Insgesamt gibt es drei verschiedene Implementierungen von WPS:

1. Push-Button – dabei wird am Gerät ein Knopf gedrückt, anschließend kann sich der Client durch die Eingabe der PIN verbinden.
2. Internal Registrar – der Admin gibt die PINs des Zielgerätes im Webinterface des Routers/Access Points ein
3. External Registrar – der Router/Access Point lauscht ständig in einem unverschlüsseltem Seitenkanal auf die richtige PIN – wird sie eingegeben, hat der Angreifer Zugriff auf das WLAN

Wie die meisten schon erkannt haben dürften, die anfällige Variante ist Nummer 3. Das nette gefährliche daran ist, dass fast alle Routerhersteller die External Registrar PIN Version verwenden (Ausnahme ist AVM, die haben laut eigener Angaben nur WPS Nummer 1). Die meisten anderen dagegen setzen fröhlich die externe PIN-Methode ein. Ein Hinweis ist beispielsweise, wenn auf der Rückseite ein PIN aufgedruckt ist.

Inzwischen gibt es drei verschiedene Tools, mit denen man die WPS-Lücke selbst austesten kann. Da wäre zum einen WPScrack, ein Proof-of-Concept-Tool von Stefan Viehböck; Reaver, ein Tool von Craig Heffner und Theiver, ein Fork von Reaver.

Ich spiel seit einigen Tagen mit der Sicherheitslücke rum, die Kombination BackTrack-Linux 5 R1, ein Alfa AWUS036H und die Tools hat sich als ziemlich perfekt erwiesen. Natürlich nutze ich für den Test nur eigene Router, wer mit den Tools auf fremde Geräte losgeht, der macht sich definitiv strafbar – nur so als Hinweis. Gottseidank hab ich genügend Geräte hier, mit denen ich das ausprobieren kann. Grundsätzlich dauert es von ein paar Minuten bis hin zu mehreren Stunden, meist finden die Tools aber den passenden Schlüssel.

Ziemlich früh dachte ich, dass es sehr cool wäre, wenn es eine zentrale Liste mit angreifbaren Geräten ziemlich cool wäre. Und, es gab noch keine. What? Sehr cool. Also hab ich flugs ein öffentliches Google Doc erstellt und über die üblichen Wege – Twitter, Hacker News und Reddit, verbreitet. Nach er ersten Troll-Attacke hab ich das Ding dann geschlossen und ein Formular erstellt, über das man neue Geräte einreichen kann. Das läuft inzwischen relativ gut – inzwischen sind 36 Geräte in der Liste. Klar, das reicht noch nicht für eine Studie, es gibt aber schon einen sehr netten Überblick. Besonders schlecht scheint die Implementierung in Geräten von Linksys zu sein – einzelne Nutzer melden, dass der Router sogar noch anfällig ist, wenn die WPS-Funktion im Webinterface abgeschalten wurde – das ist wirklich nachlässig. Wer übrigens eigene Geräte ausprobiert, der kann gerne melden, wie sich sein Router verhält – der Link zum Formular ist im Google Doc.

Wer mehr über die Lücke lernen möchte, dem empfehle ich meinen Artikel auf der PC-Welt, oder die Linksammlung, die im Google Doc mit drinhängt.

Und zum Thema WPS und eigenes Netz sichern: Da hat Peter Lustig vom Löwenzahn die richtige Idee

Virtuelles Testlabor

Realisiert ist alles mit VMware Workstation 8. Die drei virtuellen Maschinen sind alle in einem Team zusammengefasst (ein neues Feature in Workstation 8, es würde auch mit den Gruppen in Workstation 7 klappen). Grundsätzlich sollte sich das aber auch mit Virtualbox und Co realisieren lassen, wichtig ist, dass ihr einen virtuellen Switch habt, der mehrere Netzwerke unterstützt. Aktuell sind es drei VMs: die pfSense-Appliance sowie ein Windows 7 und ein XP SP3.

pfSense ist ein Router/Firewall-System auf FreeBSD-Basis (hey, Linux kann ja jeder ). Ich kann nicht genau sagen, warum ich mich für pfSense und nicht IPCop entschieden habe (vielleicht, weil der Herr Donauer von den Bitblokes immer IPCop nimmt und ich mich von ihm absetzen muss ), aber das Ding bietet für den Anfang (und wahrscheinlich für immer) alle Funktionen, die ich brauche. pfSense hat zwei virtuelle Netzwerkkarten: Eine für den WAN-Zugriff (den Pfeil), eine für das LAN. Die WAN-Ethernetkarte ist gebridged, greift also auf mein “normales” Netzwerk zu und kann mit dem Internet kommunizieren. Die LAN-Karte ist im Host-Only-Modus und einem separaten Netzwerk für das virtuelle LAN. Im Grunde hab ich einfach das gemacht, was ein Router im normalen Netzwerk übernimmt: Das Internet ist in dem Fall mein lokales Netzwerk, pfSense erhält seien IP von meinem eigentlich Router und kann über den Traffic ins “wirkliche” Internet leiten. Das hat den großen Vorteil, dass ich die Konfigurationsseite von pfSensen von meinem Produktivsystem aus erreichen kann – das ist bequemer als wenn ich ständig von einer der virtuellen Maschinen aus zugreifen muss.

pfSense

Die beiden Windows-System wiederum erhalten ihre IP vom DHCP-Server von pfSense – die beiden Systeme kennen nur sich selbst, dass ist quasi wie bei The 13th Floor (ach, hätte Matrix nur auch so geendet, aber ich schweife ab). Beides sind Standard-Windows-Installationen, deren Status natürlich in einem Snapshot gesichert wurde. Zusätzlich hab ich auf beiden ein nettes Tool installiert, den Windows System State Analyzer (WSSA) sowie dem Windows System State Monitor (WSSM). Der WSSA erlaubt es mir, einen Snapshot des Systemzustandes anzulegen und diesen mit einem späteren Snapshot (etwa nach der Installation eins verdächtigen Programmes) zu vergleichen. Dadurch sollte ich relativ schnell sehen, was eine Software an Unfug anstellt (an so spaßige Dinge wie und Co traue ich mich noch nicht ran). Der WSSM zeigt Zugriff im Live-Betrieb an, mal schaun, was mir besser gefällt. Anschließend werden die Systeme zurückgesetzt und alles ist wieder sauber. Beide Tools sind im Paket des Server Logo Program Software Certification Tool enthalten. Aktuell ist das Tool nur auf dem Windows 7 System eingerichtet, auf XP sollte es aber auch gehen.

Oh, eine weiter großartige Sache von pfSense ist die Logging-Funktion. Das System bringt tcpdump mit und kann den kompletten Traffic protokollieren, der über den Router ins Web geht (SSL ausgenommen, aber das kann ich ja später probieren, für den Anfang sollte normaler Traffic reichen) . Die Datei kann ich anschließend runterladen und über WireShark oder CloudShark analysieren. Cool.

Was bringt mir jetzt das Ganze? Zum einen habe ich ein schöne Laborumgebung, mit der ich ein wenig herumspielen kann, ohne dass ich mein Produktivnetz (in dem auch noch ein paar andere Rechner von Mitbewohnern hängen) in Gefahr bringe. Sollte ich wirklich mal einen Virus analysieren wollen, kann ich die Verbreitung mit ein paar Firewall-Regeln (wohl) recht gut in den Griff kriegen. Und ich lerne neue Funktionen kennen und kann neue Dinge ausprobieren (pfSense kann auch massig neue Pakete nachladen, so dass ich das Teil auch in eine Snort-Installation oder einen VPN-Server umbauen kann – was zahlreiche neue Workshops ermöglicht). Dank dem VMware-Setup kann ich auch relativ leicht neue Systeme dazuhängen oder abschalten (etwa, wenn ich mich endlich mal ans Aufsetzen einer Domain wage). Und ich lerne neue Tipps und Tricks kennen.

Update: Und jezt geht auch der Link.

“Die Ermittlungs-Software wird nicht zu einer Beeinträchtigung der auf dem betroffenen Rechner installierten Sicherheitssoftware führen”, heißt es in Schäubles Haus bestimmt. Dritten werde somit ein Eindringen in den betroffenen Rechner durch den Einsatz des Bundestrojaners nicht erleichtert. Außerdem werde sichergestellt, dass die Software “keine eigenen Verbreitungsroutinen und einen wirksamen Schutz gegen Missbrauch durch Dritte beinhaltet”.

Heise

Schäuble und der Bundestrojaner. Wer sich erinnert, der frühere PanikInnenminister Schäuble hatte irgendwann die großartige Idee, dass man doch eine staatliche Malware entwickeln könnte, mit der man die Kommunikation von “Verdächtigen” remote überwachen kann. Das Bundesverfassungsgericht fand die Idee nicht so prickelnd und hat den Einsatz und die Funktionen 2008 kräftig eingeschränkt.

Sprung ins jetzt: Dem Chaos Computer Club wurden scheinbar mehrere Festplatten zugespielt, auf denen der Bundestrojaner installiert war. Nach einer Analyse stellten sie fest: Ja, das Ding funktioniert und es macht deutlich mehr als es soll. Wie jede gute Malware nimmt sie beispielsweise regelmäßig Screenshots vom Bildschirm aus und versucht gleich auch noch, die Verschlüsselung von Skype auszuhebeln. Die Daten landen dann wohl irgendwo auf einem Server in den USA (kann man so überhaupt sicherstellen, dass sie von niemanden manipuliert werden)? Außerdem haben die behördlichen Virenschreiber scheinbar kräftig bei ihren kriminellen Vorbildern abgekupfert. Laut dem CCC-Bericht kann der Bundestrojaner neue Module nachladen, um so etwa auf angeschlossene Webcams zuzugreifen.

Wie immer haben sie aber bei der Sicherheit geschlampt. Die abgefangenen Daten landen werden zwar verschlüsselt übertragen, sie Software selbst ist aber scheinbar so schlampig abgesichert, dass es dem CCC möglich war, die infizierten Rechner von außen zu übernehmen.

Lasst euch das auf der Zunge zergehen: Die Bundesregierung schreibt Malware, die schlechter abgesichert ist als Zeus und Co und bietet anderen Kriminellen so die Möglichkeit, neue Rechner in ihr Botnet aufzunehmen. Steuergelder bei der Arbeit. Vor allem: Was passiert denn, wenn ein so überwachter Computer von außen übernommen wird und anschließend für andere Attacken genutzt wird oder man illegale Inhalte aufspielt?

Auch die Sicherheit des Trojaners selbst ist fraglich. Beim Lawblog-Eintrag dazu fand sich dieses Zitat:

“Wir waren überrascht und vor allem entsetzt, das die Schnüffelsoftware nicht einmal den elementarsten Sicherheitsanforderungen genügt. Es ist für einen beliebigen Angreifer ohne weiteres möglich, die Kontrolle über einen von deutschen Behörden infiltrierten Computer zu übernehmen”, sagt der CCC-Sprecher. “Das Sicherheitsniveau dieses Trojaners ist nicht besser, als würde er auf allen infizierten Rechnern die Passwörter auf ’1234′ setzen.”

Als Artikel dazu empfehle ich den Beitrag der Zeit, schön aufgearbeitet und gut geschrieben. Außerdem hat sich Mikko Hypönnen von F-Secure dazu Gedanken gemacht.

Was mich am meisten enttäuscht ist, das die Sicherheitshersteller keine Signatur der Schäuble-Malware haben (das bessert sich inzwischen leicht), obwohl das in den Pressegesprächen so gegen 2008 von allen versprochen wurde (bösartige Software ist bösartige Software, egal wer sie schreibt – so ungefähre waren die Antworten). Ich geben den Hersteller nun mal einen Vertrauensvorschuss und denke, dass die eher daran liegt, dass relativ wenige Samples eingereicht wurden. Denn trotz allem dürfte die Software weniger häufig eingesetzt worden sein als jede andere Malware. Ich denke nicht, dass es gezielte Abmachungen im Hinterzimmer gegeben hat.

Fazit: Traue keinen Versprechungen der Innenminister, erst recht nicht, wenn die Begriffe “Sicherheit” und “Internet” in einem Absatz vorkommen. Und vielleicht: Wechselt zu Linux oder Mac OS X, dann seid ihr noch ein paar Jährchen sicher.

Ja, das wäre interessant.

Was mir dabei besonders gut gefällt, ist, dass der Nutzer das installierte Windows 7 als Honeypot hernimmt, um mögliche Diebe direkt auszuspionieren. Ich könnte mir gut vorstellen, dort neben einer Software wie Prey gleich noch einen DynDNS-Dienst und einen Keylogger einzurichten. Prey kann ich übrigens nur wärmstens empfehlen. Die Lösung ist Open Source und installiert einen unsichtbaren Deamon im Hintergrund, der sich mit dem Online-Dienst verbindet, wenn Zugriff aufs Web möglich ist. Verschwindet das Notebook, kann man via Prey die Webcam aktivieren, wichtige Daten löschen oder eine Ortung des Gerätes versuchen. Sehr cool.

Wer allerdings eine Windows-Only-Umgebung hat, der muss wohl ein wenig trickreicher werden. Mein Thinkpad zum Beispiel bootet nicht direkt in den User-Mode, ein Passwort/Fingerscan verhindert das. Allerdings sollte es relativ einfach sein, einen Account aufzusetzen, in dem man sich ohne Passwort anmelden kann (etwa Gast oder Mum), damit der jeweilige Dieb seine Internetverbindung aufbauen und Prey ans Werk gehen kann.

Als kleinen Bonus noch das Video von der Defcon 18 mit dem Titel “Pwned by Owner”. Der ein oder andere kennt das wahrscheinlich schon, aber das passt wunderbar.

Sichert ihr eigentlich eure Systeme irgendwie ab? Oder hofft ihr, dass nichts passiert?

via /r/netsec

Bei den Hoaxes wie

Bitte tut mir einen riesen Gefallen… geht mit dem Cursor bitte auf meinen Namen (nicht klicken!), dann wartet bis der Kasten erscheint (mit meinem Namen und Bild drin). dann geht mit dem Cursor auf den “abonniert” Button und wartet auf das Drop-down-Menü, dann macht bitte den Haken weg bei Kommentare und “gefällt mir”.

muss man aber normalerweise länger erklären, warum das alles Schwachsinn ist und wie man die Privatsphäre richtig einrichtet.

Ich habe dabei extrem gute Erfahrungen mit dem Blog Mimikama.at gemacht. Die Macher sind richtig schnell, wenn es darum geht, auf neue Kettenbriefe und Viren zu reagieren. Dort werden nicht nur die Hoaxes erklärt, es gibt auch schön bebilderte Infos, wie man Gruppen nutzt, die Privatsphäre einstellt usw usf.

Die Seite ist inzwischen fester Bestandteil meiner Linkvorschläge für technisch weniger versierte Nutzer. Und praktischerweise gibt es auch noch ein Profil – einmal auf Like geklickt und die neuen Infos tauchen automatisch in der Zeitleiste auf.

Dahinter steckt folgende Idee: Facebook macht Deals mit Diensten wie Netflix und diese können anschließend Status-Updates direkt in die Timeline des Nutzers einfließen lassen, ohne dass dieser selbst den Eintrag vornimmt. Also sowas wie “Moritz Jaeger sieht sich gerade “Equillibrium” an”.

Das Problem dabei ist aber scheinbar, dass Facebook auch dann weiter fleißig Daten sammelt, wenn man als Nutzer selbst vom Dienst abgemeldet ist. Das zumindest hat Nik Cubrilovic herausgefunden. In seinem Blog gibt es genauere Details zu dem Problem. Laut ihm ist die einzig praktikable Lösung, dass der Nutzer alle Cookies löscht,die Facebook auf seinem Rechner setzt.

Genau solche Dinge sind es, die Internet-Laien-Versteher wie Frau Aigner auf den Plan rufen, welche dann sofort wieder irgendwelche halbgaren Argumente in die Talkshows krähen. Allerdings hilft sich Facebook damit auch nicht wirklich.

Mit dabei ist auch der Talk “Pwnd by the owner: What happens when you steal a hackers computer”. Schaut ihn euch unbedingt an, der Talk ist einfach zum brüllen: