Werksseitige WLAN-Passwörter vorhersehbar
Die von Providern ausgelieferte WLAN-Hardware ist oftmals mit voreingestelltem WLAN-Passwort versehen. Die Algorithmen für die Passwörter einiger WLAN-Router haben Hacker von Gnucitizen jetzt geknackt.
Vor einiger Zeit wurde bekannt, dass einige WLAN-Router für Heimnetzwerke ab Werk mit einem WLAN-Passwort ausgestattet sind, welches sich leicht erraten lässt. Die Hacker von Gnucitizen haben jetzt die Algorithmen, die zur Berechnung der voreingestellten SSID und des Passworts bei einigen populären Geräten dienen, herausgefunden und veröffentlicht.
Damit lassen sich die Passwörter berechnen, die für die WEP/WPA-Verschlüsselung der Speedtouch-Router von Thomson – die auch als BT Home Hub von der British Telecom eingesetzt werden – voreingestellt sind. Die Berechnung des Passworts ist recht trivial. Aus der um einige Zeichen gekürzten Seriennummer des Gerätes, von der die letzten drei Zeichen noch in Hexadezimalwerte gewandelt werden, bildet der Algorithmus einen SHA-1-Hash. Die Speedtouch-Router hängen die letzten sechs Zeichen (drei Bytes) des Hashes einfach an den Namen "SpeedTouch", um die SSID zu generieren. Das WEP/WPA-Passwort besteht aus den ersten zehn Zeichen des Hashes (fünf Bytes). Die als BT Home Hub vertriebenen Geräte nutzen die letzten vier Zeichen des Hashes und hängen sie hinter die Zeichenkette "BTHomeHub-" für die SSID.
Kevin Devine hat ein Werkzeug mit dem Namen stkeys entwickelt, das alle möglichen Seriennummern erzeugt und daraus die SSID und das Passwort generiert. Dadurch lassen sich die Passwörter für eine vorgegebene SSID eingrenzen. Die möglichen voreingestellten Schlüssel für Speedtouch-Router lassen sich laut der Gnucitizen-Hacker auf zwei eingrenzen, für die BT Home Hubs immerhin auf 80. Diese lassen sich einfach ausprobieren. Adrian Pastor hat dazu das Werkzeug BTHHkeygen entwickelt, das eine vorberechnete Tabelle mit SSIDs und zugehörigen Schlüsseln durchsucht, sowie BTHHkeybf, das diese Schlüssel anschließend ausprobiert, um damit die benötigte Zeit zum Knacken des Passworts weiter zu reduzieren. Die Tools will Pastor jedoch nicht veröffentlichen. Die Angriffe sollen bei drei getesteten BT Home Hubs problemlos funktioniert haben, allerdings nutzt der BT Home Hub in Version 1.5 einen anderen, bislang nicht geknackten Algorithmus.
Bei den BT Home Hubs ist ab Werk lediglich ein 40-bittiger WEP-Schlüssel aktiv. Dieser lässt sich mit aktuellen aircrack-Versionen sowieso innerhalb kürzester Zeit knacken. Die Speedtouch-Router kommen hingegen mit voreingestellter WPA-Verschlüsselung ins Haus. Die Werkseinstellungen ermöglichen jedoch, die Verschlüsselung schnell zu brechen.
Nutzer von WLAN-Routern – auch anderer Hersteller – sollten zum besseren Schutz des eigenen Netzes vor unerwünschten Mitsurfern oder Schnüfflern die voreingestellten WEP- und WPA-Schlüssel nicht nutzen, sondern möglichst eine eigene SSID einstellen und ein eigenes Passwort für die WPA-Verschlüsselung wählen.
Siehe dazu auch:
- Default key algorithm in Thomson and BT Home Hub routers, Eintrag im Gnucitizen-Blog
- Voreingestellte WPA-Schlüssel in WLAN-Routern leicht erratbar, Meldung von heise Security
(dmk)
