Skip to content

WLAN-Sicherheit 20 - Rogue Access Points, Teil 1: KARMA

Rogue Access Points sind erst mal allgemein bösartige Access Points. Eine Möglichkeit habe ich bereits bei der Beschreibung der Hotspots vorgestellt: Der Angreifer gibt sich gegenüber dem Client als Access Point und gegenüber dem Access Point des Hotspots als der angegriffene Client aus. Es ist aber auch möglich, unabhängig vom vorhandenen Hot Spot oder allg. Access Point einfach einen weiteren einzurichten.

Nehmen wir mal an, Sie sind auf einer Konferenz und es gibt die beiden Hotspots "Konferenz-WLAN" und "Konferenz-WLAN2". Hätten Sie Bedenken, sich mit einem davon zu verbinden? Wohl kaum. Wenn dann das erste das offizielle WLAN des Veranstalters und das zweite der Rogue Access Point eines Cyberkriminellen ist besteht eine 50-50-Chance, dass Sie das Netz des Cyberkriminellen wählen, der dann als MiTM in ihrer Internetverbindung sitzt.

Trau keinen fremden WLAN!

Und das gilt für alle WLANs, insbesondere natürlich offene. Wobei für mich auch ein WLAN offen ist, dessen WPA2-Schlüssel ausgedruckt an der Wand hängt, auf dem Tresen der Hotelrezeption ausliegt oder wie auch immer allgemein bekannt gegeben wird. Denn dann kann ein potentieller Angreifer einfach diesen den Benutzern vertrauten Schlüssel für seinen bösartigen AP verwenden, um noch vertrauenswürdiger zu wirken.

Das man nicht einfach ungeschützt ein WLAN nutzen sollte, nur weil dessen Name bekannt erscheint, haben z.B. Anfang 2015 die Besucher einer schwedischen Sicherheitskonferenz erfahren müssen. Denn das von ihnen genutzte offene WLAN "Open Guest" wurde nicht vom Veranstalter betrieben, sondern von Aktivisten der Jugendorganisation der schwedischen Piratenpartei.

Neue Tools braucht das Land

Die bereits erwähnten KARMA-Angriffe, bei denen sich der Rogue AP als ein dem Rechner des Opfers bekannter AP ausgibt, so dass die Verbindung automatisch aufgebaut wird, sind ein so großes Problem, dass die Entwickler der verschiedenen Systeme inzwischen wieder dabei sind, dieses oft all zu vertrauensselige Verhalten zu reduzieren. Und wie so oft gilt: Wenn alte Angriffe nicht mehr funktionieren und alte Tools nicht mehr weiterentwickelt werden, werden eben neue entwickelt.

Ein solches Tool zur Implementierung eines Rogue Access Points ist MANA, das "MitM and Authenticated Network Attack"-Toolkit. Und das kann nicht nur darauf warten, dass ein Benutzer den Rogue AP für harmlos hält und ihn gezielt auswählt, sondern sich gegenüber dem Client auch als ein dem bekanntes, vertrauenswürdiges Netz ausgeben, mit dem das System sich dann automatisch verbindet. Jedenfalls manchmal, aber dazu gleich noch mehr.

KARMA!

Wifi, also IEE 802.11a/b/g/n/ac, kennt drei Arten von Paketen:

  1. Management - Probe- und Beacon-Pakete zur Suche nach Kommunikationspartnern und dem Aufbau der Kommunikation
  2. Control - RTS/CTS (Request to Send / Clear to Send) zur optionalen Reduzierung der Kollisionsrate
  3. Data - für die zu übertragenen Daten

Für den neuen Angriff sind die Management-Pakete relevant. Der Client sendet Probe-Requests mit der gesuchten ESSID (Extended Service Set Identification) und BSSID (Basic Service Set Identification), auf die der angesprochene Access Point mit einer Probe Response mit seiner MAC-Adresse antwortet.

Die meisten Systeme such(t)en automatisch nach ihnen bekannten WLANs, die auf der Preferred Network List (PNL) aufgeführt sind. Beim KARMA-Angriff antwortet der Angreifer auf einen Probe-Request nach einem dieser Netzwerke mit der Lüge, er sei das gesuchte Netz. Woraufhin sich der Client mit ihm verbindet. Netzwerke (=ESSID) können mehrere Access Points (=BSSID) besitzen, die BSSID des Rogue AP muss daher nicht mit der vom Client gesendeten BSSID überein stimmen. Zumal ein Wechsel des APs nötig sein kann, wenn der Client sich bewegt und die Reichweite des ersten APs verlässt. Der Schutz vor Spoofing, also gefälschten Netzwerken, erfolgt auf einer höheren Schicht mittels WEP/WPA2 PSK oder EAPs.

KARMA-Angriffe funktionieren wie schon erwähnt nicht mehr wirklich zufriedenstellend. Die meisten Systeme suchen nicht mehr nach bekannten Netzwerken oder verbinden sich nicht mehr automatisch mit gefundenen bekannten Netzen:

  • iOS reduziert seit iOS 7 die Suche nach bekannten Netzwerken deutlich.
  • Android-Geräte verbinden sich nur, wenn der Benutzer sich ausdrücklich mit dem Netzwerk verbinden will, in modernen Systemen werden die gefundenen bekannten Netzwerke auch nicht mehr in der Liste vorhandener Netzwerke angezeigt. Android sucht außerdem seit Juli 2014 im Energiespar-Modus deutlich weniger.
  • Das alles gilt auch für Linux, da beide den gleichen wpa_supplicant-Code verwenden.
  • Bei Windows variiert das Verhalten je nach Version stark.
  • Nur Mac OS X verbindet sich weiterhin automatisch mit bekannten Netzwerken.

Um eine Verbindung zu erhalten, muss der Rogue Access Point heutzutage sowohl auf Broadcast-Probes als auch auf gezielt gesendete Probe-Requests antworten. Da kommt es gelegen, dass vom gleichen AP (BSSID) Probe-Responses für mehrere Netzwerke (ESSID) gesendet werden können. Der neue KARMA-Angriff läuft folgendermaßen ab:

  • Der Rogue AP wartet auf gerichtete Probe-Requests (= der Client fragt nach bestimmten WLANs)
  • Er baut für jede MAC-Adresse (= jeden Client) eine individuelle PNL auf ("Nach diesen SSIDS hat dieser Client gefragt").
  • Er antwortet auf einen Broadcast-Probe-Request (= der Client fragt allgemein nach Netzwerken) mit einer direkten Response für jedes Netzwerk auf der PNL (= er gibt sich für jedes der Netzwerke auf der Liste aus)

Das verbessert den Erfolg des KARMA-Angriffs deutlich.

Allerdings nur, wenn die Clients überhaupt nach Netzwerken suchen. Was wie schon erwähnt nicht mehr unbedingt der Fall ist. Wenn die Geräte dadurch aber nicht mehr verraten, mit welchen Netzwerken sie sich verbinden würden, erschwert das den KARMA-Angriff natürlich.

Aber dagegen kann man etwas machen. Was, erfahren Sie in der nächsten Folge.

Carsten Eilers

>

        </div>
                
        <footer class= Kategorien: Grundlagen

Trackbacks

Dipl.-Inform. Carsten Eilers am : WLAN-Sicherheit 21 - Rogue Access Points, Teil 2: MANA

Vorschau anzeigen
Der KARMA-Angriff eines Rogue Access Points, bei dem der AP sich gegenüber dem Client als dem bekanntes WLAN ausgibt funktioniert auch in der verbesserten Variante nur, wenn die Clients überhaupt nach Netzwerken suchen. Was wie schon er