News Jahrelang bekannte WLAN-Sicherheitslücke nach wie vor offen

[ZeRoWaR]

@Tronx
Es gibt zig Methoden dazu, nur weil dir keine Bewusst ist, heißt es noch lange nicht das es unmöglich ist, oder schwer, oder...
Du brauchst doch nur einen Broadcast zu senden und schon gibt das Clientgerät seine Mac Adresse frei. Kombiniere es mit der in der News erwähnten Attacke, oder irgend einer anderen Methode die hier schon zuhaufen aufgezählt wurden.
Jeder der ein wenig vom Versenden von Paketen zwischen Netzwerken versteht kann dies mal eben schnell machen.

Spielzeug für sowas gibts auch schon fertig zu kaufen: Wifi-Pineapple

Hier eine andere Methode bei einem schwierigerem Angriff: MAC-Flooding & ARP Spoofing
Oder: Art of ARP Spoofing
Oder:ARP Grundlagen und Spoofing

Setz dich mit deinem "Wifi Pineapple" dessen Antenen du verstäkrt hast im Garten hin und lach dein Opfer aus...

 

[Tronx]

Zerowar@ deine genannten Mittel taugen alle nichts um die MAC Adressfilterung des WLANS zu umgehen. Ganz ehrlich, mir sind die Mittel sehr wohl bewusst (mein Beruf), nur ich posaune nicht hier im Forum Unwissenheit alá "in 2 Sekunden ist jedes WLAN MAC Filterung MIT Windows umgegangen".
Vermische hier bitte nicht ein geswitchtes Netzwerk mit einem WLAN Zugang! Wozu bitte brauchst du ARP Tools wenn du nicht mal im Netz bist? Der Client sendet nach erfolgreichem AP Zugang keine Broadcasts, bitte zeige es mir!
Jemand hatte hier einen guten Tipp gegeben um die maximal zur Zeit mögliche Sicherheit herauszuholen und man entgegnet ihm mit irgendwelchen Hackmöglichkeiten die noch nicht einmal stimmen und so was regt mich auf.....
Würde ich dich mit dem Pineapple im Garten hocken sehen, ich würde dich auslachen, denn auch damit kommst Du nicht rein.
Ich bleibe dabei, Hacker kennt den WPA2 Key nicht, MAC AdressFilterung ist aktiv - stellt noch immer die sicherste Methode da.

 

[DaMoN1993]

MAC-Adressfilterung bringt nichts. Die MAC-Adressen der WLAN-Clients sind im Klartext mitlesbar, da die Management-Frames wie Probe Requests nicht verschlüsselt sind. Dann muss man nur noch einen MAC-Spoofer verwenden und der MAC-Filter ist Nutzlos. Dauert vielleicht 3 Sekunden.

Das einzige, was gegen Angreifer wirklich schützt ist ein komplexer WPA2 PMK.

Und hier ist noch ein zweiter Beitrag von mir der u.U. die PNL-Schwachstelle ausnutzt (sofern der Client nach den Netzwerken der PNL aktiv sucht): http://www.tacticalcode.de/2012/09/its-tagebuch-w2t2-isolated-client-hack.html

MfG
Damon

 

[aranax]

Wer es ausprobieren will: Jasager

Dann kann halt der unverschlüsselte Verkehr gesnifft und manipuliert werden. Dass kann er aber im echten offenen WLAN auch (zugegeben örtlich beschränkt). Ich seh das große Problem also nicht!

Wer aber bei der Anmeldung falsche Zertifikate nicht registriert, dem ist sowieso nicht zu helfen

-aranax

 

[Hans_Hinterseer]

Das Problem sind doch IOS und Android.

Das sind echte Datenschleudern!

Ich weiss schon, warum ich ich Windows Phone nutze...

 

[Tronx]

MAC-Adressfilterung bringt nichts. Die MAC-Adressen der WLAN-Clients sind im Klartext mitlesbar, da die Management-Frames wie Probe Requests nicht verschlüsselt sind. Dann muss man nur noch einen MAC-Spoofer verwenden und der MAC-Filter ist Nutzlos. Dauert vielleicht 3 Sekunden.

Guter Artikel von Dir (mit Fehlern), doch ich erkenne noch immer nicht wie du die zulässige MAC Adresse in einem fremden WLAN herausfinden kannst. Wir reden immer noch von einem geschützten WLAN.

 

[HighTech-Freak]

Ich versteh das Problem nicht so recht... (mir is klar, was gemeint ist, aber es ist nicht praxisrelevant):
Jemand faket ein unverschlüsseltes WLAN: Is sowieso unsicher, braucht man keinen AP zu faken. Alle Logins sollten sowieso verschlüsselt erfolgen, zB per HTTPS. Was einem hier als riesige Gefahr verkauft wird, ist eine klassische Man-in-the-Middle attack -und gegen die sollte man 21ten Jahrhundert eigentlich gewappnet sein. Wer paranoid ist, möge sich doch bitte daheim ein OpenVPN -oder ein ähnliches- Gateway installieren... Problem gelöst.

 

[chibbi]

Das hat mit ungesicherten WLANs nichts zu tun, auch ist es keine Man in the middle Attack.
Sobald ich e/bssid des WLAN habe, kann ich auch einen Clone davon erstellen und dich darauf umleiten.
Akzeptiert wird dabei einfach jedes Passwort. Das ist ein generelles 'Problem' bei WLAN.
Durch diesen Broadcast des PNL-Inhalts der Clients ist das eben auch möglich, wenn das Opfer sich gar nicht in einem Netzwerk befindet. Da man ja weiß, welche Netzwerke der Client als bekannt einstuft.

Dass dieses 'Problem' zu vernachlässigen ist, sehe ich allerdings ganz genau so.

 

[user4base]

...

Für die Client Geräte unterscheiden sich also die WLAN's nichtmehr, egal ob verschlüsselt oder nicht, Gerät sieht stärkeres Netz und verbindet sich automatisch damit.

Stell dir vor du hast einen WLAN Drucker daheim, dein Nachbar ist sauer auf dich und will dir nen Streich spielen, er kennt deine SSID zufällig, selbst wenn sie verschlüsselt ist, dank PNL hat er sie von einem deiner Geräte mitbekommen und erstellt nun daheim selbst ein WLAN Netz mit viel stärkeren Antennen und der selben SSID, er lässt es offen und dein WLAN Drucker, na was macht der wohl? Er verbindet sich mit dem stärkeren Netz von deinem Nachbar, der dir nun spaßeshalber die ganze Zeit Mist ausdruckt.

Verstehst du jetzt das Problem? Geräte die nicht speziell konfiguriert sind verbinden sich automatisch mit jedem Netzwerk das stärkeres Netz anbietet und die selbe SSID besitzt. Dies macht HotSpots zu prinzipiellen HoneyPots für jeden, der diese Nutzt

Du sagst also,
es reicht aus neben einem verschlüsselten WLAN einen stärkeren u. unverschlüsselten AP aufzustellen (höhere Sendeleistung) der die gleiche SSID hat wie der "orginale" (verschlüsselte) AP und schon verbindet sich der Client (Drucker..) automatisch mit dem neuen "unverschlüsseltem" AP.
Schon mal ausprobiert?

Frage:
> Was würde denn bei folgendem Szenario passieren? Der Angreifer macht
> ein bißchen Wardriving und sammelt so die SSIDs von Privat-WLANs, die
> ja meist WPA/WPA2-verschlüsselt sind. Verschlüsselte WLANs kann er
> nicht aufbauen, weil er den PSK nicht kennt. Deshalb baut er ein
> unverschlüsseltes WLAN mit der gleichen SSID auf. Würden sich die
> Clients mit dem "bösen" Netz automatisch verbinden, oder nicht?

Antwort:
Ich glaube eher nicht, weil:
1.) Der Client in seiner Konfiguration hat, dass SSID1 = WPA/WPA2
verschlüsselt ist. In den Beacons vom Angreifer AP (unverschlüsselt)
fehlen die WPA Informationselemente (RSN IEs).
Deshalb sollte der Client sagen: Hey - da ist eine SSID, welche zu
einer in meiner Liste passt.. aber Moment... bei mir ist die SSID in
der Konfig verschlüsselt - beim AP aber nicht ... hmmm ... lassen wir
es

2.) Selbst wenn der Client es versucht, ist er ja mit WPA/WPA2
konfiguriert. Der Client erwartet dann vom AP die Initialisierung des
4-Way Handshakes (welcher nur bei WPA/WPA2 gemacht wird). Da der AP
eine unverschlüsselte Konfig hat, wird er nie die erste Nachricht des
4-way Handshakes senden.
Selbst wenn man den AP dazu bringen würde, wüsste der Angreifer den
Pre-Shared Key nicht und somit würde wieder spätestens bei der
dritten Nachricht des 4-way Handshakes schluss sein.

Aber ich gebe dir Recht - FALLS der Client eine verschlüsselte SSID
in der Liste hat und die Clientimplementierung es zulassen würde,
dass sich der Client an einer SSID mit gleichem Namen aber
ausgeschalteter Verschlüsselung anmelden würde (Edit: Ohne 4-way
handshake) - dann hättest du ein
Problem. Aber ich gehe nicht aus dass das irgendein Client macht.
Probier es doch aus. Schalte die Verschlüsselung an deinem AP ab -
dein Client wird sich nicht daran anmelden.
http://www.heise.de/newsticker/fore...-by-obscurity/forum-256674/msg-23585428/read/

 

[aranax]

Sobald ich e/bssid des WLAN habe, kann ich auch einen Clone davon erstellen und dich darauf umleiten.
Akzeptiert wird dabei einfach jedes Passwort. Das ist ein generelles 'Problem' bei WLAN.

Das funktioniert natürlich nicht! Du kannst damit nur unverschlüsselte WLANs duplizieren! Ansonsten scheitert der Handshake, bzw. du hast nen erkennbar falsches Zertifikat. Wenn du jetzt aber z.b. nen offenen Telekom Hotspot in deiner Liste drin hast, kann man das natürlich duplizieren und deinen Datenverkehr manipulieren/abgreifen. Wenn diese Sicherheitslücke gefixt wird, besteht das Problem aber immernoch, dass ich einfach typische Hotspot SSIDs wähle und auf Beute hoffe.

=> Das Gerät sollte nie automatisch mit offenen WLANs verbinden! Und wenn dann sollte automatisch nen VPN zu einer sicheren Gegenstelle aufgebaut werden!

 

[DaMoN1993]

Guter Artikel von Dir (mit Fehlern), doch ich erkenne noch immer nicht wie du die zulässige MAC Adresse in einem fremden WLAN herausfinden kannst. Wir reden immer noch von einem geschützten WLAN.

Die MAC-Adressen sind in 802.11 Paketen IMMER UNVERSCHLÜSSELT. Nur die eigentlichen Daten sind mit dem PTK verschlüsselt.
Hier ist zum Beispiel ein Datenpaket von meinem Handy zum AP, welches ich am PC (nicht authentifiziert) mitgelesen habe:
http://pastebin.com/KNeXb6P1

Verschlüsselt sind nur die Daten, in diesem Fall 72 Bytes (ganz unten). Der komplette Radiotap-Header (Informationen über das Gerät) und 802.11 Header sind unverschlüsselt. Darunter auch die MAC-Adressen von Client und AP, wie soll der Gegenpartner und alle anderen Geräte sonst erfahren, an wen das Paket gerichtet ist und wem geantwortet werden soll? Wären diese Informationen alle verschlüsselt, müssten alle WLAN-Geräte ALLE Pakete die sie empfangen entschlüsseln und parsen. Stell dir das mal in einer Mehrfamilienwohnung vor, da bräuchten die Router schon quadcores um das in Echtzeit alles zu bewältigen. Das hätte DDoS Potential

Und da in jedem Paket Source und Destination-MAC vorhanden sind, hat man ganz schnell die MAC eines Gerätes, welches für das WLAN zugelassen ist. Sofern mindestens 1 aktives WLAN-Gerät im Netzwerk ist. Aber dank Smartphones, Konsolen, Smart-TVs und Laptops ist fast immer ein Gerät verbunden.

 

[HighTech-Freak]

auch ist es keine Man in the middle Attack.

Stimmt, es werden ja nur Pakete mitgelesen. Doch genau das ist auch bei jeder öffentlichen Verbindung möglich. Von ungeschützten WLANs kann man so oder so die Datenpakete mitsniffen. Da brauchts keinen eigenen AP. Mit einem eigenen AP hätte man allerdings die Möglichkeit zur MITM-Attack. Wie oben bereits erwähnt wurde, sollte sich ein Gerät aber nicht zu einem unverschlüsselten Access Point verbinden, den es nur (zB) mit einem WPA-Key kennt. Und damit besteht praktisch keine erhöhte Gefahr durch dieses Problem.
Das einzige Problem, das ich hier sehe, ist, dass man bei Apple's iOS Geräten gespeicherten Netzwerkprofile nicht löschen kann, da nicht in Reichweite befindliche Access Points nicht aufscheinen. Das, in Kombination mit dieser "Sicherheitslücke", stellt vielleicht ein Problem dar, da man nicht sieht, welche Netzwerke gespeichert sind, und sich das Gerät eventuell jederzeit mit einem dieser verbinden kann, ohne dass der Besitzer damit rechnet.

@chibbi (unterhalb): Das werd ich mal bei Zeiten ausprobieren... Aber soweit ich erinnere hat sich mein Note nicht automatisch mit dem WLAN verbunden als ich die Verschlüsselung deaktiviert habe -trotz gleicher SSID+BSSID.

 

[chibbi]

Das funktioniert natürlich nicht!

Ob und wie es geht, lässt sich mit etwas gutem Willen recherchieren.
Ich denke das braucht hier jetzt nicht in eine Anleitung ausahten.

Aber vielleicht sind wir uns ja darüber einig, dass es als Sicherheitsleck vernachlässigbar ist?!
Ist ja so zu sagen eine optionale Komfort-Funktion. Außerdem kann solch ein Angriff auch sehr leicht bemerkt werden. Zudem gibt es - ohne Weiteres - nur unverschlüsselten Traffic und kann potentiell sowieso jedem WLAN-Client passieren, welcher verbunden ist.

Wenn ich wieder so darüber nachdenke, lohnt sich die Diskusion nicht mal...

 

[nissl]

Also mal ehrlich, ich habe jetzt nicht jeden Post gelesen, aber ich hab den Eindruck mancher übersieht einen wichtigen Teil.

Der Hacker muss bei der Liste mit den WLANs auch erstmal das 'faken' welches ein 'offenes' ist. Ich weiss nicht wie die Liste aussieht die man bekommt aber das dürfte eine Ziemliche Probiererei werden.

Mein handy bucht sich jedenfall nicht einfach in ein offenes WLAN wenn in es der liste noch einen WPA2 key hat. (Android)

UNd wer mir sowas erzählt mit nem MAC Filter sei man sicher, da muss ich aber lachen.

MAC Faken und reingehen is ja wohl ein kinderspiel. Und die BSSID (Router MAC) wird immer gezeigt.

Schaut euch mal aircrack an.