Wardriving in China

In Vorbereitung meiner Reise nach China zur alljährlichen Konferenz der Antivirus-Analytiker der Regionen Asien und Stiller Ozean, AVAR 2005, plante ich parallel dazu eine Untersuchung der drahtlosen Netze von Tianjin und Peking (China).

Diese Untersuchung wurde im Zeitraum vom 17. bis 19. November in den zentralen Business-Quartalen dieser beiden Städte, sowie am Pekinger Flughafen durchgeführt. Während meiner Nachforschungen sammelte ich Daten von ca. 300 Access Points (APs, Zugangspunkten).

Jedoch unternahm ich keine Versuche, mich in die gefundenen drahtlosen Netze einzuklinken oder Traffic abzufangen und zu entschlüsseln. Mit dem chinesischen Gesetz auf diesem Gebiet bin ich nicht bekannt. Gehe ich aber von den Normen des internationalen Gesetzes aus, so ist eine derartige Informationssammlung und Analyse nicht gesetzeswidrig.
Dennoch, Informationen über die konkreten Parameter der aufgefundenen Netze (wie genaue GPS-Koordinaten und Netzbezeichnungen) werden nicht erwähnt.

Außer der Untersuchung der drahtlosen Netze wurden statistische Forschungen von Bluetooth-Geräten im „Sichtbarkeits“-Modus durchgeführt. Weiterhin versuchte ich, mobile Telefone zu finden, die durch Viren infiziert sind, welche über Bluetooth übertragen wurden.

Zweifelsohne gewinnen die Sicherheitsprobleme von drahtlosen Netzen wie auch mobiler Geräte von Tag zu Tag an Bedeutung und Aktualität. Durch die vorliegende Analyse möchte Kaspersky Lab sein Interesse an diesem Bereich der Datensicherheit aufzeigen.

Untersuchung der WiFi-Netze

Übertragungs-Geschwindigkeit der Daten

Die Untersuchung ergab ein erhebliches Übergewicht der Netze mit einer Daten-Übertragungs-Geschwindigkeit von 11Mbps – mehr als 58%, auf Platz zwei sind Netze mit einer Geschwindigkeit von 54Mbps (36,62%). Interessant war, dass einige der Zugangspunkte mit einer Geschwindigkeit von 2 Mbps funktionierten. Aller Wahrscheinlichkeit nach wurde dabei die FHSS-Methode (Frequency Hopping Spread Spectrum, Frequenzwechselverfahren) genutzt.

Übertragungs-Geschwindigkeit der Daten im prozentualen Verhältnis.
Übertragungs-Geschwindigkeit der Daten im prozentualen Verhältnis.
Das zahlenmäßige Verhältnis der Access Points (AP) zur Übertragungs-Geschwindigkeit der Daten.
Das zahlenmäßige Verhältnis der Access Points (AP) zur Übertragungs-Geschwindigkeit der Daten.

Ausrüstungs-Hersteller

Insgesamt wurden 21 verschiedene Ausrüstungs-Bezeichnungen gefunden. 10 Bezeichnungen sind bekannte Hersteller-Namen und werden in 56% der drahtlosen Netze Pekings und Tianjins verwendet. In weiteren 4% der Fälle wurden andere 11 Bezeichnungen verwendet.

Am meisten verbreitet sind die folgenden Hersteller:

  • Agere/Proxim Orinoco — 13,73%
  • Cisco — 10,21%
  • D-Link — 7,04%
  • Linksys — 6,69%
  • Intel — 4,94%
  • Agere/Proxim WaveLAN — 3,52%
  • Senao — 3,17%
  • Z-Com — 2,28%
  • Netgear — 2,46%
  • Accton — 2,11%

Wie man aus diesen Daten erkennen kann, sind die Hersteller-Unternehmen Agere Systems (Proxim Orinoco/WaveLAN) mit 17,25% und Cisco (Linksys) mit 16,9% absolute Spitzenreiter.

Verwendete Ausrüstungen, angegeben im % Verhältnis von der Gesamtzahl der gefundenen Netze.
Verwendete Ausrüstungen, angegeben im % Verhältnis von der Gesamtzahl der gefundenen Netze.

In einer hohen Anzahl der Fälle (39,08%) konnte der Ausrüstungs-Hersteller nicht festgestellt werden (unbekannt, gefälscht oder Benutzer-definiert)

Verhältnis bekannter und unbekannter Ausrüstung, in %.
Verhältnis bekannter und unbekannter Ausrüstung, in %.

Verschlüsselung des Traffics

Entsprechend der Daten von Forschungen, die von Wardrivern in unterschiedlichen Städten der Welt durchgeführt wurden, beträgt die Anzahl der Netze des drahtlos-Zugangs, in denen keinerlei Verschlüsselungs-Methoden des Netzverkehrs genutzt werden, etwa 70%. Untersuchungen der Netze in Moskau im Laufe des Jahres 2005, die das Labor für Sicherheit des Lehrzentrums „Inform-Schutz“ durchführte, bestätigt diese Daten. Für Moskau waren es 68-69%.

In China weicht diese Zahl jedoch erheblich vom allgemeinen Weltniveau ab.

Verhältnis von Netzen mit Verschlüsselung der Traffic und ohne Verschlüsselung.
Verhältnis von Netzen mit Verschlüsselung des Traffics und ohne Verschlüsselung.

Die Anzahl der ungeschützten (nicht verschlüsselten) Netze beträgt weniger als 60%, andererseits wurde jedoch kein einziges Netz aufgefunden, in welchem der am weitesten entwickelte, neuste Verschlüsselungs-Standard WPA oder 802.11i angewandt wurde.

Berücksichtigt man, dass, laut Forschungsergebnisse der Wardriver in anderen Ländern der Welt, bei einer erheblichen Zahl dieser ungeschützten Netze der Zugang zum Router über das Web-Interface geöffnet ist, kann man annehmen, dass derartige Schlussfolgerungen auch für Peking und Tianjin aktuell sind. Wir möchten jedoch noch einmal an dieser Stelle bemerken, dass wir während unserer Forschungen keine Tests dieser Art vorgenommen haben.

Typen der Netzzugänge

Eine große Zahl der aufgefundenen Netze (89%) ist auf der Grundlage der Access Points (ESS/AP) aufgebaut. Dies stimmt mit den allgemeinen Welt-Daten praktisch überein. Entsprechend stellen die übrigen 11% der Netze Verbindungen des Typs „Computer-Computer“ (IBSS/Peer) dar. In einem einzigen Fall gelang es nicht, den Netz-Typ zu bestimmen.

Netz-Typen.
Netz-Typen.

Standardgemäße Einstellungen

Eine der wirkungsvollsten Schutz-Methoden vor Wardriving ist das Abschalten des Netz-Identifikators (SSID). Während der Untersuchung wurde festgestellt, dass nur 6% der Netze diese Methode nutzen. Interessant ist, dass praktisch in 99% dieser Netze auch die WEP-Verschlüsselung eingeschaltet war.

Eine weitere interessante Kennziffer war die default SSID (standardgemäße SSID). In der Regel zeugt sie davon, dass der Administrator des Access Points den Namen des Routers nicht verändert hat. Dies kann zudem ein indirekter Fakt dafür sein, dass auch der Administrator-Account standardgemäß ein Passwort hat.

Prozentuales Verhältnis der Netze mit Standard-Einstellungen.
Prozentuales Verhältnis der Netze mit Standard-Einstellungen.

Untersuchung der Bluetooth (BT)-Geräte

Wichtigstes Ziel dieser Untersuchung war die Sammlung statistischer Daten über die Anzahl der BT-Geräte mit eingeschaltetem „Sichtbarkeits“-Modus und über die qualitative Zusammensetzung dieser Geräte.

Ein weiteres Ziel meiner Forschungen war der Versuch eines „Fangs“ auf einen beweglichen honeypot, der sich ebenfalls im „Sichtbarkeits“-Modus befand und mit eingeschalteter Option für den automatischen Empfang und Speicherung aller eintreffenden Dateien.

Die Untersuchungs-Methode dabei war ziemlich simpel. Es wurde ein Notebook mit externem BT-Adapter Bluetake verwendet, dessen Empfangs-Radius etwa 100m betrug und als Software – ein BlueSoleil-Paket.

Zur Durchführung von Kontroll-Messungen wurde Orte ausgewählt, wo sich große Menschenmassen ansammelten (was für China ziemlich lustig klingt) – der internationale Flughafen Pekings Capital, die Straße Wanfgfujing – die wichtigste Einkaufsstraße Pekings. Außerdem wurden während der Konferenz AVAR2005 in Tianjin Tests durchgeführt.

Wurde in Peking und Tianjin Hauptaugenmerk auf die Sammlung von statistischen Daten über aktive BT-Geräte gelegt, so wurde auf dem internationalen Flughafen hauptsächlich mit honeypot gearbeitet.

Fenster des Programms BlueSoleil im Scan-Modus.
Fenster des Programms BlueSoleil im Scan-Modus.

Die Ergebnisse waren, besonders für mich persönlich, sehr unerwartet, und zwar in beiden Test-Kategorien.

Insgesamt wurden während der Tests etwa 50 verschiedene BT-Geräte gefunden.

Anzahl der gefundenen Geräte im "Sichtbarkeits"-Modus.
Anzahl der gefundenen Geräte im „Sichtbarkeits“-Modus.

Besonders auffällig ist die verhältnismäßig kleine Anzahl derartiger Geräte. Die Testzeit betrug in der Summe mehr als 12 Stunden. Berücksichtigt man die Entwicklungs-Tempen der mobilen Geräte in der Welt sowie die großen Menschenmassen an den Orten der Messungen, hatte ich erwartet, dass die Zahl der aufgefundenen Geräte mindestens dreistellig ist. Auf der Analytiker-Konferenz AVAR 2005 entdeckte ich neun Geräte im „Sichtbarkeits“-Modus. Dies überschreitet sogar, nach meiner Meinung, die zulässige Grenze, denn immerhin sind die Konferenz-Teilnehmer Experten auf dem Gebiet der Sicherheit und müssen über die Gefahren, die von aktiven und „sichtbaren“ BT-Geräten ausgehen bescheid wissen. Die Messergebnisse an den anderen Messorten (Wanfgfujing und Flughafen) waren dafür niedriger als erwartet.

Und dies, obwohl außer riesigen Menschenmassen an diesen Orten eine große nationale Vielfältigkeit vorliegt (viele ausländische Touristen)!

Ich kann noch nicht erklären, wodurch dieses Auseinanderklaffen zwischen den Erwartungen und den realen Ziffern (Messergebnissen) hervorgerufen wird. Für die Klärung dieses Problems sind zweifelsohne weitere Tests in anderen Städten der Welt erforderlich.

Was die qualitative Zusammensetzung der aufgefundenen Geräte anbetrifft, bestätigen die Tests im Großen und Ganzen die Angaben darüber, dass Nokia absoluter Marktführer unter den Smartphone und Communikator ist. Ich hatte jedoch mit einem breiteren Spektrum der Telefon-Marken gerechnet, und auch mit einem gewissen Anteil Pocket PCs. Aber leider wurde meine Erwartung ein weiteres Mal nicht bestätigt.

Hersteller der Geräte, in %.
Hersteller der Geräte, in %.

Die vorliegenden Ergebnisse lassen eine wichtige Schlussfolgerung darüber zu, welches Betriebssystem für Smartphone/Communicator am meisten verbreitet ist.

Vereint man Nokia, SonyEricsson und Siemens in eine Gruppe, die als Basis das Betriebssystem Symbian nutzen, und Motorola und Qtek – in eine weitere Gruppe, welche Windows Mobile als Betriebssystem verwendet, kann man eindeutig eine Überlegenheit der ersten Gruppe erkennen.

Betriebssysteme.
Betriebssysteme.

Dies ist eine Erklärung der Tatsache, warum wir gegenwärtig Schadprogramme entdecken, die ausschließlich für Symbian erstellt wurden. Genau wie auf dem Gebiet der Betriebssysteme für PCs attackieren die Virenschreiber auch in diesem Fall die bekannteste Plattform.

Allerdings waren die Ergebnisse des „Fangs“ total unerwartet: Trotz der Tatsache, dass unser Unternehmen schon einige Jahre eine Niederlassung in China hat und Kaspersky Anti-Virus eines der bekanntesten AV-Produkte in China ist, erhielten wir nicht einmal Nachrichten von unseren chinesischen Anwendern über einen mobilen Wurm, der sich über Bluetooth verbreitet. Ja, wir wissen, dass eine Reihe der Modifikationen des mobilen Wurms Cabir, wie auch eine große Zahl der Trojaner für Symbian in China erstellt wurden, aber bestätigte Fälle von Infektionen liegen bei uns nicht vor.

Wir verfolgen aufmerksam die Daten über Epidemien der mobilen Würmer, welche von unseren finnischen Kollegen des Unternehmens F-Secure regelmäßig veröffentlicht werden. Laut ihrer Angaben wurde Cabir schon vor einem Jahr in China entdeckt, und insgesamt hat er schon über dreißig Länder befallen. Und vor etwa drei Monaten entdeckte ich einen Cabir, der in mein Telefon eindringen wollte, obwohl ich mich unmittelbar zu Hause befand. Dies ist eine zuverlässige Bestätigung der Tatsache, dass in Moskau auf jeden Fall eine Cabir-Epidemie existiert.

Dies alles berücksichtigend, hoffte ich in China nicht nur eine dokumentarische Bestätigung der Tatsache „Cabir in China“ zu finden, sondern auch neue, unbekannte Viren für mobile Geräte zu entdecken.

12 Stunden Tests, davon etwa 5 Stunden auf dem internationalen Pekinger Flughafen! Der Flughafen Peking ist einer der größten Flughäfen der Welt, und nach Abschluss der Bauarbeiten des 5. Terminals vergrößern sich seine Ausmaße um das Doppelte, und er wird der mächtigste Flughafen der Welt. Messorte waren Plätze größten Menschenandrangs – die Passkontroll-Zone, die Eincheck-Zone, die Ausgänge zu den Terminals – das heißt, überall dort wurde gemessen, wo man als Passagier, der aus Peking fliegt, so oder so durch muss. Wegen der geringen Radien der BT-Adapter wählte ich die Messorte so, dass die Entfernung zwischen honeypot und den Passagier-Durchlaufstellen 10 Meter nicht überstieg.

Ich habe bereits über die geringe Zahl der aufgefunden BT-Geräte geschrieben. Deshalb wunderte ich mich schon nicht mehr darüber, dass in den gesamten 12 Stunden nicht ein Versuch festgestellt wurde, Dateien auf den honeypot zu übermitteln. Ich überprüfte sorgfältig alle Ausrüstungen und die Software, zusätzlich verglich ich die Ergebnisse mit meinem eigenen mobilen Telefon. Ergebnis: absolut Null: kein Cabir, kein Trojaner mit enthaltenem Cabir, und kein einziger neuer unbekannter Virus.

Das sind ziemlich eigenartige Ergebnisse – offensichtlich die Folge der geringen Anzahl der Geräte, und dafür gibt es bis jetzt noch keine Begründung. Als Vergleich: in der Moskauer Metro findet man bereits in ein paar Stunden 50 aktive BT-Geräte, und Versuche, Dateien von ihnen zu übermitteln, sind auch keine Seltenheit.

In der nahen Zukunft plane ich die Durchführung von Vergleichstests in Moskau, an Orten, die man mit den in China ausgewählten vergleichen kann (große Einkaufszentren, Flughäfen, Business-Zentren).

Darüber hinaus planen wir die Erstellung eines honeypot-Netzes zum Erkennen mobiler Viren, zunächst in Moskau, und in der Zukunft vielleicht auch in anderen Städten der Welt.

Wenn meine gesammelten Daten Ihr Interesse geweckt haben und wenn Sie Ihre Gedanken mit mir austauschen möchten, und auch, wenn Sie über die Methoden derartiger Tests diskutieren wollen, so freue ich mich über eine E-Mail
von Ihnen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.