© istockphoto.com/Agustinc, © S&S Media
Angriffe auf und über das WLAN

Angriffsziel WLAN


Drahtlose Kommunikation – nicht nur im WLAN – hat gegenüber kabelgebundener Kommunikation zwei große Nachteile: Jeder kann die Kommunikation belauschen, und jeder kann versuchen, seine eigenen Geräte mit den Kommunikationsteilnehmern zu verbinden.

Ist die Kommunikation nicht ausreichend verschlüsselt, kann ein Angreifer sie ganz oder teilweise entschlüsseln. Sind die Geräte – egal, ob Client, Access Point oder was auch immer sonst noch mit dem Netz verbunden ist – nicht ausreichend vor unbefugten Zugriffen geschützt, kann ein Angreifer mit ihnen kommunizieren und sich womöglich sogar als MitM in Verbindungen einschleichen. Und dann steht natürlich auch immer noch die Frage im Raum, mit welchem Netz man denn da gerade wirklich verbunden ist.

Trau, schau, wem!

Benutzen Sie offene WLANs? Wissen Sie eigentlich, wer die betreibt? Vermutlich der Betreiber des Cafés, in dem Sie gerade einen Kaffee trinken, oder der Veranstalter der Konferenz, auf der Sie sich gerade einen Vortrag anhören. Falls Sie das denken, könnte das ein verhängnisvoller Irrtum sein.

„Rogue Access Points“ sind ein uraltes Problem [1]: Jemand stellt irgendwo seinen eigenen Access Point mit einem verlockenden oder bekannten Namen auf und kann sich dann problemlos als MitM in jede darüber aufgebaute Verbindung einklinken. Deshalb sollte man über fremde Access Points auch tunlichst nur verschlüsselte Verbindungen aufbauen, entweder über HTTPS oder über einen VPN-Tunnel zu einem sicheren Endpunkt. Jede unverschlüsselte Kommunikation kann vom Betreiber des AP belauscht werden. Diese Erfahrung mussten auch einige Sicherheitspolitiker machen, die Anfang 2015 auf einer schwedischen Sicherheitskonferenz das offene WLAN „Open Guest“ nutzten [2]. Dieses wurde nicht vom Veranstalter betrieben, sondern von Aktivisten der Jugendorganisation der schwedischen Piratenpartei. Während sich die Benutzer anfangs selbst mit dem Rogue AP verbinden mussten, übernahm das in der Zwischenzeit oft ihr System vollautomatisch für sie. Die meisten Systeme suchten ständig nach ihnen bekannten WLANs, um sich mit ihnen zu verbinden. Gibt sich der Rogue AP als ein bekanntes Netzwerk aus, baut der Client automatisch eine Verbindung über ihn auf. Das ist natürlich problematisch, weshalb die Entwickler der verschiedenen Systeme inzwischen wieder dabei sind, dieses oft allzu vertrauensselige Verhalten zu reduzieren.

Auch auf der Black Hat Asia 2015 im März 2015 gab es einen Rogue Access Point – zumindest als Thema im Vortrag „Manna from Heaven: Improving the State of Wireless Rogue AP Attacks“ [3] von Daniel Cuthbert, dem Chief Operating Officer von SensePost. Einen ähnlichen Vortrag mit dem gleichen Titel hatten seine Kollegen Dominic White und Ian de Villiers bereits im August 2014 auf der DEF CON 22 gehalten [4]. Der Vortrag begann mit einem Überblick über den aktuellen Stand der Toolentwicklung, denn es gibt ja schon seit einiger Zeit Tools für Angriffe auf WLANs.

Bekannte Tools

2004 wurde von Dino A. Dai Zovi und Shaun Macaulay die Toolsammlung KARMA [5] vorgestellt, die der Untersuchung der Sicherheit von WLAN-Clients dient. Sniffing-Tools entdecken durch passives Belauschen der 802.11 Probe Request Frames die Clients und ihre bevorzugen/vertrauten Netze. Daraufhin kann ein Rogue Access Point eingerichtet werden, der sich als eines dieser Netze ausgibt und mit dem die Clients sich womöglich sogar automatisch verbinden. Ebenso ist es möglich, einen Treiber einzurichten, der auf alle eingehenden Probe Requests passend antwortet. Fakedienste auf höheren Schichten können dann Zugangsdaten ausspähen oder Schwachstellen auf den Clients ausnutzen. KARMA wird schon seit 2006 nicht mehr weiterentwickelt, ist aber Ausgangspunkt einer Reihe weiterführender Entwicklungen.

Zum Brechen der Authentifizierung gibt es gleich eine ganze Reihe von Tools, zum Beispiel das 2003 von Jo­shua Wright entwickelte Asleap [6] für Angriffe auf die MS-CHAPv2-Authentifizierung – insbesondere in Ciscos LEAP-Authentifizierung – oder das 2008 von Joshua Wright und Brad Antoniewicz vorgestellte FreeRADIUS-­WPE [7]. Das kann etwa für Angriffe auf verschiedene EAP-Protokolle (Extensible Authentication Protocol) genutzt werden. Und 2012 hat Moxie Marlinspike mit chapcrack [8] ein Tool zum Parsen von MS-CHAPv2-Netzwerkhandshakes veröffentlicht, das den ebenfalls von ihm entwickelten CloudCracker zum Knacken der Zugangsdaten nutzt und damit dem PPTP den Todesstoß versetzte [9].

Auch zum Sniffen der über das Netz übertragenen Credentials gibt es bereits Tools, beispielsweise in Form der 2000 von Dug Song entwickelten Toolsammlung dsniff [10] oder die 2007 von Robert Graham und David Maynor vorgestellten Tools Ferret [11] und Hamster [12], die 2009 erweitert wurden [13]. Ferret ist ein Netzwerksniffer, Hamster dient zur Übernahme von Webanwendungsaccounts über SideJacking – also dem Ausspähen von ungeschützt übertragenen Session-Cookies. Und dann gibt es noch die 2010 von Eric Butler veröffentlichte Firefox-Erweiterung Firesheep, die ungeschützt übertragene Session-Cookies einsammelt und ihrem Nutzer damit den Zugriff auf fremde Benutzerkonten erlaubt [14], [15].

Dass auch eine geschützte Übertragung der Daten über HTTPS nicht zwingend vor einem Ausspähen schützt, beweisen die 2009 von Moxie Marlinspike vorgestellten Tools sslstrip [16] und sslsniff [17]. Beim SSL-Stripping werden in über HTTP übertragenen Seiten die HTTPS-Links in HTTP-Links umgewandelt. Erlaubt die Webanwendung die Nutzung kritischer Funktionen auch über HTTP statt HTTPS, werden danach die sensiblen Daten unverschlüsselt übertragen, sodass zum Beispiel Session-Cookies ausgespäht werden können [18]. Vor SSL-Stripping schützt die Verwendung von HTTP Strict Transport Security (HSTS).

Neue Tools braucht das Neuland!

Die meisten dieser Angriffe funktionieren nicht mehr oder nicht mehr zufriedenstellend, und die meisten Tools wurden schon länger nicht mehr aktualisiert. Es wurde also Zeit für ein neues Tool zur Implementierung eines Rogue Access Points: MANA, das „MitM and Authenticated Network Attack“-Toolkit [19]. Das kann nicht nur darauf warten, dass ein Benutzer den Rogue AP für harmlos hält und ihn gezielt auswählt, sondern sich gegenüber dem Client auch als ein ihm bekanntes, vertrauenswürdiges Netz ausgeben, mit dem das System sich dann automatisch verbindet. WiFi, IEE 802.11a/b/g/n/ac kennt drei Arten von Paketen:

  • Management-, Probe- und Beacon-Pakete zur Suche nach Kommunikationspartnern und dem Aufbau der Kommunikation

  • Control-RTS/CTS (Request to Send/Clear to Send) zur optionalen Reduzierung der Kollisionsrate

  • Data für die zu übertragenen Daten

Für den geplanten Angriff sind die Managementpakete relevant. Der Client sendet Probe Requests mit der gesuchten ESSID (Extended Service Set Identification) und BSSID (Basic Service Set Identification), auf die der angesprochene Access Point mit einer Probe Response mit seiner MAC-Adresse antwortet.

Die meisten Systeme suchen automatisch nach ihnen bekannten WLANs, die auf der Preferred Network List (PNL) aufgeführt sind. Bei einem KARMA-Angriff antwortet der Angreifer auf einen Probe Request nach einem dieser Netzwerke mit der Lüge, er sei das gesuchte Netz, woraufhin sich der Client mit ihm verbindet. Netzwerke (=ESSID) können mehrere Access Points (=BSSID) besitzen. Die BSSID des Rogue AP muss daher nicht mit der vom Client gesendeten BSSID übereinstimmen – insbesondere, da ein Wechsel des APs nötig sein kann, wenn der Client sich bewegt und die Reichweite des ersten APs verlässt. Der Schutz vor Spoofing, also gefälschten Netzwerken, erfolgt auf einer höheren Schicht mittels WEP/WPA2 PSK oder EA...

Neugierig geworden? Wir haben diese Angebote für dich:

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang