Ein Schweizer Taschenmesser für WLAN-Attacken
Cyber-Kriminelle nehmen Endanwender ins Visier
Auf der Hackerkonferenz Defcon sind gleich zwei neue Angriffs-Tools aufgetaucht, die sich direkt gegen Endanwender richten: "Airbase" simuliert WLAN-Access-Points und lockt PCs und Notebooks so in eine Falle, und "The Middler" belauscht den Datenverkehr zwischen dem Client und populären Websites wie Gmail, Livejournal oder Linkedin. Plug-ins für weitere Seiten sind in Arbeit.
Mehr zu Thema:
–
Web 2.0 ist Basis für Malware 2.0
–
http://llschnuerer.cmpdm.de//kn31046124">Schwächen von Ajax machen Web 2.0
unsicher
Hackerkonferenzen und aktuelle Angriffstrends zeigen: Nicht mehr länger Server und andere
Infrastrukturkomponenten stehen im Fadenkreuz der böswilligen Hacker, sondern die Clients. So
versuchen kriminelle Cyber-Banden derzeit massiv Internet-Surfer mit Spionage-Trojaner oder
Bot-Malware zu verseuchen. Laut dem Xforce-Team von IBM/ISS sind dabei Browser-Plug-ins die Ziele
erster Wahl. In den ersten sechs Monaten diesen Jahres richteten sich rund 78 Prozent der
Internetangriffe auf solche Browser Plug-ins. Die Schwachstellenlandschaft habe sich vom
Betriebssystem über Webbrowser hin zu Browser Plug-ins weiterentwickelt, so Xforce.Auch der der
bösartige Proxyserver "The Middler", der auf der Defcon-Konferenz von Jay Beale präsentiert wurde,
nimmt die Endanwender ins Visier. The Middler funktioniert laut Beale am besten in schwer zu
kontrollierenden Netzwerken, wie sie in Hotels, auf Dabei ist es gleichgültigl, ob die Netze
verdrahtet oder drahtlos sind. The Middler kann den durch ihn fließenden Datenverkehr automatisch
und in Echtzeit verändern und so zum Beispiel Webmail-Sitzungen belauschen oder bösartigen
Javascript-Code in an sich ungefährliche Internetseiten pflanzen.
Das Tool setzt insbesondere auf die Sites, bei denen zwar der Login per SSL verschlüsselt ist,
die nachfolgende Sitzung dann aber wieder unverschlüsselt via HTTP stattfindet. Dies gilt
beispielsweise für Gmail, Livejournal oder Linkedin. In einem solchen Fall fischt das Programm die
Session-Informationen aus dem Datenstrom, so dass der Angreifer sehr leicht gleichzeitig mit dem
eigentlichen User dessen Accounts nutzen kann. The Middler kann in der Folge auch den Logout des
Anwenders verhindern und so noch länger auf dessen Daten zugreifen. Laut Beale ist The Middler
leicht erweiterbar, so dass in Zukunft Plug-Ins für weitere, populäre Sites zu erwarten sind.
Besonders gefährdet sind Anwender in Wireless LANs. So hat Thomas d’Otreppe, Mitentwickler des
wohl bekanntesten WLAN-Cracking-Tools aircrack.ng, ein neues Tool namens airbase-ng programmiert.
Airbase ist eine Art Schweizer Taschenmesser für Hacker, da es nicht nur einen einzelnen Zweck
erfüllt, sondern vielseitig ist. Wobei eines allen Funktionen gemeinsam ist: Es geht ausschließlich
darum, den WLAN-Client anzugreifen.
Airbase-ng fasst verschiedene, bekannte Angriffsvarianten zusammen. So gehört zum Beispiel die
Angriffsvariante "Cafe Latte WEP Attack" (Auslesen der in Windows gespeicherten WEP-Keys per WLAN)
genauso zum Funktionsumfang wie ein ausgewachsener WLAN-Honey-Pot. Airbase simuliert einen Access
Point mit beliebiger SSID (Netzwerkkennung), das heißt, die Software antwortet auf jegliche
Suchanfrage eines WLAN-Clients mit der passenden Antwort.
Ist der Client mit dem vorgegaukelten Access Point verbunden, kann der Angreifer eventuell
vorhandene Laufwerksfreigaben durchsuchen. In einer späteren Version soll Airbase dann auch als Man
in the Middle fungieren und den Datenverkehr des Opfers an einen legitimen Access Point samt
Internetzugang weiterleiten können. Schützen können sich Anwender an sich nur, in dem sie sämtliche
Laufwerksfreigaben unterbinden und ihre Rechner durch lokale Firewalls schützen.
Uli Ries/wj
Lesen Sie mehr zum Thema
