Erfahrungsbericht: wifi-Hacking in der Praxis

Hallo, mein Name ist Jochen Meyer und ich bin seit Anfang 2019 als IT Security Consultant bei der suresecure tätig. Ich hatte schon immer ein besonderes Faible für IT-Sicherheit, insbesondere für das Prüfen von Sicherheits-Vorfällen, Reverse Engineering und Malware Analyse.

In meiner Position als Consultant möchte ich unsere Partner dabei unterstützen, die Welt jeden Tag ein Stück sicherer zu machen. Ich erarbeite mit Ihnen zusammen Sicherheits-Konzepte oder stelle durch Audits und aktive Checks wie Penetration Tests oder Hacking-Simulationen fest, wo die Sicherheit optimiert werden kann.

Ein außergewöhnlicher Auftrag

Ich wurde nicht etwa hinzugezogen, um Sicherheits-Konzepte zu entwickeln oder Malware-Feuerwehr zu spielen. Stattdessen trat der Partner aktiv an uns mit der Bitte heran, die IT-Sicherheit der Firma, speziell das WLAN, zu bewerten.

Und das nicht nur anhand eines Fragenkatalogs nach BSI oder PCI o.ä., sondern wir sollten aktiv vor Ort versuchen, die Sicherheitsmechanismen zu umgehen und uns in das WLAN einzuhacken – dies allerdings unter der Bedingung, dass die produktive IT-Landschaft des Partners auf keinen Fall in Mitleidenschaft gezogen wird.


Jochen Meyer
Consultant

In der Serie "Erfahrungsberichte" berichten wir regelmäßig von unseren Erlebnissen aus unseren Projekten und der Arbeit in der suresecure. Hier gibt uns Jochen Meyer einen spannenden Einblick in die Arbeit eines IT-Consultants.

Warum ist das so besonders?

Penetration Tests von innen und außen sind natürlich genauso wie Security Audits auf Interview-Basis unser tägliches Brot. Den Auftrag zu bekommen „Hack unser WLAN“ ist in meinen Augen trotzdem nochmal eine andere Hausnummer. Das geht nicht nach Schema F anhand eines Maßnahmenkatalogs, sondern erfordert Fingerspitzengefühl – man soll ja nichts kaputt machen – Intuition, natürlich das Know-How und technische Equipment. Außerdem muss man sich trotzdem in die Struktur der Firma hineindenken – viele Findings beziehen sich nicht auf das WLAN direkt, sondern auf die Firmenstruktur und sogar die Gestaltung der Büro-Räumlichkeiten kann eine große Rolle spielen. Doch dazu später mehr.

Das Equipment ist gepackt!

Wozu eigentlich die WLAN-Sicherheit prüfen?

Ein WLAN strahlt – je nach baulicher Begebenheit des Bürogebäudes – auch nach draußen und ist evtl. sogar auf der Straße zu empfangen. Betreibt ein Unternehmen nur ein Gäste-WLAN, das netzwerktechnisch vollkommen abgetrennt und ohne Schnittstellen zu Produktivsystemen ausgestrahlt wird, ist das nicht unbedingt schlimm. Vorausgesetzt, produktive Notebooks und PCs erhalten keine Möglichkeit, sich mit ihren Produktiv-Systemen ins Gäste-WLAN zu hängen.

Angreifer könnten sich eventuell vollkommen unerkannt einfach auf dem Parkplatz in ihr Auto setzen, Notebook und starke WLAN-Antenne einschalten und loslegen. Sind sie erfolgreich, haben sie Zugriff auf Firmendaten, ohne jemals das Bürogebäude betreten zu haben.

Nichts kaputt machen!

Der größte Wunsch des Partners war: Nichts kaputt machen! Produktive Clients sollen nicht einmal merken, dass ich anwesend bin, geschweige denn aus dem WLAN geschmissen oder anderweitig kompromittiert werden. Auch der Versuch, einen der WLAN-ausstrahlenden Access Points lahmzulegen, war nicht erwünscht.

Also musste eine Vorgehensweise entworfen werden, die dennoch möglichst nah an das folgende angenommene Szenario herankommt: Ein Angreifer versucht, sich von außen in das WLAN einzuhacken. Daher entschied ich mich dazu, das Hacking nur zu simulieren und trotzdem die Methoden einzusetzen, die ein “normaler” Angreifer auch einsetzen würde. Dies habe ich allerdings auf ein einziges Firmen-Notebook begrenzt, das voll unter meiner Kontrolle stand. Für dieses Firmen-Notebook habe ich Benutzername und Passwort erhalten und durfte mich damit im produktiven sowie im Gäste-WLAN frei bewegen. Angriffe, die gegen einen bestimmten WLAN-Client gehen sollten, zielte ich auf dieses einzelne Notebook ab.

Statt möglichst unauffällig zu agieren wie ein potentieller Angreifer und z.B. die SSID des produktiven WLANs zu klonen und selbst auszustrahlen, strahlte ich WLANs wie „SICHERHEITS_CHECK_NICHT_BENUTZEN“ aus, damit kein Mitarbeiter auf die Idee kam, sich dort anzumelden. Mein Hacking-Notebook bekam ein Face-Lifting, damit es sich deutlich von den herkömmlichen Firmen-Notebooks abgrenzte. Als praktischen Nebeneffekt konnte ich damit testen, wie viele Leute in der Firma mich ansprechen, wenn ich mit diesem Notebook und einer Richt-Antenne durch die Räume wandle. 😊

Das "Hacking-Notebook"

Die vier Phasen

Der Plan war, die Analyse in 4 Phasen aufzuteilen. Daraus resultieren die folgenden Findings, die hier in Kürze – und natürlich anonymisiert – beschrieben werden.

  1. Bestandsaufnahme des WLANs, mit Recon-Tools und auf Basis eines Interviews und Umherlaufen mit WLAN-Scanner zur Überprüfung der Ausleuchtung und Reichweite der WLAN-Netze.
  2. Das Hacking bzw. die Simulation mit diversen Hardware- und Linux-Tools
  3. Annahme: Ich bin mit dem Hacking-Notebook in das WLAN eingedrungen und habe eine Armada an Hacking- und Sniffing-Tools mitgebracht. Was kann ich alles umsetzen, ohne entdeckt zu werden?
  4. Annahme: Ich habe das Firmen-Notebook samt Login gekapert und kann von dort aus in das produktive WLAN. Was kann ich alles erreichen?

Der Empfang

Meiner Meinung nach ist der Empfang eines Unternehmens bereits das erste Anzeichen für die gesamte Sicherheitsstrategie. Er ist mit den Wächtern einer Burg zu vergleichen, die die Zugbrücke herunter- und hochlassen.

Im Fall meines aktuellen Projektes war die Zugbrücke heruntergelassen – insofern, dass mich bereits vor dem Eingangsbereich ein großes Schild an der Glastür begrüßte: „Klingel defekt, bitte einfach eintreten“. Also betritt man das Anwesen einfach durch den Haupteingang. Ist der Burgwächter dann noch abwesend, ist der unkontrollierte Zutritt zum Gelände keine Herausforderung mehr.

In meinem Fall war der Empfang aber so etwas wie besetzt. Der Mitarbeiter befand sich gerade in einem, offenbar intensiven, Austausch mit seinem Kollegen, sodass ich kurzzeitig überlegte, einfach an den beiden vorbeizulaufen und dabei freundlich zu grüßen. Meine Tarnkleidung bestehend aus Hemd und Jeans hätte erfahrungsgemäß - gepaart mit ein wenig Selbstsicherheit - ausgereicht, um nicht weiter aufzufallen.
Aber ich als höflicher Mensch wartete, bis die beiden das Gespräch beendet hatten, stellte mich vor und bat um Anmeldung bei meinem Ansprechpartner. Dieser wurde angerufen und holte mich ab.

Als angemeldeter Besucher wurde mir weder ein Name oder eine Unterschrift abverlangt, noch ein eindeutiger Besucherausweis ausgehändigt. Die fehlende Idenzifizierung durch sichtbare Ausweise macht es ungewollten Gästen ungemein einfach, sich in dem Gebäude zu bewegen ohne besondere Aufmerksamkeit zu erregen.

Die Anonymität

Der Standort, in den ich zur Analyse eingeladen wurde, gehört mit 200 Mitarbeitern zu den kleineren Außenstandorten des Partners. Durch den Erfolg des Unternehmens und dem damit verbundenen Wachstum finden heute aber mehr Mitarbeiter an dem Standort Platz als ursprünglich geplant. Um einem gedrängten Arbeitsumfeld entgegen zu wirken, wurden offene Arbeitsplätze und Shared-Desk Lösungen eingerichtet. Diese finden jeweils in der Mitte der langgezogenen Räume Platz und werden von Büro- und Konferenzräumen umschlossen.

Ein hoher Wechsel an den Shared-Desk Arbeitsplätzen findet insbesondere durch Kollegen aus anderen Standorten statt, welche die Plätze für wenige Stunden oder Tage nutzen. Da sich das Unternehmen stark in der Förderung junger Talente engagiert, herrscht außerdem ein reger Betrieb an Studenten und Auszubildenden.
Bedingt durch diese hohe Fluktuation hatte ich stets das Gefühl, "Teil der Menge" zu sein. Auch wurde ich während meiner Arbeit immer freundlich gegrüßt - sogar als ich meine Schuhe auszog, auf einen Lounge-Sessel stieg und Fotos vom Access Point machte, der an der Decke montiert war.

Die Tatsache, dass ich mit meinem auffällig gestalteten Hacking-Notebook und angestöpselter Richt-Antenne durch die Gänge wandelte, hinterfragte niemand kritisch. Jeder, dem ich begegnete, grüßte mich in gewohnter Manier.

Dass Techniker alle möglichen Gerätschaften anschleppen um ihre Arbeit zu verrichten, hat sich zwischenzeitig scheinbar zu einem gewohnten Bild entwickelt. Denn irgendwann, nach dem 5. oder 10. Techniker, hinterfragt man seine Arbeit gar nicht mehr. Oder man geht einfach davon aus, dass der Typ mit der Richtantenne schon weiß, was er tut und sich sicher am Empfang angemeldet haben muss.
Der sieht schon seltsam aus mit seinem beklebten Notebook, aber das wird schon in Ordnung sein.

Warum ist das denn so schlimm? Und wolltest du nicht eigentlich das WLAN-Netz auf Verwundbarkeiten prüfen?

Solche Dinge fallen einfach sofort auf. In den Momenten überlege ich mir immer wieder: "Wozu die Mühe machen, das Netz technisch zu infiltrieren?"
Wenn ich mich einfach durch die Büroräume eines Unternehmens bewegen kann und sofort in der Anonymität verschwinde, bin ich doch bereits eingedrungen. In solchen Fällen ist eine Schwachstelle oft ausnutzbar, auf die sich viel zu wenig vorbereitet wird: Der Faktor Mensch! Die beschriebenen Zustände führen dazu, dass ein Angriff mit einfachen Mitteln durchgeführt werden kann. Klebt das Kennwort nicht bereits als Notiz am Bildschirm, könnte ich mich alternativ als Mitarbeiter eines anderen Standortes vorstellen und vorgeben mein Passwort "würde nicht mehr funktionieren". Um dringend aber noch Daten für das nächste Meeting vorbereiten zu können, benötige ich sofort einen funktionierenden Zugang. Das Vertrauen, sich in einem geschützten Bereich des Büros zu befinden, gepaart mit der Dringlichkeit der Aufgabe, lassen Angriffe wie diesen erstaunlich oft erfolgreich sein.

Aber mein Thema ist ja eigentlich die sicherheitstechnische Überprüfung des WLAN-Netzes. Die Methode-Zugänge per Social Engineering-Angriff zu erfragen, kam daher heute nicht zum Zug. Also: Arbeitsplatz in einem Besprechungsraum aufgebaut, der für die nächsten zwei Tage meine Operations-Zentrale sein sollte. Insgesamt hatte ich 3 Laptops und anderes Equipment dort aufgebaut – mein eigenes Notebook, eines von dem Partner und das präparierte Hacking-Notebook. Für einen Arbeitsplatz sah das schon recht imposant aus.

Fernsteuerung

Auch im Hinblick auf die Sicherheit des WLAN-Netzes stellt eine fehlende Zutrittskontrolle eine Sicherheitslücke dar. Es gibt ziemlich beeindruckende Hacking-Hardware in der Größe eines USB-Sticks. Diese konfiguriert man entsprechend, steckt sie bei einem Opfer-PC ein und voilà: Die Hardware strahlt ihr eigenes WLAN-Netz aus. Verbinde ich mich als Angreifer mit diesem Netzwerk, kann ich jede Art der Eingabe an den gekaperten PC senden - ohne physikalisch noch vor Ort zu sein. Vom harmlosen Stören des Geschäftsbetriebs bis zur Infiltration des gesamten Netzwerks ist damit alles möglich, insbesondere wenn der angemeldete Benutzer mit lokalen- oder globalen Administratorrechten ausgestattet ist.


Aber auch ohne administrative Rechte wird dies höchstwahrscheinlich gefährlich: Man kann sich mit einfachen Windows-Befehlen ohne Admin-Rechte sämtliche Passwörter von WLANs, die nur mit WPA2-PSK geschützt sind, im Klartext anzeigen lassen.

Und ist das produktive WLAN nur mit WPA2-PSK geschützt und ich habe das Passwort... Naja, Jackpot geknackt, oder?

WPA2-….Watt?

WPA2-PSK ist eine WLAN-Verschlüsselungsmethode und man hat diese mit jeder Fritz!Box, Teledat oder anderen Routern. Ein Passwort wird eingegeben, um sich mit dem WLAN zu verbinden. Natürlich klickt man auf „Automatisch verbinden“, sodass das Passwort auf dem PC gespeichert wird und sich leider auch ganz leicht auslesen lässt.

Damit WLAN-Client und Accesspoint tatsächlich verschlüsselt miteinander sprechen, aber sich auch untereinander wirklich verstehen, wird die entsprechende Verschlüsselung anhand eines Handshakes zwischen Client und Router vereinbart. Ich möchte nicht näher auf diesen Handshake eingehen, da es ganze Abhandlungen im Internet dazu gibt und das hier den Rahmen sprengen würde.

Diesen Handshake kann man aber mit speziellen Tools aufzeichnen und kommt so zumindest an den Hash-Wert des WLAN-Passwortes heran, also an eine mathematisch codierte Variante davon. Der Clou dabei ist, dass der Handshake jedes Mal durchgeführt wird, wenn ein WLAN-Client sich mit dem AP verbinden möchte - also auch, wenn die Verbindung mal kurz unterbrochen wurde. Und mit einem speziellen Tool ist es möglich, von der Ferne ohne WLAN-Zugangsdaten Clients aus dem WLAN zu „kicken“. Dann schneidet man den Handshake mit und erhält den Hash des Passwortes.

Hat man dann noch eine Passwort-Sammlung mit den 1.000 oder 5.000 meistgenutzten Passwörtern weltweit, könnte man Glück haben das Passwort zu finden, dass dem mitgesnifften Hash entspricht. Oder man lässt ein Cracking-Tool drüberlaufen und kommt schon irgendwann auf das richtige Passwort.

Radius

Das produktive WLAN war mit RADIUS zusätzlich abgesichert. Auch das, für die besonders Interessierten: Bitte bei Wikipedia o.ä. nachlesen 😊

Jedenfalls muss für den Zugriff auf das WLAN mit einem außenstehenden Notebook ein Benutzername und das zugehörige Passwort eingegeben werden - und zwar das eines Windows-Benutzers. Der RADIUS-Server prüft, ob die eingegebenen Daten tatsächlich eines AD-Benutzers in der Domäne entsprechen und schickt den Client dann weiter, um die Verschlüsselungs-Modalitäten auszuhandeln.

Bei einem Firmen-Notebook meldet man sich ja sowieso schon lokal mit dem Windows-Benutzer an. Daher ist eine weitere Authentifizierung zur Verbindung in das WLAN nicht notwendig. Man verbindet sich und ist einfach drin.

Und wenn doch mal eine Passwort-Abfrage kommt? Nun, dann kann es sein, dass ein Angreifer das WLAN mit einem „Rogue Access Point“ geklont hat und wartet, bis jemandem der Unterschied nicht auffällt und dieser tatsächlich seinen Benutzernamen und das zugehörige Passwort eingibt. Immerhin heißt das WLAN doch richtig und dass man da nicht automatisch angemeldet ist, sondern die Benutzerdaten eingeben muss, ist doch bestimmt nur ein Fehler…

Und schon habe ich Benutzernamen und den Passwort-Hash für einen AD-Login. Leider tatsächlich nur den Hash des Passworts, wie auch beim WPA2, aber auch hier helfen Passwortlisten und viel Geduld, um an das tatsächliche Passwort heranzukommen. Anschließend bin ich mit meinem Hacking-Notebook im produktiven WLAN.

Natürlich habe ich mich an die Vereinbarung gehalten und einen auffälligen Namen für mein „Fangnetz-WLAN“ gewählt wie „SICHERHEITS_TEST_NICHT_BENUTZEN“. Der Effekt war der gleiche – durch den Versuch, sich vom produktiven Client mit dem WLAN zu verbinden, kam ich an Benutzername und NTLM-Hash. Und war anschließend „drin“ im produktiven WLAN.

Alternativ könnte man auch über das oben erwähnte Fernsteuerungs-USB-Gerät mit einfachen Befehlen, die nicht einmal Admin-Rechte benötigen, alle WLAN-Profile von dem PC löschen und meines als einzige bekannte WLAN-Verbindung einrichten. Der PC fährt neu hoch, verbindet sich automatisch mit meinem WLAN, verlangt Benutzername und Passwort, und der Benutzer gibt es ein.

Das Gäste-WLAN

Der Kunde hat auch ein Gäste-WLAN. Ich erhielt einen Ausdruck mit Benutzername und Passwort für das Gäste-WLAN und musste dieses gleich mal als negatives Finding dokumentieren.

Warum? Aus drei Gründen:

  1. Auf dem Zettel war groß das Firmenlogo abgebildet.
  2. Der Token hatte mehr als 48 Stunden Gültigkeit.
  3. Es gab keine Begrenzung, wie viele Geräte man mit diesen Benutzerdaten im Gäste-WLAN anmeldet.

Nicht schlimm? Okay, folgendes Szenario: Ein Externer besucht das Unternehmen und erhält einen Gäste-WLAN-Zugang. Er fährt wieder und schmeißt unterwegs den Zettel weg oder lässt ihn irgendwo liegen. Dann findet jemand den Zettel und dort ist – unter dem großen Firmenlogo – Benutzername und Passwort zu sehen und dass der Token noch fast einen ganzen Tag oder länger gültig ist. Und er findet heraus, dass er das WLAN auch von der Straße empfangen kann. Ja wer würde da nicht gern mal schnüffeln?

Man kann jetzt sagen „Na und? Ist doch nur Gäste-WLAN. Dann surft er halt kostenlos, ohne sein Datenvolumen auf dem Handy zu verbrauchen“. Aber kann man gewährleisten, dass sich auch keine Firmen-Notebooks in diesem Gäste-WLAN tummeln? Möglicherweise dürfen Anwender im produktiven WLAN manches nicht, zum Beispiel ist Internet-Radio gesperrt oder so etwas in der Art, also geht man eben ins Gäste-WLAN und hört da Internet-Radio.

Erschwerend hinzu kommt, dass das Gäste-WLAN an allen Standorten den gleichen Namen hat und die Clients in dasselbe Netz gepackt werden und somit, egal in welchem Standort sie sich befinden, untereinander kommunizieren können. Bin ich also erst einmal mit meinen gefundenen Zugangsdaten im Gäste-WLAN und finde mit meinen Tools Schwachstellen in einem der Firmen-Notebooks, bin ich drin und kann mir vielleicht sogar eine Hintertür einbauen, sodass ich auch noch Zugriff auf das Notebook habe, wenn es sich im produktiven WLAN befindet. Dann habe ich auch Zugriff auf das produktive WLAN…

Zum Glück war es allerdings nicht möglich, mit port- IP- oder Schwachstellen-Scannern einfach so von dem Gast-WLAN IP-Adressen des produktiven WLAN zu erreichen und zu scannen. Das wäre natürlich in Anbetracht der Tatsache, dass man die WLAN-Tokens manchmal im Müll finden kann, extrem gefährlich gewesen, da man dann vom Gäste-WLAN aus mit einem Passwort von der Straße das komplette produktive Netzwerk lahmlegen könnte.

Kein Proxy

Noch ein weiteres Finding, über das ich gestolpert bin und das eigentlich nichts mit meiner Aufgabe zu tun hatte, das WLAN zu hacken: Das Unternehmen verzichtet sowohl im Gäste- als auch im Produktiv-Netz auf den Einsatz eines Proxies. Dies bedeutet, dass die Benutzer surfen dürfen, wo sie wollen, auch auf privaten Web-Mailern, einfach überall. Und dass, falls sie den Anhang der gefälschten Amazon- oder UPS-Rechnung aus ihrem GMX-Account öffnen, nur noch der lokale Virenscanner einschreiten könnte, bevor man das eigene System und alle damit verbundenen Netzlaufwerke über die Ransomware, die man sich heruntergeladen hat, anfängt zu verschlüsseln….

Kann man dem lokalen Virenscanner wirklich soweit vertrauen? Kann man sich sicher sein, dass er wirklich alle Malware – auch noch unbekannte, die keine Signatur vom Virenscanner-Betreiber erhalten hat – findet und rechtzeitig blocken kann?

Die Antwort ist Nein. Es ist immer der Sicherheit förderlich, eine zusätzliche Instanz zwischen Benutzer und Internet zu haben, die evtl. zudem noch reguliert, dass Anwender nur auf solchen Webseiten surfen darf, die von der Firma als „in Ordnung“ eingestuft worden sind.

Also wie besser absichern?

Manche Findings lassen sich schnell beheben, manche dauern etwas länger.

  • Empfang: Klingel reparieren und Tür nur öffnen, wenn der Empfang auch besetzt ist
  • Zugang: Kartenleser, Schranke o.ä. zwischen Empfang und produktiven Büros
  • USB: USB Device Control einführen und unbekannte Sticks blockieren
  • WPA2-PSK: Möglichst nicht in Unternehmen benutzen
  • RADIUS: Mit Zertifikaten arbeiten statt Benutzername/PW
  • Security Awareness: Schulung der Mitarbeiter
  • Gäste-WLAN: Token-Laufzeit verkürzen, Firmennamen entfernen
  • Gäste-WLAN: Kommunikation unter Clients verbieten

Fazit

Jedes Finding für sich ist nicht besonders schlimm. Aber nimmt man alle nacheinander und schreibt sie auf ein Blatt, schaukelt sich das ganz schön hoch.

Ich komme am Empfang vorbei, stecke einen Hacking-USB-Stick in einen PC und bin drin. Oder ich hole aus dem Müll einen ausgedruckten Token fürs Gäste-WLAN, das freundlicherweise auf der Straße auch noch erreichbar ist, erwische ein nicht ordentlich gepatchtes Firmen-Notebook, das sich irgendwann auch wieder mit dem produktiven WLAN verbindet und bin ebenfalls drin. Oder ich stelle mit dem USB-Stick ein, dass der Client sich mit meinem WLAN automatisch verbinden soll, hole mir Benutzername und cracke das Passwort und bin drin.

Es gibt so viele Möglichkeiten…

WLAN-Hacking bezieht sich eben nicht nur auf das WLAN. Manchmal ist der Einsatz von Hacking-Tools gar nicht erforderlich und es ist unbedingt notwendig, entsprechende organisatorische Maßnahmen zu treffen sowie die Mitarbeiter zu schulen.


Solch einen Sicherheits-Check würde ich persönlich jeder Firma empfehlen, die ein produktives WLAN-Netz unterhält, mit dem sich die Clients verbinden dürfen.

Über uns

Wir, die suresecure, verstehen uns als Berater und Reseller von hochspezialisierten IT-Sicherheitslösungen. Besonders wichtig ist uns dabei nicht nur zu vermitteln was wir tun, sondern vor allem auch wie wir etwas tun.

Unsere Mission ist es, die Welt jeden Tag ein Stück weit sicherer zu machen. Gerne laden wir Sie ein, diese Mission mit uns gemeinsam zu verfolgen. Melden Sie sich dazu einfach persönlich unter +49 (2156) 974 90 60 oder per E-Mail an kontakt@suresecure.de.