Wardriving in Warschau

Im Februar 2007 vertrat ich Kaspersky Lab auf einer Konferenz zur Sicherheit von Computernetzwerken in der polnischen Hauptstadt Warschau. Während meines Aufenthalts hielt ich nicht nur einen Vortrag auf der Konferenz, sondern führte auch eine Untersuchung zu drahtlosen Technologien in der polnischen Hauptstadt durch.

Im Rahmen der Untersuchung wurden die Charakteristika von WiFi-Netzen und die Parameter von Geräten, die das Bluetooth-Protokoll unterstützen, analysiert. Natürlich wurden keine über drahtlose Netze übermittelten Daten gesammelt oder entschlüsselt. Der vorliegend Bericht gibt auch keine Informationen über die tatsächliche Lage oder die genauen Namen der aufgefundenen Netze.

Die Untersuchung wurde vom 20. bis 21. Februar in den belebtesten Bezirken Warschaus, den größten Einkaufszentren der Stadt sowie auf dem Gelände des Flughafens und des Hauptbahnhofs durchgeführt.

Am ersten Tag wurde die drahtlose Kommunikation am Hauptbahnhof, im Konferenz-Saal und in der Stadt selbst gescannt. Das Scannen erfolgte während einer Autofahrt und während einer Begehung des historischen Zentrums der polnischen Hauptstadt. Unsere Route führte durch die folgenden Straßen:

  • Prosta
  • Okopowa
  • Jana Pawła II
  • Niepodległosci
  • Domaniewska
  • Puławska
  • Szucha Jana Chrystiana
  • Aleje Ujazdowskie
  • Nowy Świat
  • Aleje Jerozolimskie
  • Marszałkowska
  • Własysława Andersa
  • Aleja Solidarności
  • Nowy Zjazd
  • Wybrzeże Gdańskie
  • Grodzka
  • Miodowa

Wir streiften außerdem auch die größten Plätze der Stadt:

  • Plac Na Rozdrożu
  • Plac Trzech Krzyży
  • Plac Unii Lubelskiej
  • Plac Bankowy
  • Stare Miasto

Die Auto-Route verlief folgendermaßen:

Mit dem Auto legten wir eine Strecke von etwa 30 km zurück, die Route zu Fuß durch die Altstadt betrug circa 5 km.

Am zweiten Tag untersuchten wir die drahtlosen Netze auf dem Weg zum Flughafen mit Zwischenstopps bei den größten Einkaufszentren Warschaus – Arkadia und Marki. Die Untersuchung wurde am Flughafen der Stadt – Okêcie – abgeschlossen.

WiFi-Netze

Übertragungsgeschwindigkeit

Die Datenübertragungsgeschwindigkeit und die Anzahl der WiFi-Netze insgesamt geben Auskunft über den Entwicklungsstand und die Beliebtheit von drahtlosen Technologien in einer bestimmten Region.


Abb. 1. Verteilung der Netze nach Datenübertragungsgeschwindigkeit

In Warschau sind Netze mit einer niedrigen Übertragungsgeschwindigkeit (11Mbit/Sek.) am häufigsten vertreten, was von einer bisher eher geringen Popularität drahtloser Technologien zeugt. Der 14-prozentige Anteil von Netzen mit höherer Datenübertragungsgeschwindigkeit (54 Mbit/Sek.) ist im Übrigen ein Hinweis darauf, dass in der Region die Anzahl von Hochgeschwindigkeits-Zugangspunkten zunimmt und drahtlose Technologien nach und nach immer beliebter werden. Denn für diese 14% muss es auch Provider geben, die ihren drahtlosen Kunden den Zugang ins Internet ermöglichen.

Gerätehersteller

Das Ranking der Gerätehersteller für eine Region verweist auf die Verbreitung einer gewissen Marke und damit unter Umständen auch auf die Verbreitung bestimmter Sicherheitslücken in der Software der verwendeten Geräte. Die Praxis zeigt, dass sich insbesondere in speziellen Treibern der einzelnen Hersteller Sicherheitslücken auftun. Daher kann die fast ausschließliche Verwendung von Geräten eines einzigen Herstellers in einer Region auch zu einer Massenepidemie von Internet-Würmern führen oder zu dem massenhaften Hacken der entsprechenden drahtlosen Netze.


Abb. 2. Verteilung der in drahtlosen Netzen verwendeten Geräte nach Herstellern

Die vorliegende Statistik berücksichtigt allerdings nur die Geräte, deren Hersteller einwandfrei identifiziert werden konnten. Deren Zahl ist im Gegensatz zu der Gesamtsumme der aufgefundenen WiFi-Netze vergleichsweise gering (20%). Trotzdem lassen sich Rückschlüsse auf die Verbreitung von Geräten des einen oder anderen Herstellers ziehen.

Verschlüsselung des Datenverkehrs

Unsere vorhergehenden Untersuchungen haben bereits deutlich gemacht, dass die Verschlüsselung von Daten, die über drahtlose Verbindungen übertragen werden, nicht sehr gebräuchlich ist. Davon zeugt auch der Anteil der Netze, in dem der Basis-Schutz WEP verwendet wird. WEP (Wired Equivalent Privacy) ist ein Datenverschlüsselungsverfahren in drahtlosen Netzen nach IEEE 802.11. Es ist bekannt, dass dieses Verfahren entscheidende Mängel aufweist, die es ermöglichen den Chiffrierungsschlüssel mit Hilfe eines speziellen Programms innerhalb weniger Minuten zu hacken. Dennoch ist die Verwendung von WEP das Mindeste, um ein zufälliges Abhören der übertragenen Daten zu verhindern.


Abb. 3. Verteilung der Netze mit und ohne WEP-Verschlüsselung

Drahtlose Netz-Typen

Die Statistik zu den Typen drahtloser Netze gibt Aufschluss darüber, wie verbreitet öffentliche Zugangspunkte im Vergleich zu einfachen Verbindungen zwischen mehreren Computern (Adhoc-Netze) sind.


Abb. 4. Verbreitung der Netze nach Typen

Die insgesamt 4% Adhoc-Verbindungen zeugen möglicherweise davon, dass man in Warschau stationären Zugangspunkten gegenüber spontanen drahtlosen Netzverbindungen den Vorzug gibt.

Passive Werbung

Interessant ist die Idee, die Namen der Zugangspunkte als „Werbefläche“ zu gebrauchen. Da jeder Kunde, der versucht eine Verbindung mit einem drahtlosen Netzwerk herzustellen, zunächst einmal die Liste der verfügbaren Netze überfliegen muss, könnte die Verwendung von Web-Adressen als Namen für Zugangspunkte durchaus einen zusätzlichen Werbeeffekt für die entsprechende Site haben. Bisher wird von dieser Möglichkeit noch nicht viel Gebrauch gemacht, die Idee allerdings ist bereits geboren.


Abb. 5. Anteil der Netze mit URL als Zugangspunkt-Namen

Das Diagramm zeigt, dass in Warschau derzeit 3% der Zugangspunkte Web-Adressen in ihren Namen verwenden. Hierbei handelt es sich um einen neuen Trend, den wir bisher in keiner anderen Stadt, in der wir derartige Untersuchungen durchgeführt haben, feststellen konnten.

Weitere Beobachtungen

Im Laufe der Untersuchung zeigte sich, dass es in den Einkaufszentren, in denen es viele Restaurants und Cafés mit eigenen Zugangspunkten gibt, auch andere Personen versuchten, die WiFi-Netze zu scannen. Diese Beobachtung ergab sich aufgrund von Anfragen anderer Teilnehmer an verschiedene Netze, wobei sich allerdings niemand mit einem dieser Netzwerke verbunden hat. Es ist wahrscheinlich, dass es sich dabei entweder um Leute handelte, die versuchten auf Kosten anderer Anwender einen kostenlosen Zugang zum Internet herzustellen oder um Hacker auf der Suche nach ungeschützten Netzen. Besonders bemerkenswert ist, dass man sogar innerhalb weniger Stunden, in denen die Netze gescannt wurden, auf potentielle Kriminelle stößt. Die drahtlosen Technologien in Warschau haben zweifelsfrei die Aufmerksamkeit der Hacker auf sich gezogen, was allein durch die Namen einiger Zugangspunkte belegt wird: Im Zuge der Untersuchung wurden Zugangspunkte mit Namen wie „Ihr Router wurde gehackt“ oder „Dein Weg endet hier“ gefunden. Diese Zugangspunkte wurden vermutlich gehackt und von den Kriminellen umbenannt, um sich selbst auf diese Weise in Szene zu setzen.

Bluetooth-Geräte

Mit dem Scannen der Bluetooth-Geräte sollte die Anzahl der Geräte ermittelt werden, die mit aktiviertem Bluetooth-Interface im Modus „sichtbar für alle“ arbeiten – und die damit ein potentielles Ziel für Hackerattacken abgeben – sowie die Zahl der Geräte, die mit sich selbst verbreitender Malware infiziert sind. Ebenso wurden Daten über die Hersteller der verwendeten Geräte und über bekannte Schwachstellen, die auf den entsprechenden Geräten gefunden wurde, erhoben.

Um möglichst viele Informationen sammeln zu können, wurde die Untersuchung in den belebtesten Orten der Stadt, unter anderem in großen Einkaufszentren, Hotels, in der Umgebung der Sehenswürdigkeiten, am Hauptbahnhof, in Cafés und Geschäften sowie auf dem Flughafen durchgeführt.

Die Mehrheit der Bluetooth-Geräte (etwa 150) wurde in den Einkaufszentren und den belebten Straßen der Stadt entdeckt. Von den 500 bis 600 Teilnehmern der Konferenz zur Sicherheit von Computernetzwerken benutzten nur 4 ein aktiviertes Bluetooth-Interface im Modus „sichtbar für alle“. Allerdings lief auch auf einem dieser vier Geräte eine Software, die von BlueSnarf-Attacken angreifbar ist, so dass selbst auf der Konferenz Schwachstellen nicht ausgeschlossen werden konnten. Gerade BlueSnarf gehört zu den gefährlichsten Schwachstellen mobiler Geräte, denn sie gibt Kriminellen die absolute Kontrolle über mobile Geräte und ermöglicht daher nicht nur die Verwaltung der auf einem Mobiltelefon gespeicherten Daten, sondern auch das Versenden von SMS – ohne Kenntnis des Besitzers – sowie das Anrufen beliebiger Nummern (vor allem kostenpflichtiger).

Die Mehrzahl der mit eingeschaltetem Bluetooth entdeckten Geräte waren natürlich Mobiltelefone (56%). Auf dem zweiten Platz befanden sich wie gehabt Smartphones (14%) und erst darauf folgte verschiedenes Zubehör, insbesondere Headsest und andere Garnituren (12%). Allerdings trafen wir auch auf Laptops und sogar Workstations mit eingeschaltetem Bluetooth.


Abb. 6. Verteilung der Bluetooth-Geräte nach Typen

Bei den Geräteherstellern lag erwartungsgemäß Nokia (19%) vorn, Motorola folgte mit 10%. Bei der Bewertung dieser Daten ist allerdings zu berücksichtigen, dass 63% der Geräte keinen bekannten Herstellern zugeordnet werden konnten, so dass der Löwenanteil der Geräte theoretisch von jedem beliebigen Hersteller stammen könnte.


Abb. 7. Verteilung der Geräte nach Herstellern

Bei allen gescannten Geräten stießen wir nur auf einen einzigen Typ von Bluetooth-Schwachstelle, nämlich BlueSnarf. Zieht man allerdings die Gefährlichkeit dieser Sicherheitslücke in Betracht, so ist das Risiko einer zukünftigen Massenepidemie von Netzwürmern als relativ hoch einzuschätzen.


Abb. 8. Anteil der verwundbaren Bluetooth-Geräte

Fazit?

Die Lage hinsichtlich drahtloser Technologien in Warschau fügt sich in das allgemeine Bild der Europäischen Union. Bei der Verwendung des Basisschutzes für den Traffic bildet Warschau (wo 58% der Netze WEP benutzen) im Vergleich zu anderen europäischen Städten einen Mittelwert: In Paris verwenden 70% der Netze WEP, in Hannover waren es 44% und in London 50%.

Eine besondere Eigenart drahtloser Netze, auf die wir in Warschau aufmerksam wurden, ist die Verwendung von URLs in den Namen von Zugangspunkten. Vielleicht handelt es sich hierbei nur um einen vorübergehenden Trend, allerdings war gerade in Warschau die Anzahl von Zugangspunktnamen mit Web-Adressen – im Vergleich zu anderen europäischen Städten – sehr hoch. Möglicherweise ist dies ein künftiger Weg zur Verbreitung von Schadprogrammen: Der Anwender sieht eine Internet-Adresse in der Liste der verfügbaren Netze, gibt diese in seinem Browser ein und auf seinem Computer installiert sich ein schädliches Programm. Bisher werden die Web-Adressen jedoch lediglich zu Werbezwecken genutzt.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.