Schlechte Idee

#1
Hallo zusammen,

ich weiß! Ich bin neu hier und es ist nicht gerade optimal, dass ich nur ein paar Minuten nach meiner Registrierung mit diesem Thema anfange...!
Aber sei es drum.

Ausgangssituation:
Ich bin zweiter Systemadministrator und arbeite für ein mittelständisches Unternehmen mit mindestens 100 Mitarbeitern. Bei uns gibt es mehrere Firmennetzwerke und ein separates Netzwerk für ganz sensible Daten. Dies läuft rein kabelgebunden auf getrennten Kabeln, sodass es nicht wirklich von außen erreicht werden kann. Nun kam unser "Junior"-Chef (angehender Firmenerbe) auf die glorreiche Idee, dass man auch mit WLAN-Geräte (Smartphones und Tablets) auf das sensible Netzwerk zugreifen soll! Leider hat er keine Ahnung, wie leicht man so ein WLAN-Netzwerk angreifen kann…
Um die Situation noch so richtig schön ungünstig zu gestalten, möchte er natürlich auch mit verschiedenen neuen und schicken Apfel-Geräten rein und hat leider keine Ahnung, wie man ein verstecktes Netzwerk aufruft bzw. einrichtet "für solche technischen Spielereien, hat er nun wirklich keine Zeit, da alles sofort laufen muss! Wofür werden wir bezahlt"! (Bitte erspart mir die Häme und denkt euch euren Teil!)

Um ihn zu überzeugen, dass die Idee absolut suboptimal ist, möchten wir Sysadmins ihm dies in einem Livetest vorführen.

Ansatz:
Um ihm zu zeigen, wie ungünstig seine Idee ist, soll er ein Netzwerk einrichten und auf einen "Angriff" in einem Zeitfenster von 3 Stunden warten! Der Router wird so konfiguriert, dass er nur einen Namen = SSID und ein Passwort eingeben muss. Fertig wäre das Subnetzwerk im nicht relevanten Netzwerk!

Wie soll der Angriff/PW-Abgriff aussehen:
Er hat die Daten eingegeben und die SSID ist sichtbar. Wir würden am liebsten die SSID mit einem Pi imitieren, sodass sich sein Gerät außerhalb seines Büros versucht mit dem Fake-Netzwerk des Pis sowie dem Passwort zu verbinden. WLAN ausschalten ist schon unter seiner Würde, also ist es natürlich immer an. Da sein Apfel das PW bei der Verbindung übermittelt, kann der Pi es natürlich aufzeichnen...
Anschließend gehen wir mit dem PW zum Chef und zeigen ihm das PW als Beweis aus dem Testnetzwerk...

Und wenn wir Glück haben, kann ihn das überzeugen. Die Betonung liegt auf WENN.

Praxis:
So da mein Kollege und ich bisher überhaupt keine Ahnung vom Hacken haben, bräuchte/n ich/wir eine kleine Starthilfe. Welche Programme oder Skripte könnten wir für unseren Fall verwenden?

Wer hat ähnliche Situationen erlebt und sie erfolgreich gemeistert?

Gibt es noch andere Szenarien, mit denen wir ihm zeigen können, dass seine Idee ungünstig ist?


Vielen Dank für eure Antworten und Ideen im Voraus
 
#2
Hallo und willkommen im Forum Gulgar,

Fake APs zu erstellen ist mit den Tools der Aircrack-ng Suite kein Problem, allerdings solltest du bedenken, dass Bei WPA2 die Passwörter meines Wissens nach nicht unverschlüsselt übertragen werden und das Abgreifen daher nicht ganz so leicht ist, wie du denkst. Bitte korrigiert mich, wenn ich hier falsch liege.
Was man machen kann, ist den Benutzer, nachdem er sich mit eurem falschen WLAN verbunden hat, auf eine eigene Seite umzulenken, auf der er dazu aufgefordert wird, sein Passwort einzugeben. Dieser Angriff fliegt aber wahrscheinlich auf - insbesondere, wenn das Opfer vorgewarnt ist.

Hier ein paar Links:
https://null-byte.wonderhowto.com/h...i-fi-passwords-with-evil-twin-attack-0183880/
https://null-byte.wonderhowto.com/h...wireless-access-point-eavesdrop-data-0147919/

Aber es gibt ja so viele andere gemeine Techniken, die man mit so einem Evil Twin anwenden kann - insbesondere wenn man es auf einen Tech-Ignoranten abgesehen hat...

Viele Grüße,
Pik-9

PS: Ich gehe davon aus, dass du dir der Tatsache bewusst bist, dass so ein Angriff des expliziten Einverständnisses aller Beteiligten bedarf. Andernfalls ist es eine Straftat! Mein Post dient ausschließlich der Information und soll keine Anstiftung zu irgendwelchen unlauteren Taten darstellen. Jede/-r Leser/-in ist angehalten selbst auf die Rechtmäßigkeit seiner/ihrer Handlungen zu achten.
 
#3
Moin

Was sind das für sensible Daten und warum habt ihr dafür ein separates Netz?

Es gibt keine versteckten Netzwerke.
Ob ihr jetzt mit Hidden SSID arbeitet oder nicht, spielt keine große Rolle.
 
#4
@Pik-9 : Danke für die Antwort. Ich werde mich dann mal in das Programm einarbeiten. Und ja; uns ist bekannt, dass alles außerhalb unseres angekündigten Angriffs eine Straftat ist. Deswegen wollen wir ja auch den Abgriff in diesem begrenzten Bereich vorführen. Der Angriff erfolgt natürlich mit seinem Einverständnis. Und das Setting ist ja auch mit der Ankündigung genau darauf ausgelegt. "Um ihm zu zeigen, wie ungünstig seine Idee ist, soll er ein Netzwerk einrichten und auf einen "Angriff" in einem Zeitfenster von 3 Stunden warten!"
Ein Abgriff des PWs über die Netzwerke, die wir administrieren, durchzuführen wäre sinnlos... Wir kennen ja alles.
2. @Sentrax: Es gibt Bereiche mit sensiblen Daten und Punkt. Eine versteckte SSID schürt keine Neugierde bei Mitarbeitern oder zeigt ihnen, dass da noch mehr ist.

3. Falls noch jemand ein paar Argumentationshilfen hat, um ihm die Idee auszureden, dann wäre das wirklich hilfreich.
 

end4win

Member of Honour
#5
Nicht euer Ernst? Ihr veranstaltet ein IT-Battle mit eurem Juniorchef. :oops:
Habt ihr eigentlich überhaupt ein Sicherheitskonzept schriftlich festgehalten und warum lässt dieses, in einem so hochsensiblen Bereich, überhaupt mobile Geräte, egal ob mit oder ohne Netzwerk zu.
Ansonsten ist es ja jetzt egal ihr werdet das Battle verlieren, wenn euer Junior ein einigermaßen sicheres Passwort verwendet sind 3 Stunden viel zu wenig, da könnt ihr ihn höchstens fesseln und das Passwort aus ihm heraus kloppen.
Aber für die Zukunft, solche Angriffe von der Chefetage auf das Netzwerk wehrt man anders ab.
1. Sicherheitskonzept,
in dem solche Ideen begründet ausgeschlossen sind. Hier müsste dann der Junior begründen warum er einen solchen Zugang benötigt und welchen Mehrwert dies gegenüber dem jetzigen Konzept hätte.
2. Kosten und Komplexität.
Man erarbeitet eine Lösung, die Sicher ist aber zusätzliche Kosten verursacht und mindestens an einer Stelle die Eingabe eines zusätzlichen sicheren Passwortes erfordert, welches regelmäßig geändert (höchstens 6 Wochen gültig) werden muss. Man könnte zum Bsp. das WLAN über ein VPN vom LAN trennen, hier müsste dann ein entsprechender Router angeschafft werden und die passenden Clients, welche bei der richtigen Wahl Lizenzgebühren kosten (besonders BS übergreifend) und die Passworteingabe erfordern.
Sollte dies nicht die Idee verhindern, einfach über ein halbes Jahr Logins mitschreiben und so beweisen, dass der teure, potentiell gefährliche Service so gut wie nicht genutzt wird. ;)

Gruß
 
#6
Moin
Es gibt Bereiche mit sensiblen Daten und Punkt.
Dann fällt das als Argumentationshilfe raus. Das ist schade, denn viel mehr bleibt Dir nicht. @end4win hat ja noch ein paar Ansätze genannt.

Eine versteckte SSID schürt keine Neugierde bei Mitarbeitern oder zeigt ihnen, dass da noch mehr ist.
Security by Obscurity ist keine brauchbare Lösung.

... um ihm die Idee auszureden, ...
Du wirst Ihm das nicht "ausreden" können.
Ich mache sowas schon seit Jahren. Derartige Situationen haben wir letztendlich entweder über "die persönliche Haftung" oder die nächst höhere Ebene regeln müssen.
 

Chromatin

Moderator
Mitarbeiter
#7
Warum willst du ihm das auch ausreden? Technik ist dazu da dass sie uns bei Dingen hilft.
Konzentrier dich besser auf vernünftige Systeme zur Authentifizierung und Absicherung - da habt ihr alle mehr von.
 
#8
Lest euch meine Ausgangssituation ganz genau durch (auch die Klammern). Wer sich jetzt eine Minute nimmt, kann sich das Bild ausmalen. Ahnungslosigkeit gepaart mit Sorglosigkeit kann unsere Firma sofort vernichten. Und da man ja als junger angehender Chef das Rad neu erfinden muss...
Und wenn ich von sensiblen Daten spreche, dann kann man sich darunter verschiedene Geschäftsmodelle vorstellen. In Amerika, hat es bereits eine Firma sauber verbockt und konnte danach Insolvenz anmelden, weil alle Kunden sofort gewechselt haben. Und mehr kann und werde ich dazu nicht sagen. Auch zu den restlichen Sicherheitsvorkehrungen bleibe ich stumm. Ich möchte nicht, dass sich dieses Forum bei uns einfindet und sich mal an unseren Netzwerken versucht. Unser Sicherheitskonzept ist eigentlich gut durchdacht und wieso man auf das Netz per WLAN zugreifen will, verstehen wir nicht.

Euch viel Spaß beim weiteren Rätseln und Überlegen. Ich werde nun nur noch auf ernst gemeinte Vorschläge eingehen.
Allen anderen sage ich DANKE für die bisherige Hilfestellung.
 
Zuletzt bearbeitet:

CDW

Moderator
Mitarbeiter
#9
Nur als Anmerkung -- bei WPA braucht's nichtmal ein Passwort auf dem Gerät:
Code:
% wpa_passphrase MYSSID mypassword
network={
	ssid="MYSSID"
	psk=afc9f18cdfeea99aad625546066e74e993762774acfb2db2421f520deeb8a3eb
}
d.h auch, dass kein Passwort im Normalfall über die Leitung geht.
Stattdessen wird aus dem Passwort mittels PBKDF (password, salt=SSID) ein PSK = Pre Shared Key (siehe Bsp. oben) gebildet.
Auch dieser Schlüsselt sollte nicht über die Leitung gehen, sondern wird benutzt, um dynamische Schlüssel (so in der Art -- ist schon ein paar Jährchen her) für die Sitzung auszuhandeln.
Dies hindert allerdings Google&Co nicht daran, die WLAN-Passworter im Klartext zu speichern und zu synchronisieren :rolleyes:

Allerdngs ist WPA mit PSK, wo jeder den gleichen Schlüssel hat, eher Heimlösung.
Im Unternehmen mit mehr als paar Mitarbeitern wird man eh' Richtung RADIUS schauen.
Und da gab es immer wieder Lücken in Implementierungen:
http://freeradius.org/security/
Was für sich schon als Gegenargument gelten kann.

Ferner ist den meisten Smartphonenutzern nicht bewusst, dass per Default alles mögliche mit der "Cloud" (google/samsung/apple/sonstwer) synchronisiert wird.
D.h. WLAN SSID/Login/Passwort, Fotos und auch (sensible) angeschaute Dokumente bei Smartphone/Tabletnutzung automatisch an Dritte weitergegeben werden können, was schon als ein Verstoß gegen den Datenschutz/Verschwiegenheitspflicht gewertet werden kann.
Konkret kann "keine Zeit, da alles sofort laufen muss!" ganz schnell mal unter § 203 StGB fallen, ob Chef oder nicht.
 
Zuletzt bearbeitet:
#11
Hat euer Unternehmen irgendwelche Zertifikate? Eine Änderung in der SiKo könnte zur Folge haben, dass dies meldepflichtig ist und einer Reauditierung bedarf. (=Kostenproduktion um die 10k = Argument für Unsinn.) Etwaige Konzepte, die darauf beruhen und jegwede Regelung muss ebenfalls umgeschrieben werden. Dies Bedarf einen gewaltigen verwalterischen Aufwand. Denn der Chef darf nur das, was seine Mitarbeiter auch dürfen, außer er kann es begründen, dass es bei ihm anders geregelt werden muss.
 
#13
Oh das klingt nach einem "Ich möchte - egal was es kostet" Anschlag aus der Führungsebene. Dann würde ich definitiv auf Basis des SiKos versuchen zu argumentieren.

Ich kann folgende Aussagen treffen:
Wireshark ist in der Lage den WLAN-Key von WPA2 zu extrahieren, wenn das Gerät bereits im Netz eingeloggt ist. Das ist in diesem Fall aber vollkommen irrelevant, da man sich unter Windows den Key anzeigen lassen kann. (Das wisst ihr gewiss besser als ich selber :D )
Daher Stufe 1: Rubber Ducky Angriff - MAC(s) und WLAN-Key extrahieren; ODER: LAN-Turtle ins Netz einbinden.
Phase 2: Gerät einschleusen. (Bei LAN-Turtle ist der bereits im Netz)

Das sind hardwarebasierte Angriffe. Ab Phase-2 kann man dann die Daten extrahieren.

Den WPA2 Key zu extrahieren und rauszusniffen aus einer bestehenden Verbindung ist schwierig. Es ist einfacher den Kanal der richtigen SSID zu überlagern und diese selber zu nutzen, sodass der Key übersendet wird. Dies kann auch in jeder beliebigen Umgebung geschehen.

Man könnte ihm damit kommen: Um den Schutzbedarf dieser Dokumente aufrecht zu erhalten, wird ein Terminalserver benötigt. Bla bla. :D
 
#14
@Shalec: Deine Ahnung ist absolut zutreffend.

"Es ist einfacher den Kanal der richtigen SSID zu überlagern und diese selber zu nutzen, sodass der Key übersendet wird. Dies kann auch in jeder beliebigen Umgebung geschehen." Genau an so einen Angriff dachten wir...
 
#15
Dann müsste man sich mit eurem WLAN-Setting auseinandersetzen:
- Nutzt ihr einen Pre-Shared-Key, um den Kanal mit einem zweiten Faktor zu sichern?
- Wie ist das WPA2 Protokoll implementiert? (vorallem: Wird das Passwort irgendwo im Klartext übertragen? Kann man das PW extrahieren?)
- Bekommt jeder Client einen eigenen Rundenschlüssel, um seine Pakete via AES zu verschlüsseln? (Spezifikation von WPA2)

Ich stelle mir das Setting so vor: "Router" mit gleichlautender SSID betiteln. Verschlüsselung einstellen, Passworteingaben loggen - im Klartext. Das Log dann auslesen. Wie das genaue Setting aussehen kann, weiß ich nicht genau.
 

Chromatin

Moderator
Mitarbeiter
#16
Off-Topic:
1. Wieso kauft ne Firma überhaupt Router mit WPA2?
2. Für die coolen Kids gibts auch VPN - das tut in solchen Fällen auch immer gut und man kann auf WLAN Crypto scheiszen :p

Ich verstehe deinen Ansatz, aber in der Zeit wie du als nicht-Experte versuchst, komplexe Angriffe hinzudengeln kannst du ein besseres Setup aufbauen, indem du einen VPN Router direkt hinter den AP setzt. Mittlerweile bieten Linux/Free/OpenBSD Features die ein Grundschüler bedienen kann und kosten tuts auch nix.

Da du als Admin schließlich den Mist implementieren musst, sitzt du in gewisser Hinsicht am Drücker.

Und ohnehin: Guter Admin sein und gleichzeitig alle Anweisungen vom Chef befolgen, schließt sich aus.
Deine Prio sollte das Netz sein und nicht dem Chef zu zeigen dass du mit irgendwas Recht hast :p

Naja..offtopic eben.
 
Oben