Sicherheitslücke WLAN: Risikofaktor trotz Verschlüsselung

Neue Angriffe, größere Gefahr

Mancher IT-Sicherheitsverantwortliche mag einem Knacken seiner WLAN-Kodierung gelassen entgegensehen, hat er doch beispielsweise die Datenbanken und E-Mail-Server im Intranet ebenfalls verschlüsselt. Ein bösartiger Hacker hätte dann zwar Zugang zum Intranet, stieße hier aber auf perfekt codierte Daten – so zumindest die Idee. Leider ist diese Ruhe mehr als trügerisch. Denn längst ist das Umgehen der ersten Hürde – WLAN-Verschlüsselung im Fall lokaler Attacken, Firewall im Fall einer Attacke über das Internet – für Cracker lediglich die Pflicht. Die Kür ist es, durch verwundbare Anwendungen an die relevanten Daten zu kommen. Beispiele für angreifbare Applikationen gibt es massenhaft: SQL-Injections, Bugs in weit verbreiteten Client-Anwendungen wie Adobe Flash oder Adobe Acrobat, nicht durch Updates behobene Sicherheitslücken in Client- und Serverbetriebssystemen oder auch neuartige Attacken beispielsweise auf automatische Software-Update-Mechanismen.

Letzteres setzt eine aktive Man-in-the-Middle-Attacke voraus, die aber auch in WLANs inzwischen zum Standardrepertoire der Cracker gehört. Ist der Angreifer der Man in the Middle, kommen entsprechende Tools zum Einsatz. Diese gaukeln gängigen, auf den PCs der Opfer installierten Anwendungen wie Adobe Acrobat oder Skype vor, dass Programm-Updates vorliegen. Will der Anwender wie gewohnt über den Update-Mechanismus der Anwendung das Update herunterladen, liefern die Tools die vermeintlich aktuelle Programmversion aus. De facto ist es aber ein Trojaner oder andere Malware, die sich der Anwender auf den PC holt. Da nur wenige Software-Updater wie beispielsweise das Windows-eigene Windows-Update auf Schutzfunktionen wie verschlüsselte Dateiübertragung oder digital signierte Exe-Files setzen, bemerken die übertölpelten Applikationen nicht, dass das Update gar nicht vom Hersteller der Software stammt.

Ist der Cracker erst einmal im Intranet, lauern weitere Gefahren. So ist es inzwischen möglich, selbst SSL-gesicherte Verbindungen zwischen Clients und Servern im Intra- und Internet zu belauschen. Entsprechende Tools agieren als Proxy zwischen Client und Server und tauschen die SSL-Zertifikate der legitimen Site quasi in Echtzeit gegen perfekt gefälschte Zertifikate des Angreifers aus. Somit kann der Cracker den Datenstrom unverschlüsselt mitlesen, ohne dass der Browser oder eine andere SSL-fähige Anwendung verdächtige Fehlermeldungen ausgibt.