so lautet die Überschrift eines Artikels aus der aktuellen Chip (10/2010) der mich heute Morgen so richtig zum schmunzeln brachte.
Die Chip ist eine gute Zeitschrift, keine Frage – aber manchmal hauen die wirklich einige Brüller raus.
Der Aufreißer: Die Attacke dauert nur Sekunden. Dann haben Hacker Ihr privates Funknetz trotz WPA2 geknackt. Chip erklärt, wie die fiese Mache funktioniert – und wie sie sich schützen.
Das positive an dem Artikel, er ist klasse geschrieben und ein Laie hat danach wahrscheinlich das Gefühl nun wieder einige Hackertricks zu kennen und sich nun auch erfolgreich dagegen schützen können.
Warum das nicht so ist, werde ich hier erklären.
In der Chip wird der “Hack” so erklärt.
Der Böse Hacker registriert sich eine Domain (Server mit eigener IP).
Nun surft das Opfer auf die Website, die nun die Online IP des Opfers speichert – dann die Anfrage an eine Subdomain umleitet.
Bei der erneuten Anfrage (an die Subdomain) antwortet der Server mit seiner eigentlich IP, blockiert aber den Port 80, gleichzeitig sendet er im Response auch die Opfer Public IP mit, so dass der Browser nun versucht auf sich selbst quasi zu connecten – in Wirklichkeit aber auf der Opferseite bleibt.
Über Javascript würden dann die Grundlegenden Routereinstellungen manipuliert werden … und der Tipp der Chip, das Routerpasswort ändern.
Wer testen möchte ob sein Router eine Schwachstelle hat, soll auf http://browsercheck.ath.cx gehen, seine IP auslesen und nachschauen ob er auf seine IP zum Router connecten kann.
Schon beeindruckend, wie schnell Hacker ihren DNS Rekord ändern können, aber analysieren wir mal was die Hacker auf der “Hackermesse” Blackhat wahrscheinlich gemacht haben.
Vermutlich wurde die Opfer IP per PHP ausgelesen, ein Ajax Request generiert in den auch gleich ein Authorization: Basic (bei htaccess Logins) mit eingepackt und dann eine Art XSRF Angriff ausgeführt (wie ich ihn neulich am Linksys demonstriert habe).
Das manche Router trotz deaktivierter Remote Verwaltung sich aus dem Lan heraus über die Online IP ansprechen lassen, ist sicherlich nicht im Sinne des Erfinders, aber bei einem XSRF Angriff haben wir ja auch die Möglichkeit auf die Lan IP des Routers zu gehen, was meiner Meinung nach den ganzen Angriff etwas schwachsinnig macht.
Wer das ganze etwas dynamischer machen möchte, könnte zum Bsp. auf das Browser Exploition Framework BeEF zurück greifen.
Die Empfehlung sein Standard Routerpasswort zu ändern ist sicherlich zu unterstreichen, des weiteren sollte berücksichtigt werden, sich nach Arbeiten im Router immer auszuloggen, bzw. einmal den Browser schließen (htaccess Logins) … oder seine cookies zu löschen – je nach Login Variante … und ganz wichtig, niemals gleichzeitig surfen + Routerarbeiten durchführen.
Mit Angriffe auf WPA2 Netze hat der Chip Artikel allerdings herzlich wenig zu tun.
Anm. Den Link der Chip zum IP auslesen, habe ich mal durch mein eigenes Projekt ersetzt.
Angriff auf private WLAN-NETZWERKE http://goo.gl/fb/04Hsj
RT @hoohead: Angriff auf private WLAN-NETZWERKE http://goo.gl/fb/04Hsj
RT @hoohead: Angriff auf private WLAN-NETZWERKE http://goo.gl/fb/04Hsj
Schöner Artikel.. RT @hoohead: Angriff auf private WLAN-NETZWERKE http://goo.gl/fb/04Hsj
Ja Chip hat immer sehr tolle Aufmachen wenn es um das Thema Hacken, Kopieren oder Downloaden geht. Und wirklich schlau wird man aus den Artikeln dann nicht. Wenn die immer ihre Verbotenen Tools anpreisen könnte ich mich schon im Laden vor den Heften Rofln
.
[...] This post was mentioned on Twitter by Dwayne J0hn and pascal, hoohead. hoohead said: Angriff auf private WLAN-NETZWERKE http://goo.gl/fb/04Hsj [...]
Ohne den Artikel im Wortlaut gelesen zu haben, behaupte ich jetzt mal das es durchaus schon so sein kann wie er der Artikel beschreibt. Die Technik heisst DSN Rebinding und ist eigentlich nicht neu. Der DNS-Server für die entsprechende Angreiferdomain ist natürlich auch unter der Kontrolle des Angreifers und mit in den “Angriff involviert”. Dadurch lassen sich dann Domains z.B. auch mit einer TTL von einer Sekunde oder so auflösen. Durch den fehlgeschlagenen 2. Connect-Versuch auf den Server, fangen viele Browser einfach nochmal ganz von vorne an – und zwar mit der DNS-Auflösung des Domainnamens. Und hier kann der DNS-Server jetzt eine andere IP (z.B. des lokalen Routers) zurückgeben. Bereits im Cache befindliches Javascript, was ursprünglich vom Angreiferserver kam, kann jetzt also per SameDomainPolicy auf Ressourcen im Router zugreifen.
So funktioniert das ganze zumindest in der Theorie. In der Praxis sind solche Angriffe meist extrem kompliziert, und funktionieren auch nur bedingt, da viele Browser mittels DNS-Pinning natürlich veruschen dagegenzuhalten.
Ist irgendwie nichts neues, eine Gruppe namens “AirTight” hat sogar eine lücke im WPA2 Protokoll gefunden, das “Hole196″ wie sie es nannten. Die mussten lediglich den MadWiFi-Treiber unter Linux um 10 Zeilen Code erweitern und haben damit erreicht das sich ein normaler Computer als Access Point zu erkennen gab und jeden Zugriff erlaubte.
Wurde auch auf der”Blackhat” vorgeführt.
Interessanter weise ist das “Hole196″ in den Standard WPA2 wissentlich eingebaut da es ein Feature darstellen soll. Schade das ich die Seite verlegt hab auf der ich davon gelesen hatte aber wenn ich den Link wieder finde lass ich den noch hier.
MfG
Kira
Wie spackenhaft haben sie denn die Aktion rübergebracht ?
Ich muss mich hier doch auch mal zu Wort melden.
Was bitchiller hier schreibt stimmt absolut. Es ist kein Problem einen DNS eintrag innerhalb einer Sekunde zu ändern wenn du einen eigenen DNS Server hast (dyndns anyone? Da wäre ne TTL von 48 – 72h ziemlich sinnlos, oder?).
@hoohead
kleine Lektüre über DNS für dich: http://en.wikipedia.org/wiki/Time_to_live
Dann noch die Sache mit versuchen auf seine Public IP zu connecten. Ich weiss nicht ob es so dumm Router gibt, aber eigentlich _SOLLTE_ das auf’s selbe rauskommen, wie wenn du die interne ip deines routers aufrufst (sofern Port 80 nicht in der NAT forwarded ist). Afaik sollte der Router erkennen das vom LAN daten auf das (eigene) WAN interface gemacht werden, was natürlich sinnlos ist, deshalb SOLLTE der router das nicht übers WAN routen sondern im LAN lassen.
Zu der XSRF geschichte, was ist wenn der router vor XSRF geschützt ist? Dann kommst du so weiter, weil du dank der Same Origin Policy (was bitchiller als SameDomainPolicy bezeichnet hat [heisst aber Same Origin, nur so am Rande]) Zugriff auf die Cookies und alles vom Router hast. Auch hier noch einmal eine kleine Lektüre: http://en.wikipedia.org/wiki/Same_origin_policy
Du kannst das BTW auch ganz einfach ausprobieren. Bau eine HTML seite mit einem iframe auf eine andere seite in der selben domain. Du solltest alle Daten des Iframes über DOM auslesen und modifizieren können.
Nun src=http://google.com und siehe da, du kannst die Daten nicht mehr lesen/schreiben
@Kira
Hast du auch gelesen was Hole196 ist? Mit Hole196 kannst du nicht in ein WPA2 Netz einbrechen, sondern lediglich eine Art ARP-spoofing machen, WENN DU SCHON IM NETZ BIST!
hoohead: thx für die Links, werde ich mir mal zu Gemüte führen.
[...] Angriff auf private WLAN-Netzwerke ist ein Artikel von hoohead der sich hier mit ähnlichen Aufmachern der PC Presse beschäftigt. [...]