Mitternachtshacking

ohne weitere Worte

LG Frankfurt a.M., Urteil v. 22.02.2007, Az. 2-3 O 771/06

Leitsätze

1. Der Anschlussinhaber haftet als Störer für Urheberrechtsverletzungen, die über seine ungeschützte WLAN-Verbindung begangen werden.
2. Das Ausschalten des PC reicht als Schutz für die WLAN-Verbindung nicht aus.
3. Der Anschlussinhaber hat sich über technische Möglichkeiten zum Schutz seiner WLAN-Verbindung zu informieren.

(via lawblog). Damit ist scheinbar alles gesagt. Aber nein, viele Fragen bleiben offen:

1. Genügt WEP den Anforderungen des Gerichts?
2. Was ist mit einem Hotel, das allen Gästen kostenfrei Internet zur Verfügung stellt?
3. Wie weit trifft das Fonera und die diversen privaten Hotspot-Betreiber?

Deutsches Recht ist Verhinderungsrecht. Kein Wunder, daß es weder ein deutsches Yahoo noch ein deutsches Google und erst recht kein deutsches YouTube gibt.

Ein weiteres Thema der Mitternachtsreihe war WEP-Cracking. Darum folgt hier auch die Präsentation zum Mitternachtshacking WEP Un-Security (PDF; 1,0 MB). Die Angriffe wurden alle mit der BackTrack 2.0 CD-ROM durchgeführt, daher stammen auch die Screenshots in der Präsentation.

WEP, Wired Equivalent Privacy, ist die veraltete Verschlüsselungstechnik in Wireless LANs. Bereits kurz nach der Veröffentlichung wurden erste Schwächen in WEP aufgezeigt, die dazu führten, daß durch das Mitsniffen ausreichend vieler Pakete der statische Teil des Verschlüsselungskeys rekonstruiert werden kann. Während Anfangs noch mehrere Millionen Pakete und schwache Initialisierungsvektoren (IVs) notwendig waren, wurden die Angriffe im Laufe der Zeit verfeinert, so genügen inzwischen wenige hunderttausend Pakete und schwache IVs die von vielen Access Points gefiltert werden, sind gar nicht mehr notwendig.

Die Präsentation zeigt eine übliche Angriffsfolge. Dabei wird zuerst die SSID ermittelt, die von vielen Netzwerken nicht mehr in Broadcast-Frames übertragen wird. Anschließend wird, sofern nötig, die MAC-Adresse angepaßt, um MAC-Filter zu umgehen. Danach findet eine Paketinjektion von ARP-Paketen statt. Dadurch werden innerhalb von wenigen Minuten die nötigen Pakete erzeugt, die zum Cracken des Keys notwendig sind. Das eigentliche Cracken des WEP-Keys erfolgt zum Abschluß, danach steht das WEP-geschützte WLAN offen.

Die FON-Nutzer beschweren sich über Wireless LAN Probezugänge, die anonym 15 Minuten genutzt werden können. Für die Registrierung ist nicht einmal eine gültige E-Mail Adresse notwendig und die Authentisierung basiert alleine auf der MAC-Adresse.

Ok, den Rechtsverdrehern ist klar, die Risiken eines solchen Konstrukts sind in Deutschland nicht kalkulierbar. Das Abmahnunwesen und die ausufernde Mitstörerhaftung (das es so übrigens in keinem anderen Land der Welt gibt) führen dazu, daß jeder vernünftig denkende Mensch solche Dienste am besten komplett abschaltet.

Und den Hackern ist natürlich klar, die MAC-Adresse aller modernen Netzwerkkarten läßt sich sowohl unter Windows als auch Unix beliebig verändern. So wird aus dem 15 Minuten Zugang schnell ein kostenfreier dauerhafter internationaler WLAN-Zugang. Sehr praktisch eigentlich.

Ich frage mich ja, wie die Haftung von Hotels aussieht, die ihren Kunden einen kostenfreien Wireless LAN Zugang anbieten. Kommentare irgendwer?

Hab ich schon erwähnt, daß ich nicht gerne in Hotels der Accor-Gruppe übernachte?

Darum hier mal wieder eine Hotel-Empfehlung im Raum Münster: Hotel Wermelt. Der Landgasthof mit angeschlossenem Restaurant liegt etwa 2 km außerhalb von Greven (leider nur mit dem Auto zu erreichen). Von hier aus kommt man dafür perfekt in das Industriegebiet Münster-Nord. Einfach nur vom Hotel aus immer gerade aus fahren … da. Das war sogar meinem Navi zu einfach.

Hotel Landgasthaus Wermelt
Nordwalder Str. 160
48268 Greven
Telefon: 02571 / 9270
Telefax: 02571 / 927152

Die Zimmer sind groß und sauber, das Hotel ist ruhig gelegen, das Frühstück ist mit Rührei und Speck und was mir ja immer wichtig ist: kostenloser Internet-Zugang!

Nur die Webseite … das geht gar nicht!

1. Tunnel durch die Firewall

Die meisten Angriffe im Netzwerk passieren von innen, ausgeführt durch legitime Nutzer und Mitarbeiter im Unternehmen. Insbesondere die Nutzung des Internets für nicht arbeitsrelevante und private Themen ist ein häufiger Streitpunkt zwischen Anwendern und der Geschäftsleitung. In vielen Firmen ist die Nutzung von Peer-to-Peer Anwendungen wie Kazaa, eDonkey, Bit-Torrent etc. nicht erlaubt. Auch Chatten ist häufig nicht erwünscht und URL-Filter verhindern den Zugriff auf Websites mit unerwünschten Inhalten.

Eine Firewall hat deshalb nicht nur die Aufgabe, das lokale Netzwerk vor Angriffen von außen zu schützen sondern gleichzeitig die Nutzung des Internets auf legitime Dienste zu beschränken. Wenn Sie glauben, durch Ihre Firewall ausreichend geschützt zu sein, dann unterliegen sie einem häufigen Irrtum.

Neugierige Kollegen, nicht authorisierte Nutzer und Hacker können legale erlaubte Dienste nutzen, um oft beliebige andere und unerwünschte Dienste durch die Firewall hindurch zu tunneln. Auf diese Weise können z.B. sensible Daten nach außen gelangen, Viren oder andere illegale Inhalte nach innen geschleust werden und generell hoher Schaden verursacht werden. Mit einfachen, frei verfügbaren Werkzeugen kann ein solcher Tunnel beispielsweise über HTTP aufgebaut werden. Nur mit dedizierten Whitelists in einem URL-Filter kann die Nutzung solcher Tunnelendpunkte im Internet verhindert werden.

Download der Präsentation: Mitternachtshacking Firewall Tunneling (PDF, 500 KB)

2. The Art of Portscanning

Portscanning ist eine Standardprozedur zur Überprüfung der Konfiguration von Servern oder der Firewall und um offene Ports und erreichbare Dienste zu erstellen. Der mächtigste und am weitesten verbreitete Portscanner, Nmap, bietet eine unglaubliche Fülle von Optionen angefangen von einfachem Connect-Scanning hin zur Erkennung und Identifizierung von Betriebssystem und Versionsstand. Eine Erweiterung des einfachen Portscannings sind Vulnerability-Scanner wie Nessus, die gleichzeitig nach bekannten Sicherheitslücken suchen und mögliche Schwachstellen erkennen.

Eine einfache Nutzung der gesamten Funktionalität von Nmap und Nessus ist jedoch nur unter Linux möglich, Microsoft hat den TCP/IP-Protokollstack insbesondere von Windows XP durch den Service Pack 2 soweit beschnitten, daß eine sinnvolle Nutzung für Sicherheitsanalysen kaum noch möglich ist. Die beste Möglichkeit, Linux schnell und einfach zu nutzen sind sogenannte Live-CDs, CD-ROMs mit einer Linux-Installation, die ohne Installation genutzt werden können.

Die Kombination aus Linux Live-CD, Portscanner und Vulnerability-Scanner sind ein mächtiges Werkzeug zur Verifizierung der eigenen Sicherheit. Für besondere Umgebungen gibt es sogar spezialisierte Tools wie Scanrand, mit denen komplette Class B Netzwerke in wenigen Sekunden gescannt werden können.

Download der Präsentation: Mitternachtshacking The Art of Portscanning (PDF, 680 KB)

3. Google Hacking

Manche Webshops scheinen nicht tauglich für das harte Leben im Internet. Preise lassen sich per Mausklick oder durch Speichern und Modifizieren einer HTML-Seite verändern, Spam läßt sich über schlecht programmierte Feedback-Formulare verschicken, die dummen Lücken lauern überall. Im ersten Teil der Präsentation werden diese einfachen Fehler aufgezeigt und die Möglichkeit der Preismanipulation per Mausklick vorgeführt.

Google ist nicht nur eine Suchmaschine mit der bequem nach Stichwörtern in Texten und Seiten gesucht werden kann. Die wenig bekannte Möglichkeit, durch Google-Operatoren die Suchanfragen einzuschränken erlaubt es, gezielt nach Versionen angreifbarer Software zu suchen, gespeicherte URLs mit enthaltenen Preisen zu finden und generell veröffentlichte Passwörter und Kreditkartennummern zu entdecken.

Beides zusammen ergibt eine mächtige Kombination. Mit Google finden wir durch clever zusammengestellte Suchanfragen angreifbare oder schlecht administrierte Webshops. Der erfolgreiche Angriff ist dann nur noch ein paar Mausklicks entfernt. Erschreckend ist, wie einfach diese Angriffe durchführbar sind und wie viele Webseiten tatsächlich davon betroffen sind.

Download der Präsentation: Mitternachtshacking War Googling (PDF, 1200 KB)

4. Cain & Abel

Von einigen wird Cain & Abel als “L0phtcrack für Arme” geschmäht, in Wirklichkeit vereint Cain & Abel eine komplette Sammlung von nützlichen Hacking Tools in einer einfach zu bedienenden Oberfläche. Die besondere Stärke von Cain & Abel ist dabei die Integration verschiedenster Werkzeuge sowie die einfache Bedienung per Mausklick.

Angefangen vom Auslesen des LSA-Caches über das Cracken von Passwörtern in den verschiedensten Formaten (LM, NTLM, NTLMv2, Kerberos, VNC, …) entweder mit einem Wörterbuch oder Brute Force bis zu ARP Spoofing und komplexen Man-in-the-Middle Angriffen, die einfach per Mausklick gestartet werden können, ist alles möglich. Selbst SSL-verschlüsselte Verbindungen können mit dem integrierten Zertifikatsgenerator angegriffen und beispielsweise Zugangsdaten zum Online-Banking herausgefunden werden.

Download der Präsentation: Mitternachtshacking Cain & Abel (PDF, 1100 KB)

5. Hacking Web-Applications

Web-Anwendungen leiden unter vielerlei Problemen. Neben den bekannten, bereits im Google Hacking behandelten Problemen beschäftigt sich diese Präsentation ein wenig mit SQL-Injection, Cross Site Scripting und sonstigen Angriffen auf Webanwendungen.

SQL-Injection ist eine Technik, bei der in einem Formular Sonderzeichen eingegeben werden, die in der Anwendung schließlich dazu führen, daß eine SQL-Abfrage an die Datenbank geschickt wird, die ganz andere Aktionen ausführt, als ursprünglich beabsichtigt. Die einfachste Form der SQL-Injection kann man testen, in dem in ein Formular einfach nur ein einzelnes Quote (’) eingibt. Wenn die Anwendung auf dem Server mit einem Fehler reagiert, ist die Wahrscheinlichkeit der SQL-Injection recht hoch.

Bei Cross Site Scripting geht es darum, ein Skript im Kontext eines anderen Servers auszuführen. Der Angreifer erhält dadurch die Möglichkeit, Cookies und andere Anmeldedaten aus dem Browser-Cache auszulesen. Cross Site Scripting ist daher eigentlich kein Angriff gegen den Webserver sondern gegen Benutzer des Servers.

Download der Präsentation: Mitternachtshacking Web-Applications (PDF, 400 KB)

6. WEP Cracking

WEP, Wired Equivalent Privacy, ist die veraltete Verschlüsselungstechnik in Wireless LANs. Bereits kurz nach der Veröffentlichung wurden erste Schwächen in WEP aufgezeigt, die dazu führten, daß durch das Mitsniffen ausreichend vieler Pakete der statische Teil des Verschlüsselungskeys rekonstruiert werden kann. Während Anfangs noch mehrere Millionen Pakete und schwache Initialisierungsvektoren (IVs) notwendig waren, wurden die Angriffe im Laufe der Zeit verfeinert, so genügen inzwischen wenige hunderttausend Pakete und schwache IVs die von vielen Access Points gefiltert werden, sind gar nicht mehr notwendig.

Die Präsentation zeigt eine übliche Angriffsfolge. Dabei wird zuerst die SSID ermittelt, die von vielen Netzwerken nicht mehr in Broadcast-Frames übertragen wird. Anschließend wird, sofern nötig, die MAC-Adresse angepaßt, um MAC-Filter zu umgehen. Danach findet eine Paketinjektion von ARP-Paketen statt. Dadurch werden innerhalb von wenigen Minuten die nötigen Pakete erzeugt, die zum Cracken des Keys notwendig sind. Das eigentliche Cracken des WEP-Keys erfolgt zum Abschluß, danach steht das WEP-geschützte WLAN offen.

Download der Präsentation: Mitternachtshacking WEP Un-Security (PDF, 1000 KB)

7. Die BSI Open Source Security Suite (BOSS)

Die BSI Open Source Software Security Suite, kurz BOSS ist eine im Auftrag des BSI entwickelte Software, die Nessus (allerdings v2), Nmap und ein paar weitere nützliche Tools zur schnellen Prüfung der Sicherheit eines Unternehmens enthält. Und da die CD-ROM von der Webseite des BSI heruntergeladen werden kann und sogar mit einem BSI-Logo kommt, ist es interessanterweise für viele Unternehmen akzeptabel diese CD einzusetzen.

Aus diesem Grund haben wir vor einiger Zeit eine Präsentation zusammengestellt, die neben der Bedienung von Nessus und NmapFE auch ein paar Infos zum Portscannen an sich enthält. Sicher nicht die besten und detailliertesten Inhalte, aber besser als nichts.

Download der Präsentation: Mitternachtshacking BSI BOSS (PDF, 720 KB)

8. File System Forensics

folgt in Kürze

9. Virenprogrammierung leicht gemacht

Mit Viren und Schadprogrammen kann man bekanntlich richtig viel Spaß haben.

Dazu gehört beispielsweise der Download gängiger Construction Kits bei VX Heavens, die man dann gegen ein nicht besonders geschütztes System laufen lassen kann. Spezielle aktuelle Schadprogramme lassen sich oft bei Offensive Computing herunterladen und natürlich gibt es auch noch den üblichen Schadprogramme-Spam. Zum ausprobieren und rumspielen bietet sich ein virtuelles System in VM-Ware an, da kann man am wenigsten kaputt machen.

Bei dieser Gelegenheit kam die Frage auf, was einen guten Virus auszeichnet und wir haben uns da ein paar Gedanken gemacht:

• E-Mail Viren müssen den Anwender neugierig machen
• Die richtige Ausbreitungsgeschwindigkeit entscheidet den Erfolg
• Vor dem Verbreiten die Viren unbedingt ausgiebig Testen
• Ein guter Virus wird von gängigen Virenscannern nicht erkannt
• Der Virus sollte leicht um neue Funktionen erweiterbar sein
• Der Virus sollte unter der GPL (oder ähnlich) lizenziert werden
• Der Virus sollte sich intelligent in Windows einklinken
• Der Virus sollte ein brauchbares Rootkit mitbringen
• Der Virus sollte dem Entwickler einen finanziellen Gewinn bringen
• Der Entwickler sollte den Namen des Virus festlegen können

Alles weitere in der Mitternachtshacking-Präsentation Spaß mit Viren (PDF, 960 KB)

10. Hacking Voice over IP

folgt in Kürze

11. Bluetooth Hacking

folgt in Kürze

12. Buffer Overflows

folgt in Kürze

Weitere Präsentationen sind in Entwicklung.

Ich war letzte Woche mal wieder auf Reisen, diesmal in Gorinchem in den Niederlanden. Das Problem mit dem Reisen auf dem Kontinent ist, daß viele Hotels der Meinung sind, mit dem Internet-Zugang kann man mal richtig fett die Kunden abkassieren. Das Hotel in dem ich übernachtete war natürlich keine Ausnahme.

Aber man hat ja sein Spielzeug, in meinem Fall der Allnet Hotspot Finder. Ein saucooles Teil. Der Finder unterstützt die Standards 802.11b, 802.11g und sogar 802.11a! Erkennt, ob WEP- oder WPA-Verschlüsselung eingesetzt wird, hat ein brauchbares, beleuchtetes Display und kann gleichzeitig als USB-WLAN-Adapter fungieren. Und das Akku wird über USB auch wieder geladen. Der Preis liegt so bei 50.- € und ist sein Geld echt wert.

Ich bin dann Abends ein wenig durch die Stadt gebummelt und hatte folglich auch innerhalb von 30 Minuten ca. 6-5 offene Access Points. Der erste war gerade mal 400 m vom Hotel weg. Ich hab dann auch einen mit einem schönen kostenfreien Parkplatz daneben gefunden, so konnte man bequem aus dem Auto heraus ins Internet kommen.

Aber am meisten amüsiert hat mich direkt neben dem Rathaus ein Access Point: “Stadthus”, mit WEP

Ich reise zu viel. Und ich mag unpersönliche Riesenhotels nicht. Darum meide ich, wenn möglich, die ganzen Hotels der Accor-Gruppe, also Ibis, Mercure, Dorint Novotel und Sofitel. In diesen Häusern habe ich ganz subjektiv immer das Gefühl, zwar Kunde aber nicht Gast zu sein. Und für den Preis des Ibis bekommt man in der Regel auch ein nettes, kleines und sympathisches Hotel in dem oft auch das Frühstück besser ist (z.B. gibt es dann Rührei mit Speck).

Darum habe ich mal wieder in einem neuen Hotel übernachtet, dieses Mal im Hotel Europa in Münster. Und mit den City Partner Hotels war ich bisher meistens zufrieden.

Ich reise ja immer gerne sehr spät an, selten vor Mitternacht. Da freut es mich, wenn ein Hotel die Rezeption 24×7 besetzt hat, die Bar in der Nacht noch offen ist und es für die spät anreisenden Gäste sogar kostenlos eine leckere Mitternachtssuppe gibt. Das Frühstück war auch in Ordnung, für den Preis sogar sehr gut.

Für Reisende mit dringendem Internet-Bedarf ist das Hotel jedoch nicht zu empfehlen, da es wie so viele andere Hotels auf die frech überteuerten Hotspots der Telekom zurückgreift. Ich frage mich ja, was so schwer ist eine DSL-Flatrate zu bestellen, zwei Access Points im Haus zu montieren und den Internet-Zugang wie in Norwegen allen Gästen kostenfrei anzubieten.

Es zeigt sich immer wieder, daß die meisten Hacker erwischt werden, weil sie in Systeme einbrechen, die “vor ihrer Haustüre” liegen. Zuletzt hat sich das wieder einmal bei Jerome Heckenkamp gezeigt, der in die Rechner der eigenen Universität eingebrochen ist und dadurch identifiziert werden konnte.

Mit den vorhandenen Tools und dem nötigen Wissen betrachtet man plötzlich alles als mögliches Angriffsziel. Der Wireless LAN Access Point des Nachbarn, der Server im Hotel, die öffentlichen Kioskrechner am Flughafen, in fast alle diese Systeme könnte man versucht sein einzudringen. Wer als Hacker jedoch in diese Systeme einbricht, erzeugt dadurch eine Signatur in etwas, das militärisch als “Information Battlespace” bezeichnet wird.

Gute Hacker erkennt man auch daran, daß sie wissen wann sie ein System besser in Ruhe lassen. Oder wie es Dave Aitel formuliert hat:

“Good opsec requires that nothing connected to the hacker personally is
ever touched, no matter how tempting. You never own anything you would
care about. Don’t pee in your own pool.”

Alles klar?