Ist das Internet noch sicher?

Ist das Internet noch sicher?

Ob am Flughafen, in der Schule, im Café, bei der Zugfahrt oder im Hotel – öffentliche WLANs stellen Oasen der Netzanbindung dar und gehören mittlerweile zum Alltag eines jeden Laptop- oder Smartphone-Besitzers. Es stellt sich jedoch die Frage, wie sicher die öffentlichen WLANs tatsächlich sind und wie sich Nutzer vor Gefahren schützen können. Ralf Schmitz zeigt es live in den Vorträgen, wie einfach er in ein Netzwerk einbrechen kann. Die Angst vor Viren, Malware und dem Ausspähen von Daten war groß und bis heute nicht ganz unberechtigt.

Rechner, die sich im selben Netzwerk befinden, kommunizieren gemäß den Vorgaben des Layer 2 des TCP/IP-Protokoll-Stacks. Hacker nutzen das Verfahren aus, um sich in die Kommunikation zwischenzuschalten – die gefürchteten MITM-Angriffe . Einmal angenommen, läuft der gesamte Datenverkehr über diese «Verkehrsumleitung». Durch diesen Trick können sich Hacker in den Datenstrom einklinken und Daten auslesen.

Standard für sichere Kommunikation: TLS

«Seit arpspoof und sslstrip sind über 15 Jahre vergangen. « Es hat sich aber einiges getan», weiß Ralf Schmitz zu berichten. «Darüber hinaus nutzen Websites heute in der Regel HSTS , das den Clients die Verbindung über HTTP verbietet. « Viele Browser verfügen über eine Vorladeliste von HSTS-Sites, was bedeutet, dass der Verbindungsaufbau zu diesen Seiten niemals über HTTP erfolgt.

« Dadurch lassen sich Downgrade-Angriffe von HTTPS auf HTTP verhindern.

Das Problem der Nachahmung von Zertifikaten

509-Standard über ein Zertifikat verfügen, um sich gegenüber einem Web-Browser oder einer Anwendung zu identifizieren. Allerdings stehen die Chancen eher schlecht, dass moderne Web-Browser oder Apps dieses Zertifikat als gültig akzeptieren. Nur technisch sehr versierte Angreifer schaffen es, ihre Zertifikate als vertrauenswürdig einstufen zu lassen. Mit einem Netzwerk-Sniffer wie Wireshark lässt sich einsehen, wie ein Browser die Authentifizierung mit einer betrügerischen Webseite untersagt und eine entsprechende TLS-Warnmeldung ausgibt.

Windows-Angriffsfläche verkleinern

Ein gerissener Angreifer kann diese Dienste missbrauchen und Windows-Betriebssysteme dazu bringen, sich mit einem bösartigen Server zu verbinden. Das bekannte Responder-Tool automatisiert solche Angriffe. Eine weitere Schwachstelle von Windows ist die in Browsern integrierte Proxy-Authentifizierungsfunktion über WPAD . WPAD ist unter Windows standardmäßig aktiviert.

WPAD sendet den NTLMv2-Hash des Benutzerkennworts über das Netzwerk, sobald ein Web-Proxy eine WPAD-Datei bereitstellt. Diese weist den Browser an, sich über NTLM zu authentifizieren. Ein Angreifer kann sich so den NTLMv2-Hash seines Angriffsziels verschaffen und offline knacken. So kann er entweder den Klartext wiederherstellen oder den Hash mit einer «Pass the Hash»-Attacke wiederverwenden.

Bei der automatischen Proxy-Erkennung empfiehlt es sich, in allen installierten Browsern das Hakchen auf «deaktiviert» zu stellen, sofern diese nicht zum Einsatz kommt. Selbst wenn Hacker Log-in-Daten abfangen, verhindern Firewalls in den meisten Fällen ihre Wiederverwendung. VPNs führen oft zu Problemen, zum Beispiel bei der Verbindung mit unternehmenseigenen Portalen.