Gestern hatte ich endlich Zeit gefunden, die Verschlüsselung meines drahtlosen Heimnetzwerkes vom prinzipiell recht einfach zu überwindenden WEP-Standard auf WPA (genauer: WPA-PSK mit AES-CCMP-Verschlüsselung) umzustellen. Nachdem der antike WLAN-Treiber auf dem Notebook meiner besseren Hälfte durch ein Update zum Zusammenspiel mit überlegeneren Verschlüsselungstechnologien überredet werden konnte, wurde durch die Installation des WPA Supplicant und der Aktivierung der kerneleigenen Crypto-API das eigene Notebook den neuen Gegebenheiten angepasst.

Spasseshalber experimentierte ich noch ein wenig mit dem sog. SSID Cloaking, also dem mutwilligen “Verstecken” der eigenen SSID durch das Abstellen des SSID Broadcasts, welches entgegen einer immernoch zu breit vertretenen Meinung allerdings kein wirkliches Sicherheitsfeature darstellt. Im Rahmen dieser Spielereien diente Kismet der Evaluation verschiedener Setups, und es kam, wie es kommen mußte: Der Netzwerkscanner entdeckte drei weitere WLANs in der näheren Umgebung, von denen zwei ohne jede Verschlüsselung konfiguriert waren - eines immerhin nutzte erfreulicherweise WPA zur Absicherung des eigenen Netzverkehrs.

Natürlich zogen die unverschlüsselten Netzwerke mein Interesse für kurze Zeit auf sich, um mir einen Eindruck davon machen zu können, was so manch offensichtlich überforderter Käufer mit moderner Informationstechnologie (nicht) anfangen kann. Während bei einem der beiden Wackelkandidaten “immerhin” ein MAC-Filter aktiviert zu sein schien, war das WLAN mit der eingängigen Namensgebung “default” offen, wie ein WLAN nur offen sein kann. Dank ettercap hatte ich schnell die Adresse der im Netzwerk aktiven Hosts, und siehe da:

Per Default werden DrayTeks Wireless-Produkte ohne individuell gesetzte Passwörter ausgeliefert, und so kann ein jeder, der genug böswillige Energie besitzt, die Konfiguration des nachbarlichen Routers seinem Gutdünken anpassen. Momentan bin ich am überlegen, zumindest in unserem Haus einen kleinen Hinweis anzubringen: Der Besitzer des DrayTek Routers mit der Kundenkennung ****** möge sich doch bitte bei mir melden, es gäbe viel zu tun, packen wir’s an...

Leider kein Einzelfall.

Phew, das war knapp. Seltsames Gefühl, virtuelle Eindringlinge ganz real im Flur zu spüren, eingesperrt in eine kleine, metallene Kiste, unverdächtig surrend und harmlos freudig blinkend. Langweilig muss es ihm oder ihr gewesen sein, und wie so oft war es wohl der dumpfe Drang nach Zerstörung, der das gemeine Scriptkiddie meine arme, unschuldige Pandora überfallen ließ, welche treusorgend das heimische Netzwerk mit allerlei Daten und Diensten versorgt - ein gesunder Spieltrieb letzlich würde kreativere Glanzleistungen zu Tage fördern. Entrüstet nehme ich also diesen Hausfriedensbruch zur Kenntnis.

Doch kommen wir nun zu den Details, die mit dem Pinguin weniger vertraute Zeitgenossen allerdings eher nicht interessieren dürften...

Mehr »

Die Polizei Paderborn hat einen 19jährigen Wardriver erwischt, der in seinem Auto sitzend die eigenen E-Mails über ein fremdes, offenbar ungesichertes Funknetzwerk abgerufen hatte. Sichtlich verschreckt durch das Auftauchen der Ordnungshüter war der Auszubildende sofort geständig.

Kristian Köhntopp zitiert in diesem Zusammenhang intern.de, welche die hochgegriffenen Straftatsbestandskonstruktionen[tm] der Paderborner Gesetzteshüter anzweifeln:

Nonetheless: Ein Strafverfahren ist mittlerweile eingeleitet worden, die Polizei Paderborn spricht im Kontext ihrer Pressemitteilung von “Datenräubern”, die auf “Kosten der Besitzer” “Datenspionage” betrieben. In Zeiten weit verbreiteter Flatrates und grosszügiger Volumentarife dürfte zumindest der pekuniäre Aspekt hier immer seltener zutreffen, alles andere sind bloße Vermutungen frei jeden Anhaltspunktes.

Prinzipiell ist ein offenes Netzwerk ein offenes Netzwerk - solche Dienste werden mittlereile von interessierten Privatpersonen, aber auch von Vereinen und Städten grosszügig angeboten, eine Suche oder ein Einloggen in diese intendiert ungeschützen WLANs sollte also kaum strafbar sein. Die Diskussion, ob eine WEP-Verschlüsselung bei den bekannten Schwächen und Unzulänglichkeiten einen “besonderen Schutz” darstellt, ist in meinen Augen dagegen akademischer Natur - der Wille des Betreibers, die Nutzung des eigenen Netzes durch Fremde zu unterbinden, ist offensichtlich und zu respektieren, wenn auch auf Seiten des Verschlüsselnden optimaler umzusetzen.

Etwas bitter stößt mir als potentiell Betroffener die sofortige Beschlagnahmung des “Tatwerkzeugs” auf, das nicht selten eben auch benötigtes Arbeitswerkzeug ist, und sei es nur für studentische Programmierübungen und Projekte. Hier geht jede Verhältnissmässigkeit verloren - die meisten Wardriver schliesslich sind nicht an persönlichen Daten oder einer Schädigung Dritter interessiert, sondern schmunzeln lieber über kreative Netzwerknamen oder die Blauäugigkeit schlecht beratener WLAN-Betreiber - und die erschreckende Anzahl derer.

Nachtrag:

Udo Vetter gibt in seinem Lawblog einige Anstöße für mögliche Verhaltensweisen bei drohender Beschlagnahmung des geliebten Rechenknechtes, yamb hatte ebenfalls schon vor einiger Zeit berichtet.

Paderborn ist überall?

Auch in Karlsruhe scheint die Polizei wenig zimperlich zu sein. So berichtet ka-news.de über einen ählichen Fall:

Das doritge Funknetzwerk war ebenfalls unverschlüsselt, was die Beamten wiederum nicht von einer Beschlagnahmung des Notebooks abhielt.

Die Nachlässigkeit im Umgang mit SSL Zertifikaten droht, ein eigentlich sinnvolles Sicherheitskonzept ad absurdum zu führen. Immer mehr Anwender werden auf Dauer dazu übergehen, routiniert die berechtigten Warnhinweise ihrer Browser zu unterdrücken, ohne sich weiter Gedanken über den Inhalt und die damit verbundenen Implikationen der gezeigten Meldungen zu machen. Der Wert eines Standards, der für authentische und vertrauliche Datenübertragung sorgen soll, wird so in der Praxis erheblich geschmälert. Die häufig medienwirksam aufgedeckten Phishing-Attacken der jüngeren Vergangenheit jedoch verdeutlichen die Notwendigkeit eines solchen, in der Theorie wunderbar funktionierenden Systems, auf drastische Art und Weise.

In der harten Realität[tm] treffen unbedarfte Surfer jedoch im Zweifelsfall auf die Online-Präsenz ihrer Bank, welche gedankenlos sichere und unsichere Inhalte auf den eigenen Seiten vermengt und so entsprechende Warnungen alltäglich werden läßt. Universitäten und FHs üben sich derweil munter im Selbstsignieren der angebotenen Serverzertifikate oder errichten bedeutungslose, weil unbekannte Zertifizierungsstellen. Auch abgelaufene oder fehlerhafte Zertifikate, die nicht zur angegebenen Domain passen wollen, sind keine Seltenheit.

Der gemeine Netzwandelnde wird durch solche Schlampereien jedoch stetig einer gefährlichen Desensibilisierung unterworfen. Was für kleine, private Dialups noch für den Eigengebrauch zulässig erscheint, wird bei professionellen Angeboten unentschuldbar. Wenn Banken, Universitäten und virtuelle Auktionshäuser nicht auf den sinnbehafteten Umgang mit SSL Zertifikaten achten, hat der Privatmann am anderen Ende der Leitung wenig bis garnichts von einem Konzept, dass im Endeffekt seiner eigenen Sicherheit dienen sollte.

Eine Zeit lang kam es dem geneigten Beobachter fast so vor, als hätte Microsoft mit Erscheinen des zweiten Service Packs für Windows XP Lehren aus einer über Jahre hinweg katastrophalen Produktpolitik in sicherheitstechnischer Hinsicht gezogen. Würmer, Viren und SPAM, die neuen, biblischen Plagen des Informationszeitalers, werden zu vorderst von schlecht gewarteten Windows Dialups auf ein für viele aus diesem Grund immer unbrauchbarer werdendes Netz losgelassen. Während der private Netzbürger zunehmend genervt ohne martialische Filterprogramme kaum mehr seines virtuellen Briefkastens Herr wird, summieren sich die volkswirtschaftlichen Schäden in bis dato immer ungeahntere Höhen. Nicht immer ist Microsoft ein direkter Vorwurf zu machen - oft stehen die benötigten Sicherheitspatches schon lange bereit, werden aber schlicht vom unbedarften Endanwender ignoriert. Konzeptionelle Schwachpunkte und undurchsichtiges Flickwerk strafen dennoch einen Konzern Lügen, der den Massen ein einfach und problemlos zu handhabendes System verkaufen will.

Sicherheit bedeutet immer auch ein Stück weit Administrationsaufwand und Komfortverlust, zumindest bei Systemen, die flexibel und für viele Aufgabenbereiche anpassbar sein sollen. Es ist kaum verwunderlich, dass sich technisch notwendige Restriktionen dem weniger vorgebildeten Käufer schlechter vermarkten lassen als ein Produkt, das “Out Of The Box” läuft und kaum Konfigurationsaufwand verursacht. Es bedurfte einigen netzweiten Erdbeben, um den Kundenkreis zumindest etwas für diese Belange zu sensibilisieren. Microsofts Verdienst allerdings war das nicht - zu lange gaukelte man eine heile Welt vor und schob alle Schuld auf den Endanwender, konzeptionelle Schwächen wurden mit immer fadenscheinigeren Argumenten abgetan.

Service Pack 2 sollte das ändern, mit restriktiveren Voreinstellungen und anpassbareren Sicherheitsmechanismen, selbst bei möglichem Komfortverlust oder zu erwartenden Kompatibilitätsproblemen. Ein Schritt in die richtige Richtung, von vielen lange erwartet und mit entsprechendem Wohlwollen honoriert. Niemand wird ernsthaft angenommen haben, das eine solche Umstellung reibungslos und fehlerfrei von statten geht - dazu ist ein solches Vorhaben zu komplex. Verwundern mag nur die Art und Weise, wie Microsoft mit Hinweisen auf offensichtliche Schwachstellen ihres neuen Konzepts reagiert. Der neue, frische Wind scheint schon jetzt wieder abzuflauen: Wo eben noch verlorenes Vertrauen zurück gewonnen werden konnte, wird es durch altbekannte Verhaltensweisen schnell wieder verspielt.

Einen kurzen Erfahrungsbericht dazu liefert heise Security.