Über die Möglichkeiten in W-Lan Netze einzubrechen habe ich hier schon öfters berichtet.
Nicht nur wep, sondern auch wpa und wpa2 gelten als geknackt, wie vor kurzem einige Asiaten bewiesen haben.
Werden jetzt Einige sagen:
“Gut dann kann halt mein Nachbar bei mir mitsurfen, wo ist das Problem?
In den Router kommt er eh nicht, weil ich diesen nochmal seperat geschützt habe.
Das Risiko, dass mein “Nachbar” unfug mit meiner Leitung macht ist mir auch egal, weil mein Router die Zugriffe loggt und evtl. über die Macadresse der Eindringling entlarft werden könnte, rechtlich habe ich ja keinen Hotspot zur Verfügung gestellt“.
Ich habe mich die letzten Tage ein wenig mit den Möglichkeiten beschäftigt, was ein Angreifer in einem Netzwerk alles an Schaden anrichten könnte.
Auf so triviale Dinge wie Netzwerkfreigaben etc. möchte ich an dieser Stelle nicht gesondert eingehen.
Unter anderem habe ich mich ein wenig mit dem arp-spoofing beschäftigt.
Zwar sind ssl Verbindungen gesondert geschützt, wie aber vor einiger Zeit bekannt wurde ist ssl geknackt.
Auf die Tatsache, dass der Browser dem ahnungslosen Opfer eine Meldung über ein unsicheres Zertifikat hinweist, kann man sich also auch nicht mehr verlassen.
Was ist also die Empfehlung?
Alles mögliche unternehmen, dass Fremde nicht bis ins Netzwerk kommen – sprich W-Lan deaktivieren, Power Lines (oder auch D-Lan) nur verschlüsselt (nach Möglichkeit gar nicht) verwenden.
Alle PCs per Kabel verbinden.
Zudem sollte der Router ausreichend gesichert sein, existieren hier Lücken (XSRF etc.), könnte dieser evtl. kompromitiert werden.
Hört sich leicht paranoid an (wurde mir gerade eben gesagt), aber im Bezug auf Sicherheit kann man meiner Meinung nach nicht paranoid genug sein.
THX an skskilL und Bammes für die Tipps.
Danke auch an Compass Security für das tolle Aufklärungsvideo zum Thema (ich hoffe Ihr veranstaltet 2010 wieder ein Cyber Storm).
SSL ist nicht geknackt. Browserimplentierungen, die eventuell Fehlerhaft sind, sind eben nicht “die Schuld von SSL”. SSL ist nicht auf Webrowser beschrenkt(HTTPS). SSL könnte höchstens sicherheitstechnische Fehler an sich selbst besitzen, im Design/Protokoll. Geknackt ist meiner Meinung nach nicht das richtige Wort. Als geknackt würde ich es verstehen, wenn die Algorythmen, u.a. der symmetrischien Verschlüsselung, sprich, AES, DES etc. praktisch geknackt wären.
Vielleicht wäre noch anzumerken, dass man DHCP deaktivieren könnte, sowie die Sendeleistung des Routers minimieren… (Noch immer nicht ganz sicher…)
XSRF Angriffe… Kurze Antwort: Sich nicht einfach damit kriegen lassen, Passwort aufs Interface(der Angreifer könnte einen bei bestimmten Routern trotzdem nerven, aber nicht ernsthaft Schaden) ; lange Antwort: Webinterface des Routers blockieren über ne Firewall. Und wenn man dennoch mit dem Router kommunzieren will, löscht man die Regel logischerweise…
Das Deaktivieren von UPnP könnte auch nützlich sein. Das geht in Richtung OffTopic, aber wenn schon denn schon. (Stichwort: Malware…). Bei FritzBox Routern gibt es die Möglichkeit, UpNP Statusinformationen zu übertragen, Konfigurationen(z.B. Ports öffnen) jedoch nicht zu gestatten…
Oder natürlich einfach nicht mehr WLAN benutzen. Geht halt aus diversen Gründen nicht immer.
Paranoid sein schadet nicht, wenn man es nicht übertreibt.
Just my 2 cents.
Wenn we grad beim Thema sind, wenn dein rechner kein WPA knack, lass doch mal ne Cloud machen : http://novocor.blogspot.com/2009/12/cloud-dienst-bietet-w-lan.html
zum glück hab ich nun nen debian router *g
nur blöd ist, dass ich mein w-lan auf wpa lassen muss wegen meiner psp -.-
hoffe bald kommt ein neuer sicherheitsstandard für w-lan netze
+ Schutzsoftware gegen ARP-Spoofing-Attacks, welche zB die ARP-Replies, die nicht angefordert wurden, einfach rejected.
Kann ja sein, dass ich etwas verpasst habe, aber inwiefern ist denn WPA und WPA 2 “unsicher”?
Ein entsprechend sicheres Passwort vorausgesetzt, ist WPA und WPA2 nicht so ohne weiteres knackbar. Theoretisch schon. Theoretisch.
Und ich frage mich, wer so blöd ist, und sich auch nur länger als eine Stunde an einem WLAN abmüht, wenn 50m ein offenes ist.
Überhaupt, gibt es da ein massives Defizit zwischen Theorie und Praxis. Und das ein Algorithmus “geknackt” ist, heißt nicht, dass er jetzt auf dem selben Niveau wie DES rumschwirrt. Sollte man viellicht noch vom Hackerboard kennen.
Und im übrigen: Im Zivilstrafrecht kann man durchaus strafbar gemacht werden, wenn man ein ungesichertes oder ein schwach gesichertes WLAN aufstellt und darüber Straftaten begangen werden. Ist aber auch vom Richter abhängig.