Drahtlos auf der CeBIT 2006

Nach Veröffentlichung unseres Untersuchungsberichts zu drahtlosen Netzen in den chinesischen Städten Peking und Tianjin im November vergangenen Jahres, erhielten wir viele Reaktionen – sowohl von unseren Lesern als auch von Vertretern verschiedener IT-Sicherheitsunternehmen. Es war schnell klar, dass das Thema Sicherheit von drahtlosen Datenübertragungen eines der derzeit interessantesten ist. Auch unsere Niederlassungen haben uns eingeladen, ähnliche Tests in deren Ländern durchzuführen.

Ziel einer weiteren Untersuchung war nun die größte IT-Messe der Welt – die CeBIT 2006, die gerade in Hannover stattfindet. Diese Wahl ist natürlich kein Zufall. Denn es ist bekannt, dass eine Messe wie die CeBIT nicht nur Hersteller und Besucher anzieht, sondern immer auch Hacker, die Unternehmens-Netzwerke der Aussteller während der Messe knacken wollen. Fast alle Firmen, die auf der Messe vertreten sind, bauen dort ihre eigenen lokalen Netze auf, die teilweise mit den Servern ihrer Firma verbunden sind. Ein lokales Netz wird normalerweise in einem niedrigen Sicherheits-Modus und in kürzester Zeit eingerichtet, wodurch das Risiko einer erfolgreichen Hacker-Attacke wesentlich erhöht wird. Verständlich ist, dass einer der Hauptwege dieser Attacken der WiFi-Zugang ist.

Zudem nutzen die Hacker die Messen nicht nur für Attacken auf Unternehmen, zu ihren Opfern können auch die Besucher der Ausstellung werden. Bekannt ist ein Fall während der InfoSecurity in London, wo eine Gruppe von Erpressern auf der Messe einige gefälschte Zugangspunkte einrichtete, die aussahen wie das Zugangs-Interface ins öffentliche Netz. Die nichts ahnenden Besucher, die einen dieser Zugänge nutzten, gaben ihre Passwörter und andere vertrauliche Daten ein, die somit direkt in die Hände der Hacker gerieten.

Die vorliegende Untersuchung wurde vom 9. bis 10. März 2006 in den Hallen der CeBIT durchgeführt. Während der Untersuchung wurden die Daten von über 300 Zugangspunkten gesammelt. Dabei wurde weder versucht, sich in die entdeckten Netze einzuwählen, noch den Traffic abzufangen und zu entschlüsseln.

Untersuchung der WiFi-Netze

Übertragungs-Geschwindigkeit

Während der Untersuchung wurden etwa gleichviele Netze mit einer Übertragungs-Geschwindigkeit von 11 Mbps (etwa 47%) und 54 Mbps (etwa 51%) festgestellt. Außerdem wurden mehrere Zugangspunkte entdeckt, die mit eher selteneren Geschwindigkeiten (22, 24 und 48 Mbps) arbeiteten:


Das zahlenmäßige Verhältnis der Access Points (AP) zur Übertragungs-Geschwindigkeit der Daten

Übertragungs-Geschwindigkeit der Daten im prozentualen Verhältnis

Hersteller

Insgesamt wurden Geräte von 18 Herstellern entdeckt, sieben davon zählen zu den bekanntesten und wurden bei 28% der Zugangspunkte auf der CeBIT 2006 verwendet. In weiteren 5,5% der Zugangspunkte wurden Geräte von anderen 11 Herstellern verwendet:

Hersteller Prozent
Symbol 16,15%
Intel 5,50%
Linksys 1,72%
D-Link 1,37%
Netgear 1,37%
Cisco 1,03%
Proxim (Agere) Orinoco 1,03%
Andere Hersteller 5,51%
Unknown, Fake, User Defined 66,32%

Verwendete Ausrüstungen, angegeben im % Verhältnis von der Gesamtzahl der gefundenen Netze

Diese Daten unterscheiden sich beträchtlich von den Ergebnissen aus China und Moskau. Werden in China vorrangig Geräte von Agere und Cisco (Linksys) verwendet und in Moskau Geräte von Cisco und D-Link, so führen auf der CeBIT 2006 die Firmen Symbol (16,5%) und Intel (5,5%). Ein solch erheblicher Unterschied ist höchstwahrscheinlich mit der Marktposition dieser Hersteller in den jeweiligen Ländern zu begründen. Man kann also die Schlussfolgerung ziehen, dass bei der Auswahl der Geräte für WiFi-Netze vor allem von der Popularität der Marke im entsprechenden Land ausgegangen wird.

Leider konnte bei einer großen Anzahl der Geräte kein Hersteller festgestellt werden (Unknown, Fake oder User Defined) – prozentual zweimal mehr als in China.


Verhältnis bekannter und unbekannter Ausrüstung, in %

Wahrscheinlich werden also viele neue Geräte verwendet, die von der aktuellen Version des WiFi-Scanners noch nicht erkannt werden.

Verschlüsselung des Traffics

Entsprechend den weltweiten Untersuchungen von Wardrivern in verschiedenen Städten, sind etwa 70% der Drahtlos-Netze nicht verschlüsselt. Bei unseren Untersuchungen der Netze in Peking und Tianjin lag die Anzahl der ungeschützten, nicht verschlüsselten Netze mit etwa 59% unter dem Welt-Niveau.

Das Verhältnis der Netze mit und ohne Verschlüsselung des Traffics auf der CeBIT sieht noch besser aus:


Verhältnis von Netzen mit Verschlüsselung des Traffics und ohne Verschlüsselung

Die Anzahl der ungschützten Netze beträgt weniger als 56%, erheblich besser als die allgemeine Statistik. Wenn man jedoch die Zahl der öffentlichen Zugangspunkte abzieht, die auf der CeBIT 2006 angeboten werden und durch uns identifiziert wurden, so ist der prozentuale Anteil der ungeschützten Punkte äußerst hoch! Man sollte auch nicht vergessen, dass das die Zugangspunkte zu den lokalen Netzen der Unternehmen auf der CeBIT sind und damit eine der wichtigsten Zielscheiben der Hacker.

Typen der Netzzugänge

Die Mehrheit der weltweiten Drahtlos-Netze (etwa 90%) ist auf Zugangspunkten (ESS/AP) aufgebaut. Wie wir bereits feststellen konnten, unterscheidet sich die CeBIT in der Infrastruktur der Netze. Dies hat auch Auswirkungen auf die nachfolgenden statistischen Daten.

So konnten wir feststellen, dass die Zahl der Verbindungen von Computern untereinander (IBSS/Peer) 40% überstieg! Offensichtlich verbinden die Aussteller ihre Rechner damit, ohne Netzwerkkabel verlegen zu müssen – denn faktisch sind alle dieser Punkte innerhalb von Unternehmen zu finden.


Netztypen

Standard-Einstellungen

Eine der wirkungsvollsten Schutzmethoden vor Wardriving ist das Abschalten des Netz-Identifikators (SSID). Während der Untersuchung wurde festgestellt, dass diese Methode bei 8% der Zuganspunkte auf der CeBIT verwendet wird, 89% verwenden dagegen WEP-Verschlüsselung. Gerade diese Zugangspunkte sind am besten vor Attacken durch Übeltäter geschützt.


Prozentuales Verhältnis der Netze mit Standard-Einstellungen

Eine weitere interessante Kennziffer ist die Default-SSID. In der Regel zeigt sie, dass der Administrator des Access-Points den Namen des Routers nicht verändert hat. Dies kann zudem ein indirekter Beweis dafür sein, dass auch der Administrator-Account das Standard-Passwort verwendet. Die Situation auf der CeBIT sieht hier aber wunderbar aus: Nur 2 Zugangspunkte verwendeten die Default-SSID.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.