Ab dieser Folge geht es um das Netzwerkprotokoll TCP/IP und mögliche
Angriffe darauf. Das TCP/IP-Schichtenmodell und die verwendeten Pakete
habe ich deshalb in der
vorherigen Folge
bereits erklärt.
Außer Schwachstellen in Implementierungen des TCP/IP-Stacks, z.B.
Pufferüberläufen, die immer wieder einmal auftreten, gibt es einige
Probleme in den Protokollen an sich. Die Ursache dafür ist, dass bei ihrem
Entwurf einfach nicht an bösartige Netzteilnehmer gedacht wurde. Dies führt
dazu, das verschiedene Arten von Angriffen möglich sind. Einige davon
werden im Folgenden beschreiben. Die möglichen Angriffe umfassen
Spoofing, d.h. das Vortäuschen falscher Tatsachen
Hijacking, d.h. das Entführen bzw. Umleiten von TCP-Verbindungen
Denial of Service (DoS), d.h. die Verhinderung der Diensterbringung
Distributed Denial of Service (DDoS), d.h. ein DoS-Angriff, der von
einer Vielzahl von Rechnern ausgeht
In den kommenden Folgen werde ich Angriffe auf bzw. Schwachstellen in
TCP/IP vorstellen. Für deren Verständnis sind einige grundlegende
Kenntnisse des TCP/IP-Protokolls extrem hilfreich.
Der
KARMA-Angriff
eines Rogue Access Points, bei dem der AP sich gegenüber dem Client
als dem bekanntes WLAN ausgibt funktioniert auch in der verbesserten
Variante nur, wenn die Clients überhaupt nach Netzwerken suchen. Was wie
schon erwähnt nicht mehr unbedingt der Fall ist. Wenn die Geräte dadurch
aber nicht mehr verraten, mit welchen Netzwerken sie sich verbinden würden,
erschwert das den KARMA-Angriff natürlich.
Immer wieder gibt es Angriffe auf WordPress-Websites. Und oft sind die
erfolgreich. Ist WordPress etwa unsicher? Und wenn ja, wieso? Und wenn
nicht, warum sind die Angriffe dann erfolgreich? Und was wollen die
Angreifer überhaupt?
Es gibt mal wieder neue Schwachstellen, und auch schöne Namen für die
Angriffe darauf:
Meltdown
und
Spectre.
So weit, so gut. Oder besser schlecht. Denn das hatten wir ja schon
öfter. Also sowohl Schwachstellen als auch marketingfördernde
Namen.
Eines ist diesmal aber neu: Die Schwachstellen befinden sich nicht in der
Software, sondern in der Hardware. Konkret: Der CPU. Und nicht nur in
einer, sondern gleich in mehreren; nicht nur von einem Hersteller, sondern
von mehreren. Als Hardwareproblem betreffen diese Schwachstellen nicht nur
ein Programm oder ein System, sondern alle, die diese CPUs nutzen.
Rogue Access Points sind erst mal allgemein bösartige Access Points. Eine
Möglichkeit habe ich bereits bei der Beschreibung der
Hotspots
vorgestellt: Der Angreifer gibt sich gegenüber dem Client als Access
Point und gegenüber dem Access Point des Hotspots als der angegriffene
Client aus. Es ist aber auch möglich, unabhängig vom vorhandenen Hot Spot
oder allg. Access Point einfach einen weiteren einzurichten.
Nehmen wir mal an, Sie sind auf einer Konferenz und es gibt die beiden
Hotspots "Konferenz-WLAN" und "Konferenz-WLAN2".
Hätten Sie Bedenken, sich mit einem davon zu verbinden? Wohl kaum.
Wenn dann das erste das offizielle WLAN des Veranstalters und das zweite
der Rogue Access Point eines Cyberkriminellen ist besteht eine
50-50-Chance, dass Sie das Netz des Cyberkriminellen wählen, der dann
als MiTM in ihrer Internetverbindung sitzt.