Unsicheres WLAN: Zwei Drittel der Passwörter eines Stadtgebiets auf einen Streich abgegriffen

Der Internetzugang via WLAN ist sowohl im privaten als auch geschäftlichen Alltag mittlerweile gang und gäbe. Ein WLAN einzurichten, stellt kaum noch eine besondere Herausforderung dar. Allerdings steht das Thema Sicherheit nach wie vor viel zu oft auf einem ganz anderen Blatt. Zu dieser Erkenntnis kommt auch der israelische Cybersicherheitsforscher und -analyst Ido Hoorvitch, der in dem Zusammenhang ein einschlägiges Experiment im städtischen Raum durchgeführt hat. Die Ergebnisse sprechen für sich selbst und sind leider wenig überraschend: Er konnte in einem Stadtteil Tel Avivs rund zwei Drittel der Hashes von WLAN-Netzwerken in dieser Nachbarschaft knacken.

Hoorvitch sammelte dazu eine Stichprobe von 5.000 Hashes, indem er einfach durch die Straßen schlenderte. Mit im Gepäck hatte er eine Sniffer-Ausstattung, bestehend aus legal zu beschaffenden Komponenten: ein 50-Dollar-Wi-Fi-Adapter, ein günstiges Ubuntu-Gerät sowie die Software hcxdumptool. Letztere ist auf Github für jedermann verfügbar und dient dazu, Datenpakete von WLAN-Geräten zu erfassen.

Nachdem er die Hashes mithilfe dieser Ausrüstung gesammelt hatte, installierte er auf seinem Rechner Hashcat. Diese leistungsstarke und ebenfalls frei im Internet verfügbare Lösung dient zur Wiederherstellung von Passwörtern. Dabei können mehrere Methoden zum Einsatz kommen: Bei „Wörterbuchangriffen“ werden Listen mit früheren oder häufig verwendeten Passwörtern abgearbeitet, wohingegen „Maskenangriffe“ eher nach der Brute-Force-Methode vorgehen, wobei spezifischere Richtlinien anwendbar sind. Dadurch kann das Tool unnötige Zeichenkombinationen auslassen und schneller zum Ergebnis gelangen.

Hoorvitch begann bewusst mit der Maskenmethode, da laut seiner Aussage viele Menschen in Israel ihre eigenen Handynummern als Wi-Fi-Hashes verwenden. Das erleichterte das Knacken der Passwörter, weil alle israelischen Nummern eine gemeinsame zweistellige Vorwahl haben (05). Ausgehend davon konnte er die für den Brute-Force-Angriff benötigten Kombinationen gezielt eingrenzen. Sein Computer war in der Lage, 194.000 Hashes pro Sekunde auszuprobieren. Im ersten Durchgang gelang es ihm, 2.200 Passwörter zu knacken. Danach führte er einen Wörterbuchangriff mit der Liste der Wörter in Rockyou.txt durch und konnte weitere 900 Passwörter entschlüsseln.

Kennwörter, Zugangspunkte und sichere VPNs

Die erste Lektion aus diesem Beispiel ist, dass Unternehmen über eine adäquate Passwortpolitik verfügen müssen: Passwörter dürfen nicht auf leicht zu erratenden Zahlen basieren (wie etwa den Telefonnummern von Mitarbeitern) und müssen darüber hinaus regelmäßig aktualisiert werden. Erst dann laufen Wörterbuchangriffe ins Leere, selbst wenn bei einem Leak aktuelle Passwörter durchsickern.

Das Experiment hat darüber hinaus die Schwächen der verwendeten Router ans Licht gebracht – egal ob auf Seiten von Privathaushalten oder Unternehmen. Die klaffenden Sicherheitslücken können dabei entweder auf die Geräte selbst zurückgeführt werden oder darin begründet liegen, dass ihre Besitzer die Herstellereinstellungen nicht ändern. Daher sollten IT-Teams unbedingt darauf achten, sichere WLAN Access Points mit WPA3-Verschlüsselung für ihre Arbeitsumgebungen bereitzustellen.

Zudem darf niemals vergessen werden, dass viele externe Mitarbeiter nicht in der Reichweite des „eigentlichen“ Unternehmens-WLAN arbeiten. Sie stellen also per se einen potenziellen Angriffsvektor für die Server und Systeme des Unternehmens dar, wenn sie sich aus der Ferne mit dem Unternehmensnetzwerk verbinden. Eine gute Lösung für dieses Problem besteht in der Verwendung von Wi-Fi Remote Access Points, die über einen IPSec VPN-Tunnel mit einer fortschrittlichen Firewall verbunden sind, bevor sie auf die Server des Unternehmens zugreifen. Auf diese Weise wird sichergestellt, dass die Kommunikation zwischen den Mitarbeitern, die aus der Ferne arbeiten, und dem Unternehmen verschlüsselt ist. Das macht es für Dritte sehr schwierig, sich Zugang zu verschaffen – selbst wenn sie die Signale über Sniffer-Methoden abfangen, wie es Hoorvitch gelungen ist.