Die Tricks der Kriminellen
Modernes WLAN-Hacking
WPS - ein Schlag ins Wasser
Ein sicheres Passwort allein reicht aber nicht aus, wie die jüngste Weiterentwicklung des WPA2-Standards zeigt: Der Nachteil, komplexe WPA2-Schlüssel auf mobilen Endgeräten manuell eintippen zu müssen, führte zur Entwicklung des sogenannten WPS ("Wi-Fi Protected Setup"). Hierbei wurden mehrere Methoden implementiert, um einen WPA2-Schlüssel auf ein mobiles Endgerät zu übertragen, ohne dass der Endanwender diesen eintippen muss. Eine Methode ist die "PIN-Methode", bei der eine numerische PIN auf dem Endgerät eingegeben wird. Anschließend transferiert der Access Point den WPA2-Schlüssel zum Endgerät, dieses trägt ihn automatisch in der WLAN Konfiguration ein. Diese Methode führte Ende 2011 zur Entdeckung einer massiven Sicherheitslücke, da es mit nur wenigen Tausend Versuchen möglich war, Zugriff auf jedes WPA2-Netzwerk mit aktiviertem WPS und PIN-Methode zu erlangen. Hier wurde also ein eigentlich sicherer Standard zu Gunsten des Komforts unsicher gemacht.
- Wie schnell darf es denn sein?
Mit den unterschiedlichen Versionen des 802.11-Standards sind auch unterschiedliche Geschwindigkeiten bei der Datenübertragung verbunden – der Router muss diese verschiedenen Versionen unterstützen. - Ganz wichtige Einstellungen
Die Verschlüsselung der Übertragung – hier sollte nach Möglichkeit mindestens WPA besser noch WPA2 zum Einsatz kommen. - Sicherheit durch den MAC-Adressfilter
Mit seiner Hilfe kann genau festgelegt werden, welche Geräte sich mit dem Router verbinden dürfen. Allerdings lassen sich MAC-Adressen leicht fälschen. - Der MAC-Adressfilter steht auch auf den Fritzbox-Routern von AVM bereit
Die Software weist dabei zu Recht darauf hin, dass sich dazu zunächst einmal mindestens ein Gerät auf der Liste der berechtigten Gerät befinden muss. - Die SSID (Service Set Identifier) eines Hotspots erleichtert das Finden eines Netzwerkzugangs deutlich
Tools wie das hier gezeigte WirelessNetView haben aber auch keine Probleme Netze ohne SSID anzuzeigen. - Auch Windows 8 zeigt WLAN-Netze ohne SSID an
Dieses Netz ist zudem ungesichert, weil der Besitzer vermutlich meinte, dass ihn ein Verbergen des Namens ausreichend schützen würde – ein Irrglaube. - Eine weitgehend sichere Verbindung
Hier kommt WPA2 mit dem Algorithmus AES unter Windows 8 zum Einsatz – wurde das Passwort entsprechend gut angelegt, ist diese Verbindung nur schwerlich zu „knacken“. - Einer der vielen Gründe, warum Anwender immer online sein wollen
Die App „WhatsApp“ ermöglicht mobiles Messaging über jede Internet-Verbindung. - Das mobile Telefon wird zum Hotspot
Mittels der Tethering-Funktion, die bei den meisten Smartphone-Betriebssystemen (hier unter Android) zur Verfügung steht, wird das leicht möglich. - Sollte auf keinen Fall vergessen werden
Auch der mobile Hotspot über ein Smartphone will abgesichert sein und sollte mit einer eindeutigen SSID gekennzeichnet sein. - Ins Netz via Smartphone
Bis auf die Bezeichnung für die SSID deutet nichts darauf hin, dass es sich hier um ein Smartphone handelt, dass sich hier dem Notebook als Hotspot anbietet. - Sollte nach Gebrauch komplett abgeschaltet werden
Hier ist der mobile Hotspot auf Android-Smartphone aktiv und Geräte können sich mit ihm verbinden. - So können vertrauliche Daten auch über eine offene Verbindung verschickt werden
Viele mobile Betriebssysteme (wie hier Android) bieten bereits standardmäßig Clients an, die eine VPN-Verbindung ermöglichen.
Luftlöcher hacken
Will ein Angreifer in ein WLAN einbrechen, ist die Vorgehensweise vergleichbar zu dem klassischen Einbruch in ein Gebäude. Nachdem das Ziel ausgewählt wurde, wird es eine Zeit lang beobachtet, bevor der eigentliche Einbruch vonstatten geht. Der größte Unterschied zwischen dem klassischen und dem digitalen Einbruch besteht in den verwendeten Werkzeugen. Anstatt Brecheisen und Bohrmaschine kommen bei Angriffen auf WLANs Software-Werkzeuge wie die Aircrack-NG Suite, Kismet oder MDK3 zum Einsatz.
Foto: cirosec GmbH / Sven Blumenstein
Der Ablauf eines solchen Angriffs folgt dabei oft demselben Schema: Zuerst wird der Datenverkehr des als Ziel ausgewählten WLANs mitgelesen ("sniffing"). Dabei unterstützen Designschwächen im 802.11 Standard den Angreifer deutlich, da die Steuerpakete die von WLAN-Geräten ausgesendet werden - sogenannte Beacon-Frames und Probe-Requests - unabhängig von der verwendeten Verschlüsselung immer unverschlüsselt übertragen werden. Neben der verwendeten Verschlüsselungstechnik und dem Namen des Netzwerkes (SSID, Service Set Identifier) enthalten diese Steuerpakete noch eine Vielzahl weiterer Informationen über das gesuchte oder angebotene WLAN.
Ein Angreifer kann also sehr leicht erkennen, welche NetzwerkeNetzwerke in seiner Umgebung existieren und welche Endgeräte sich zu welchem Netzwerk verbinden wollen. Dadurch sind gezielte Angriffe möglich. Neben dem eigentlichen Cracken des verwendeten Passwortes für die Verschlüsselung sind auch Angriffe möglich, die das WLAN einfach nur stören oder blockieren. Dabei können entweder Endgeräte von den Access Points getrennt werden ("Deauthentication/Disassociation Attack"), oder Access Points durch eine Vielzahl von Anfragen überlastet werden ("Authentication DoS"). Da diese Angriffe die Designschwächen des Protokolls ausnutzen, hilft dagegen auch keine eingesetzte Verschlüsselung. Alles zu Netzwerke auf CIO.de
Hacker's Paradise
Foto: cirosec GmbH / Sven Blumenstein
Wurde ein mobiles Endgerät einmal mit einem WLAN verbunden, sucht dieses Gerät auch Tage später permanent mit den bereits erwähnten Probe-Requests nach dem entsprechenden WLAN. Das Werkzeug Airbase-NG aus der Aircrack-NG Suite bietet die Möglichkeit, auf solche Probe-Requests zu antworten und automatisch die passenden Beacon-Frames mit dem gesuchten Netzwerknamen zu erzeugen. Dadurch wird das gesuchte Netzwerk aus Sicht des Endgerätes verfügbar. Versucht das Endgerät, sich anschließend zu diesem gefälschtem Netzwerk zu verbinden, zeichnet Airbase-NG den Verbindungsversuch auf ("Handshake"). Wurde ein WPA2-geschütztes WLAN emuliert, reichen die aufgezeichneten Informationen, um die bereits beschriebenen Angriffe auf den WPA2-Schlüssel vorzunehmen (siehe auch Code-Appendix auf der folgenden Seite).
Schützt ein Unternehmen sein WLAN mit einer Verschlüsselung, muss ein Angreifer also nicht in der Nähe des Netzwerkes sein, um die Verschlüsselung anzugreifen. Jeder Mitarbeiter trägt die notwendigen Informationen dafür durch die mobilen Endgeräte schließlich mit sich herum. Sei es nun daheim, in der Freizeit, am Flughafen, in Hotels oder an anderen Orten, an denen sich der Mitarbeiter mit im Unternehmen genutzten Endgeräten aufhält.