"Live Hacking" - Trilliarden Jahre für einen Hack

6. Dezember 2011, 13:18
  • Jedes sechste WLAN in Wien ist nicht oder nur ungenügend gesichert.
    vergrößern 800x800
    karte: christian czeczil

    Jedes sechste WLAN in Wien ist nicht oder nur ungenügend gesichert.

Christian Czeczil zeigte bei einer "Live Hacking"-Session Sicherheitslücken auf

"Angreifer" steht auf dem einen A4-Zettel. Er klebt an der aufgeklappten Displayrückwand eines Laptops. Der zweite Laptop steht auf einem anderen Tisch am Podium und trägt den Titel "Opfer". Der Versuchsaufbau dient Christian Czeczil zur Veranschaulichung häufiger Sicherheitslücken in Rechnern oder ganzen Netzwerken. Im Rahmen einer Veranstaltung zur IT-Sicherheit der Arge Daten zeigte er bei einer "Live Hacking"-Demonstration einschlägige Methoden.

Czeczil, Absolvent des Studiums Computer- und Mediensicherheit an der FH Hagenberg, schiebt eine DVD mit Backtrack 5 in den Angreifer-Laptop und bootet ihn. Auf dem Datenträger befindet sich ein komplettes Linux-Betriebssystem mit einer Vielzahl kleiner Werkzeuge. Mit einem spürt er in einem ersten Schritt alle verfügbaren Breitband-Funknetze samt eindeutigen BSS-Identifikationen, belegten Kanälen und einem halben Dutzend weiterer Parameter auf.

Schlüsselberechnung

Einer der Einträge zeigt den Zugang, mit dem sich das Opfer per Datenstick ins Internet eingewählt hat. Czeczil bittet einen Zuschauer, das entsprechende Passwort zu ändern, tippt mehrere Befehlsketten in die Kommandozeile des Programms und startet die Schlüsselberechnung. Keine zwei Minuten später wirft der Beamer über den Angreifer-Computer die korrekte Passphrase an die Leinwand. Czeczil loggt sich ohne Kenntnis des Opfers in dessen Netz ein.

Nach einem erfolgreichen Angriff kann der Eindringling IP- und MAC-Adresse des Opfers übernehmen. Im Ernstfall wird man also kaum beweisen können, eine Straftat nicht selbst begangen zu haben.

Brute Force

Czeczil zeigt in der Präsentation die bekannte Studie, wonach das beliebteste Passwort weltweit "123456" lautet. Aber nicht nur die aufsteigende Zahlenreihe an sich macht es Hackern leicht, auf den korrekten Code zu stoßen. Selbst willkürlich zusammengestellte Ziffern sind nicht schwer zu erfassen – erst recht nicht, wenn die Zahl aus nur wenigen Stellen besteht.

In Czeczils Beispiel der "Brute Force"-Methode werden pro Sekunde automatisiert 600 Millionen verschiedene Kombinationen durchprobiert, um an das Passwort zu kommen. Bei rein auf Ziffern basierenden Codes kann das richtige schon nach Sekundenbruchteilen gefunden werden. An Kombinationen aus Ziffern, Sonderzeichen, Groß- und Kleinbuchstaben wird sich die Schlüsselberechnung hingegen selbst unter optimalen Bedingungen schon einmal Jahrtrillionen die Zähne ausbeißen.

PW
8 Zeichen
10 Zeichen
15 Zeichen
20 Zeichen
Z
0,1 Sekunden
17 Sekunden
19 Tage
5.284 Jahre
B 24 Sekunden
7 Jahre
2,9 Jahrmilliarden
1,1 Jahrtrillionen
ZSB
14 Tage
197 Jahre
382 Jahrmilliarden
740 Jahrtrillionen

Legende
Z: Nur Ziffern
B: Kombination aus Groß- und Kleinbuchstaben
ZSB: Kombination aus Ziffern, Sonderzeichen, Groß- und Kleinbuchstaben

WLANS

Hacker versuchen verständlicherweise, ein System immer an seinem schwächsten Glied zu überwinden, sagt Czeczil. In den meisten Fällen seien das heute nicht oder nur mangelhaft geschützte WLANs. Viele Funknetzwerke seien anstatt über den aktuellen WPA2- nur mit dem veralteten WEP-Algorithmus verschlüsselt – oder gar nicht.

Bei einer Fahrt über den Wiener Gürtel und die Donaukanallände registrierte Czeczil 3573 WLANs in der unmittelbaren Umgebung (siehe Karte). Knapp jedes sechste davon war nicht oder nur ungenügend gesichert. Bei ähnlichen Versuchen in ländlichen Gebieten lag dieser Wert sogar bei 30 Prozent.

Lokaler Passwortschutz

Doch nicht nur aus dem eigenen zu locker abgeriegelten WLAN ergeben sich Probleme für die Datensicherheit. Viele User würden sich bedenkenlos in offene WLANs an Bahnhöfen, Flughäfen oder Cafés einloggen, die für Hacker – und selbst für Laien – oft ein offenes Buch sind.

In einer weiteren Anordnung zeigte Czeczil, wie einfach ein passwortgeschützter Rechner auch lokal ausgehebelt werden kann. Die meisten Computer überprüfen beim Hochfahren standardmäßig, ob unter den Wechselmedien ein Datenträger mit Betriebssystem verfügbar ist – etwa zur Neuinstallation. Ein USB-Stick mit der richtigen Software genügt, um das auszunutzen und den Rechner nach Passwörtern zu durchforsten. Dazu kann auch die Rechenleistung der Grafikkarte zweckentfremdet werden. "Man kann mit der Karte nicht nur spielen, sondern auch sehr gut Passwörter knacken", lacht Czeczil.

Warum schützen?

Beim Schutz scheint die Frage nach dem Warum auf den ersten Blick einfach zu beantworten: Wir haben schützenswerte Daten auf unseren Rechnern – sensible Informationen in E-Mails oder Zugangscodes für Onlinebanking. Wie einfach man an diese gelangt, zeigt Czeczil in einem weiteren Fallbeispiel. Dafür leitet er das Opfer auf die nachgebaute Login-Seite eines Netbanking-Dienstes um, späht Pins und Tans aus und gaukelt dem Nutzer selbst in der Adresszeile des Browsers die korrekte URL vor.

Auf den zweiten Blick sind Daten heute aber auch ohne dahinterliegende Passwörter für Bankkonten schützenswert. Das trifft in Zeiten des Data-Mining vor allem auf gebündelte Datenbanken in Unternehmen und Organisationen zu. Diese Daten werden aber oft aus reiner Unachtsamkeit oder Bequemlichkeit nicht vor unbefugtem Zugriff gesichert. Im Fall der Tiroler Gebietskrankenkasse etwa sind Anonymous-Mitglieder über die offen im Netz gelagerten Daten "gestolpert". Hacker brauchen dann keine ausgefeilten Fähigkeiten mehr, sondern lediglich wissen, wie man Suchmaschinen bedient. Gegen solche offensichtliche Defizite helfe nur Aufklärung, so Czeczil.

Wie schützen?

In erster Linie sollten Schutzmaßnahmen aber auf technischer Seite passieren. Neben der WLAN-Verschlüsselung nach dem aktuellen WPA2-Standard und der Verwendung komplizierter Passwörter gibt es einige andere Möglichkeiten, unter anderem: Voreingestellte Passwörter – etwa bei Modems – sollten immer unverzüglich geändert werden; Websites, die die Eingabe heikler Daten verlangen, wenn möglich immer über ihre verschlüsselte Variante ("https") anwählen; die Sendeleistung von Funknetzen auf einen geringeren Radius einschränken, um den Zugriff von außen zu erschweren; Zwischenschalten von gesicherten Virtual Private Networks (VPN); oder die Verschlüsselung der Festplatte auf Softwarebasis mit Programmen wie Truecrypt oder Cryptsetup. (mm, derStandard.at, 06.12.2011)

Share if you care
Posting 76 bis 94 von 94
1 2 3

Das Addon nützt dir nichts, wenn du https in Facebook selbst nicht aktiviert hast. Die Wahnsinnigen steigen dann nämlich von der SSL-Landingpage auf eine unverschlüsselte Verbindung um. Account settings->Security->Secure Browsing. Für jeden zu empfehlen.

dann wiederum kann jemand im selben wlan netzwerk auch sehr einfach die eigene facebook session hijacken ... selbst wenn https verwendet wird.

Wie das ohne Session-Cookie?

ich kenn die exakte Methodik auch net, aber googlens mal "Faceniff"

Funktioniert nicht mit https. Die einzige Besonderheit ist, dass es auch im wpa-Netzen funktioniert, wenn man selbst darin angemeldet ist. Das ist aber ein ganz anderes Layer.

Letztendlich wissen Sie NIE...

...ob der Provider Mechanismen einsetzt um ihren https-Verkehr mitzulesen. Gibt's da nicht Möglichkeiten, daß auf der Provider-Seite eine Art Proxy jeden HTTPS-Request "entpackt", um ihn dann neu zu verkapseln und weiterzuschicken?! Wie kann man sicher sein, daß ich tatsächlich ohne Umwege den Empfänger erreiche und der Datenverkehr nicht vielleicht von Forefront oder ähnliches Spielzeug wandert?

"Letztendlich wissen Sie NIE ob der Provider Mechanismen einsetzt um ihren https-Verkehr mitzulesen."

Doch, weiß ich, weil ich weiß wie HTTPS funktioniert und was technisch machbar ist und was nicht. Das ist gerade die Eigenschaft von HTTPS, dass der Verkehr über egal welche Hops laufen kann, er kann von den Zwischenstationen nie gelesen werden. Man muss natürlich darauf achten, dass das erhaltene Zertifikat vom Server korrekt ist, aber idR macht das der Browser eh automatisch.

Die einzige Möglichkeit wäre daher, wenn die Liste der akzeptierten Zertifikate auf deinem Computer manipuliert wurde oder jemand Zertifikate erstellen kann, die die gängingen Browser akzeptieren (hier ein Gruß an alle Paranoiker ;)).

OK...

...Wird schon stimmen... Aber wie genau funktioniert das dann: http://technet.microsoft.com/en-us/lib... 58156.aspx

im Speziellen ab der Überschrift: How HTTPS inspection works

Es sind da zwar legale Aspekte relevant - aber wie können Sie verhindern, daß gerade der Gateway Ihres Providers ein derartiger Man-in-the-Middle ist?!

Beachte bitte Schritt 2 in der Beschreibung der Funktionalität:

"Copies the details of the Web site's certificate, creates a new SSL certificate with those details, and signs it with a Certification Authority certificate called the HTTPS inspection certificate."

und darunter

"Because the HTTPS inspection certificate was previously placed in the client computer’s Trusted Root Certification Authorities certificate store"

Aus meinem Posting:

"Die einzige Möglichkeit wäre daher, wenn die Liste der akzeptierten Zertifikate auf deinem Computer manipuliert wurde"

Der Artikel ist für Admins gedacht, die auch die Clients z.B. in einem Firmennetzwerk warten. Dein Provider kann deinen https-Verkehr NICHT mitlesen. Punkt.

Nah das geht schon. Sogar relativ leicht.

Wenn er Zugang auf den WLAN Router hat, kann er den oftmals so umkonfigurieren das er einen proxy dazwischen haengt. Sprich sichere https Verbindung von deinem PC zum Hacker und dann eine sichere https Verbindung vom Hacker zu fb (oder internet banking).

So lange DNSSEC (Domain Name System Security Extensions) noch nicht verfuegbar ist, bekommst davon gar nichts mit. Und die Amis wollen das gerade wieder Abdrehen, wegen copyright ... siehe SOPA (Stop Online Piracy Act).

Du hast noch nie eine MitM-Attacke gegen SSL durchgeführt, richtig? Genau das verhindert nämlich das Zertifikat bei SSL.

Solange der Hacker kein von meinem Browser akzeptiertes Zertifikat für die anzugreifende Seite besitzt, bekomm ich eine dicke fette Warnung, dass das eben nicht der Server ist, mit dem ich eigentlich kommunizieren will. Sprich: Ich weiß, mit welchem Server ich die Verbindung aufbaue.

@ChristianR:

Danke, wollte auch grad Middle-of-Man da beschreiben. Gerade bei aktuellem Thema Smartphone-Security sehr wichtig: WLAN-Middle-of-Man Attacks against Smartphones.

Siehe meine Antwort auf Christian, SSL soll eben genau gegen MitM schützen. Und tut das auch, wenn der Benutzer kein DAU ist.

oh, merkwürdig, ich bild mir ein bei den Reports darüber wurde grade betont, dass HTTPS keinen Schutz böte (was mir damals schon merkwürdig erschien)

dann vielen Dank, hab mich mit der Sache offensichtlich zu wenig auseinandergesetzt ;)

Im Pensionistenheim kann man vieleicht mit so einer Präsentation seines Allgemeinwissens Eindruck schinden, dreijährige hingegen lachen dich lautstark aus.

Kleinkinder + alle Krone und Österreich Fetischisten

Aber nur weilst so schiach bist.

Bei Alzheimerpatienten

kannst du mit so einem Kommentar Eindruck schinden, aber nicht mit den fachkundigen Forenten hier.

Auch wenn ich der Formulierung nicht zustimme, wer fachkundig ist, ist inhaltlich der selben Meinung.

Posting 76 bis 94 von 94
1 2 3

Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.