Cebit

Drahtlos-Einbruch trotz WPA dank WLAN-Automatik

Auch in mit WPA gesicherten Funknetzen sind XP-Rechner nicht vor EntfĂĽhrungen gefeit, hat das Beratungsunternehmen SySS herausgefunden. In bestimmten Konstellationen lassen sich WLAN-Clients zum Verbinden mit einem falschen AP verleiten.

In Pocket speichern vorlesen Druckansicht 124 Kommentare lesen
Lesezeit: 2 Min.

Das bisher wenig beachtete Einfallstor auf per WLAN angebundene Rechner liegt in ihrer Liste bekannter Funknetze (Preferred Network List, PNL): Sie speichert Netzwerke, mit denen man sich schon einmal verbunden hat. Später nimmt der Laptop automatisch wieder Kontakt auf, wenn man das nicht ausdrücklich in den Eigenschaften der WLAN-Karte unter "Drahtlosnetzwerke" untersagt hat. Das geschieht auch bei unverschlüsselten Funknetzen, etwa wenn der Laptop-Besitzer gelegentlich in WLAN-Hotspots online geht und deshalb deren Funknetznamen (SSID) wie beispielsweise "T-Mobile_T-Com" gespeichert hat.

Um Ihren Laptop von seiner WPA-gesicherten Basisstation zu trennen, muss der Angreifer nur ein gefälschtes Deauthentification-Paket mit der Kennung der Basisstation senden, was ihm leichtfällt, denn WLAN-Steuerpakete laufen auch bei WPA unverschlüsselt und ohne kryptografische Authentifizierung. Wenn der PC anschließend versucht, sich wieder zu verbinden, gibt der Einbrecher sich beispielsweise mit einem Tool wie Karma als Zugangspunkt mit bekannten SSIDs aus und kann den Verkehr auf sich umleiten.

Dabei spielt das häufig zur WLAN-Sicherung empfohlene Verstecken des Funknetznamens dem Angreifer sogar in die Hände, weswegen Microsoft vom Abschalten des SSID Broadcast abrät. Denn wenn der Client kein WLAN mit aktivem SSID Broadcast findet, versucht er sich aktiv per Probe Request zu verbinden und offenbart dabei die versteckt geglaubte SSID.

Wie der Angriff abläuft, will Sebastian Schreiber von SySS auf dem Heise-Forum (Halle 5, Stand E38) im Rahmen seines Live-Hacking-Vortrags am Dienstag, Donnerstag und Samstag ab 13 Uhr vorführen. (ea)