WLAN-Sicherheit aus der Sicht eines Angreifers, Teil 2 Rogue Access Points – Von bösen Zwillingen im WiFi-Netzwerk

Autor / Redakteur: Martin Dombrowski / Stephan Augsten

Die Idee bösartiger WLAN-Zugangspunkte reicht soweit zurück, wie die Nutzung von Access Points an sich. Jedoch gewinnt diese Bedrohung durch die Nutzung vermehrt auftauchender Skripte und Programme an Brisanz. In diesem Artikel soll aufgezeigt werden, welche Angriffsszenarien durch die Nutzung eines solchen Rogue Access Point möglich sind.

Firmen zum Thema

Angriffe über einen Rogue Access Point werden durch Toolsets wie Metasploit stark vereinfacht.
Angriffe über einen Rogue Access Point werden durch Toolsets wie Metasploit stark vereinfacht.
( Archiv: Vogel Business Media )

Um einen WLAN-Zugangspunkt zu simulieren setzt der Hacker sein Laptop-System so auf, dass dieser sich als ein Access Point (AP) beziehungsweise Hotspot ausgibt. Hierbei wählt der Angreifer entweder eine bestehende SSID (Service Set Identifier, Funknetz-Name) der Umgebung oder benutzt eine SSID, die dazu führt, das diese für möglichst viele Benutzer interessant zu sein scheint.

Nun wartet der Angreifer, bis sich ein Benutzer bei diesem System anmeldet. Ist der Rogue Access Point stärker, zum Beispiel durch die Nähe im Signal, so wechselt das Client-Betriebssystem automatisch auf den signalstärkeren Hotspot mit gleicher SSID. Die Möglichkeiten, die sich hierdurch ergeben, beschreiben wir im Folgenden.

Bildergalerie
Bildergalerie mit 6 Bildern

Der offene WLAN-Zugang

Der Internetzugriff in Hotels – zum Beispiel über T-Online-Hotspots – gehört mittlerweile zum Alltag. Der Zugriff auf diese Access Points geschieht ohne Verschlüsselung, wodurch sich die Clients meist automatisch verbinden. Beim Versuch eine Webseite zu öffnen wird man auf eine Webseite des Hotspot-Anbieters gelenkt, die nun zum Beispiel eine Bezahlung per Kreditkarte fordert.

Genau dieses Szenario lässt sich durch einen Rogue Access Point ausnutzen. Dieser dient in diesem Fall als Phishing-Instanz. Das Angreifer-Notebook ist mit der Linux-Distribution Backtrack ausgestattet und wird mit den mitgelieferten Bordmitteln in einen Rouge Access Point verwandelt.

Der Hacker nutzt die vorher gespeicherte Startseite des Hotel-Hotspots und legt diese auf dem lokalen Webserver des Rogue Access Points ab. Zudem erweitert er diese Seite um ein Script welches die Eingabe der Kreditkarteninformationen speichert.

Versucht sich nun ein ahnungsloser Hotelgast über diesen Hotspot anzumelden und per Kreditkarte zu bezahlen, so werden diese Daten auf dem Angreifer-Laptop gespeichert und können gewinnbringend verkauft werden. Dieses Szenario scheint laut einschlägiger Foren auch gerne auf Flughäfen genutzt zu werden.

Inhalt

  • Seite 1: Der offene WLAN-Zugang
  • Seite 2: Der böse Zwilling im Unternehmen
  • Seite 3: Karmetasploit

Der böse Zwilling im Unternehmen

Im Gegensatz zum Beispiel bösartiger Hotel-Hotspots wird der Rouge Access Point via WLAN oder LAN in einem Firmennetzwerk mit einer Internetverbindung versehen. Der Rouge Access Point wird nun mit der SSID des Firmen-AP versehen und führt dazu, dass Benutzersysteme durch die stärkere Signalstärke auf diesen Rouge Access Point schwenken.

Ein Anwender wird dies selten bemerken. Das einzig Auffällige an dieser Stelle ist, dass der Access Point in der Übersicht ohne Verschlüsselungssymbol auftaucht. Der Angreifer nutzt nun die in Backtrack mitgelieferten Tools, wie zum Beispiel Aircrack und Ettercap, um sich in den Traffic der Benutzer einzuschleusen.

Der Anwender fällt damit einer so genannten Man-in-the-Middle-Attacke zum Opfer. Hierbei fließt jeglicher Web Traffic des Anwenders durch das Angreifersystem und kann an dieser Stelle mitgeloggt, analysiert und manipuliert werden. Vorgefertigte Skripte speichern gezielt vom Anwender genutzte Zugangsdaten.

Die Nutzung von SSL im WLAN

Beim Umgang mit sensiblen Daten verwenden Webseiten oft eine SSL-verschlüsselte Datenübermittlung. Dies ist eine End-to-End-Verschlüsselung, wodurch der Angreifer nicht in den verschlüsselten Traffic schauen kann. Befindet sich der Angreifer mittels Aircrack und Ettercap jedoch schon in der Position des Man-in-the-Middle, so ist nur noch das in Backtrack mitgelieferte Python Skript SSLStrip notwendig, um den SSLTunnel aufzubrechen.

Hierbei terminiert das Angreifersystem den SSL-Tunnel. Dies könnte der Anwender daran bemerken, dass in der Adressleiste des Browsers nun HTTP anstelle HTTPS steht. In den meisten Fällen scheint dies aber nicht bemerkt zu werden. SSLStrip loggt nun eifrig alle genutzten Zugangsdaten mit und zeigt diese in Echtzeit an.

Inhalt

  • Seite 1: Der offene WLAN-Zugang
  • Seite 2: Der böse Zwilling im Unternehmen
  • Seite 3: Karmetasploit

Seite 3: Karmetasploit

Karmetasploit ist ein Toolset, welches eine Kombination aus KARMA und dem Metasploit Framework darstellt. KARMA steht für Karma Attacks Radioed Machines Automatically und ist ein weiteres Skript für einen Rogue Access Point. Dieses hat jedoch im Vergleich zu den vorher genannten Methoden eine entschieden wichtige Ergänzung: es antwortet auf alle Probe Requests der WLAN-Clients.

Das heisst, dass der Rogue Access Point die SSID mit einem Beacon ausgibt, die er vorher in dem Client Probe gesehen hat (ab Windows Vista werden diese Probes nicht mehr verwendet). Praktisch bedeutet das, dass er im konfigurierbaren Zeitintervall seine SSID verändert und alle dem Client bekannten SSID annimmt, bis der Client sich verbunden hat.

Injektion von Schadcode

In den bisher beschriebenen Angriffsszenarien wurde der Traffic des Anwenders, bis auf das SSL-Szenario nicht verändert. Karmetasploit erweitert nun die Man-in-The-Middle Attacke mit Schadcode.

Ist ein Client über den Rouge Access Point mit dem Internet verbunden, dann wird in der angesurften Webseite versteckt Schadcode eingebettet, der wie ein Drive-by-Download eine Vielzahl von Browser- und Browser-Plugin-Exploits enthält. Ist aufgrund einer Schwachstelle des Clients einer der vielen Exploits erfolgreich, so hat der Angreifer eine Shell mit Vollzugriff auf den Client. Nun stehen dem Angreifer alle Wege offen.

WEP und WPAPassword Hacking mal anders

Hat der Angreifer nun eine Shell auf den Client, so gibt es einen Weg an die dem Client bekannten und gespeicherten WPA- und WEP-Passwörter zu gelangen. Hierfür gibt es zum Beispiel für Windows eine Applikation namens wkviewer.exe, die der Angreifer mit Hilfe der Shell auf das Client-System hochladen und dann ausführen kann. Die Ausgabe dieser Applikation liefert nun alle in dem System gespeicherten Zugangsdaten zu Drahtlos-Netzwerken.

Fazit

Wie dieser Beitrag zeigt, kennt die Kreativität der Angreifer keine Grenzen. Mithilfe von Rogue Access Points können sie sogar ohne Password Cracking an ein WPA-Passwort kommen. Vor allem beim Umgang mit offenen WLAN-Zugängen sollte man deshalb besondere Vorsicht walten lassen.

Inhalt

  • Seite 1: Der offene WLAN-Zugang
  • Seite 2: Der böse Zwilling im Unternehmen
  • Seite 3: Karmetasploit

(ID:2049110)