Der Lauscher an der Wand

Salve All,

bereits 1994 beschrieb ich in einer Abhandlung die potenziellen Gefahren von drahtlosen Netzwerken die damals als erste Lösungen für die Anwender erhältlich waren. Damals versuchten sich verschiedene Lösungen auf Infrarot- und Funkbasis am Markt durchzusetzen, doch es waren alles mehr oder weniger propritäre und teure Lösungen die nicht von langem Erfolg gekrönt waren. Einzig die Datenübertragung mittels Infrarot durch einen IRDa-Port wird heute noch im Notebook-Bereich angeboten. Die damalige Abhandlung handelte weniger von den Computergrundlagen zum Eindringen in ein drahtloses Netzwerk als vielmehr vom "Mithören" des Netzwerkverkehrs aus der Sicht eine Spezialisten der sich einen Großteil seine beruflichen Laufbahn mit Technischen Überwachungsmaßnahmen (Technical Surveillance Countermeassures (TSCM)) auseinandergesetzt hat. Wohlwissend, dass die allermeisten Computerspezialisten nicht auch noch das technisch fundierte Wissen eines HF-Technikers im UHF-Bereich (Ultra High Frequency - 300MHz-3GHz) mitbringen, sollen in diesem Artikel die Gefahren beim Einsatz von drahtlosen Netzwerken anhand praktischer Beispiele dargestellt werden. Dies vor dem Hintergrund, daß sich in den letzten Jahren der internationale Standard IEEE 802.11b nicht nur am Markt durchgesetzt hat sondern darüber hinaus die Hardware in Form von drahtlosen Netzwerkkarten zu erschwinglichen Preisen deutlich unter 250.-EURO erhältlich ist. Es ist davon auszugehen, daß der IEEE 802.11b Standard unterstützt durch die preiswerte Hardware sich in Zukunft noch weiter als Wireless LAN Standard in Unternehmen durchsetzen wird. In den letzten Monaten sind verschiedene Veröffentlichungen erschienen, die sich mit den Unsicherheiten des 802.11b Standards auseinandersetzten. Dabei bezogen sich alle Veröffentlichungen auf die Problematik des Eindringes in ein solches drahtloses Netzwerk aus computertechnischer Sicht.

Dass es grundsätzlich kein Problem ist ein drahtloses Netzwerk in irgendeiner Weise zu empfangen dürfte wohl jedem verständlich sein. In dieser Abhandlung soll aufgezeigt werden, wie mit einfachsten und preiswerten Mitteln drahtlose Netzwerke angezapft werden können, ohne das teuerste Meßtechnik aus dem Funkbereich Verwendung findet.

Grundlagen

Da ich nicht grundsätzlich von Hochfrequenzfachwissen bei Computerspezialisten ausgehen kann, sollen zunächst einige Grundlagen zum besseren Verständnis kurz erklärt werden.

Die Wireless-LAN Technologie basierend auf dem IEEE 802.11b Standard arbeitet im sogenannten ISM-Band, einem Frequenzbereich von 2400MHz - 2485MHz (2,4GHz - 2,485GHz). Damit steht 802.11b eine Bandbreite von 85MHz zur Verfügung. Die Wireless LAN Technologie arbeitet in dem Frequenzbereich in dem auch Mikrowellenöfen arbeiten (diese allerdings mit einer Leistung von 1000Watt und mehr).

Der 802.11b WLAN-Standard ermöglicht eine maximale Datenübertragungsgeschwindigkeit von 11Mbit/s bei optimalem Empfang zwischen zwei Netzwerkkarten. Wird der Empfang schwächer, d.h. wird der Empfangspegel des eingehenden Datensignals niedriger, regeln die Karten selbständig ihre Datenübertragungsrate auf 5,5Mbit/s, 2Mbit/s oder 1Mbit/s herunter. Damit wird gewährleistet, daß trotz niedrigem Datensignalpegels die Datenübertragung fehlerfrei erfolgt. Um diesen Effekt an einem alltäglich Beispiel zu erklären, jeder kennt wohl den Effekt, wenn man mit einem Radio versucht einen Radiosender zu empfangen der weiter enfernt ist und deshalb nicht mehr optimal empfangen werden kann. Der Empfang ist mit Rauschen oder sonstigen Störungen während der Radioübertragung verbunden und bei einem Radio mit einer Empfangspegelanzeige kann anhand der Pegelanzeige abgelesen werden wie stark das einfallende Signal ist. Das Problem ist, dass ein Audiosignal eines Radiosenders für den Menschen trotz starken Rauschens noch verständlich sein kann, d.h. man hat es mit einer fehlertoleranten Übertragung zu tun, da nicht alle "Daten" beim Empfänger ankommen müssen um den Inhalt der Nachricht erkennen zu können. Im Computerbereich ist das etwas anders. Hier muß jedes einzelen Bit korrekt übertragen werden damit der empfangende Computer mit den übertragenen Daten auch fehlerfrei arbeiten kann. Wir haben es hier also mit einer Übertragung zu tun, die grundsätzlich keine Fehlertoleranz aufweist. Forward Error Correction (FEC) und ähnliche Systeme zum Aufbau von fehlertoleranten Datennetzwerken bei suboptimalen Übertragungskanälen (ungünstiges Signal/Noise Verhältnis) werden in dieser Abhandlung bewusst nicht berücksichtigt da sie keinen weiteren Bezug mit dem Inhalt dieser Abhandlung haben.

Zur optimalen Datenübertragung nutzt 802.11b ein Spread Spectrum Verfahren mit einer Bandbreite von maximal 22MHz. Zum Vergleich, das Signal eines lokalen, gut empfangbaren UKW-Runfunksenders hat eine Bandbreite von ca. 250kHz. Als weiterer Vergleich mag hier auch das UKW-Rundfunkband dienen, welches von 87,5MHz bis 108MHz geht. Das gesamte UKW-Rundfunkband hat fast die gleiche Bandbreite (20,5MHz) wie ein Spread Spectrum Signal des 802.11b Standards. Dieses Spread Spectrum Verfahren wird an späterer Stelle noch eine größere Rolle spielen.

Da die Reichweite der drahtlosen Netzwerkkarten begrenzt werden soll, und darüber hinaus auch Störungen und Interferrenzen mit anderen Anwendern im ISM-Band verhindert werden sollen, arbeiten die Karten mit einer Ausgangsleistung von 20mW bis 50mW wobei die PCMCIA-Karten für Notebooks auch gewissen Einschränkungen unterliegen was die Strom- respektive die Leistungsaufnahme anbelangt um den Notebook-Akku zu schonen. Die maximal zulässige Ausgangsleistung einer Wireless LAN Anwendung im ISM-Band ist auf 100mW beschränkt. Dies hat nichts mit dem 802.11b Standard zu tun als vielmehr mit den internationalen Regelungen bezüglich der erlaubten Anwendungen im ISM-Band. Im ISM-Band tummeln sich auch Funkamateure (ohne Leistungsbeschränkung) sowie Videoübertragungssysteme für Endanwender wie auch Telemetriesysteme für die Industrie usw.

Der 802.11b WLAN-Standard kennt 11 verscheidene Datenkanäle. Dies erlaubt in der Praxis den Aufbau von 11 unterschiedlichen Funkzellen bzw. drahtloser Netzwerksegmente. Die Netzwerkkarte muß softwareseitig auf einen der 11 Datenkanäle eingestellt werden.

Frequenzhöhe und Signalausbreitung

Es gibt in der Funktechnik einen physikalischen Zusammenhang zwischen der Höhe einer Frequenz und den Ausbreitungsbedingungen denen diese Frequenz unterliegt. Währen man auf Kurzwelle bei 6MHz Rundfunksender über viele tausend Kilometer entfernt empfangen kann, kommt ein UKW-Rundfunksender bei 90MHz und gleicher Senderleistung nur wenige hundert Kilometer weit. Vereinfacht kann gesagt werden, daß je höher die Frequenz ist desto geradliniger ist die Wellenausbreitung, desto höher ist die Signaldämpfung im Verhältnis zur zurückgelegten Strecke und desto höher ist die Signaldämpfung bei einem Hindernis zwischen Sender und Empfänger. Hier kommen wir zu einem physikalische Problem des ISM-Bandes. Die Ausbreitungsbedingungen im 2.4GHz Bereich sind als sehr geradlinig zu betrachten und können bereits durch Stahlbetonwände und andere Hindernisse stark beeinflusst und eingeschränkt werden. Wer über ein Handy verfügt, welches im GSM-1900 Band bei 1900MHz (1,9GHz) arbeitet, wird sicher das Problem der Funkschatten und dadurch hervorgerufene Minderung der Sprach-/Übertragungsqualität bzw. den Gesprächsabbruch kennen.

Systemleistungen

In einem Gespräch mit einem Hochfrequenztechniker der für ein Unternehmen 802.11b Netzwerkkarten entwickelt, wurden den Veröffentlichungen bezüglich den Unsicherheiten des 802.11b Standards kein großer Stellenwert beigemessen, da er grundsätzlich davon ausging, daß die Reichweite der Karten in der Praxis zu sehr eingeschränkt ist und die verwendete Spread Spectrum Technologie hobbymäßige Möchtegern-Hacker vor ein unüberwindliches Problem technischer und finanzieller Natur stellt.

Um diese Aussage zu verifizieren, wurden handelsübliche PCMCIA-Karten auf ihre Leistungsfähigkeit hin überprüft. Bei idealen Ausbreitungsbedingungen konnte eine Strecke von knapp 350m mit 11Mbit/s überwunden werden. Dabei befanden sich keinerlei störende Hindernisse zwischen den beiden Notebooks. Wurde die Entfernung erhöht, reduzierte sich die Datenübertragungsrate entsprechend. Eine zuverlässige wenn auch langsame Datenübertragung war unter idealen Bedingungen bis zu einer Entfernung von ca. 600m möglich. Um genauere Werte zu erhalten wurde für diesen Zweck eine kleine Software geschrieben, welche die Signalstärke des einfallenden Signals als auch das Signal/Noise Verhältnis und die maximal mögliche Datenübertragungsgeschwindigkeit anzeigte. Bei einigen 802.11b WLAN-Karten soll eine solche Software bereits zum Lieferumfang gehören.

Der Test unter realen Bedingungen zeigte dann schon andere Ergebnise. Abhängig von der Bausubstanz des Gebäudes (Stahlbeton, Holz, Stein oder Rigips) ergaben sich Reichweiten von 30m bis 80m mit 11Mbit/s. Um es ganz klar auszudrücken, diese Werte sind von vielen unterschiedlichen lokalen Faktoren abhängig und können deshalb nicht unbedingt generalisiert werden. Es soll damit aber aufgezeigt werden, daß es mitunter gravierende Ausbreitungsdifferenzen zwischen idealen und realen Arbeitsbedingungen gibt.

Nichts desto trotz kann davon ausgegangen werden, daß ein Signal einer 802.11b Karte noch auf der anderen Straßenseite (ca. 20m bis 30m entfernt) gut zu empfangen ist.

Ein weiteres „Problem” aus funktechnischer Sicht sind die in die WLAN-Karten eingebauten Antennen um das Signal abstrahlen zu können. Diese sind z.B. bei einer PCMCIA-Karte gerade einmal so groß wie ein Fingernagel und entsprechen ihrer Größe und Leistungsfähigkeit nach den Reichweiteerwartungen von einigen hundert Metern benötigter Maximalreichweite.

Das Spread Spectrum Problem

Spread Spectrum ist eine Funktechnologie, wie sie z.B. beim Militär und im Fernmeldebereich schon seit Jahrzehnten erfolgreich eingesetzt wird. Eine Eigenschaft der Spread Spectrum Technologie ist das schwere Nachweisen eines vorhandenen Signals mit einfachen Messmethoden. Schauen wir uns das typische Signal eines UKW-Rundfunksenders mit eine Bandbreite von 250kHz und einer Sendeleistung von 1kW auf einem Spektrumanalysator an.

Grafik

Die Signalspitze auf dem Display des Spektralanalysators ist deutlich zu erkennen. Würde man jetzt dieses Signal mit gleicher Leistung aber mit einer Signalbreite von 22MHz abstrahlen könnte sich das Signal und damit die Sendeenergie in die horizontale Ebene ausbreiten. Aus dem ehemals steilflankigen spitzen Signal wird eine flache 22MHz breite Linie die kaum noch vom natürlichen Grundrauschen des Frequenzspektrums zu unterscheiden ist.

Grafik

Personen mit einem finanziellen Hobbybudget wird dies vor das Problem stellen, daß der Nachweis von Spread Spectrum Signalen nur mit hochwertigster Funkmeßtechnik zu bewerkstelligen ist die im Handel jenseits 50 000.-EURO kostet und selbst als Gebrauchtgerät über Surplus-Kanäle sind Preise ab 9 000.-EURO normal. Hinzu kommt noch verschiedenes Zubehör welches benötigt wird und selbstverständlich das technische Know-How um ein solches Meßgerät mit der Größe und dem Gewicht eines 17” Computermonitors richtig bedienen zu können und die erhaltenen Meßwerte richtig zu interpretieren. Der Otto-Normalverbraucher wird also kaum die nötigen Mittel und Resourcen aufbringen können um gezielt nach Spread Spectrum Signalen im ISM-Band suchen zu können.

Das es auch einfacher und preiswerter geht soll nachfolgend aufgezeigt werden.

Welcome to the jungle

Das Problem sehr vieler Datenschützer und Sicherheitsspezialisten ist ihre einseitige Denkweise die von einer Fokusierung auf die vorhandenen Sicherheitsmechanismen stark geprägt wird. Sind die Sicherheitsmechanismen und die damit einhergehende Darlegung und Argumentation schlüssig und einleuchtend wird das System als sicher akzeptiert. Kaum jemand aus diesem Bereich versucht sich in die Position eines potentiellen Angreifers hineinzuversetzen um damit die Wirksamkeit von vorhandenen Sicherheitsmaßnahmen zu hinterfragen. Dabei ist selbst in Polizeikreisen bereits seit Jahrzehnten bekannt, daß der beste Sicherheitsberater der Kriminelle ist der die Sicherheitsmechanismen auf die Probe gestellt bzw. erfolgreich überwunden hat.

Versetzt man sich nun in die Rolle eines technisch versierten Angreifers können die oben beschriebenen Hindernisse leichter aus dem Weg geräumt werden als manchem Sicherheitsfachmann lieb ist. Greifen wir dabei zuerst die vom Fachmann aufgebrachte Problematik der Entdeckung von Spread Spectrum Signalen auf. Wo der Spezialist einen Meßgerätepark im Wert von vielen 100 000 Euro erwartet um vernünftig arbeiten zu können begnügt sich der preisbewusste Angreifer mit einer 802.11b Netzwerkkarte an sich um eventuell vorhandene Netzwerke aufspüren zu können.

Einfach ausgedrückt würde eine 802.11b PCMCIA-Karte in einem Notebook mit einem kleinen selbst geschriebenen Programm ausreichen um beim gemütlichen Spaziergang mitprotokollieren zu können auf welchem Datenkanal ein Netzwerk empfangen werden kann. Dabei würde die Karte, ähnlich einem Funkscanner, nur zu einer Art des passiven „hörens” eingesetzt und nicht um unmittelbar aktiv an dem entdeckten Netzwerkverkehr teilzunehmen. Dabei könnten, bei entsprechender Auslegung der Software, die nachfolgenden Parameter mitprotokolliert werden:

Datum und Uhrzeit
Verwendeter Datenkanal
Ad-Hoc Modus on/off
Netzwerkverschlüsselung on/off
Position des Empfangs (in Verbindung mit GPS-Empfänger)
Signalstärke
Signal/Noise Verhältnis
IP-Nummern (bei längerer Überwachung)
Gesamter Datenverkehr (bei gezielter, mißbräuchlicher Überwachung)

Schaut man sich an was denkbar ist sollte dies bereits erschreckend genug sein ohne das dabei die üblichen Hackertechniken verwendet werden um in das Computernetzwerk selbst einzudringen. Doch man kann mit einigen 802.11b WLAN-Karten noch mehr erreichen.

Überbrücken von Distanzen

Wie bereits eingangs erwähnt unterliegen die WLAN-Signale im ISM-Band gewissen physikalischen Ausbreitungsbedingungen die auch von lokalen Parametern beinflusst werden. Es stellt sich also die Frage wie sich über eine größere Distanz hinweg die Existenz eines 802.11b WLAN nachweisen lässt bzw. wie man dessen Signale ungefährdet anzapfen kann ohne zu nahe an den Ort des Geschehens herangehen zu müssen?

Um dies erreichen zu können, kann z.B. die Antennenkonfiguration der 802.11b WLAN-Karten geändert werden. Es gibt in Funkkreisen die Weisheit, daß eine gute Antenne der beste Signalverstärker ist. Es ist derzeit eine PCMCIA-Karte erhältlich, die über einen externen Antennenanschluß verfügt. Damit ist man nicht mehr auf die eingebaute Antenne der WLAN-Karte angewiesen, sondern kann sich aus dem Funkzubehörhandel entsprechende Helix- oder Yagi-Richtantennen für das ISM-Band kaufen bzw. selbst berechnen und bauen und diese dann an die WLAN-Karte anschließen.

Die Richtantenne hat, wie der Name bereits vermuten läßt, einen relativ kleinen Öffnungswinkel und muß in etwa in die Richtung des abgestrahlten Signals zeigen um dieses empfangen zu können. Je genauer eine Richtantenne ausgerichtet wird desto besser wird das Signal empfangen und desto größer ist die Distanz die überbrückt werden kann. Eine gute Richtantenne verfügt über einen Signalgewinn von 8dB -14dB, höhere Werte sind bei professionellen Richtantennen keine Seltenheit. Eine Richtantenne ist im Funkbereich vergleichbar mit einem Fernglas. Man hat zwar ein eingeschränktes Gesichtsfeld aber dafür eine entsprechende optische Vergrößerung der entfernten Objekte.

Um die Wirkung von Richtantennen in der Praxis zu testen wurden noch einmal die Versuche zur Ermittlung der Systemleistung mit zwei Notebooks durchgeführt. An beiden Notebooks befand sich eine 1m lange Yagi-Richtantenne die speziell für den Frequenzbereich von 2,4GHz optimiert war. Unter idealen Bedingungen konnten Distanzen von 4,5km mit einer Datenübertragungsgeschwindigkeit von 11Mbit/s überbrückt werden wobei der Signalpegel wahrscheinlich noch größere Distanzen zuläßt, aber ein Test über eine noch größere Entfernung unter idealen Bedingungen zu diesem Zeitpunkt leider unmöglich war.

Bild Yagi

Auch unter eingeschränkten Alltagsbedingungen konnte die Leistung überzeugen wobei es nicht möglich war die Leistungsgrenzen zu erproben. Eine getestete Reichweite von 500m im Stadtgebiet mit starker Bebauung stellte ebenfalls kein Problem dar. Bei diesen Reichweiten muß berücksichtigt werden, daß beide Computer mit Richtantennen ausgerüstet waren.

Bild Helix

Kommen wir nun zurück zum Angreifer. Dieser kann in der Praxis natürlich nicht erwarten, daß ein 802.11b WLAN mit Richtantennen arbeitet um ihm die Arbeit über eine größere Entfernung zu erleichtern. In der Praxis wird das ”Opfer” mit nicht modifizierter Hardware arbeiten. Trotzdem hat der Angreifer durch die einseitige Verwendung von einer Richtantenne einen großen Entfernungsvorteil wenn es um das passive Hören wie auch das aktive Teilnehmen am Datenverkehr geht. Es ist nach den vorliegenden Erfahrungen nicht ausgeschlossen, daß mit einer handelsüblichen 802.11 WLAN-Karte mit Richtantenne der Angreifer eine Distanz von ca. 300m bis 400m problemlos überbrücken kann. Dabei wird nicht berücksichtigt, daß man darüber hinaus noch die Möglichkeit hätte mit Signalverstärkern zu arbeiten, die den Arbeitsradius noch einmal vergrößern würden. Um den beschriebenen Mitteln auch eine Preisklasse zuzuordnen, so kostet die verwendete Yagi-Richtantenne im Fachhandel ca. 200.-EURO, eine vergleichbare Helix-Antenne ca. 130.-EURO und ein (nicht getesteter) rauscharmer GaAS-FET Signalverstärker für den Signalempfang ca. 450.-EURO.

Abgesehen von dem Know-How, der Arbeitszeit und den Netzwerkkarten bedarf es einer Investition für die Richtantenne von 200.-EURO plus ca. 50.-EURO für Kleinteile wie Stecker und Antennenkabel um bereits brauchbare Resultate erzeugen zu können. Damit sollten die Argumente der anspruchsvollen Technik (siehe Spread Spectrum) sowie der geringen Reichweite als Sicherheitsargumente hinreichend widerlegt sein.

Weitere potentielle Opfer
Der bisherige Artikel war ganz klar auf Unternehmensnetzwerke fokusiert in denen Computer untereinander vernetzt sind und die Daten für die Organisation als besonders wichtig erachtet werden.

Aus der Praxis

Zugegeben, die Yagi- wie auch die Helix-Antenne sind durch ihre Größe und ihre Erscheinung sehr auffällig. Es würde also durchaus auffallen wenn jemand mit Notebook und Yagi-Antenne durch ein Industriegebiet läuft und die Antenne in Richtung der einzelnen Firmenbauten hält. Aus der Praxis heraus kann gesagt werden, daß für einen grundlegenden Angriff bereits eine unmodifizierte WLAN-Karte ausreicht, da die abgestrahlten Signale zumindest bis auf oder gar über die Straße reichen. Natürlich gibt es darüber hinaus Möglichkeiten und Techniken, solche Richtantennen getarnt an oder in einem Fahrzeug zu montieren, ohne das sie von ihrer technischen Funktionsfähigkeit her nennenswert eingeschränkt wären.

Darüber hinaus wäre noch ein Angriff aus dem Haus gegenüber oder von einem höheren und weiter entfernten Haus her vorstellbar. Selbst wenn keine direkte Sichtlinie besteht sind Angriffe mit getarnten Richtantennen noch denkbar. Das Problem das sich hier stellt ist die Tatsache daß der potentielle Angriffsradius je nach lokaler Beschaffenheit bei 400m + liegt. Wer einmal auf einem Stadtplan um seinen eigenen Standort einen 400m Radius eingezeichnet hat, wird sehr erstaunt sein wo sich ein potentieller Angreifer überall unbemerkt verstecken könnte.

Auch wenn die in diesem Beitrag erwähnten Zahlenwerte aus Zeitgründen nicht durch besonders wissenschaftliche Testmethoden und Testreihen erarbeitet wurden, konnte trotzdem in einem gewissen Umfang zumindest ein Proof-Of-Concept erarbeitet werden.

Schlußbetrachtung

Jede Organisation sollte sich gründlich überlegen, ob sie es verantworten kann innerhalb des Organisationsperimeters ein Wireless-LAN zu nutzen. Realistisch betrachtet ist der einzige Schutz bei Wireless-LANs die zwangsweise Verwendung von starker Verschlüsselungstechnologie für alle Daten die über das Wireless-LAN transportiert werden. Nur so kann Angreifern und Lauschern kein Ansatzpunkt für eine Kompromittierung des Netzwerks frei Haus geliefert werden. Problematischer wird es, wenn ein verwendeter Standard, wie z.B. der IEEE 802.11b über gewisse Schwächen verfügt, die ein Netzwerk von außen angreifbar machen. Trotzdem kommt man auch hier nicht an starken Verschlüsselungsmethoden nicht vorbei.

Auch die in diesem Artikel geschilderten Verfahren bilden nur die Spitze des berühmten Eisbergs. Wie so oft fehlte es an der Zeit die Möglichkeiten für Angriffe auf ein Wireless-LAN gründlich zu studieren. Weiterhin wurden nur geringe Finanzmittel investiert um an Resultate zu kommen. Betrachtet man sich „Profis” im Bereich der Technischen Überwachung, die für einen Angriff Finanzmittel und technische Mittel in einer Größenordnung von jenseits 100 000.-EURO zur Verfügung haben, dann kann man wohl ermessen welchen potentiellen Schaden diese Leute anrichten können.

Realistisch betrachtet werden in Unternehmen Technologieentscheidungen nicht auf der Basis von Sicherheitsaspekten getroffen sondern auf der Basis von Return of Investment und ich prophezeihe jetzt schon schöne Zeiten für Wireless-LAN Hacker.

Best regards and have fun,

Howard


Copyright (C) 12/2001 by Howard Fuhs