwickelt wird, weil der würde uns auf jeden Fall helfen, dort tiefer ins 565 00:45:32,340 --> 00:45:38,720 Detail zu gehen. Spielt mit der Hardware spielt mit der Software! Und ich, Du hast 566 00:45:38,720 --> 00:45:40,720 noch was? ST: Ja ich hab noch was, und hier DECT 567 00:45:40,720 --> 00:45:44,510 ULE, wir hatten es vorhin auch von LaForge gehört. Kann man auch mal genauer drauf 568 00:45:44,510 --> 00:45:53,470 guchen. Wir haben auch gehört es gibt EC- Terminals die über DECT funktionieren. Und 569 00:45:53,470 --> 00:46:00,690 unsere Bitte, wir sammeln immernoch Daten, und das hatten wir auch auf dem EsterHegg 570 00:46:00,690 --> 00:46:05,660 schon mal angesprochen. Hier nochmal in großer Runde. Crowdsourcing ist das 571 00:46:05,660 --> 00:46:11,520 Stichwort. Wenn ihr wisst, was ihr für ein DECT Telefon habt und was für ein Modell, 572 00:46:11,520 --> 00:46:17,680 und uns das verraten wollt, dann könnt ihr das im GURU eintragen. Daswürde uns extrem 573 00:46:17,680 --> 00:46:23,430 helfen, weil nämlich wir bei der ETSI nach dieser sogenannten EMC Liste nachgefragt 574 00:46:23,430 --> 00:46:30,390 haben Equipment Manufacturers Code, sozusagen das was ich kursiv auf dieser 575 00:46:30,390 --> 00:46:33,750 Folie dargestellt hatte, Woran man erkennen kann, welcher Hersteller es ist. 576 00:46:33,750 --> 00:46:40,227 Und da war die Antwort: die ist geheim. *Gelächter* 577 00:46:40,227 --> 00:46:44,440 ST: Also es wäre total super, wenn Ihr euer Modell da eintragt, das hilft uns 578 00:46:44,440 --> 00:46:47,550 extrem, weil dann können wir das auch zuordnen. Im Zweifelsfall, wenn wir Fehler 579 00:46:47,550 --> 00:46:51,750 haben. Genau und wenn ihr das, das war im Prinzip alles, was wir von euch noch 580 00:46:51,750 --> 00:46:57,632 wollen. Und wir können da im Prinzip nur sagen Viele Dank! Und du hast auch noch 581 00:46:57,632 --> 00:47:00,930 was? LaForge: vielleicht zum Proxy, wegen 582 00:47:00,930 --> 00:47:04,070 veröffentlichen und so weiter. Soll ich dazu noch was sagen? 583 00:47:04,070 --> 00:47:06,503 ST: Ach so richtig, ja, der Proxy, der ist noch nicht veröffentlicht. Magst du noch 584 00:47:06,503 --> 00:47:09,890 was sagen, warum wir das nicht veröffentlichen? 585 00:47:09,890 --> 00:47:12,480 zivillian: Ich hatte das ja in der Timeline schon dargestellt. Wir haben 586 00:47:12,480 --> 00:47:16,870 sehr, sehr kurzfristig die Zusage bekommen, dass der Fehler behoben wird. 587 00:47:16,870 --> 00:47:20,210 Wir fanden es unverantwortlich, unser Tooling zu veröffentlichen, nicht nur, 588 00:47:20,210 --> 00:47:23,410 weil dann unsere Anlage betroffen ist, sondern weil es irgendwie mit zwei zeilen 589 00:47:23,410 --> 00:47:27,080 Code möglich wäre, jede SIP-DECT Installation weltweit zu kompromittieren. 590 00:47:27,080 --> 00:47:32,230 Wir sind in Abstimmung mit dem Hersteller. Wir wollen das Tooling veröffentlichen. Wir 591 00:47:32,230 --> 00:47:34,220 wollen euch das zur Verfügung stellen, sodass ihr auch selber reinschauen könnt, 592 00:47:34,220 --> 00:47:38,950 wenn ihr so eine SIP-DECT Installation habt. Der aktuelle Plan ist, dass im 593 00:47:38,950 --> 00:47:44,080 ersten Quartal nächsten Jahres zu machen. Sobald die bestehenden Installationen die 594 00:47:44,080 --> 00:48:00,460 Chance hatten, das Update einzuspielen. *Applaus* 595 00:48:00,460 --> 00:48:02,720 Herald: Vielen, Vielen Dank, für die schöne Präsentation, ich bin mir sicher, 596 00:48:02,720 --> 00:48:07,490 dass ihr Lust habt, mit uns noch ein wenig zu diskutieren. Ich schau mal, ob ich 597 00:48:07,490 --> 00:48:13,151 schon Fragen hier sehe. Wir haben Mikros aufgestellt im Saal, die eins, die zwei und die 598 00:48:13,151 --> 00:48:18,020 drei stellt euch da einfach dran, und wir haben auch Fragen aus dem Internet. Aber 599 00:48:18,020 --> 00:48:21,650 wir fangen sofort hier mit der zwei an. Deine Frage bitte. 600 00:48:21,650 --> 00:48:27,320 Frage: Ihr habt gesagt, es gab erst ein Update von Mitel und das habt ihr 601 00:48:27,320 --> 00:48:31,930 beanstandet. Und dann wurde gesagt es gibt eine bessere Lösung. Was ist denn jetzt 602 00:48:31,930 --> 00:48:33,930 die bessere Lösung? Wie wird der Key denn jetzt generiert? 603 00:48:33,930 --> 00:48:39,570 zivilian: Die Antennen müssen initial einmal mit der Installation gekoppelt 604 00:48:39,570 --> 00:48:45,080 werden. Der Vorgang nennt sich Capture. Die Annahme, die wir getroffen haben, ist, 605 00:48:45,080 --> 00:48:48,250 dass dieser Vorgang in einer vertrauenswürdigen Umgebung stattfindet. 606 00:48:48,250 --> 00:48:52,470 Und im Rahmen dieses Capture Vorgangs wird individuelles Schlüssel Material zwischen 607 00:48:52,470 --> 00:48:56,530 dem OMM und der Antenne ausgehandelt und für die weitere Kommunikation genutzt. Das 608 00:48:56,530 --> 00:48:59,700 heißt, jede DECT Antenne hat einen eigenen Blowfish-Key. 609 00:48:59,700 --> 00:49:06,760 Herald: Da machen wir die Frage von meinem Signal Angel, also aus dem Internet. 610 00:49:06,760 --> 00:49:10,740 Signal-Angel: Wussten die Leute vom Baumarkt, dass da an der Außenantenne gebastelt 611 00:49:10,740 --> 00:49:14,990 wurde. zivilian: Das könnte auch gephotoshopt 612 00:49:14,990 --> 00:49:19,661 gewesen sein. Ich kann das weder bestätigen noch verneinen. 613 00:49:19,661 --> 00:49:29,210 *Applaus* Herald: Die 2 bitte. 614 00:49:29,210 --> 00:49:33,480 Frage: Euren Tetris Hack da kann man den nutzen, um zum Beispiel bei den eigenen 615 00:49:33,480 --> 00:49:37,060 Extensions eine eigene MIDI-Melodie zu setzen. Das heißt, wenn ich jemanden 616 00:49:37,060 --> 00:49:42,337 anrufe wird der zumbeispiel gerickrolled? zivilian: ich glaube rickroll, wär zu 617 00:49:42,337 --> 00:49:48,250 lang, weil 256 Töne ist das Limit. Das Hauptproblem ist, dass die 256 Töne nur 618 00:49:48,250 --> 00:49:52,421 auf den 2G Antennen funktionieren. Mitel hat bei den 3G Antennen an der Hardware 619 00:49:52,421 --> 00:50:00,750 gespart. Die können nur noch sechs Töne. Das reicht nicht mehr. 620 00:50:00,750 --> 00:50:03,430 Herald: Okay, ich schau nochmal zu meinem Signal Angel haben wir noch Fragen aus dem 621 00:50:03,430 --> 00:50:08,180 Netz? Signal-Angel: Ja eine kommte gerade noch 622 00:50:08,180 --> 00:50:14,418 rein: wo genau kann man seine Telefon Gerätenummer melden? 623 00:50:14,418 --> 00:50:17,770 zivilian: magst du? ST: Im GURU. Eventphone, bzw. 624 00:50:17,770 --> 00:50:24,050 guru3.eventphone.de, wenn du dich dort einloggst in deinen Account hast so bei 625 00:50:24,050 --> 00:50:30,410 deinem Gerät sozusagen ein Schlüssel, quatsch nicht Schlüssel, einen Stift. Da 626 00:50:30,410 --> 00:50:35,150 kannst du das eintragen. Das ist ja auch auf der Folie zu sehen. Genau, auf den 627 00:50:35,150 --> 00:50:39,480 Schlüssel klicken, Dann kannst du dein Handset editieren, und dort kannst du unten 628 00:50:39,480 --> 00:50:46,880 bei Model das Modell eingeben und den Hersteller. Du kannst dem sogar einen 629 00:50:46,880 --> 00:50:51,170 Namen geben, was den Vorteil hat, wenn du das das nächste Mal benutzt, dann kannst 630 00:50:51,170 --> 00:50:55,320 du eine Nebenstelle registrieren und unten gleich das DECT zuweisen, dann musst du 631 00:50:55,320 --> 00:50:58,580 auch den Token nicht mehr eingeben, sondern kommst auf die Veranstaltung und 632 00:50:58,580 --> 00:51:03,600 das Telefon funktioniert einfach. LaForge: Vielleicht wenn ich da noch kurz 633 00:51:03,600 --> 00:51:08,960 ergänzend, oh das mikro ist offensichtlich wieder aus. Ergänzend nachdem die Frage ja 634 00:51:08,960 --> 00:51:14,830 aus dem Netz kam. Das geht natürlich hier nur für die Leute, die bei Eventphone ihr 635 00:51:14,830 --> 00:51:17,740 Telefon eingebucht haben. Das ist damit das in Ruhe registriert ist, Dann ist die 636 00:51:17,740 --> 00:51:21,480 Nummer ja mit dem Account entsprechend assoziiert. Also wenn jetzt jemand 637 00:51:21,480 --> 00:51:25,030 irgendwo da draußen im Internet, der nicht auf einer CCC-Veranstaltung war oder eine 638 00:51:25,030 --> 00:51:28,000 Eventphone-Veranstaltung war, der kann das natürlich so nicht machen. Das wollte ich 639 00:51:28,000 --> 00:51:30,300 noch vielleicht ergänzen. ST: Ist bestimmt nur jemand in der 640 00:51:30,300 --> 00:51:35,130 Assembly, der zu faul ist, herzukommen. *Gelächter* 641 00:51:35,130 --> 00:51:37,800 Herald: Die drei Bitte. Frage: Wenn ich es richtig verstanden 642 00:51:37,800 --> 00:51:42,030 habe, dann sind für gebraucht-verkaufte Stationen bisher keine Downloads möglich. 643 00:51:42,030 --> 00:51:46,640 Muss oder will Mitel da auch nachbessern, um das Update zur Verfügung zu stellen? 644 00:51:46,640 --> 00:51:50,380 zivillian: Das kann ich leider nicht beantworten. Das weiß ich nicht. 645 00:51:50,380 --> 00:51:54,610 LaForge: Die Kontaktdaten stehen ja in diesem Advisory drin. Das kann man ja 646 00:51:54,610 --> 00:51:58,810 durchaus mal den Leuten nahelegen, dass man an die Users vielleicht auch denkt in dem 647 00:51:58,810 --> 00:52:02,490 Kontext. Herald: Dann die Zwei Bitte! 648 00:52:02,490 --> 00:52:07,410 Frage: Ihr habt jetzt die Kommunikation zwischen den Antennen und dem OMM 649 00:52:07,410 --> 00:52:10,840 angeschaut, gibts auch Bestrebungen, die Antenne oder den OMM weiter durch 650 00:52:10,840 --> 00:52:14,780 OpenSource oder Eigenentwicklungen zu ersetzen, gerade wenn hier osmocom Leute 651 00:52:14,780 --> 00:52:20,650 anwesend sind. LaForge: Naja, ist halt immer so eine 652 00:52:20,650 --> 00:52:26,030 Frage der Zeit. Die Zahl der Projekte wächst über die Zeit. Die Zahl der Leute, 653 00:52:26,030 --> 00:52:31,380 die an den Projekten arbeiten, wächst leider nicht entsprechend mit. Von daher 654 00:52:31,380 --> 00:52:36,940 sehr gerne. Ich wäre der erste, der da "Hurra" schreit, aber es müssten sich halt 655 00:52:36,940 --> 00:52:40,160 auch Leute irgendwie einbringen. Dementsprechend. Ich denke ein guter 656 00:52:40,160 --> 00:52:45,360 Startpunkt für etwaige spätere OpenSource Entwicklungen, oder überhaupt Arbeit mit 657 00:52:45,360 --> 00:52:51,210 DECT wäre, wenn Leute zu dem DECT Wireshark Dissektor beitragen würden. Ja, 658 00:52:51,210 --> 00:52:55,130 das ist ja alles Zeug was in der DECT- Spezifikation steht. Also man muss diese 659 00:52:55,130 --> 00:52:58,700 Specs lesen, man muss sie verstehen, was man sowieso muss, wenn man an OpenSource 660 00:52:58,700 --> 00:53:02,200 in dem Kontext arbeiten will. Zumindest eben isolierte Teile davon, und das kann 661 00:53:02,200 --> 00:53:05,660 man dann in Wireshark Dissector ausdrücken. Und dann hätte man schon mal 662 00:53:05,660 --> 00:53:12,560 eine bessere Ausgangsbasis. Also Sehr gerne. Aber, ja, Contributions brauchen 663 00:53:12,560 --> 00:53:17,630 wir. Herald: Ok, Im Saal sehe ich keine 664 00:53:17,630 --> 00:53:21,891 weiteren Fragen, ich schaue nochmal zu meinem Signal Angel. Auch keine. Dann 665 00:53:21,891 --> 00:53:25,770 bedanke ich mich bei euch erst einmal für die lebhafte Diskussion bei euch dreien 666 00:53:25,770 --> 00:53:31,140 bzw. bei allen von Eventphone für eure Arbeit. Vielen vielen Dank! 667 00:53:31,140 --> 00:53:39,768 *Applaus* 668 00:53:39,768 --> 00:53:50,690 *36c3 Abspannmusik* 669 00:53:50,690 --> 00:54:07,000 Untertitel erstellt von c3subtitles.de im Jahr 2021. Mach mit und hilf uns!