WLAN-Einbrüche in Vodafones EasyBox-Router so einfach wie nie

Nachtrag 05.08.2013: Da es erneut ein sehr ähnliches Problem mit den Easybox-Routern von Vodafone gibt, werden sicher wieder einige Leser über Google auf diesen Eintrag stoßen. Daher sei kurz darauf hingeweiesen, dass ich ihn bereits anlässlich der letzten schweren Sicherheitslücke im März 2012 geschrieben habe. Unerfreulicherweise hat er in der Zwischenzeit so gut wie nichts an Aussage eingebüßt. Neu ist, dass diesmal nicht das voreingestellte WLAN-Passwort aus der MAC berechnet wird, sondern die (kurze) PIN für die skandalöserweise standardmäßig aktivierte WPS-PIN-Authentifizierung. Unfassbar. Nicht nur, dass das damalige Problem nicht ausreichend behoben wurde, jetzt stellt sich auch noch heraus, dass es das gleiche Problem gleich an zwei Stellen gibt. Nur dass sich diesmal, laut dem oben verlinkten Artikel auf golem.de, mit Kenntnis der WPS-PIN auch gleich der Router umkonfigurieren lässt. Unfassbar. Insgesamt ist das aber auch nicht schlimmer als das alte Problem, denn ich wage zu behaupten, dass die meisten Leute auch das Standard-Konfigurationspasswort des Routers nicht geändert haben, das Problem also letztlich aufs Gleiche hinausläuft: Voller bösartiger Zugriff auf das eigene Netzwerk. Dass #Vodafone einem diese Router auch noch zwangsweise vorschreibt, macht die Sachlage auch nicht hübscher. Oh je oh je. Passend dazu dieser kurzweilige Vortrag von der SIGINT13, da geht es um Home-Router allgemein, aber der Blanke Horror ist offenbar überall, mit der Betonung auf offen. Aber jetzt viel Spaß mit dem ursprünglichen und nicht weiter aktualisierten Artikel:

---

Ich kann es immer noch nicht glauben: Arcadyan, der Hersteller der #EasyBox-Router u.a. von Vodafone berechnet die voreingestellten (und auf dem Gerät abgedruckten) WLAN-Schlüssel direkt aus der MAC-Adresse der Geräte (siehe auch http://heise.de/-1473896). Das ist in etwa so, als würde man Codeschlösser verkaufen, deren voreingestellter Code sich mit einem simplen Verfahren aus der Hausnummer berechnen ließe. Diese Scheiße haben sie sich auch noch patentieren lassen, unfassbar, aber immerhin ein Grund für andere, das nicht nachzubauen. Ergebnis: Wer dieses voreingestellte Passwort nicht geändert hat, kann ungebetene Gäste bekommen.

Die MAC-Adresse einer WLAN-Basisstation lässt sich mit sehr geringem Aufwand ermitteln und mit einfachen Tools daraus der WLAN-Schlüssel berechnen. Das geht so leicht, das jedes 10-jährige Kind das hinbekommt. Ich habe das fantastische Programm inSSIDer benutzt, das ich sonst zum herausfinden eines möglichst unbelasteten Funkkanals benutze. Die MAC-Adresse der betroffenen Router, deren Funknetznamen praktischerweise auch noch alle mit EasyBox- beginnen, steht in der ersten Spalte. Diese MAC-Adresse füttert man in eins der oben erwähnten Tools und bekommt sofort den Standardschlüssel ausgespuckt (wenn es die Tools nicht mehr gibt, kann man in die Patentschrift schauen und sich selber sowas basteln). Nun kann man sich einfach mit dem jeweiligen WLAN verbinden und sich dort umsehen. Von meinem Schreibtisch aus kann ich sechs solcher Funknetze sehen, insgesamt waren es 36. Heftig, wie verbreitet diese Boxen sind. Die meisten davon werden im Auslieferungszustand belassen worden sein, sonst hätte man auch gleich den blöden Funknetznamen mitgeändert.

Wenn das WLAN mit dem Standardpasswort läuft, ist anzunehmen, dass auch der #Router selbst mit seinem Standardpasswort betrieben wird, das sich im Netz leicht finden lässt. Dort könnte man alle Einstellungen tätigen und einigen Unfug anstellen. Falls jemandem die Tragweite hier nicht bewusst ist: Ein Angreifer hat in dem Moment vollen Zugriff auf das Netzwerk, könnte auf alle nicht extra gesicherten Freigaben zugreifen, irgendwelche Sicherheitslücken ausnutzen oder den DNS-Server des Routers auf einen von ihm kontrollierten umstellen. Wenn sich jemand Zugriff auf das eigene Netzwerk und auch noch die Router-Konfiguration verschafft, hat er einen normalerweise weitgehend in der Hand. Das ist der GAU. Vor allem, da anzunehmen ist, dass da auch sonst keine weiteren Sicherheitsmaßnahmen ergriffen wurden, wenn schon der Router im Auslieferungszustand läuft.

Also was tun? In erster Linie schon mal nichts verändern, das ist klar. Computersabotage und so. Aber wie findet man heraus, wem dieses Funknetz gehört, um denjenigen zu warnen? Mit etwas Glück findet man einen Netzwerkdrucker und kann den Druckertreiber zu installieren und eine Warnung auszudrucken. Aber anonyme Briefe sind doof und seinen Namen möchte man auch nicht gerade hinterlassen. Wer weiß, wie "dankbar" sich derjenige zeigt. Man sieht schon, dass man das ganze besser bleiben lässt, denn spätestens jetzt steckt man in einem klassischen Hackerethik-Dilemma. Man könnte auch das Funknetz umbenennen, aber weniger kundige Benutzer werden dann nur bemerken, dass sie sich nicht mehr verbinden können, aber nicht, warum. Selbst wenn man sowas wie aenderdeinwlanpasswort nehmen würde, würde das derjenige ja nicht mehr als sein Funknetz erkennen und im Zweifel einfach das Gerät nach Anleitung zurücksetzen und das Spiel geht von vorne los. Außerdem möchte man ja nichts verändern und damit in die Integrität anderer Leute Computeranlagen eingreifen, man bewegt sich ja so schon am Rande der Legalität.

Grundsätzlich geht es einen nichts an, wie sicher oder unsicher Leute ihre Funknetze betreiben. Aber trotzdem könnte ich nicht einfach daran vorbeigehen und die Augen verschließen, wenn ich nun schon mal Kenntnis erlangt hätte. Was das angeht fühle ich mich wie ein Arzt, der auch nicht einfach einen Verletzten auf der Straße liegen lassen kann, nur weil der sich vielleicht als undankbar herausstellen und irgendwelchen Ärger machen könnte. Die "Verletzten" hier bekommen von ihrem Provider eine fertig eingerichtete Box und schließen die lediglich an. Da das ganze funktioniert, werden sie wahrscheinlich nie mitbekommen, dass jedermann im Vorbeigehen in ihr internes Netzwerk hinein kann. Und wenn dann auch noch womöglich sensible (Kunden-)Daten auf ungeschützten Netzwerkfreigaben liegen, wird es ganz düster. Das könnte ich nicht ungewarnt lassen, wenn ich Kenntnis davon erlangt und die Möglichkeit hätte, eine Warnung zu platzieren.

Ich sehe hier aber vor allem Vodafone in der Pflicht: Eigentlich müssten die alle ihre Kunden, an die sie eine EasyBox ausgeliefert haben, schleunigst anschreiben und eindringlich vor dieser heftigen Sicherheitslücke warnen. Verantwortungsvolle Provider würden das tun, trotz des möglicherweise immensen Imageschadens. Und wenn nicht? Das muss in die Tagespresse, in die Tagesschau gar. Vodafone-Kunden (und wer möglicherweise sonst noch betroffen ist) müssen gewarnt werden, die Sache muss angemessen skandalisiert werden. Wir müssen weg von der standardmäßigen Vertuschung und im Sande verlaufen lassen solch gravierender Sicherheitsmängel. Leute haben ein Anrecht auf sichere IT-Systeme, ganz besonders muss ein fertig konfigurierter Router sicher sein, denn der Router ist die wichtigste Sicherheitseinrichtung für Netzwerke, die ans Internet angeschlossen sind.

Also liebe Leute: Wenn ihr sowas wie #Hackerethik verspürt, fangt gar nicht an, die Schwere der #Sicherheitslücke an anderer Leute EasyBoxen zu überprüfen. Man bringt sich damit nur in ein moralisches Dilemma. Ich hatte die Möglichkeit, das Verfahren an einer EasyBox auszuprobieren und kann bestätigen, dass es wirklich so leicht funktioniert. Ich wiederhole mich: Heftig!