Pfeifen und Geld sparen – Reise in die Geschichte des Phreaking

Früher reichte ein Pfiff: Aber auch Telefone und moderne Smartphones können „gehackt“ werden. Lesen Sie unsere kurze Geschichte des „Phreaking“.

Apr 8, 2022 - 4 Min.
Picture of: Adrian Straub
Adrian Straub

Musik wird ja oft als brotlose Kunst bezeichnet. In der Regel muss man schon überdurchschnittlich begabt sein, wenn man mit Tönen seinen Lebensunterhalt verdienen will. Trotzdem konnte man vor ein paar Jahren unter Umständen ein bisschen Geld sparen, wenn man musikalisch war. Denn Töne machen nicht nur die Musik, sondern waren auch lange die Grundlage für die analoge Telekommunikation.

Joybubbles und die besondere Tonfrequenz

Joe Engressia (25.05.1919 – 08.08.2007), der seinen bürgerlichen Namen 1991 in „Joybubbles“ änderte, war von Geburt an blind. Aber er verfügte über eine andere aussergewöhnliche Fähigkeit: Mit seinem absoluten Gehör konnte er Tonfrequenzen auf Anhieb perfekt treffen. Schon von Kindesbeinen an war er fasziniert von Telefonen: Er rief gerne nicht vergebene Telefonnummern an, nur um sich die Fehlermeldung anzuhören. Durch Zufall entdeckte er im Jahr 1957, dass er den Anruf mit einem Pfeifton unterbrechen konnte. Ein AT&T-Ingenieur verriet ihm, dass Töne der Frequenz 2.600 Hz zur Steuerung von Telefonvermittlungsanlagen eingesetzt wurden. So lernte Joybubbles, Telefonnetze zu manipulieren. Es gelang ihm zum Beispiel, mit einem simplen Pfiff in einer bestimmten Tonhöhe kostenlos zu telefonieren. Diese Fähigkeit brachte ihm den Spitznamen „The Whistler“ ein, und er gilt bis heute als einer der ersten „Phreaker“. Das Wort „Phreaking“ setzt sich dabei zusammen aus den englischen Begriffen „Phone“ und „Freak“. Es bezeichnet eine Methode des Hackens, in der es darum geht, die Sicherheitsmechanismen von Telefonnetzen auszuschalten oder zu manipulieren.

John Draper und das Piraten-Frühstück

1969, 12 Jahre nach Joybubbbles, genoss der Software-Entwickler John Draper morgens wohl gerne die knackigen Frühstücksflocken der amerikanischen Marke „Cap’n Crunch“. Doch die Flocken hatten nicht nur einen besonderen Biss, sondern zeitweise auch noch richtig „Pfiff“ – denn im Rahmen einer Werbeaktion packte der Hersteller eine Spielzeug-Pfeife mit in den Karton. Und rein zufällig konnte man mit der Pfeife einen Ton der Frequenz 2.600 Hz erzeugen! Zusammen mit ein paar Freunden fand Draper heraus, wie sich die Pfeife in Verbindung mit bestimmten Codes dazu nutzen liess, weltweit kostenlose Telefongespräche zu führen. Draper, der sich fortan auch „Captain Crunch“ nannte, gilt heute als der eigentliche Vater des „Phreaking“ – und verbrachte wegen seiner Aktivitäten mehrere Monate hinter Gittern. Dort soll er dann auch Funkgespräche der Gefängniswärter abgehört und Mithäftlingen sein Wissen über Telefon-Hacking weitergegeben haben.

Die Blue Box stellt die Telekommunikation auf den Kopf

Die Erkenntnis, wie man mit einem einfachen Pfeifton ein ganzes Telekommunikationssystem aushebeln konnte, verbreitete sich schnell. Draper und andere erfinderische Menschen machten sich daran, sogenannte „Blueboxes“ zu bauen, die den Ton und die entsprechenden Codes auf Knopfdruck reproduzieren konnten. Diese musste man dann nur noch mit dem Telefonhörer verbinden. Später kamen weitere Entwicklungen hinzu, wie die „Redbox“, die speziell für die Nutzung mit öffentlichen Münzfernsprechern ausgelegt war, oder die „Aquabox“, die es erschwerte, einen Phreaking-Angriff zurückzuverfolgen.

Denn genau hier lag die Schwachstelle, die sich Joybubbles und Draper zunutze machten: Die Steuersignale wurden in der damaligen Zeit noch über denselben Kanal wie die eigentlichen Telefonate übertragen (Inband Signaling). Heute werden die Steuerinformationen unabhängig vom Sprachkanal meist digital über eine andere Datenverbindung übermittelt (Outband Signaling). Damit ist „Blueboxing“ heute nicht mehr möglich. 

Vom Phreaking zum Beginn der Computerkriminalität

In den frühen 70er Jahren entwickelte sich Blueboxing jedoch zu einer wahren Subkultur, da auch das Untergrund-Magazin TAP – The Young International Party Line (YIPL) der politischen Aktivisten Abbie Hoffman und Al Bell seine Leser mit Informationen zu Phreaking-Methoden versorgte – etwa mit Anleitungen zum Bau elektronischer Schaltkreise, mit denen man die Gebührenerfassungssysteme der US-Telefongesellschaften überlisten konnte. Als während des Vietnamkriegs eine Sondersteuer aufs Telefonieren eingeführt wurde, sahen viele Menschen das eigentlich rechtlich umstrittene Phreaking als einen legitimen Akt des zivilen Ungehorsams an. Für die Telefongesellschaften war Phreaking nur schwer in den Griff zu bekommen, da dies den Umbau der gesamten Netzinfrastruktur erforderte.

In den 1980er Jahren kamen die ersten Akustikkoppler – die Vorläufer der späteren Modems – auf den Markt, mit denen man auch mit seinem Computer eine Datenverbindung über die Telefonleitung herstellen konnte. Damit erlebte Phreaking einen neuen Höhepunkt und wurde etwa in der Commodore-C64- und Amiga-Szene zu einem regelrechten Volkssport. Seitdem wurde die Methode auch weiterentwickelt, um mittels „Hacking“ in fremde Computersysteme einzudringen.

Smartphones bieten breite Angriffsfläche

Mit dem Aufkommen der digitalen Telefonie und der Smartphones begannen Telefon- und Computertechnologie immer mehr miteinander zu verschmelzen. Vom Versenden von Nachrichten über Online-Shopping, der schnellen Suche nach Informationen bis hin zur Routenplanung für den nächsten Städtetrip: Die meisten Alltagsanwendungen, für die wir früher Desktop-PC, Laptop oder Navigationsgerät nutzten, lassen sich in ähnlicher Form heute auch auf dem Smartphone ausführen. Und das Smartphone ist zu unserem „Lieblingsdraht“ ins Internet geworden. Damit werden Smartphones jedoch auch beliebte Angriffsziele für findige Hacker. Und sie bedienen sich dabei ähnlicher Methoden wie auf dem PC: Immer wieder werden auch Smartphones von Malware infiziert – Schadprogrammen, die in fremde Computer eindringen und dort unerwünschte Funktionen ausführen, die von Spam bis hin zum Einschleusen von Viren oder dem Ausspionieren persönlicher Daten reichen können. Angesichts der Tatsache, dass das Smartphone in der Regel „unser halbes Leben“ und mehr persönliche Informationen als jedes andere Gerät enthält – von den Kontodaten bis hin zum digitalen Impfpass – sollte man das nicht auf die leichte Schulter nehmen.

Malware auf Smartphones – die unsichtbare Bedrohung

In der Regel gelangt Malware aus Kanälen auf Ihr Smartphone, die nicht vom offiziellen Google Playstore (Android) und Apple App Store (iOS) geprüft und autorisiert sind. Oft spielen bei der Übertragung Chats eine Rolle, wie zum Beispiel Discord-Dienste oder WhatsApp.

Auffällig viele Spitzenbewertungen 

Sogenannte „Leifaccess“- oder „Shopper“-Apps sind nach der Installation nicht einmal durch ein Icon erkennbar. Stattdessen richten sie Accounts ein, ohne dass es der User bemerkt, und posten Fake-Bewertungen, um beispielsweise Apps auf Google Play oder im Apple Store im Ranking nach oben zu treiben. Manchmal laden sie auch ungewollt weitere Apps nach und installieren diese ungefragt auf dem Smartphone.

„Stopp! Ihr Smartphone ist infiziert!“

Ebenso verbreitet sind falsche Sicherheitswarnungen, die Smartphone-User vor einer angeblichen Infizierung durch Schadsoftware warnen. Sie empfehlen dann die Installation einer vermeintlichen Security-Software, die dann jedoch keine zusätzliche Sicherheit bringt, sondern Malware aufs Telefon schmuggelt. Oft wird diese Schadsoftware dann erst Stunden später aktiv, um ihre Herkunft zu verschleiern.

HiddenAds – versteckte Bösewichte

Andere Malware-Apps wiegen User in Sicherheit, weil ihr Icon dem des gewünschten „offiziellen“ Programms täuschend ähnelt. Nach der Installation folgt dann eine Fehlermeldung. Deinstalliert der Benutzer die App, setzt sich heimlich im Hintergrund die Malware im Gerät fest – für den User nur sehr schwer auffindbar. Die ursprünglich installierte App dient oftmals nur als Downloader für ein Schadprogramm.

So schützen Sie sich vor Malware auf Ihrem Smartphone

  • Installieren Sie ausschliesslich autorisierte und geprüfte Software aus den offiziellen App-Stores von Google (Android) und Apple (iOS). 
  • Lassen Sie sich nicht dazu verleiten, Programme herunterzuladen, die Ihnen über Chats in den diversen Messenger-Programmen (WhatsApp, Facebook Messenger, Discord, Skype, Threema, Telegram etc.) oder per SMS angeboten werden.
  • Bevor Sie ein Programm installieren, sollten Sie sich im Internet über die App und seine Entwickler informieren, um so potenziell gefährliche Software nach Möglichkeit schon vorab zu identifizieren.
  • Lesen Sie die App-Bewertungen in den App-Stores aufmerksam durch, um mögliche Fakes zu erkennen.
  • Führen Sie die regelmässigen Sicherheits-Updates Ihres Smartphone-Betriebssystems und der installierten Programme durch.
  • Schützen Sie nicht nur Ihren PC, sondern auch Ihr Smartphone mit geprüfter Security-Software von etablierten Herstellern.

 

Cyber-Kriminalität – wie Sie Ihr Unternehmen schützen!