Auf Entdeckungsfahrt

So genannte Wardriver suchen systematisch nach ungeschützten Access Points. Welche Ausrüstung und Software sie dafür einsetzen, beschreibt dieser Artikel.

28.08.2003, 17:02 Uhr

Lesezeit: 10 Min.

Security

Von

Daniel Bachfeld

WLAN Access-Points mit eingebautem DSL-Router sind für jedermann erschwinglich und ermöglichen Internetzugang ohne umständlich Kabel zu verlegen. Intel baut die Funktechnik bereits in Chipsätze für Laptops ein, selbst Lebensmitteldiscounter rüsten ihre PC-Angebote mit WLAN-Karten aus. Wenn dann die erste Webseite drahtlos abgerufen wurde, ist die Freude groß: "Es geht". Leider endet hier für die meisten die Auseinandersetzung mit ihrem WLAN. Die notwendigen Einstellungen, um sein Netz gegen Zugriffe von außen zu sichern, bleiben aus. Die Sicherheit kabelgebundener Netzwerke in den eigenen vier Wänden sollen WLANs durch Wired Equivalent Privacy (WEP) erreichen. Alle per Funk übertragenen Daten werden durch Verschlüsselung geschützt, eine Verbindung zum AP ist nur mit Kenntnis des Schlüssels möglich. Die Konfiguration von WEP wird aber oftmals ausgelassen, teils aus Unvermögen, teils aus Vergesslichkeit. Jeder, der auf der Straße in Reichweite des Access-Points (AP) ist, kann sich damit verbinden und auf Kosten anderer im Internet surfen. Aber auch die PCs im LAN sind bedroht, der Zugriff auf die Festplatte über Funk ist leicht möglich. Sucht man systematisch nach ungeschützten Access Points, spricht man von Wardriving.

Kriegsspieler

Vorfahren der Wardriver waren so genannte Warchalker, die per pedes und mit Laptop auf der Suche nach offenen, ungeschützten Access-Points durch die Straßen zogen. Aber auch die Warchalker hatten Vorbilder: Wardialer, die systematisch Telefonnummern anwählten, um am anderen Ende der Leitung angeschlossene Modems ausfindig zu machen. Warchalker malten die Daten gefundener APs, zum Beispiel Service Set Identifier (SSID), Namen, Kanalnummer und ob WEP aktiviert ist, mit Kreide (englisch Chalk) auf Häuserwände, um andere Warchalker auf offene APs hinzuweisen. Später füllten sie Vordrucke mit Stiften aus und klebten sie an Hauswände. Wer heutzutage Jagd auf offene WLANs macht, ist weit besser ausgestattet. Wardriver kurven im Auto durch die Straßen, schrauben Antennen auf das Autodach und registrieren sogar noch die GPS-Koordinaten der gefundenen APs. Je nach Dauer und Ausdehnung solch einer Wardriving-Tour sammeln sich Information über bis zu mehrere hundert Funknetze. Mit entsprechenden Programmen bereiten sie die Datensammlung grafisch auf und tragen die APs sogar in Landkarten ein, um sie auf entsprechenden Webseiten zu veröffentlichen.

Werkstatt

Die Hürden zum erfolgreichen Wardriving sind nicht sonderlich hoch. Ein Laptop mit Funklankarte reicht für erste Schritte beziehungsweise Fahrten. Auch PDAs, wie zum Beispiel Sharps Zaurus und die iPAQs von Compaq/HP mit Jacket eignen sich, sogar Warbiking ist damit möglich. WLAN-Karten gibt es viele, um Kompatibilitätsproblemen zwischen WLAN-Karten-Treibersoftware und Betriebssystem aus dem Weg zu gehen, werden meist Karten mit Hermes-Chipsatz von Agere oder Prism2-Chipsatz von Intersil ausgewählt. Für diese Karten gibt es Treiber für Windows, Linux und viele andere Plattformen. Insbesondere gibt es auch Patches für die Linux-Treiber, um die Chips in den RF-Monitor-Mode zu schalten. In diesem Modus kann man den gesamten WLAN-Verkehr, der um einen herumschwirrt, mitsniffen. Der Hermes-Chipsatz findet sich in der Orinoco-Gold, die auch einen Anschluss für eine externe Antenne hat. Der Prism-2-Chipsatz wird zum Beispiel in der Linksys WPC11 und Compaqs WL100 verbaut. Eine Liste verschiedener Karten findet sich in [1]. Neuere Karten mit 22 und 54Mbit/s verwenden Chipsätze von Texas Instruments und werden derzeit von den wenigsten Programmen unterstützt.

Um die Daten eines gefundenen AP zusätzlich mit Koordinaten zu verknüpfen, kommt ein Empfänger für das Global Positioning System zum Einsatz. So genannte GPS-Mäuse für USB oder den seriellen Port sind ab 100 Euro erhältlich. Die GPS-Maus hat die Größe einer Streichholzschachtel und liefert die aktuellen Koordinaten im ASCII-Format an den Laptop, freie Sicht auf wenigstens drei GPS-Satelliten vorausgesetzt. Der USB-Port hat den Vorteil, dass er die Spannung für die Maus gleich mitliefert, allerdings erwarten einige Programme die Daten an der seriellen Schnittstelle. Mit speziellen Treibern kann man die Daten aber umleiten. Handelsübliche GPS-Empfänger enthalten in der Regel den Evermore- oder SIRF2-Chipsatz. SIRF2 ist bei der Berechnung der Koordinaten etwas schneller als Evermore, allerdings auch etwas teurer. Bisweilen kann es einige Minuten in Anspruch nehmen, bis die Mäuse nach dem Einschalten die aktuellen Koordinaten ermittelt hat. Beide Chipsätze sprechen das standardisierte NMEA-Protokoll, das alle Applikationen verstehen. Mit einem Terminalprogramm (8N1 4800 Bit/s) lassen sich die GPS-Daten (fast) im Klartext mitlesen. Praktischerweise kann man den GPS-Empfänger sogar noch zur Car-Navigation benutzen, entsprechende Software vorausgesetzt.

Wahl der Waffen

Netstumbler kann Access Points nach verschiedenen Kriterien sortieren.

Die notwendige Wardriving-Software steuert den Empfang der WLAN-Karte, fragt die Daten der GPS-Maus ab und zeigt die gesammelten Daten aufgespürter APs an. Unter Windows wird bevorzugt NetStumbler [2] verwendet, während Linuxer auf Kismet [1] setzen. Beide Programme arbeiten mit unterschiedlichen Methoden, um Access Points zu finden: Active Probing und RF Monitoring. Active Probing macht sich den Umstand zu Nutze, dass Access Points dem Standard nach auf Anfragen eines Clients antworten sollen. Clients versenden so genannte Probe-Requests auf allen Kanälen und warten auf Antworten eines in der Nähe befindlichen Access Points. Im Antwortpaket steht dann die SSID des Funk-LANs und ob WEP-Verschlüsselung verwendet wird. Diese Methode setzt unter anderem NetStumbler ein, der nur mit Hermes-Karten zusammenarbeitet.

iPAQ, Orinoco-Karte, GPS-Maus und Mini Stumbler sind das Rüstzeug des mobilen Wardrivers

Manche Access Points sind aus Sicherheitsgründen so konfiguriert, dass sie auf Anfragen von Clients nicht antworten und somit ihre SSID nicht preisgeben (cloaked APs). Um sie dennoch aufzuspüren, schaltet man die WLAN-Karte in den RF-Monitor-Mode und analysiert alle vorbeikommenden Datenpakete. Kismet setzt diese Methode ein und schaut sich die empfangenen Pakete an, um die SSID zu ermitteln. Um eine Hermes- oder Prism2-Karte softwaremäßig in den Monitor-Mode schalten zu können, wird meist der Originaltreiber gepatcht. Wie das für Linux geht, ist auf den Seiten von Airsnort [3] beschrieben. Im RF-Mode ist eine WLAN-Karte aber nicht mehr in der Lage, eine Datenverbindung zu einem AP aufzubauen. Sie lässt sich aber jederzeit wieder zurückschalten.

Neben Net Stumbler und Kismet gibt es für Windows und Linux viele ähnliche Programme. Wer wie der Autor mit einem iPAQ ausgestattet ist, verwendet für seine Entdeckungsreisen Mini Stumbler für Hermes-Karten oder Pocket-Warrior für Prism2-Karten.

Rüstungswettlauf

Fast jede Wardriving-Software unterstützt GPS-Empfänger, etwas aufwendigere Konfigurationen sind nur bei Kismet nötig. Kismet fragt den GPS-Empfänger nicht selbst ab, sondern über einen lokalen GPS-Daemon (gpsd). Dieser kann GPS-Daten sogar in einem Netzwerk zur Verfügung stellen. Für guten Empfang und viele Dezibel verwenden viele Wardriver zusätzliche Antennen, -- meist omnidirektionale Rundstrahler, also schlichte Stabantennen. Richtantennen eignen sich nur, wenn man schon weiß, wo die Sendequelle sitzt. Um etwaige Empfangsverluste im Auto (Faradayscher Käfig) auszugleichen, reicht schon eine simple Ground-Plane (siehe Bild) mit 31 mm Silberdraht (Lambda-Viertel), eine alte Zigarillo-Blechdose und ein N-Stecker. Um die Karte an die externen Antennte anzuschließen, verwendet man verlustarmes Koaxial-Kabel, zum Beispiel H-2000 von Belden, zum Preis von zwei Euro pro Meter, zuzüglich der Kupplungen an beiden Enden. Als Adapterkabel zwischen Kupplung und Miniaturbuchse an den WLAN-Karten dient ein so genannter Pigtail.

On Tour

WLAN Antenne müssen nicht immer riesig groß sein.

Ist alles zusammengebaut und im oder auf dem Auto befestigt, starten Wardriver das Programm ihrer Wahl und fahren stundenlang durch die Straßen um Daten über Funknetze zu sammeln. Anschließend werten sie die Daten aus und lassen sich alle Access Points nebst GPS-Koordinaten anzeigen. Einem weiteren Besuch, um interessante Access Points näher zu untersuchen, steht nichts im Wege. Mit Wep-Attack und Airsnort greifen ambitionierte Wardriver auch WEP-gesicherte WLANs an. Spätestens beim Umgehen dieser Schutzfunktionen verlassen sie aber die Grauzone des unschuldigen Beobachtens und riskieren strafrechtliche Verfolgung.

Ordnungsliebende Wardriver tragen die Daten sogar in elektronische Stadtpläne ein. Programme wie Microsofts Map Point 2002 stellen dabei das Kartenmaterial bereit. Das Tool Stumbverter [7] bereitet Daten aus NetStumbler zum Import in Map Point auf. In den fertigen Karten sind dann fein säuberlich die Access Points mit allen Daten an der richtigen Stelle im Stadtplan eingetragen. Derlei Karten werden dann als Jadgtrophäe auf entsprechenden Webseiten, zum Beispiel im Wardriving-Forum [4] veröffentlicht oder verstauben auf der Festplatte.

Schwere Geschütze

Stumbverter: In Hannovers City sieht man die Straßen vor lauter Access Points nicht.

Wardriving-Software zum Ausspüren von offenen Access Points erscheint im Vergleich zu frei verfügbaren Programmen wie Airsnort und Wep-Attack [6] relativ harmlos. Diese Programme dienen zum passiven Knacken der Verschlüsselung von Access Points. Toolsammlungen wie Airjack [5] gehen sogar noch einen Schritt weiter. Das darin enthaltene WLAN-Jack führt beispielsweise Denial-of-Service-Attacken gegen APs durch. Dabei werden angemeldete Clients mittels De-Authentication-Paketen vom AP abgemeldet, sodass die Verbindung zusammenbricht. Mit Monkey-Jack sind im Funk-LAN Man-in-the-Middle-Attacken möglich. Dazu leitet ein Angreifer WLAN-Verkehr zwischen Access Point und Client über seinen Rechner, um sämtliche Pakete mitzulesen.

Solche aktiven Angriffe werden in der Regel nicht im "Vorbeifahren" durchgeführt, sondern stationär und dann auch oft mit Richtfunkantennen. Hier steht man aber bereits mit einem Bein im Gefängnis. Nach Paragraf 202a StGB ist das Ausspähen von gesicherten Daten verboten -- das Knacken von Verschlüsselungen fällt nach Lesart von Juristen hierunter. Paragraf 263a StGB stellt die Verwendung unbefugter Daten unter Strafe, wie sie etwa durch Man-in-Middle-Attacken gesammelt werden können. Auch Denial-of-Service-Attacken bleiben nicht ungesühnt: Paragraf 303b StGB bestraft Täter, die Datenverarbeitungsvorgänge von wesentlicher Bedeutung stören.