Salve All,

bereits 1996 beschrieb ich in einer Abhandlung die potenziellen Gefahren drahtloser Netzwerke, die damals als erste Lösungen für die Anwender erhältlich waren. Damals versuchten sich verschiedene Lösungen auf Infrarot- und Funkbasis am Markt durchzusetzen, doch es waren alles mehr oder weniger proprietäre und teure Lösungen, die nicht von langem Erfolg gekrönt waren. Einzig die Datenübertragung mittels Infrarot durch einen IrDA-Port wird heute noch im Notebook-Bereich angeboten. Die damalige Abhandlung handelte weniger von den Computergrundlagen zum Eindringen in ein drahtloses Netzwerk als vielmehr vom "Mithören" des Netzwerkverkehrs aus der Sicht eine Spezialisten, der sich einen Großteil seiner beruflichen Laufbahn mit Technischen Überwachungsmaßnahmen (Technical Surveillance Countermeasures (TSCM)) auseinander gesetzt hat. Wohl wissend, dass die allermeisten Computerspezialisten nicht auch noch das technisch fundierte Wissen eines HF-Technikers im UHF-Bereich (Ultra High Frequency, 300 MHz - 3 GHz) mitbringen, sollen in diesem Artikel die Gefahren beim Einsatz drahtloser Netzwerke anhand praktischer Beispiele dargestellt werden. Dies vor dem Hintergrund, dass sich in den letzten Jahren der internationale Standard IEEE 802.11b nicht nur am Markt durchgesetzt hat, sondern darüber hinaus die Hardware in Form drahtloser Netzwerkkarten zu erschwinglichen Preisen deutlich unter 250,- EURO erhältlich ist. Es ist davon auszugehen, dass der IEEE 802.11b Standard unterstützt durch die preiswerte Hardware sich in Zukunft noch weiter als Wireless LAN Standard in Unternehmen durchsetzen wird. In den letzten Monaten sind verschiedene Veröffentlichungen erschienen, die sich mit den Unsicherheiten des 802.11b Standards auseinander setzten. Dabei bezogen sich alle Veröffentlichungen auf die Problematik des Eindringens in ein solches drahtloses Netzwerk aus computertechnischer Sicht.

Dass es grundsätzlich kein Problem ist ein drahtloses Netzwerk in irgendeiner Weise zu empfangen, dürfte wohl jedem verständlich sein. In dieser Abhandlung soll aufgezeigt werden, wie mit einfachsten und preiswerten Mitteln drahtlose Netzwerke angezapft werden können, ohne dass teuerste Messtechnik aus dem Funkbereich Verwendung findet.

Grundlagen


Da ich nicht grundsätzlich von Hochfrequenzfachwissen bei Computerspezialisten ausgehen kann, sollen zunächst einige Grundlagen zum besseren Verständnis kurz erklärt werden.

Die Wireless-LAN Technologie basierend auf dem IEEE 802.11b Standard arbeitet im so genannten ISM-Band, einem Frequenzbereich von 2400 MHz - 2485 MHz (2,4 GHz - 2,485 GHz). Damit steht 802.11b eine Bandbreite von 85 MHz zur Verfügung. Die Wireless LAN Technologie arbeitet in dem Frequenzbereich in dem auch Mikrowellenöfen arbeiten (diese allerdings mit einer Leistung von 1000 Watt und mehr).

Der 802.11b WLAN-Standard ermöglicht eine maximale Datenübertragungsgeschwindigkeit von 11 Mbit/s bei optimalem Empfang zwischen zwei Netzwerkkarten. Wird der Empfang schwächer, d.h. wird der Empfangspegel des eingehenden Datensignals niedriger, regeln die Karten selbständig ihre Datenübertragungsrate auf 5,5 Mbit/s, 2 Mbit/s oder 1 Mbit/s herunter. Damit wird gewährleistet, dass trotz niedrigen Datensignalpegels die Datenübertragung fehlerfrei erfolgt. Um diesen Effekt an einem alltäglich Beispiel zu erklären: jeder kennt wohl den Effekt, wenn man mit einem Radio versucht einen Radiosender zu empfangen, der weiter entfernt ist und deshalb nicht mehr optimal empfangen werden kann. Der Empfang ist mit Rauschen oder sonstigen Störungen während der Radioübertragung verbunden und bei einem Radio mit einer Empfangspegelanzeige kann anhand der Pegelanzeige abgelesen werden, wie stark das einfallende Signal ist. Das Problem ist, dass ein Audiosignal eines Radiosenders für den Menschen trotz starken Rauschens noch verständlich sein kann, d.h. man hat es mit einer fehlertoleranten Übertragung zu tun, da nicht alle "Daten" beim Empfänger ankommen müssen, um den Inhalt der Nachricht erkennen zu können. Im Computerbereich ist das etwas anders. Hier muss jedes einzelne Bit korrekt übertragen werden, damit der empfangende Computer mit den übertragenen Daten auch fehlerfrei arbeiten kann. Wir haben es hier also mit einer Übertragung zu tun, die grundsätzlich keine Fehlertoleranz aufweist. Forward Error Correction (FEC) und ähnliche Systeme zum Aufbau fehlertoleranter Datennetzwerke bei suboptimalen Übertragungskanälen (ungünstiges Signal/Noise-Verhältnis) werden in dieser Abhandlung bewusst nicht berücksichtigt, da sie keinen weiteren Bezug zu dem Inhalt dieser Abhandlung haben.

Zur optimalen Datenübertragung nutzt 802.11b ein Spread Spectrum Verfahren mit einer Bandbreite von maximal 22 MHz. Zum Vergleich: das Signal eines lokalen, gut empfangbaren UKW-Rundfunksenders hat eine Bandbreite von ca. 250 kHz. Als weiterer Vergleich mag hier auch das UKW-Rundfunkband dienen, welches von 87,5 MHz bis 108 MHz geht. Das gesamte UKW-Rundfunkband hat fast die gleiche Bandbreite (20,5 MHz) wie ein Spread Spectrum Signal des 802.11b Standards. Dieses Spread Spectrum Verfahren wird an späterer Stelle noch eine größere Rolle spielen.

Da die Reichweite der drahtlosen Netzwerkkarten begrenzt werden soll und darüber hinaus auch Störungen und Interferenzen mit anderen Anwendern im ISM-Band verhindert werden sollen, arbeiten die Karten mit einer Ausgangsleistung von 20 mW bis 50 mW wobei die PCMCIA-Karten für Notebooks auch gewissen Einschränkungen unterliegen, was die Strom- respektive die Leistungsaufnahme anbelangt, um den Notebook-Akku zu schonen. Die maximal zulässige Ausgangsleistung einer Wireless LAN Anwendung im ISM-Band ist auf 100 mW beschränkt. Dies hat nichts mit dem 802.11b Standard zu tun als vielmehr mit den internationalen Regelungen bezüglich der erlaubten Anwendungen im ISM-Band. Im ISM-Band tummeln sich auch Funkamateure (ohne Leistungsbeschränkung) sowie Videoübertragungssysteme für Endanwender wie auch Telemetriesysteme für die Industrie usw.

Der 802.11b WLAN-Standard kennt elf verschiedene Datenkanäle. Dies erlaubt in der Praxis den Aufbau von elf unterschiedlichen Funkzellen bzw. drahtlosen Netzwerksegmenten. Die Netzwerkkarte muss Software-seitig auf einen der elf Datenkanäle eingestellt werden.

Frequenzhöhe und Signalausbreitung


Es gibt in der Funktechnik einen physikalischen Zusammenhang zwischen der Höhe einer Frequenz und den Ausbreitungsbedingungen, denen diese Frequenz unterliegt. Währen man auf Kurzwelle bei 6 MHz Rundfunksender über viele tausend Kilometer entfernt empfangen kann, kommt ein UKW-Rundfunksender bei 90 MHz und gleicher Sendeleistung nur wenige hundert Kilometer weit. Vereinfacht kann gesagt werden, dass je höher die Frequenz ist, desto geradliniger ist die Wellenausbreitung, desto höher ist die Signaldämpfung im Verhältnis zur zurück gelegten Strecke und desto höher ist die Signaldämpfung bei einem Hindernis zwischen Sender und Empfänger. Hier kommen wir zu einem physikalischen Problem des ISM-Bandes. Die Ausbreitungsbedingungen im 2.4-GHz-Bereich sind als sehr geradlinig zu betrachten und können bereits durch Stahlbetonwände und andere Hindernisse stark beeinflusst und eingeschränkt werden. Wer über ein Handy verfügt, welches im GSM-1900 Band bei 1900 MHz (1,9 GHz) arbeitet, wird sicher das Problem der Funkschatten und dadurch hervorgerufene Minderung der Sprach-/Übertragungsqualität bzw. den Gesprächsabbruch kennen.

Systemleistungen


In einem Gespräch mit einem Hochfrequenztechniker der für ein Unternehmen 802.11b Netzwerkkarten entwickelt, wurden den Veröffentlichungen bezüglich den Unsicherheiten des 802.11b Standards kein großer Stellenwert beigemessen, da er grundsätzlich davon ausging, dass die Reichweite der Karten in der Praxis zu sehr eingeschränkt ist und die verwendete Spread Spectrum Technologie hobbymäßige Möchtegern-Hacker vor ein unüberwindliches Problem technischer und finanzieller Natur stellt.

Um diese Aussage zu verifizieren, wurden handelsübliche PCMCIA-Karten auf ihre Leistungsfähigkeit hin überprüft. Bei idealen Ausbreitungsbedingungen konnte eine Strecke von knapp 350 m mit 11 Mbit/s überwunden werden. Dabei befanden sich keinerlei störende Hindernisse zwischen den beiden Notebooks. Wurde die Entfernung erhöht, reduzierte sich die Datenübertragungsrate entsprechend. Eine zuverlässige, wenn auch langsame Datenübertragung war unter idealen Bedingungen bis zu einer Entfernung von ca. 600 m möglich. Um genauere Werte zu erhalten, wurde für diesen Zweck eine kleine Software geschrieben, welche die Signalstärke des einfallenden Signals als auch das Signal/Noise Verhältnis und die maximal mögliche Datenübertragungsgeschwindigkeit anzeigte. Bei einigen 802.11b WLAN-Karten soll eine solche Software bereits zum Lieferumfang gehören.

Der Test unter realen Bedingungen zeigte dann schon andere Ergebnisse. Abhängig von der Bausubstanz des Gebäudes (Stahlbeton, Holz, Stein oder Rigips) ergaben sich Reichweiten von 30 m bis 80 m mit 11 Mbit/s. Um es ganz klar auszudrücken: diese Werte sind von vielen unterschiedlichen lokalen Faktoren abhängig und können deshalb nicht unbedingt generalisiert werden. Es soll damit aber aufgezeigt werden, dass es mitunter gravierende Ausbreitungsdifferenzen zwischen idealen und realen Arbeitsbedingungen gibt.

Nichts desto trotz kann davon ausgegangen werden, dass ein Signal einer 802.11b Karte noch auf der anderen Straßenseite (ca. 20 m bis 30 m entfernt) gut zu empfangen ist.

Ein weiteres „Problem” aus funktechnischer Sicht sind die in die WLAN-Karten eingebauten Antennen, um das Signal abstrahlen zu können. Diese sind z.B. bei einer PCMCIA-Karte gerade einmal so groß wie ein Fingernagel und entsprechen ihrer Größe und Leistungsfähigkeit nach den Reichweiteerwartungen von einigen hundert Metern benötigter Maximalreichweite.

Das Spread Spectrum Problem


Spread Spectrum ist eine Funktechnologie, wie sie z.B. beim Militär und im Fernmeldebereich schon seit Jahrzehnten erfolgreich eingesetzt wird. Eine Eigenschaft der Spread Spectrum Technologie ist das schwere Nachweisen eines vorhandenen Signals mit einfachen Messmethoden. Schauen wir uns das typische Signal eines UKW-Rundfunksenders mit eine Bandbreite von 250 kHz und einer Sendeleistung von 1 kW auf einem Spektrumanalysator an.

Die Signalspitze auf dem Display des Spektralanalysators ist deutlich zu erkennen. Würde man jetzt dieses Signal mit gleicher Leistung aber mit einer Signalbreite von 22 MHz abstrahlen, könnte sich das Signal und damit die Sendeenergie in die horizontale Ebene ausbreiten. Aus dem ehemals steilflankigen, spitzen Signal wird eine flache 22 MHz breite Linie, die kaum noch vom natürlichen Grundrauschen des Frequenzspektrums zu unterscheiden ist.

Personen mit einem finanziellen Hobbybudget wird dies vor das Problem stellen, dass der Nachweis von Spread Spectrum Signalen nur mit hochwertigster Funkmesstechnik zu bewerkstelligen ist die im Handel jenseits 50.000,- EURO kostet und selbst als Gebrauchtgerät über Surplus-Kanäle sind Preise ab 9.000,- EURO normal. Hinzu kommt noch verschiedenes Zubehör, welches benötigt wird und selbstverständlich das technische Know-how, um ein solches Messgerät mit der Größe und dem Gewicht eines 17”- Computermonitors richtig bedienen zu können und die erhaltenen Messwerte richtig zu interpretieren. Der Otto-Normalverbraucher wird also kaum die nötigen Mittel und Ressourcen aufbringen können, um gezielt nach Spread Spectrum Signalen im ISM-Band suchen zu können.

Dass es auch einfacher und preiswerter geht, soll nachfolgend aufgezeigt werden.

Welcome to the jungle


Das Problem sehr vieler Datenschützer und Sicherheitsspezialisten ist ihre einseitige Denkweise, die von einer Fokussierung auf die vorhandenen Sicherheitsmechanismen stark geprägt wird. Sind die Sicherheitsmechanismen und die damit einher gehende Darlegung und Argumentation schlüssig und einleuchtend, wird das System als sicher akzeptiert. Kaum jemand aus diesem Bereich versucht sich in die Position eines potenziellen Angreifers hinein zu versetzen, um so die Wirksamkeit vorhandener Sicherheitsmaßnahmen zu hinterfragen. Dabei ist selbst in Polizeikreisen bereits seit Jahrzehnten bekannt, dass der beste Sicherheitsberater der Kriminelle ist, der die Sicherheitsmechanismen auf die Probe gestellt bzw. erfolgreich überwunden hat.

Versetzt man sich nun in die Rolle eines technisch versierten Angreifers, können die oben beschriebenen Hindernisse leichter aus dem Weg geräumt werden als manchem Sicherheitsfachmann lieb ist. Greifen wir dabei zuerst die vom Fachmann aufgebrachte Problematik der Entdeckung von Spread Spectrum Signalen auf. Wo der Spezialist einen Messgerätepark im Wert von vielen 100.000 Euro erwartet, um vernünftig arbeiten zu können, begnügt sich der preisbewusste Angreifer mit einer 802.11b Netzwerkkarte an sich, um eventuell vorhandene Netzwerke aufspüren zu können.

Einfach ausgedrückt würde eine 802.11b PCMCIA-Karte in einem Notebook mit einem kleinen selbst geschriebenen Programm ausreichen, um beim gemütlichen Spaziergang mitprotokollieren zu können, auf welchem Datenkanal ein Netzwerk empfangen werden kann. Dabei würde die Karte, ähnlich einem Funkscanner, nur zu einer Art des passiven „Hörens” eingesetzt und nicht um unmittelbar aktiv an dem entdeckten Netzwerkverkehr teilzunehmen. Dabei könnten, bei entsprechender Auslegung der Software, die nachfolgenden Parameter mitprotokolliert werden:


  • Datum und Uhrzeit

  • Verwendeter Datenkanal

  • Ad-Hoc Modus on/off

  • Netzwerkverschlüsselung on/off

  • Signalstärke

  • Signal/Noise Verhältnis

  • IP-Nummern (bei längerer Überwachung)

  • Gesamter Datenverkehr (bei gezielter, missbräuchlicher Überwachung)

  • Position des Empfangs (in Verbindung mit GPS-Empfänger)

Schaut man sich an, was denkbar ist, sollte dies bereits erschreckend genug sein, ohne dass dabei die üblichen Hackertechniken verwendet werden, um in das Computernetzwerk selbst einzudringen. Doch man kann mit einigen 802.11b WLAN-Karten noch mehr erreichen.

Überbrücken von Distanzen


Wie bereits eingangs erwähnt, unterliegen die WLAN-Signale im ISM-Band gewissen physikalischen Ausbreitungsbedingungen, die auch von lokalen Parametern beeinflusst werden. Es stellt sich also die Frage, wie sich über eine größere Distanz hinweg die Existenz eines 802.11b WLAN nachweisen lässt bzw. wie man dessen Signale ungefährdet anzapfen kann, ohne zu nahe an den Ort des Geschehens heran gehen zu müssen?

Um dies erreichen zu können, kann z.B. die Antennenkonfiguration der 802.11b WLAN-Karten geändert werden. Es gibt in Funkkreisen die Weisheit, dass eine gute Antenne der beste Signalverstärker ist. Es ist derzeit eine PCMCIA-Karte erhältlich, die über einen externen Antennenanschluss verfügt. Damit ist man nicht mehr auf die eingebaute Antenne der WLAN-Karte angewiesen, sondern kann sich aus dem Funkzubehörhandel entsprechende Helix- oder Yagi-Richtantennen für das ISM-Band kaufen bzw. selbst berechnen und bauen und diese dann an die WLAN-Karte anschließen.

Die Richtantenne hat, wie der Name bereits vermuten lässt, einen relativ kleinen Öffnungswinkel und muss in etwa in die Richtung des abgestrahlten Signals zeigen, um dieses empfangen zu können. Je genauer eine Richtantenne ausgerichtet wird, desto besser wird das Signal empfangen und desto größer ist die Distanz, die überbrückt werden kann. Eine gute Richtantenne verfügt über einen Signalgewinn von 8 dB - 14 dB, höhere Werte sind bei professionellen Richtantennen keine Seltenheit. Eine Richtantenne ist im Funkbereich vergleichbar mit einem Fernglas. Man hat zwar ein eingeschränktes Gesichtsfeld, aber dafür eine entsprechende optische Vergrößerung der entfernten Objekte.

Um die Wirkung von Richtantennen in der Praxis zu testen, wurden noch einmal die Versuche zur Ermittlung der Systemleistung mit zwei Notebooks durchgeführt. An beiden Notebooks befand sich eine 1 m lange Yagi-Richtantenne, die speziell für den Frequenzbereich von 2,4 GHz optimiert war. Unter idealen Bedingungen konnten Distanzen von 4,5 km mit einer Datenübertragungsgeschwindigkeit von 11 Mbit/s überbrückt werden, wobei der Signalpegel wahrscheinlich noch größere Distanzen zulässt, aber ein Test über eine noch größere Entfernung unter idealen Bedingungen zu diesem Zeitpunkt leider unmöglich war.

Yagi Antenne

Auch unter eingeschränkten Alltagsbedingungen konnte die Leistung überzeugen, wobei es nicht möglich war die Leistungsgrenzen zu erproben. Eine getestete Reichweite von 500 m im Stadtgebiet mit starker Bebauung stellte ebenfalls kein Problem dar. Bei diesen Reichweiten muss berücksichtigt werden, dass beide Computer mit Richtantennen ausgerüstet waren.

Helix-Antenne mit Notebook

Kommen wir nun zurück zum Angreifer. Dieser kann in der Praxis natürlich nicht erwarten, dass ein 802.11b WLAN mit Richtantennen arbeitet, um ihm die Arbeit über eine größere Entfernung zu erleichtern. In der Praxis wird das ”Opfer” mit nicht modifizierter Hardware arbeiten. Trotzdem hat der Angreifer durch die einseitige Verwendung einer Richtantenne einen großen Entfernungsvorteil, wenn es um das passive Hören wie auch das aktive Teilnehmen am Datenverkehr geht. Es ist nach den vorliegenden Erfahrungen nicht ausgeschlossen, dass mit einer handelsüblichen 802.11 WLAN-Karte mit Richtantenne der Angreifer eine Distanz von ca. 300 m bis 400 m problemlos überbrücken kann. Dabei wird nicht berücksichtigt, dass man darüber hinaus noch die Möglichkeit hätte mit Signalverstärkern zu arbeiten, die den Arbeitsradius noch einmal vergrößern würden. Um den beschriebenen Mitteln auch eine Preisklasse zuzuordnen: es kostet die verwendete Yagi-Richtantenne im Fachhandel ca. 200,- EURO, eine vergleichbare Helix-Antenne ca. 130,- EURO und ein (nicht getesteter) rauscharmer GaAs-FET Signalverstärker für den Signalempfang ca. 450,- EURO.

Abgesehen von dem Know-how, der Arbeitszeit und den Netzwerkkarten bedarf es einer Investition für die Richtantenne von 200,- EURO plus ca. 50,- EURO für Kleinteile wie Stecker und Antennenkabel, um bereits brauchbare Resultate erzielen zu können. Damit sollten die Argumente der anspruchsvollen Technik (siehe Spread Spectrum) sowie der geringen Reichweite als Sicherheitsargumente hinreichend widerlegt sein.

Weitere potentielle Opfer


Der bisherige Artikel war ganz klar auf Unternehmensnetzwerke fokussiert, in denen Computer untereinander vernetzt sind und die Daten für die Organisation als besonders wichtig erachtet werden.

Aus der Praxis


Zugegeben, die Yagi- wie auch die Helix-Antenne sind durch ihre Größe und ihre Erscheinung sehr auffällig. Es würde also durchaus auffallen, wenn jemand mit Notebook und Yagi-Antenne durch ein Industriegebiet läuft und die Antenne in Richtung der einzelnen Firmenbauten hält. Aus der Praxis heraus kann gesagt werden, dass für einen grundlegenden Angriff bereits eine unmodifizierte WLAN-Karte ausreicht, da die abgestrahlten Signale zumindest bis auf oder gar über die Straße reichen. Natürlich gibt es darüber hinaus Möglichkeiten und Techniken, solche Richtantennen getarnt an oder in einem Fahrzeug zu montieren, ohne dass sie von ihrer technischen Funktionsfähigkeit her nennenswert eingeschränkt wären.

Darüber hinaus wäre noch ein Angriff aus dem Haus gegenüber oder von einem höheren und weiter entfernten Haus her vorstellbar. Selbst wenn keine direkte Sichtlinie besteht, sind Angriffe mit getarnten Richtantennen noch denkbar. Das Problem, das sich hier stellt, ist die Tatsache, dass der potenzielle Angriffsradius je nach lokaler Beschaffenheit bei 400 m + liegt. Wer einmal auf einem Stadtplan um seinen eigenen Standort einen 400 m-Radius eingezeichnet hat, wird sehr erstaunt sein, wo sich ein potenzieller Angreifer überall unbemerkt verstecken könnte.

Auch wenn die in diesem Beitrag erwähnten Zahlenwerte aus Zeitgründen nicht durch besonders wissenschaftliche Testmethoden und Testreihen erarbeitet wurden, konnte trotzdem in einem gewissen Umfang zumindest ein Proof-of-Concept erarbeitet werden.

Schlussbetrachtung


Jede Organisation sollte sich gründlich überlegen, ob sie es verantworten kann innerhalb des Organisationsperimeters ein Wireless-LAN zu nutzen. Realistisch betrachtet ist der einzige Schutz bei Wireless-LANs die zwangsweise Verwendung von starker Verschlüsselungstechnologie für alle Daten, die über das Wireless-LAN transportiert werden. Nur so kann Angreifern und Lauschern kein Ansatzpunkt für eine Kompromittierung des Netzwerks frei Haus geliefert werden. Problematischer wird es, wenn ein verwendeter Standard, wie z.B. der IEEE 802.11b über gewisse Schwächen verfügt, die ein Netzwerk von außen angreifbar machen. Trotzdem kommt man auch hier nicht an starken Verschlüsselungsmethoden vorbei.

Auch die in diesem Artikel geschilderten Verfahren bilden nur die Spitze des berühmten Eisbergs. Wie so oft fehlte es an der Zeit die Möglichkeiten für Angriffe auf ein Wireless-LAN gründlich zu studieren. Weiterhin wurden nur geringe Finanzmittel investiert, um an Resultate zu kommen. Betrachtet man sich „Profis” im Bereich der Technischen Überwachung, die für einen Angriff Finanzmittel und technische Mittel in einer Größenordnung jenseits von 100.000,- EURO zur Verfügung haben, kann man wohl ermessen, welchen potenziellen Schaden diese Leute anrichten können.

Realistisch betrachtet werden in Unternehmen Technologieentscheidungen nicht auf der Basis von Sicherheitsaspekten getroffen, sondern auf der Basis von Return on Investment und ich prophezeie jetzt schon schöne Zeiten für Wireless-LAN Hacker.

Best regards,

Howard

No comments

The author does not allow comments to this entry