„Nur mal eben schnell ein Bild bei Facebook hochladen“ – und schon ist der Account gekapert oder das Adressbuch geklaut. Wer in öffentlichen Funknetzen die im übernächsten Artikel beschriebenen Vorsichtsmaßnahmen vernachlässigt, geht beträchtliche Risiken ein.
Das Internet ist für viele eine unverzichtbare Selbstverständlichkeit – auch und gerade unterwegs. Im Zug, aber auch mal eben zwischendurch im Café oder in der Mensa nutzt man dazu gern ein öffentliches WLAN. Wegen der Kosten für mobile Datentarife und der längst noch nicht wirklich flächendeckenden Versorgung mit UMTS sind solche Hotspots eine attraktive Alternative, die außerdem gerade im Ausland richtig Geld spart.
Sie sind oft kostenlos, schnell und einfach zu benutzen. Doch egal ob es sich dabei um einen kommerziellen Hotspot, das Gratis-Internet im Hotel oder ein anonymes, unverschlüsseltes Funknetz handelt – für jedermann frei zugängliches WLAN birgt Gefahren, die häufig unterschätzt werden.
Anzeige
Denn um den Zug-Nachbarn dabei zu belauschen, wie er mal eben seine Mail checkt und ein Facebook-Status-Update absetzt, braucht man kein Profi-Equipment und muss auch kein Netzwerk-Spezialist mehr sein. Ein einfaches Smartphone mit der passenden App genügt, um etwa den Facebook-Account zu kapern (siehe: „Account-Pirat“ und „Wolf im Schafspelz“ auf den Seiten 83 und 84 in c't 1/2012).
Diese frei verfügbaren Smartphone-Apps verbergen die Komplexität von anspruchsvollen Angriffstechniken hinter einfach zu bedienenden Touchscreen-Oberfächen. Damit kann der nette Junge mit dem Smartphone im Abteil nebenan eine Man-in-the-Middle-Attacke via ARP-Spoofing starten – selbst wenn er keinen blassen Schimmer davon hat, was es mit dem Address Resolution Protocol (ARP) auf sich hat.
Kein Wunder, dass sich derartige Apps zunehmender Beliebtheit erfreuen. Allein DroidSheep für Android wurde im letzten halben Jahr nach Angaben des Autors etwa 50 000 Mal heruntergeladen. Dessen Spezialität ist es, aus vorbeifliegenden oder passend umgeleiteten Datenpaketen die sogenannten Sitzungs-Cookies zu extrahieren. Die schickt der Browser nach dem Login bei einem Dienst wie Facebook mit jeder Anfrage an den Server, der daran erkennt, dass es sich um einen bereits angemeldeten Benutzer handelt. Kurz: Wer das Sitzungs-Cookie hat, kann den Account übernehmen.
Die abgefangenen Cookies zeigt DroidSheep in einer Liste und schießt sie auch gleich in den Browser des Angreifers. Das Resultat: Der landet durch einfaches Antippen in der Twitter-, Hotmail- oder Yahoo-Mail-Sitzung seines Opfers. Er kann sich dort dann in Ruhe umsehen, das Addressbuch exportieren oder eigene Mails und Status-Updates in dessen Namen verfassen.
DroidSheep steigt per Fingertipp in Sitzungen anderer Hotspot-Nutzer ein.
Automatisierte ARP-Spoofing-Angriffe sind umso gefährlicher, weil sie unter Umständen auch verkabelte Rechner im gleichen Netz treffen können. Das ist immer dann der Fall, wenn der Access-Point im sogenannten Bridging-Modus an das kabelgebundene Netz angeschlossen ist. Das ist bei normalen Heim-Routern fast immer so; wir haben aber auch schon Firmen- und Campusnetze mit derartigem Setup gesehen. Und wenn ein neugieriger, aber unerfahrener Möchtergern-Sicherheitsexperte mal eben den Netzwerkverkehr von hundert Rechnern über sein Smartphone umleitet, ist Chaos vorprogrammiert.
Fallensteller
Anzeige
Noch einfacher haben es Schnüffler, wenn sie gleich selber einen öffentlichen Hotspot aufmachen. Und auch das geht mit mit vielen Smartphones im Handumdrehen. Dann läuft der gesamte Datenverkehr der Nutzer über diesen Horchposten. Dessen Besitzer braucht nur noch eine der vielen Apps zu installieren, um die Daten aufzuzeichnen oder gleich vor Ort zu inspizieren.
Spannt der Angreifer ein WLAN mit dem Netzwerknamen eines vor Ort verfügbaren Hotspots auf, landen die Opfer von ganz allein in seinem Netz.
Mit einem Namen wie „Freies WLAN“, muss er nicht lange auf Gäste warten. Heimtückische Zeitgenossen wählen lieber bekannte Hotspot-Namen. Denn wenn ein Gerät bereits einmal einen Hotspot benutzt hat, verbindet es sich von selbst mit jedem Funknetz, das den gleichen Namen trägt – und den kann jeder frei wählen. Besonders gemein: iPhone-Nutzer können nicht einmal nachsehen, welche Netze sie bereits in ihrer Liste haben. Und gezielt entfernen kann man immer nur die, die man gerade empfängt (Abhilfe findet sich auf Seite 88 in c't 1/2012).
Zusätzliche Tests, ob das Netz auch wirklich vom gleichen Betreiber stammt, gibt es nicht. Das ist schon fast eine Einladung für alle Spanner und Schnüffler, denn ein Hotspot wie „Telekom“ oder „Telekom_ICE“ füllt sich von ganz allein mit Besuchern. In unseren Tests dauerte es jeweils nur wenige Minuten, bis mehrere Clients angemeldet waren. Smartphones jeglicher Couleur landeten besonders häufig in unseren Hotspot-Fallen, aber auch Notebooks waren gut vertreten.
Mit externen WLAN-Adaptern kann man andere Access Points leicht überstrahlen.
Profis und die die es werden wollen, nutzen natürlich leistungsfähigeres Equipment. Mit einem Linux-Netbook kann der Angreifer gleich mehrere WLANs mit den ESSIDs verschiedener Hotspot-Anbieter aufspannen. WLAN-Clients verbinden sich mit dem jeweils stärksten Hotspot. Das nutzen versierte Datenschnüffler und überstrahlen etwa im Wartebereich eines Flughafens die legitime Konkurrenz. Besonders einfach macht das ein WLAN-USB-Adapter für rund 20 Euro, bei dem man die Sendeleistung durch ein spezielles Kommando auf 1 Watt erhöhen kann – das Zehnfache des Erlaubten. So kann er innerhalb kurzer Zeit beträchtliche Datenmengen einsammeln und später in aller Ruhe zu Hause analysieren.
Neben den zu erwartenden Surf-Daten und den bereits erwähnten Sitzungs-Cookies gehen erstaunlich oft auch Passwörter im Klartext über den Äther. Auf der jährlichen Konferenz Supercomputing zum Beispiel stellen das die Netzwerk-Admins gnadenlos an den Pranger: Im SCinet Capture Display werden seit vielen Jahren brutal alle abgefangenen Klartext-Passwörter angezeigt. Und obwohl das eigentlich allen Teilnehmern bekannt ist, füllt sich der Monitor jedes Jahr aufs Neue. Da finden sich dann nicht nur offensichtliche Tests wie „demo123“, sondern auch Zeichenketten wie „c0!F@x87“, die durchaus sicher wären – wenn sie nicht im Klartext übers Netz verschickt würden.
Auf der Konferenz Supercomputing sind die Betreiber des SCinet gnadenlos: Abgefangene Klartext-Passwörter werden auf einem öffentlich zugänglichen Monitor präsentiert.
Crypto-Chaos
Die Lösung dieser Probleme lautet eigentlich Verschlüsselung. Wenn konsequent alles verschlüsselt wird, sieht der Schnüffler nur kryptischen Datenmüll. Doch so einfach ist das nicht – selbst wenn man es bewusst versucht. Denn der Anwender hat oft nur wenig Einfluss darauf, welche Daten bei der Übertragung verschlüsselt werden.
So kann er etwa bei LinkedIn gezielt die verschlüsselte Seite https://www.linkedin.com/ anwählen. Die wird dann auch verschlüsselt übertragen und mit Schloss in der Adresszeile angezeigt. Aber sobald er dort einen Link anklickt, landet er wieder auf einer unverschlüsselten LinkedIn-Seite und hat damit einem Lauscher auch gleich sein aktuelles Sitzungs-Cookie verraten.
Bei manchen Diensten kann man irgendwo in den Tiefen der Einstellungen anwählen, dass man ausschließlich verschlüsselt surfen will. Wer das etwa bei Facebook macht und dann mit einem Smartphone im Browser seine Neuigkeiten checken will, landet automatisch auf den mobilen Seiten des sozialen Netzes – aber unverschlüsselt. Und wer statt dessen lieber gleich die Facebook-App benutzt, hat genau das gleiche Problem: Die Anwendungsdaten gehen als Klartext über den Äther.
Darüber hinaus könnte ein Angreifer mit einem Trick eine Art Hintertür in die Verschlüsselungsfunktionen einbauen. Beim iPhone haben wir im Rahmen unserer Recherchen sogar eine Möglichkeit gefunden, die Installation dieser Hintertür so aussehen zu lassen, als hätte sie den Segen von Telekom und Apple. Damit gelang es uns dann sogar, einen verschlüsselt abgewickelten Einkauf in Apples App Store inklusive iTunes-Passwort zu belauschen.
Die Ultima Ratio vieler Experten – das alles verschlüsselnde Virtual Private Network (VPN) ist mit deutlichen Komforteinbußen verbunden und ebenfalls anfällig für gezielte Angriffe wie den auf Seite 87 in c't 1/2012 beschriebenen „VPN-Killer“. Welche Vorkehrungen man treffen sollte, um trotzdem ruhigen Gewissens unterwegs seine Mails lesen und surfen zu können, beschreibt der Artikel auf Seite 88 in c't 1/2012. Doch die Gesamtsituation bleibt unbefriedigend kompliziert und gefährlich. Nicht ganz unschuldig daran sind auch die Betreiber der öffentlichen Funknetze.
Denn gegen Tricks wie ARP-Spoofing kann man durchaus etwas unternehmen – doch das kostet natürlich Geld. Und wenn sich etwa ein Pressesprecher der Telekom auf Fragen nach den vorhandenen und geplanten Sicherheitsvorkehrungen an Hotspots mit „Zu dem, was wir alles tun, werden wir uns […] nicht äußern“ aus der Affäre zieht, zeigt das deutlich, dass das Thema Sicherheit derzeit nicht besonders weit oben auf der Agenda steht.
Dabei hat gerade die Telekom durchaus schon etwas vorzuweisen. So hat sie etwa in Hannover eine ganze Reihe von Hotspots mittlerweile so umgestellt, dass jeder Nutzer in seinem eigenen kleinen Netz ist und die anderen WLAN-Nutzer nicht mehr so einfach ausspionieren kann. Allerdings ist das selbst in Hannover noch nicht überall so.
Die Problematik ist natürlich auch bei den Netzwerk-Hardware-Herstellern bekannt. Die arbeiten deshalb im Rahmen der „Hotspot 2.0 Task Group“ der Wi-Fi Alliance an besseren Standards. Unter anderem hat man da das Problem mit den leicht fälschbaren Hotspots weit oben auf die To-do-Liste gesetzt. Noch 2012 soll es eine „Hotspot 2.0“-Zertifizierung für Geräte geben, die den Kunden mehr Sicherheit und Komfort bieten. Bis die dann die bereits existierende, unsichere Hardware abgelöst haben und auch Notebooks und Smartphones diesen Standard unterstützen, dürfte aber noch einige Zeit ins Land gehen.
Mehr Infos
Artikel zum Thema "Die Hotspot-Falle" finden Sie in c't 1/2012
Als junger Leser heise+ mit 50 % Rabatt lesen. Exklusive Tests, Ratgeber & Hintergründe. Zugriff auf alle heise+ Beiträge inkl. allen Digital-Magazinen.Sichern Sie sich jetzt als junger Leser heise+ mit 50 % Rabatt. Exklusive Tests, Ratgeber & Hintergründe. Unbegrenzter Zugriff auf alle heise+ Beiträge inkl. allen Digital-Magazinen.
