WLAN-Router unsicher trotz Schutzfunktionen

Netzwerk in Gefahr - Wie Angreifer WLANs hacken

WPS - die trügerische Sicherheit

Ein sicheres Passwort allein reicht aber nicht aus, wie die jüngste Weiterentwicklung des WPA2-Standards zeigt: Der Nachteil, komplexe WPA2-Schlüssel auf mobilen Endgeräten manuell eintippen zu müssen, führte zur Entwicklung des sogenannten WPS ("Wi-Fi Protected Setup"). Hierbei wurden mehrere Methoden implementiert, um einen WPA2-Schlüssel auf ein mobiles Endgerät zu übertragen, ohne dass der Endanwender diesen eintippen muss.

Eine Methode ist die "PIN-Methode", bei der eine numerische PIN auf dem Endgerät eingegeben wird. Anschließend transferiert der Access Point den WPA2-Schlüssel zum Endgerät, und dieses trägt ihn automatisch in der WLAN Konfiguration ein. Diese Methode führte Ende 2011 zur Entdeckung einer massiven Sicherheitslücke, da es mit nur wenigen tausend Versuchen möglich war, Zugriff auf jedes WPA2-Netzwerk mit aktiviertem WPS und PIN-Methode zu erlangen. Hier wurde also ein eigentlich sicherer Standard zugunsten des Komforts unsicher gemacht.

Die Vorgehensweise der Angreifer

Will ein Angreifer in ein WLAN einbrechen, ist die Vorgehensweise vergleichbar mit dem klassischen Einbruch in ein Gebäude. Nachdem das Ziel ausgewählt wurde, wird es eine Zeit lang beobachtet, bevor der eigentliche Einbruch vonstattengeht. Der größte Unterschied zwischen dem klassischen und dem digitalen Einbruch besteht in den verwendeten Werkzeugen. Anstatt Brecheisen und Bohrmaschine kommen bei Angriffen auf WLANs Softwarewerkzeuge wie die Aircrack-NG Suite, Kismet oder MDK3 zum Einsatz.

Gut zu wissen: Mit den richtigen Tools lässt sich jedes WLAN aufspüren und auslesen. Hier eine Eigenbaukonstruktion aus Zwei-Watt-Alfa-Antenne (in Deutschland sind im praktischen Einsatz maximal 100 Milliwatt erlaubt), verbunden mit einem Nokia N900.
Gut zu wissen: Mit den richtigen Tools lässt sich jedes WLAN aufspüren und auslesen. Hier eine Eigenbaukonstruktion aus Zwei-Watt-Alfa-Antenne (in Deutschland sind im praktischen Einsatz maximal 100 Milliwatt erlaubt), verbunden mit einem Nokia N900.
Foto: cirosec GmbH / Sven Blumenstein

Der Ablauf eines solchen Angriffs folgt dabei oft demselben Schema: Zuerst wird der Datenverkehr des als Ziel ausgewählten WLANs mitgelesen ("sniffing"). Dabei unterstützen Designschwächen im 802.11 Standard den Angreifer deutlich, da die Steuerpakete, die von WLAN-Geräten ausgesendet werden - sogenannte Beacon-Frames und Probe-Requests -, unabhängig von der verwendeten Verschlüsselung immer unverschlüsselt übertragen werden. Neben der verwendeten Verschlüsselungstechnik und dem Namen des Netzwerkes (SSID, Service Set Identifier) enthalten diese Steuerpakete noch eine Vielzahl weiterer Informationen über das gesuchte oder angebotene WLAN. Ein Angreifer kann also sehr leicht erkennen, welche Netzwerke in seiner Umgebung existieren und welche Endgeräte sich zu welchem Netzwerk verbinden wollen. Dadurch sind gezielte Angriffe möglich.

Neben dem eigentlichen Cracken des verwendeten Passwortes für die Verschlüsselung sind auch Angriffe möglich, die das WLAN einfach nur stören oder blockieren. Dabei können entweder Endgeräte von den Access Points getrennt ("Deauthentication/Disassociation Attack") oder Access Points durch eine Vielzahl von Anfragen überlastet werden ("Authentication DoS"). Da diese Angriffe die Designschwächen des Protokolls ausnutzen, hilft dagegen auch keine eingesetzte Verschlüsselung.

Angriffe auf den WPA-Schlüssel

Wurde ein mobiles Endgerät einmal mit einem WLAN verbunden, sucht dieses Gerät auch Tage später permanent mit den bereits erwähnten Probe-Requests nach dem entsprechenden WLAN. Das Werkzeug Airbase-NG aus der Aircrack-NG-Suite bietet die Möglichkeit, auf solche Probe-Requests zu antworten und automatisch die passenden Beacon-Frames mit dem gesuchten Netzwerknamen zu erzeugen. Dadurch wird das gesuchte Netzwerk aus Sicht des Endgerätes verfügbar.

Achtung: Auch dieser gebräuchliche Linksys-Router WRT54 lässt sich zu einem praktischen Hacking-Werkzeug "umrüsten".
Achtung: Auch dieser gebräuchliche Linksys-Router WRT54 lässt sich zu einem praktischen Hacking-Werkzeug "umrüsten".
Foto: cirosec GmbH / Sven Blumenstein

Versucht das Endgerät, sich anschließend zu diesem gefälschtem Netzwerk zu verbinden, zeichnet Airbase-NG den Verbindungsversuch auf ("Handshake"). Wurde ein WPA2-geschütztes WLAN emuliert, reichen die aufgezeichneten Informationen aus, um die bereits beschriebenen Angriffe auf den WPA2-Schlüssel vorzunehmen.

Schützt ein Unternehmen sein WLAN mit einer Verschlüsselung, muss ein Angreifer also nicht in der Nähe des Netzwerks sein, um die Verschlüsselung anzugreifen. Jeder Mitarbeiter trägt die notwendigen Informationen dafür durch die mobilen Endgeräte schließlich mit sich herum. Sei es nun daheim, in der Freizeit, am Flughafen, in Hotels oder an anderen Orten, an denen sich der Mitarbeiter mit im Unternehmen genutzten Endgeräten aufhält.