Ungesicherte WLANs funken mittlerweile zu Hauf ihre Daten, für neugierige Mitmenschen leicht einsehbar, durch den Äther. Auch eine eventuell ungewollte Nutzung der eigenen Konnektivität durch Dritte ist so nicht ausgeschlossen, was bei volumen- oder zeitbasierten Zugsangstarifen im Zweifelsfall richtig ins Geld gehen kann - von einem möglichen Missbrauch erspähter Klartextpasswörter ganz zu schweigen. Die schiere Anzahl an schlecht konfigurierten Access Points lässt das Wardriving mittlerweile fast schon überflüssig werden, aus den eigenen vier Wänden muss man sich deswegen immer seltener hinaus begeben, um derlei katastrophaler Setups fündig zu werden.

Technisch weniger bewanderte, aber sich der Problematik prinzipiell bewußte Nutzer versuchen immer wieder, ihre Netze mit untauglichen Mitteln sicherer zu machen, doch das Gegenteil von gut ist bekanntlich gut gemeint. Wie sinnlos Maßnahmen wie MAC Filterung, SSID Cloaking, LEAP Authentifizierung oder Deaktivierung des eigenen DHCP Servers für sich genommen sind, verdeutlicht George Ou in seinem Artikel The six dumbest ways to secure a wireless LAN auf ZDNet ausführlich und leicht verständlich.

Vielen gilt daher die Verschlüsselung des eigenen Drahtlosnetzwerkes per WEP als gangbare Möglichkeit, sich unerwünschte Gäste virtuell vom Leibe zu halten. Was einst noch als hinreichend sicher galt, wird seit längerer Zeit als praktisch gebrochen angesehen. Dennoch spielte die erforderliche Menge an Datenpaketen, die für einen erfolgreichen Angriff auf den genutzten WEP Schlüssel notwendig ist, bisher eine gewisse Rolle. Sprach man Anfangs von hunderten an Megabytes bis hin zu einigen Gigabytes an Netzwerkverkehr, den es zu belauschen galt, pendelte sich dieser Wert durch die Überlegungen von Fluhrer, Mantin und Shamir schnell bei 5 bis 10 Millionen Datenpaketen ein. Unter Verwendung statistischer Kryptoanalyse lässt sich jedes Datenpaket mit eindeutigem Initialisierungsvektor zum Brechen des verwendeten WEP Schlüssels nutzen, die Anzahl dazu notwendiger Datenpakete sinkt rapide ab. Erste Implementierungen veröffentlichte ein findiger Hacker namens “Korek” im Netstumbler-Forum, darauf basierende Tools erreichen laut eines Artikels des Computermagazins c’t bereits bei 500.000 aufgefangenen Datenpaketen eine Erfolgswahrscheinlichkeit von über 80% - bei einer Rechenzeit von 5 bis 25 Sekunden auf einem mit 1.6 GHz getakteten Pentium-Rechner. Ab fünf Millionen Paketen nähere sich die Erfolgswahrscheinlichkeit eines solchen Angriffs bereits den 100% an. Zum Auffangen der benötigten Menge an Daten braucht ein Angreifer laut den Ausführungen der c’t in einem “halbwegs” ausgelasteten 11-MBit-WLAN etwa zwei Stunden. Damit fällt auch die letzte praktische Hürde zum Knacken eines per WEP gesicherten Netzwerks: Zwei Wochen geduldiges Ausharren sind dazu in keinem Fall mehr nötig.

Neuere Attacken gehen noch weiter und wenden verschiedene Mechanismen an, um auch in weniger aktiven Funknetzwerken für den notwendigen Datenverkehr zu einem erfolgreichen Angriff zu sorgen - sie erzeugen diesen schlicht selbst, schnell und ohne jede Kenntnis des eingesetzten WEP-Keys.

Zusammenfassend: WEP ist gebrochen und bietet weder eine theoretische noch eine praktische Sicherheit. Was einst für “Heimnetzwerke” sicher genug war, bietet selbst hier keinen ausreichenden Schutz mehr. Die Wahl sollte also auf WPA oder WPA2 fallen - wer dennoch nur WEP einsetzen kann, sollte sich die Verwendung eines VPNs dringendst überlegen oder auf andere Verschlüsselungsmechanismen setzen. Achtung: Die Sicherheit eines WPA Netzwerkes mit Pre-Shared Key Verfahren (PSK), wie es bei den meisten privaten Setups verwendet werden dürfte, steht und fällt mit der Komplexität des gewählten Passwortes. Bei einer zu schwachen Phrase kann dieses durch eine simple Wörterbuch- oder Bruteforce-Attacke erraten werden.

Wie man’s besser macht, zeigt dieser Artikel von George Ou, auf den mich Kris in seinem Blog aufmerksam machte. Mein noch junges Drahtlosnetzwerk ist glücklicherweise seit etwa zwei Wochen umgestellt.

Relevante Links:

Hack most wireless LANs in minutes!
WEP: Dead Again, Part 1
WEP: Dead Again, Part 2
Using the Fluhrer, Mantin, and Shamir Attack to Break WEP (PDF)

Gestern hatte ich endlich Zeit gefunden, die Verschlüsselung meines drahtlosen Heimnetzwerkes vom prinzipiell recht einfach zu überwindenden WEP-Standard auf WPA (genauer: WPA-PSK mit AES-CCMP-Verschlüsselung) umzustellen. Nachdem der antike WLAN-Treiber auf dem Notebook meiner besseren Hälfte durch ein Update zum Zusammenspiel mit überlegeneren Verschlüsselungstechnologien überredet werden konnte, wurde durch die Installation des WPA Supplicant und der Aktivierung der kerneleigenen Crypto-API das eigene Notebook den neuen Gegebenheiten angepasst.

Spasseshalber experimentierte ich noch ein wenig mit dem sog. SSID Cloaking, also dem mutwilligen “Verstecken” der eigenen SSID durch das Abstellen des SSID Broadcasts, welches entgegen einer immernoch zu breit vertretenen Meinung allerdings kein wirkliches Sicherheitsfeature darstellt. Im Rahmen dieser Spielereien diente Kismet der Evaluation verschiedener Setups, und es kam, wie es kommen mußte: Der Netzwerkscanner entdeckte drei weitere WLANs in der näheren Umgebung, von denen zwei ohne jede Verschlüsselung konfiguriert waren - eines immerhin nutzte erfreulicherweise WPA zur Absicherung des eigenen Netzverkehrs.

Natürlich zogen die unverschlüsselten Netzwerke mein Interesse für kurze Zeit auf sich, um mir einen Eindruck davon machen zu können, was so manch offensichtlich überforderter Käufer mit moderner Informationstechnologie (nicht) anfangen kann. Während bei einem der beiden Wackelkandidaten “immerhin” ein MAC-Filter aktiviert zu sein schien, war das WLAN mit der eingängigen Namensgebung “default” offen, wie ein WLAN nur offen sein kann. Dank ettercap hatte ich schnell die Adresse der im Netzwerk aktiven Hosts, und siehe da:

Per Default werden DrayTeks Wireless-Produkte ohne individuell gesetzte Passwörter ausgeliefert, und so kann ein jeder, der genug böswillige Energie besitzt, die Konfiguration des nachbarlichen Routers seinem Gutdünken anpassen. Momentan bin ich am überlegen, zumindest in unserem Haus einen kleinen Hinweis anzubringen: Der Besitzer des DrayTek Routers mit der Kundenkennung ****** möge sich doch bitte bei mir melden, es gäbe viel zu tun, packen wir’s an...

Leider kein Einzelfall.