18/10/2019

Erfahrungsbericht: wifi-Hacking in der Praxis

In der Serie "Erfahrungsberichte" berichten wir regelmäßig von unseren Erlebnissen aus unseren Projekten und der Arbeit in der suresecure.
Von
Jochen Meyer
IT-Security Consultant
und

"Würden Sie bitte einmal unser WLAN hacken?"

Hallo, mein Name ist Jochen Meyer und ich bin als IT-Security Consultant bei der suresecure tätig. Ich hatte schon immer ein besonderes Faible für IT-Sicherheit, insbesondere für das Prüfen von Sicherheitsvorfällen, Reverse Engineering und Malware Analyse. In meiner Position als Consultant möchte ich unsere Partner dabei unterstützen, die Welt jeden Tag ein Stück sicherer zu machen. Ich erarbeite mit Ihnen zusammen Sicherheitskonzepte oder stelle durch Audits und aktive Checks wie Penetration Tests oder Hacking-Simulationen fest, wo die Sicherheit optimiert werden kann.

Ein außergewöhnlicher Auftrag

Ich wurde nicht etwa hinzugezogen, um Sicherheitskonzepte zu entwickeln oder Malware-Feuerwehr zu spielen. Stattdessen trat der Partner aktiv an uns heran mit der Bitte, die IT-Sicherheit der Firma, speziell das WLAN, zu bewerten. Und das nicht nur anhand eines Fragenkatalogs nach BSI, PCI oder Ähnlichem, sondern wir sollten aktiv vor Ort versuchen, die Sicherheitsmechanismen zu umgehen und uns in das WLAN einzuhacken – dies allerdings unter der Bedingung, dass die produktive IT-Landschaft des Partners auf keinen Fall in Mitleidenschaft gezogen wird.

Warum ist das so besonders?

Penetration-Tests von innen und außen sind natürlich genauso wie Security Audits unser tägliches Brot. Den Auftrag zu bekommen „Hack unser WLAN“ ist in meinen Augen trotzdem noch mal eine andere Hausnummer. Das geht nicht nach Schema F anhand eines Maßnahmenkatalogs, sondern erfordert Fingerspitzengefühl – man soll ja nichts kaputt machen –, Intuition, natürlich das Know-how und technische Equipment. Außerdem muss man sich in die Struktur der Firma hineindenken – viele Findings beziehen sich nicht auf das WLAN direkt, sondern auf die Firmenstruktur und sogar die Gestaltung der Büroräumlichkeiten kann eine große Rolle spielen. Doch dazu später mehr.

Equipment ist gepackt

Wozu eigentlich die WLAN-Sicherheit prüfen?

Ein WLAN strahlt – je nach baulicher Begebenheit des Bürogebäudes – auch nach außen und ist eventuell sogar auf der Straße zu empfangen. Betreibt ein Unternehmen nur ein Gäste-WLAN, das netzwerktechnisch vollkommen abgetrennt und ohne Schnittstellen zu Produktivsystemen ausgestrahlt wird, ist das nicht unbedingt schlimm. Vorausgesetzt, produktive Notebooks und PCs erhalten keine Möglichkeit, sich mit ihren Produktiv-Systemen ins Gäste-WLAN zu hängen.

Angreifer könnten sich eventuell vollkommen unerkannt einfach auf dem Parkplatz in ihr Auto setzen, Notebook und starke WLAN-Antenne einschalten und loslegen. Sind sie erfolgreich, haben sie Zugriff auf Firmendaten, ohne jemals das Bürogebäude betreten zu haben.

Nichts kaputt machen!

Der größte Wunsch des Partners war: Nichts kaputt machen! Produktive Clients sollen nicht einmal merken, dass ich anwesend bin, geschweige denn aus dem WLAN geschmissen oder anderweitig kompromittiert werden. Auch der Versuch, einen der WLAN-ausstrahlenden Access Points lahmzulegen, war nicht erwünscht.

Also musste eine Vorgehensweise entworfen werden, die dennoch möglichst nah an das folgende Szenario herankommt: Ein Angreifer versucht sich von außen in das WLAN einzuhacken. Daher entschied ich mich dazu, das Hacking nur zu simulieren und trotzdem die Methoden einzusetzen, die ein “normaler” Angreifer auch einsetzen würde. Dies habe ich allerdings auf ein einziges Firmen-Notebook begrenzt, das voll unter meiner Kontrolle stand. Für dieses Firmen-Notebook habe ich Benutzername und Passwort erhalten und durfte mich damit im produktiven sowie im Gäste-WLAN frei bewegen. Angriffe, die gegen einen bestimmten WLAN-Client gehen sollten, zielte ich auf dieses einzelne Notebook ab.

Statt möglichst unauffällig wie ein potenzieller Angreifer zu agieren und zum Beispiel die SSID des produktiven WLANs zu klonen und selbst auszustrahlen, strahlte ich WLANs wie „SICHERHEITS_CHECK_NICHT_BENUTZEN“ aus, damit kein Mitarbeiter auf die Idee kam, sich dort anzumelden.

Mein Hacking-Notebook bekam ein Face-Lifting, damit es sich deutlich von den herkömmlichen Firmen-Notebooks abgrenzte. Als praktischen Nebeneffekt konnte ich damit testen, wie viele Leute mich in der Firma ansprechen, wenn ich mit diesem Notebook und einer Richtantenne durch die Räume wandle.

Die 4 Phasen

Der Plan war es, die Analyse in 4 Phasen aufzuteilen. Daraus resultieren die folgenden Findings, die hier in Kürze – und natürlich anonymisiert – beschrieben werden.

  1. Bestandsaufnahme des WLANs: Mit Recon-Tools und auf Basis eines Interviews sowie Umherlaufen mit WLAN-Scanner zur Überprüfung der Ausleuchtung und Reichweite der WLAN-Netze.
  2. Das Hacking bzw. die Simulation mit diversen Hardware- und Linux-Tools.
  3. Annahme: Ich bin mit dem Hacking-Notebook in das WLAN eingedrungen und habe eine Armada an Hacking- und Sniffing-Tools mitgebracht. Was kann ich alles umsetzen, ohne entdeckt zu werden?
  4. Annahme: Ich habe das Firmen-Notebook samt Login gekapert und kann von dort aus in das produktive WLAN. Was kann ich alles erreichen?

Der Empfang

Meiner Meinung nach ist der Empfang eines Unternehmens bereits das erste Anzeichen für die gesamte Sicherheitsstrategie. Er kann mit den Wächtern einer Burg verglichen werden, die die Zugbrücke herunter- und hochziehen.

Im Fall meines aktuellen Projektes war die Zugbrücke heruntergelassen – insofern, dass mich bereits vor dem Eingangsbereich ein großes Schild an der Glastür begrüßte: „Klingel defekt, bitte einfach eintreten“. Also betritt man das Anwesen einfach durch den Haupteingang. Ist der Burgwächter dann noch abwesend, ist der unkontrollierte Zutritt zum Gelände keine Herausforderung mehr.

In meinem Fall war der Empfang quasi besetzt. Der Mitarbeiter befand sich gerade in einem offenbar intensiven Austausch mit seinem Kollegen, sodass ich kurzzeitig überlegte, einfach an den beiden vorbeizulaufen und dabei freundlich zu grüßen. Meine Tarnkleidung, bestehend aus Hemd und Jeans, hätte erfahrungsgemäß - gepaart mit ein wenig Selbstsicherheit - ausgereicht, um nicht weiter aufzufallen.

Aber ich, als höflicher Mensch wartete, bis die beiden das Gespräch beendet hatten, stellte mich vor und bat um Anmeldung bei meinem Ansprechpartner. Dieser wurde angerufen und holte mich ab.

Als angemeldeter Besucher wurde mir weder Name oder Unterschrift abverlangt, noch ein eindeutiger Besucherausweis ausgehändigt. Die fehlende Identifizierung durch sichtbare Ausweise macht es ungewollten Gästen ungemein einfach, sich in dem Gebäude zu bewegen, ohne besondere Aufmerksamkeit zu erregen.

Die Anonymität

Der Standort, an dem ich zur Analyse eingeladen wurde, gehört mit 200 Mitarbeitern zu den kleineren Außenstandorten des Partners. Durch den Erfolg des Unternehmens und dem damit verbundenen Wachstum finden heute aber mehr Mitarbeiter an dem Standort Platz als ursprünglich geplant. Um einem gedrängten Arbeitsumfeld entgegenzuwirken, wurden offene Arbeitsplätze und Shared-Desk Lösungen eingerichtet. Diese finden jeweils in der Mitte der lang gezogenen Räume Platz und werden von Büro- und Konferenzräumen umschlossen.

Ein hoher Wechsel an den Shared-Desk Arbeitsplätzen findet insbesondere durch Kollegen aus anderen Standorten statt, welche die Plätze für wenige Stunden oder Tage nutzen. Da sich das Unternehmen stark in der Förderung junger Talente engagiert, herrscht außerdem ein reger Betrieb an Studenten und Auszubildenden.

Bedingt durch diese hohe Fluktuation hatte ich stets das Gefühl, "Teil der Menge" zu sein. Auch wurde ich während meiner Arbeit immer freundlich gegrüßt - sogar als ich meine Schuhe auszog, auf einen Lounge-Sessel stieg und Fotos vom Access Point machte, der an der Decke montiert war.  

Die Tatsache, dass ich mit meinem auffällig gestalteten Hacking-Notebook und angestöpselter Richtantenne durch die Gänge wandelte, hinterfragte niemand kritisch. Jeder, dem ich begegnete, grüßte mich in gewohnter Manier.

Dass Techniker alle möglichen Gerätschaften anschleppen, um ihre Arbeit zu verrichten, hat sich scheinbar zu einem gewohnten Bild entwickelt. Denn irgendwann, nach dem 5. oder 10. Techniker hinterfragt man seine Arbeit gar nicht mehr. Oder man geht einfach davon aus, dass der Typ mit der Richtantenne schon weiß, was er tut und sich sicher am Empfang angemeldet haben muss. Der sieht schon seltsam aus mit seinem beklebten Notebook, aber das wird schon in Ordnung sein...

Fernsteuerung

Auch im Hinblick auf die Sicherheit des WLAN-Netzes stellt eine fehlende Zutrittskontrolle eine Sicherheitslücke dar. Es gibt ziemlich beeindruckende Hacking-Hardware in der Größe eines USB-Sticks. Diese konfiguriert man entsprechend, steckt sie bei einem Opfer-PC ein und voilà: Die Hardware strahlt ihr eigenes WLAN-Netz aus. Verbinde ich mich als Angreifer mit diesem Netzwerk, kann ich jede Art der Eingabe an den gekaperten PC senden - ohne physikalisch noch vor Ort zu sein. Vom harmlosen Stören des Geschäftsbetriebs bis zur Infiltration des gesamten Netzwerks ist damit alles möglich, insbesondere wenn der angemeldete Benutzer mit lokalen- oder globalen Administratorrechten ausgestattet ist.

Aber auch ohne administrative Rechte wird dies höchstwahrscheinlich gefährlich: Man kann sich mit einfachen Windows-Befehlen ohne Admin-Rechte sämtliche Passwörter von WLANs, die nur mit WPA2-PSK geschützt sind, im Klartext anzeigen lassen.

Und ist das produktive WLAN nur mit WPA2-PSK geschützt und ich habe das Passwort... Naja, Jackpot geknackt oder?

WPA2 - What?

WPA2-PSK ist eine WLAN-Verschlüsselungsmethode und man hat diese mit jeder Fritz!Box, Teledat oder anderen Routern. Ein Passwort wird eingegeben, um sich mit dem WLAN zu verbinden. Natürlich klickt man auf „Automatisch verbinden“, sodass das Passwort auf dem PC gespeichert wird und sich leider auch ganz leicht auslesen lässt.

Damit WLAN-Client und Accesspoint tatsächlich verschlüsselt miteinander sprechen, sich aber auch untereinander wirklich verstehen, wird die entsprechende Verschlüsselung anhand eines Handshakes zwischen Client und Router vereinbart. Ich möchte nicht näher auf diesen Handshake eingehen, da es ganze Abhandlungen im Internet dazu gibt und das hier den Rahmen sprengen würde.

Diesen Handshake kann man aber mit speziellen Tools aufzeichnen und kommt so zumindest an den Hash-Wert des WLAN-Passwortes heran, also an eine mathematisch codierte Variante davon. Der Clou dabei ist, dass der Handshake jedes Mal durchgeführt wird, wenn ein WLAN-Client sich mit dem AP verbinden möchte - also auch, wenn die Verbindung mal kurz unterbrochen wurde. Und mit einem speziellen Tool ist es möglich, von der Ferne ohne WLAN-Zugangsdaten Clients aus dem WLAN zu „kicken“. Dann schneidet man den Handshake mit und erhält den Hash des Passwortes.

Hat man dann noch eine Passwort-Sammlung mit den 1.000 oder 5.000 meistgenutzten Passwörtern weltweit könnte man Glück haben, das Passwort zu finden, dass dem mitgesnifften Hash entspricht. Oder man lässt ein Cracking-Tool drüberlaufen und kommt schon irgendwann auf das richtige Passwort.

Radius

Das produktive WLAN war mit RADIUS zusätzlich abgesichert. Auch hier für alle besonders Interessierten: Bitte im Internet nachlesen 😊

Jedenfalls muss für den Zugriff auf das WLAN mit einem außenstehenden Notebook ein Benutzername und das zugehörige Passwort eingegeben werden - und zwar das eines Windows-Benutzers. Der RADIUS-Server prüft, ob die eingegebenen Daten tatsächlich denen eines AD-Benutzers in der Domäne entsprechen und schickt den Client dann weiter, um die Verschlüsselungs-Modalitäten auszuhandeln.

Bei einem Firmen-Notebook meldet man sich ja sowieso schon lokal mit dem Windows-Benutzer an. Daher ist eine weitere Authentifizierung zur Verbindung in das WLAN nicht notwendig. Man verbindet sich und ist einfach drin.

Und wenn doch mal eine Passwort-Abfrage kommt? Nun, dann kann es sein, dass ein Angreifer das WLAN mit einem „Rogue Access Point“ geklont hat und wartet, bis jemandem dieser Unterschied nicht auffällt und tatsächlich seinen Benutzernamen und das zugehörige Passwort eingibt. Immerhin heißt das WLAN richtig und dass man nicht automatisch angemeldet, sondern aufgefordert wird die Benutzerdaten einzugeben, ist doch bestimmt nur ein Fehler oder?

Und schon habe ich Benutzernamen und den Passwort-Hash für einen AD-Login. Leider tatsächlich nur den Hash des Passworts, wie auch beim WPA2, aber auch hier helfen Passwortlisten und viel Geduld, um an das tatsächliche Passwort heranzukommen. Anschließend bin ich mit meinem Hacking-Notebook im produktiven WLAN.

Natürlich habe ich mich an die Vereinbarung gehalten und einen auffälligen Namen für mein „Fangnetz-WLAN“ gewählt wie „SICHERHEITS_TEST_NICHT_BENUTZEN“. Der Effekt war der gleiche – durch den Versuch, sich vom produktiven Client mit dem WLAN zu verbinden, kam ich an Benutzername und NTLM-Hash. Und war anschließend „drin“ im produktiven WLAN.

Alternativ könnte man auch über das oben erwähnte Fernsteuerungs-USB-Gerät mit einfachen Befehlen alle WLAN-Profile von dem PC löschen und meines als einzige bekannte WLAN-Verbindung einrichten. Der PC fährt neu hoch, verbindet sich automatisch mit meinem WLAN, verlangt Benutzername und Passwort, und der Benutzer gibt es ein.

Das Gäste-WLAN

Der Partner betreibt auch ein Gäste-WLAN. Ich erhielt einen Ausdruck mit Benutzername und Passwort für das Gäste-WLAN und musste dieses gleich mal als negatives Finding dokumentieren.

Warum? Aus drei Gründen:

  • Auf dem Zettel war groß das Firmenlogo abgebildet.
  • Der Token hatte mehr als 48 Stunden Gültigkeit.
  • Es gab keine Begrenzung, wie viele Geräte man mit diesen Benutzerdaten im Gäste-WLAN anmeldet.

Nicht schlimm? Okay, folgendes Szenario: Ein Externer besucht das Unternehmen und erhält einen Gäste-WLAN-Zugang. Er fährt wieder und schmeißt unterwegs den Zettel weg oder lässt ihn irgendwo liegen. Dann findet jemand den Zettel und dort ist – unter dem großen Firmenlogo – Benutzername und Passwort zu sehen und dass der Token noch fast einen ganzen Tag oder länger gültig ist. Und er findet heraus, dass er das WLAN auch von der Straße empfangen kann. Ja, wer würde da nicht gern mal schnüffeln?

Man kann jetzt sagen: „Na und? Ist doch nur Gäste-WLAN. Dann surft er halt kostenlos, ohne sein Datenvolumen auf dem Handy zu verbrauchen.“ Aber: Kann man gewährleisten, dass sich keine Firmen-Notebooks in diesem Gäste-WLAN tummeln? Möglicherweise dürfen Anwender im produktiven WLAN manche Dinge nicht tun. Zum Beispiel ist der Zugriff zum Internet-Radio gesperrt oder so etwas derartiges. Also geht man eben ins Gäste-WLAN und hört dort Internet-Radio.

Erschwerend kommt hinzu, dass das Gäste-WLAN an allen Standorten den gleichen Namen hat und die Clients in dasselbe Netz gepackt werden und somit, egal an welchem Standort sie sich befinden, untereinander kommunizieren können. Bin ich also erst einmal mit meinen gefundenen Zugangsdaten im Gäste-WLAN und finde mit meinen Tools Schwachstellen in einem der Firmen-Notebooks, bin ich drin und kann mir vielleicht sogar eine Hintertür einbauen, sodass ich auch noch Zugriff auf das Notebook habe, wenn es sich im produktiven WLAN befindet. Dann habe ich auch Zugriff auf das produktive WLAN.

Zum Glück war es nicht möglich, mit port- IP- oder Schwachstellen-Scannern einfach so von der Gast-WLAN IP-Adresse das produktiven WLAN zu erreichen und zu scannen.

Kein Proxy vorhanden

Noch ein weiteres Finding über das ich gestolpert bin, ohne das es meine Aufgabe gewesen wäre: Das Unternehmen verzichtet sowohl im Gäste- als auch im Produktiv-Netz auf den Einsatz eines Proxies. Dies bedeutet, dass die Benutzer surfen dürfen, wo sie wollen, auch auf privaten Web-Mailern. Ebenfalls bedeuten fehlende Proxies: Sollte ein Anhang einer gefälschten Amazon- oder UPS-Rechnung aus dem GMX-Account geöffnet werden, nur noch der lokale Virenscanner einschreiten könnte, bevor man das eigene System und alle damit verbundenen Netzlaufwerke über die Ransomware, die man sich heruntergeladen hat, anfängt zu verschlüsseln.

Kann man dem lokalen Virenscanner wirklich soweit vertrauen? Kann man sich sicher sein, dass er wirklich alle Malware – auch noch unbekannte, die keine Signatur vom Virenscanner-Betreiber erhalten hat – findet und rechtzeitig blocken kann?

Die Antwort ist: Nein. Es ist immer der Sicherheit förderlich, eine zusätzliche Instanz zwischen Benutzer und Internet zu setzen, die eventuell noch reguliert, dass Anwender nur auf solchen Webseiten surfen dürfen, die von der Firma als „in Ordnung“ eingestuft worden sind.

Wie kann man also das WLAN besser absichern?

Manche Findings lassen sich schnell beheben, manche dauern etwas länger.

  • Empfang: Klingel reparieren und Tür nur öffnen, wenn der Empfang auch besetzt ist.
  • Zugang: Kartenleser, Schranke o.ä. zwischen Empfang und produktiven Büros.
  • USB: USB Device Control einführen und unbekannte Sticks blockieren.
  • WPA2-PSK: Möglichst nicht in Unternehmen benutzen.
  • Radius: Mit Zertifikaten arbeiten statt Benutzernamen/Passwörtern.
  • Security Awareness: Mitarbeiter in Sachen Sicherheit schulen.
  • Gäste-WLAN: Token-Laufzeit verkürzen, Firmennamen entfernen und Kommunikation unter Clients verbieten.

Fazit

Jedes Finding für sich allein ist nicht besonders schlimm. Aber nimmt man alle zusammen, schaukelt sich das ganz schön hoch.

Ich komme am Empfang vorbei, stecke einen Hacking-USB-Stick in einen PC und bin drin. Oder ich hole aus dem Müll einen ausgedruckten Token fürs Gäste-WLAN, das freundlicherweise auf der Straße auch noch erreichbar ist, erwische ein nicht ordentlich gepatchtes Firmen-Notebook, das sich irgendwann auch wieder mit dem produktiven WLAN verbindet und bin ebenfalls drin. Oder ich stelle mit dem USB-Stick ein, dass der Client sich mit meinem WLAN automatisch verbinden soll, hole mir Benutzername und cracke das Passwort und bin drin. Es gibt so viele Möglichkeiten.

WLAN-Hacking bezieht sich eben nicht nur auf das WLAN. Manchmal ist der Einsatz von Hacking-Tools gar nicht erforderlich und es ist unbedingt notwendig, entsprechende organisatorische Maßnahmen zu treffen sowie die Mitarbeiter zu schulen.

Einen solchen Sicherheitscheck würde ich persönlich jeder Firma empfehlen, die ein produktives WLAN-Netz unterhält, mit dem sich die Clients verbinden dürfen.

Sicherheitscheck gewünscht?

Wir können Ihre Sicherheit mit diversen Checks prüfen!
Kontaktieren Sie uns!