WLAN-Einbrüche in Vodafones EasyBox-Router so einfach wie nie

17 03 2012

Nachtrag 05.08.2013: Da es erneut ein sehr ähnliches Problem mit den Easybox-Routern von Vodafone gibt, werden sicher wieder einige Leser über Google auf diesen Eintrag stoßen. Daher sei kurz darauf hingeweiesen, dass ich ihn bereits anlässlich der letzten schweren Sicherheitslücke im März 2012 geschrieben habe. Unerfreulicherweise hat er in der Zwischenzeit so gut wie nichts an Aussage eingebüßt. Neu ist, dass diesmal nicht das voreingestellte WLAN-Passwort aus der MAC berechnet wird, sondern die (kurze) PIN für die skandalöserweise standardmäßig aktivierte WPS-PIN-Authentifizierung. Unfassbar. Nicht nur, dass das damalige Problem nicht ausreichend behoben wurde, jetzt stellt sich auch noch heraus, dass es das gleiche Problem gleich an zwei Stellen gibt. Nur dass sich diesmal, laut dem oben verlinkten Artikel auf golem.de, mit Kenntnis der WPS-PIN auch gleich der Router umkonfigurieren lässt. Unfassbar. Insgesamt ist das aber auch nicht schlimmer als das alte Problem, denn ich wage zu behaupten, dass die meisten Leute auch das Standard-Konfigurationspasswort des Routers nicht geändert haben, das Problem also letztlich aufs Gleiche hinausläuft: Voller bösartiger Zugriff auf das eigene Netzwerk. Dass Vodafone einem diese Router auch noch zwangsweise vorschreibt, macht die Sachlage auch nicht hübscher. Oh je oh je. Passend dazu dieser kurzweilige Vortrag von der SIGINT13, da geht es um Home-Router allgemein, aber der Blanke Horror ist offenbar überall, mit der Betonung auf offen. Aber jetzt viel Spaß mit dem ursprünglichen und nicht weiter aktualisierten Artikel:


Ich kann es immer noch nicht glauben: Arcadyan, der Hersteller der EasyBox-Router u.a. von Vodafone berechnet die voreingestellten (und auf dem Gerät abgedruckten) WLAN-Schlüssel direkt aus der MAC-Adresse der Geräte (siehe auch http://heise.de/-1473896). Das ist in etwa so, als würde man Codeschlösser verkaufen, deren voreingestellter Code sich mit einem simplen Verfahren aus der Hausnummer berechnen ließe. Diese Scheiße haben sie sich auch noch patentieren lassen, unfassbar, aber immerhin ein Grund für andere, das nicht nachzubauen. Ergebnis: Wer dieses voreingestellte Passwort nicht geändert hat, kann ungebetene Gäste bekommen.

Die MAC-Adresse einer WLAN-Basisstation lässt sich mit sehr geringem Aufwand ermitteln und mit einfachen Tools daraus der WLAN-Schlüssel berechnen. Das geht so leicht, das jedes 10-jährige Kind das hinbekommt. Ich habe das fantastische Programm inSSIDer benutzt, das ich sonst zum herausfinden eines möglichst unbelasteten Funkkanals benutze. Die MAC-Adresse der betroffenen Router, deren Funknetznamen praktischerweise auch noch alle mit EasyBox- beginnen, steht in der ersten Spalte. Diese MAC-Adresse füttert man in eins der oben erwähnten Tools und bekommt sofort den Standardschlüssel ausgespuckt (wenn es die Tools nicht mehr gibt, kann man in die Patentschrift schauen und sich selber sowas basteln). Nun kann man sich einfach mit dem jeweiligen WLAN verbinden und sich dort umsehen. Von meinem Schreibtisch aus kann ich sechs solcher Funknetze sehen, insgesamt waren es 36. Heftig, wie verbreitet diese Boxen sind. Die meisten davon werden im Auslieferungszustand belassen worden sein, sonst hätte man auch gleich den blöden Funknetznamen mitgeändert.

Wenn das WLAN mit dem Standardpasswort läuft, ist anzunehmen, dass auch der Router selbst mit seinem Standardpasswort betrieben wird, das sich im Netz leicht finden lässt. Dort könnte man alle Einstellungen tätigen und einigen Unfug anstellen. Falls jemandem die Tragweite hier nicht bewusst ist: Ein Angreifer hat in dem Moment vollen Zugriff auf das Netzwerk, könnte auf alle nicht extra gesicherten Freigaben zugreifen, irgendwelche Sicherheitslücken ausnutzen oder den DNS-Server des Routers auf einen von ihm kontrollierten umstellen. Wenn sich jemand Zugriff auf das eigene Netzwerk und auch noch die Router-Konfiguration verschafft, hat er einen normalerweise weitgehend in der Hand. Das ist der GAU. Vor allem, da anzunehmen ist, dass da auch sonst keine weiteren Sicherheitsmaßnahmen ergriffen wurden, wenn schon der Router im Auslieferungszustand läuft.

Also was tun? In erster Linie schon mal nichts verändern, das ist klar. Computersabotage und so. Aber wie findet man heraus, wem dieses Funknetz gehört, um denjenigen zu warnen? Mit etwas Glück findet man einen Netzwerkdrucker und kann den Druckertreiber zu installieren und eine Warnung auszudrucken. Aber anonyme Briefe sind doof und seinen Namen möchte man auch nicht gerade hinterlassen. Wer weiß, wie "dankbar" sich derjenige zeigt. Man sieht schon, dass man das ganze besser bleiben lässt, denn spätestens jetzt steckt man in einem klassischen Hackerethik-Dilemma. Man könnte auch das Funknetz umbenennen, aber weniger kundige Benutzer werden dann nur bemerken, dass sie sich nicht mehr verbinden können, aber nicht, warum. Selbst wenn man sowas wie aenderdeinwlanpasswort nehmen würde, würde das derjenige ja nicht mehr als sein Funknetz erkennen und im Zweifel einfach das Gerät nach Anleitung zurücksetzen und das Spiel geht von vorne los. Außerdem möchte man ja nichts verändern und damit in die Integrität anderer Leute Computeranlagen eingreifen, man bewegt sich ja so schon am Rande der Legalität.

Grundsätzlich geht es einen nichts an, wie sicher oder unsicher Leute ihre Funknetze betreiben. Aber trotzdem könnte ich nicht einfach daran vorbeigehen und die Augen verschließen, wenn ich nun schon mal Kenntnis erlangt hätte. Was das angeht fühle ich mich wie ein Arzt, der auch nicht einfach einen Verletzten auf der Straße liegen lassen kann, nur weil der sich vielleicht als undankbar herausstellen und irgendwelchen Ärger machen könnte. Die "Verletzten" hier bekommen von ihrem Provider eine fertig eingerichtete Box und schließen die lediglich an. Da das ganze funktioniert, werden sie wahrscheinlich nie mitbekommen, dass jedermann im Vorbeigehen in ihr internes Netzwerk hinein kann. Und wenn dann auch noch womöglich sensible (Kunden-)Daten auf ungeschützten Netzwerkfreigaben liegen, wird es ganz düster. Das könnte ich nicht ungewarnt lassen, wenn ich Kenntnis davon erlangt und die Möglichkeit hätte, eine Warnung zu platzieren.

Ich sehe hier aber vor allem Vodafone in der Pflicht: Eigentlich müssten die alle ihre Kunden, an die sie eine EasyBox ausgeliefert haben, schleunigst anschreiben und eindringlich vor dieser heftigen Sicherheitslücke warnen. Verantwortungsvolle Provider würden das tun, trotz des möglicherweise immensen Imageschadens. Und wenn nicht? Das muss in die Tagespresse, in die Tagesschau gar. Vodafone-Kunden (und wer möglicherweise sonst noch betroffen ist) müssen gewarnt werden, die Sache muss angemessen skandalisiert werden. Wir müssen weg von der standardmäßigen Vertuschung und im Sande verlaufen lassen solch gravierender Sicherheitsmängel. Leute haben ein Anrecht auf sichere IT-Systeme, ganz besonders muss ein fertig konfigurierter Router sicher sein, denn der Router ist die wichtigste Sicherheitseinrichtung für Netzwerke, die ans Internet angeschlossen sind.

Also liebe Leute: Wenn ihr sowas wie Hackerethik verspürt, fangt gar nicht an, die Schwere der Sicherheitslücke an anderer Leute EasyBoxen zu überprüfen. Man bringt sich damit nur in ein moralisches Dilemma. Ich hatte die Möglichkeit, das Verfahren an einer EasyBox auszuprobieren und kann bestätigen, dass es wirklich so leicht funktioniert. Ich wiederhole mich: Heftig!



Trackbacks


Keine Trackbacks

Kommentare

Ansicht der Kommentare: (Linear | Verschachtelt)
17 03 2012
#1 Alex
Hallo Gregor,

nunja - Vodafone ist sich dessen wohl bewusst - auf der Box, auf dem Aufkleber und in der Einstellungssoftware steht deutlich ein Hinweis, dass man das Wlan-Passwort sofort nach der Inbetriebnahme ändern soll.

Wer das nicht liest und wissentlich ignoriert ist auch ein bisschen selber schuld. :-)
18 03 2012
#1.1 Gregor Nathanael Meyer
Man ist immer selbst schuld, wenn man sowas sicherheitskritisches wie einen Router ohne Sachverstand aufstellt und im Auslieferungszustand belässt. Damit kann man sich vor Privatkunden aber nicht rausreden. Vor allem nicht, wenn da ein offenbar individuelles und vernünftig aussehendes Passwort voreingestellt ist. Wie die Realität zeigt, ändert das mehr oder weniger niemand. Halbsicherheit per Default ist manchmal gefährlicher als gar keine Sicherheit.

Aber stimmt schon: Wer aufdringliche Warnungen ignoriert, braucht sich nicht wundern, wen eintritt, wovor die Warnungen warnen.
19 03 2012
#2 Roman
Dabei wäre die Generierung eines sicheren Default-Passwortes banal gewesen. Einfach mal die Seriennummer dazu genommen (und zum salten verwendet) und schon reichen über Funk abfangbare Daten nicht aus.

Warum jetzt der Zirkus los geht, kann ich nicht nachvollziehen. Es ist seit Jahren bekannt, dass Vodafone durch ein internes Tool die Default-Passwörter ermitteln kann. Das sollte stutzig machen.
19 03 2012
#2.1 Gregor Nathanael Meyer
Leider hängen in dem Fall die Seriennummern mit den Mac-Adressen zusammen. Das scheint hier auch das Problem zu sein: Die nehmen die Seriennummer, hatten aber scheinbar nicht auf dem Schirm, dass die sich (zumindest ausreichend) aus der MAC-Adresse berechnen lässt.

Dass der Anbieter die Default-Passwörter ermitteln kann, macht mich nur so halb stutzig: Vielleicht haben die ja eine Datenbank oder ein anderes Verfahren, immerhin arbeiten die eng mit dem Hersteller zusammen. Dass das jetzt jeder 6-Jährige berechnen kann ist neu und der eigentliche Skandal.

Jedenfalls mal wieder ein Grund mehr, ein individuelles Passwort zu vergeben.
20 03 2012
#3 Roman
Wenn der Anbieter das Passwort meines Gerätes kennt, dann kennt ihn potentiell auch mein Nachbar, weswegen ich unverzüglich das Passwort ändern sollte.
20 03 2012
#3.1 Robert
Wem erklärst Du das hier? Dem Typen, der schreibt, dass er voreingestellte Standardpasswörter grundsätzlich gegen individuelle Passwörter tauscht oder dem Typen, der schreibt, dass man voreingestellte Standardpasswörter grundsätzlich gegen individuelle Passwörter tauschen sollte?

Relevante Informationen hier einfügen…
21 03 2012
#4 Roman
Grundsätzlich jedem der meint sich darüber aufregen zu müssen, dass Standardpasswörter Dritten bekannt sind.
21 03 2012
#4.1 Gregor Nathanael Meyer
Ich lass das mal einfach so unkommentiert stehen.
05 08 2012
#5 Boris
Ich hab ein Video zu dem Thema gefunden: http://youtu.be/ck0y8EdNSII

Die Kommentarfunktion wurde vom Besitzer dieses Blogs in diesem Eintrag deaktiviert.