Deutsche Bahn: Free WLAN = Free Data

Begrüßung des WIFIonICE Netzwerkes – kein direkter Hinweis darauf, dass es ein offenes Netz ist

Auf Zugfahrten nutze ich die Zeit gerne um abzuschalten: Sei es, indem ich aus dem Fenster schaue und mich durch die unbekannten Landschaften inspirieren lasse, sei es, indem ich Musik höre und dabei ein gutes Buch lese.

Doch für viele Berufstätige ist die Fahrt im ICE mittlerweile eine Verlängerung des Arbeitsplatzes. Entsprechend enthusiastisch wurde Ende 2016 reagiert, als die Deutsche Bahn angekündigt hatte ihre ICE Flotte mit neuer, leistungsstarker WLAN Technik der schwedischen Firma Icomera aufzurüsten und zwar auch für die 2. Klasse.

Doch schnell kamen Zweifel auf in Sachen Sicherheit und der Nutzung des WLANs in den ICE Zügen. Wie der Chaos Computer Club Mitte 2017 berichtete (LINK) war die Schnittstelle des Herstellers Icomera mehr als schlecht programmiert und ermöglichte das einfache Datenauslesen. Angeblich wurde das Problem gepatcht, doch der CCC konnte nur eine „Verschlimmbesserung“ feststellen. Jedoch gibt es ein weiteres, gravierendes Problem. Ich werde im Folgenden darauf eingehen, theoretische Angriffsmöglichkeiten erläutern und Lösungsvorschläge präsentieren.

Ausgangslage:

Das Hauptproblem beim WLAN des ICE ist, dass es komplett unverschlüsselt ist. Wenn man sich beim WIFIonICE einloggt und dann auf die Webpage der Bahn weitergeleitet wird, wird man zwar darüber informiert, dass man das Datenvolumen mit anderen MitfahrerInnen teilt, aber nicht, dass es ein unverschlüsseltes Netzwerk ist und somit jeder „mitlesen“ kann. Wobei die Deutsche Bahn in einer Presseanfrage mitgeteilt hat: „Beim WLAN Angebot im ICE handelt es sich um ein öffentliches WLAN-Netz, wie man es zum Beispiel von WLAN-Angeboten in Hotels kennt. (…). Darauf wird auch noch einmal in den Nutzungsbedingungen unseres Partners Icomera hingewiesen, die der Kunde vor dem Nutzen des Internetzugangs akzeptieren muss. Entsprechend obliegt es dem Kunden. wie in jedem öffentlichen WLAN-Netz seine Endgeräte ausreichend vor Datenzugriffen Dritter zu sichern.“

Warnung meiner Firewall

Theoretische Angriffsmöglichkeiten:

Vorneweg sei darauf hingewiesen, dass diese theoretischen Angriffsmöglichkeiten generell bei öffentlichen Netzwerken möglich sind. Die Deutsche Bahn hat klar gestellt, dass sie zusätzliche Sicherheitsmaßnahmen verwendet, doch deren adäquate Implementierung sowie vermeintlich zusätzlicher Schutz sind in Frage zu stellen (siehe weiter unten).

Da wir uns in einem öffentlichen Netz bewegen, in welchem die Daten von den Rechnern oder Mobilgeräten zu dem Router und damit zu den Servern nicht verschlüsselt sind, ist eine der einfachsten Möglichkeiten Informationen zu erhalten einen so genannten Packetsniffer wie WireShark oder Network Miner zu verwenden. Mit diesen Programmen kann man den Datenverkehr eines Netzwerkes überwachen. Neben dem eingehenden und ausgehenden Datenverkehr, welcher sich durch die entsprechenden verwendeten Protokolle analysieren lässt, können darüber hinaus auch Informationen wie der Name des Computers/Mobilgerätes, dessen MAC Adresse (eine statische, fest vergebene „Identitätsnummer“ des Gerätes) und weitergehende Informationen wie das Betriebssystem des Gerätes ausgelesen werden. Mit diesen Daten könnte ein krimineller Hacker schon einiges anfangen, zum Beispiel sich an dem Betriebssystem orientieren und nach bekannten exploits suchen um unbefugten Eintritt zu erlangen.

Ein Packetsniffer bei der Arbeit – das ICE Netz ist nicht so sicher wie es vorgibt zu sein

Gravierender ist aber, dass man mit Hilfe eines Packetsniffers auch Login-Daten sowie Passwörter auslesen oder ein „session  hijacking“ durchführen kann. Bei dem ersten Angriff wird die Schwachstelle von http Verbindungen ausgenutzt – welche Login Daten unverschlüsselt über das Netz versenden. Man muss dafür nur nach http Protokollen mit dem Zusatz „Post“ suchen um entsprechende Daten auszufiltern. Session hijacking geht auf ähnliche Weise vor: Wann immer man sich online in einen Dienst einloggt, legt der Browser einen so genannten cookie an – in diesem cookie (sehr simplifiziert dargestellt) sind die Daten der aktuellen Session des Dienstes abgespeichert um eine einfachere Benutzung zu ermöglichen. Mit Hilfe eines Programms wie WireShark und dem Filter-Befehl „http.cookie (+ weitere Filter Kategorien]“ kann man nach, in dem Hypertext Transfer Protocol verschickten, cookies suchen. Mit zusätzlichen Firefox Addons wie Greasemonkey und scripts wie cookie injector kann man dann die entsprechende Seite aufrufen, welche der Angegriffene besucht hat und mit dem gestohlenen cookie sich direkt in den benutzten Dienst einloggen.

Diese Fälle gehen natürlich davon aus, dass der Angegriffene unsichere Verbindungen via http verwendet. Viele Dienste, wie Online Banking, Facebook etc verwenden heutzutage das sichere, da verschlüsselte, Protokoll https. Doch auch dessen Benutzung macht den Benutzer des offenen WLAN Netzes der Deutschen Bahn nicht unangreifbar.

Es gibt nämlich diverse Angriffspunkte, welche über ein offenes Netzwerk durchgeführt werden können. Neben VNC bzw. SSH (bei Unix basierten Systemen) intrusion attacks kann man mit einem tool wie nmap nach Protokollen auf einem Rechner suchen, welche der Benutzer „offen gelassen“ hat. Oft haben solche Protokolle und die damit verwendeten Ports exploits, welche nicht gepatcht wurden und damit eröffnet sich einem Angreifer der Weg in einen Rechner. Mit Hilfe des Metasploits Frameworks lassen sich, nach dem scan mit nmap, diese offenen Lücken ausnutzen um direkte Angriffe durchzuführen um Zugang zu dem Rechner zu erhalten. Neben dem Kopieren von Daten können dann z.B. Keylogger installiert werden, welche besonders dann gefährlich sind, wenn es sich um Businessrechner handelt (was bei einer Fahrt mit dem ICE oft der Fall ist). Denn mit Hilfe des Keyloggers können alle Passwörter, Logindaten usw. vom angegriffenen Rechner abgegriffen werden.

Aber auch so genannte Man-in-the-Middle attacks sind in einem offenen Netzwerk möglich – bei diesen Angriffen können selbst die vermeintlich sicheren https Verbindungen „gekapert“ und dann alle Daten mitgelesen, manipuliert oder gespeichert werden. Man-in-the-Middle attacks sind aufwendiger, aber selbst „Hacker-Amateure“ können mit genug krimineller Energie, dank vorhandener Programme und Frameworks, solche Angriffe durchführen. Somit ist selbst bei https Verbindungen in einem offenen Netzwerk Vorsicht geboten.

Die Deutsche Bahn wendet aber in der beantworteten Presseanfrage ein: „Unser WLAN System verfügt über Sicherheitstechnologien (bspw. die sogenannte Client Isolation, die den Datenzugriff zwischen Geräten im WLAN unterbindet), die die Datenübertragung deutlich sicherer machen als in WLAN-Netzen, die in Cafés oder anderen öffentlichen Bereichen zu finden sind.“

So etwas sollte bei einer Client Isolation nicht möglich sein

Hier ergibt sich aber folgende Fragestellung: Eine adäquat und modern eingerichtete Client Isolation soll dazu führen, dass jeder Benutzer sich in einem „virtuellen, eigenem Netz“ (vereinfacht dargestellt) befindet und nur mit dem Wireless Access Point kommuniziert. Dadurch sollte keine Kommunikation zwischen den einzelnen Benutzern möglich sein. Auch sollte unterbunden werden, dass man den Datenverkehr eines anderen Nutzers „mitlesen“ kann, da jeder Benutzer einen individuellen unicast Schlüssel verwendet. Wie oben ausgeführt ist es aber möglich beim WLAN Angebot der Deutschen Bahn mit einem Packetsniffer den Datenverkehr mitzulesen und damit sensible Daten „abzugreifen“. Gravierender ist, dass bei einem Test mit zwei eigenen Geräten es sehr wohl möglich war auch Daten, z.B. Cookies, abzufangen. Auch konnte ohne Probleme das zweite Gerät angepingt werden, was eigentlich bei der Client Isolation nicht möglich sein sollte.

Aber Client Isolation ist selber kein adäquater Schutz: So gibt es die Möglichkeit mit bestimmten Tools und entsprechenden Kenntnissen die Client Isolation auszuhebeln. So können durch ARP (Address Resolution Protocol) poisoning oder traffic injection durchaus der vermeintliche Schutz umgangen werden. Gravierender ist, dass mit Hilfe des GTK  (Gruppenschlüssel) malware injection, DDoS Angriffe usw. weiterhin möglich sind. Dies ist möglich, da der ARP Datenverkehr noch immer als Broadcast via GTK verschickt wird, damit der DHCP die Verbindung mit den Benutzern aufrecht erhalten kann.

Schutzmaßnahmen:

Am einfachsten wäre es, wenn Reisende im ICE das Netzwerk am besten gar nicht benutzen und die Zeit nutzen um sich zu entspannen, ein Buch zu lesen oder einfach sich mit den Nachbarn zu unterhalten. Dies ist in unserer über-digitalisierten Zeit aber oft nicht möglich. Daher empfiehlt es sich nur einen Rechner zu benutzen, welcher „abgehärtet“ wurde. Das heißt, dass eine adäquate Firewall installiert sein sollte, welche alle (offenen) Ports überwacht und bei jedem Angriffsversuch auf den Rechner sofort Alarm schlägt. Dafür sollte man sich aber mit der generellen Funktionsweise einer Firewall auskennen sowie, falls vorhanden, den „Paranoia Modus“ der Firewall einstellen um jedweden Verkehr und Verbindungen zu überwachen und Freigaben für jede Verbindung einzeln zu Bestätigen. Dies mag die Arbeit am Rechner etwas „aufwendiger“ machen, erhöht aber die Sicherheit enorm.

Warnhinweis und Schutzmöglichkeiten, hier im Beispiel durch meine Firewall

Dann sollte man nur Verbindungen mit Webseiten aufbauen, welche das https Protokoll verwenden. Https Seiten sind durch ein kleines grünes Schloss (oder ein ähnliches Symbol, je nach Browser) neben der Adresszeile der webpage gekennzeichnet. Alle anderen, offenen, Verbindungen sollten vermieden werden.

Noch besser wäre es (und ein Muss bei der Verbindung zu einem Firmennetzwerk) einen VPN mit Full Tunneling zu verwenden. Es gibt viele Lösungsmöglichkeiten und Angebote für VPN Dienste und größere Firmen sollten ihren Mitarbeitern immer einen VPN Dienst ermöglichen.

Und zu guter Letzt, was nicht oft genug erwähnt werden kann, sollte man seinen Rechner, das Betriebssystem, die vorhandenen Programme und Firmenware IMMER auf den aktuellsten Stand halten was Updates und Patches betrifft. Am besten, wenn man sich die manuelle Arbeit nicht machen will, sollte man dem Betriebssystem und Programmen denen man vertraut die „Auto-Update“ Funktion erlauben.

Forderungen an die Deutsche Bahn:

Sicherer wäre es aber, wenn die Deutsche Bahn ihren WLAN Dienst so bald wie möglich „härtet“. An vielen Flughäfen ist es z.B. mittlerweile Praxis, dass man sich einmal registrieren muss, bevor man das kostenlose WLAN benutzen kann. Durch diese Registrierung wird dann im Anschluss es ermöglicht ein WLAN Verschlüsselungsprotokoll zu implementieren, da jeder Benutzer einzeln sich „verifizieren“ und „einloggen“ muss. So könnte die Bahn einen WPA2 Sicherheitsstandard mit dem CCMP (oder AES) Verschlüsselungsprotokoll implementiert. Selbst nach der Offenlegung der Protokollschwächen durch KRACK (LINK) ist ein adäquat eingerichtetes WPA2 Netzwerk mit den entsprechenden Verschlüsselungsprotokollen wesentlich schwerer anzugreifen.

Auch hier kein adäquater Hinweis, dass man sich in einem offenen Netzwerk bewegt. Dafür ein Hinweis auf “fair share usage” des Datenvolumens

Das Mindeste, was die Deutsche Bahn aber umgehend machen sollte wäre auf der Log In Seite ihres WLAN Dienstes klar und deutlich – und in entsprechend großer Schrift – anzugeben, dass jeder Benutzer sich in einem offenen, unverschlüsselten und ungesicherten Netzwerk bewegt und damit jeder Benutzer potentiell angreifbar ist.  Das wäre das Mindeste, was die Bahn, ohne großen Aufwand, machen könnte. Denn wie weitläufig bekannt ist liest sich kaum ein Benutzer und die AGBs durch, insbesondere wenn diese AGBs nicht offensichtlich und klar dem Benutzer mitgeteilt werden.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

w

Connecting to %s