Netzwelt

Hackerkonferenz Defcon

Im feindseligsten WLAN der Welt

Zehntausende Hacker machen das WLAN der Defcon zum Wilden Westen. Eine "wundervolle Lernumgebung", sagen manche. Denn auf die Angriffe, die hier stattfinden, sollte man auch im Alltag vorbereitet sein.

Patrick Beuth / SPIEGEL ONLINE

"Es geht nicht darum, mit dem Finger auf andere zu zeigen" - die Wall of Sheep auf der Defcon

Von
Freitag, 16.08.2019   10:06 Uhr

Ich soll Passwörter klauen. So beginnt mein Einstieg in die Welt der WLAN-Hacker in einem großen, dunklen Raum im 26. Stockwerk des Bally's Hotel in Las Vegas.

Dies ist das Packet Hacking Village der Defcon. Auf rund 1400 Quadratmetern wird hier die Essenz der größten Hackerkonferenz der Welt greifbar: das angeblich "gefährlichste WLAN der Welt", wie es seit vielen Jahren immer wieder heißt, das Learning-by-doing für neugierige Anfänger und der Wettbewerb von Weltklasse-Hackern.

Auf dem Linux-Rechner vor mir stehen meine Aufgaben: "Wie lautet das Passwort, mit dem sich der Nutzer 'basset' auf der dubiosen E-Commerce-Seite von bigcorporation.com eingeloggt hat?" Oder auch: "Der Nutzer 'spare' hat sich in sein E-Mail-Konto eingeloggt - finde und entschlüssele seinen Zugangscode."

Es ist nur ein Spiel. Packet Inspector heißt es. Der Datenverkehr, den ich auf der Suche nach den Passwörtern durchwühlen soll, wird eigens dafür generiert. Die Village-Organisatoren wollen Einsteigern damit die Kunst der Netzwerkanalyse näherbringen und damit auch zeigen, worauf sie beim Schutz ihrer eigenen Daten achten sollten.

In einer anderen Ecke wird die Profi-Variante gespielt: Capture The Packet. Der Gewinner bekommt eine Black Badge und damit kostenlosen Eintritt zur Defcon bis an sein Lebensende. Die Black-Badge-Wettbewerbe, von denen es verschiedene gibt, sind so etwas wie die Olympischen Spiele der Hacker-Community.

Patrick Beuth / SPIEGEL ONLINE

Packet Sniffing mit der Software Wireshark

Davon bin ich weit entfernt. Ich öffne Wireshark, eine Open-Source-Software zum Durchsuchen von Datenströmen. Für Neulinge wie mich ist es, als würde ich versuchen, mir an einem Hydranten ein Glas Wasser abzufüllen. Wonach genau ich suchen muss, wie das geht und wie ich ein Base64-codiertes Passwort entziffere, wenn ich es denn gefunden habe, zeigen mir freiwillige Helfer.

Am anderen Ende des Raums wird der Ernstfall gezeigt, auf der Wall of Sheep - einer Leinwand, auf der echte Daten echter Nutzer im echten Defcon-WLAN zu sehen sind. Genauer: im klassischen ungesicherten WLAN, das wie viele öffentliche Hotspots auch kein Passwort erfordert.

Manche nennen es YOLO-WiFi - you only live once. In diesem Jahr gibt es noch ein zweites, für das man sich vorab ein Zertifikat herunterladen muss und das passwortgeschützt und damit deutlich sicherer ist.

Pressevertreter gehören von jeher zu den Schafen

Wer jedoch unvorsichtig ist und aus Bequemlichkeit oder eben "because YOLO" ins offene WLAN geht, findet sich schnell auf der Wand wieder - mitsamt seines Benutzernamens oder seiner E-Mail-Adresse, den ersten Zeichen seines Passworts, der Website, auf der er sich eingeloggt hat, und weiteren Informationen.

Seit vielen Jahren gehört die Wall of Sheep zum Inventar der Defcon. Einer ihrer Erfinder nennt sich Riverside. Zusammen mit ein paar Freunden hat er die Idee auf einer Defcon in den frühen Nullerjahren aus einer Bierlaune heraus entwickelt, weil es damals so einfach war, peinliche Nutzerdaten im Netzwerk zu finden. Pressevertreter gehören von jeher zu den Schafen, die besonders häufig auf der Wand landen.

Bloßstellen soll sie niemanden. Eher sanft, aber unübersehbar mahnen. Riverside sagt: "Das hier ist eine Lernumgebung, es geht nicht einfach darum, mit dem Finger auf andere zu zeigen. Denn hier sind die Besten der Besten, und wenn sogar diese Sicherheitsprofis Fehler machen, welche Chance haben dann ganz normale Menschen, die nicht wissen, was wir wissen?"

Patrick Beuth / SPIEGEL ONLINE

Riverside, einer der Erfinder der Wall of Sheep

Stimmt denn die Sache mit dem gefährlichsten WLAN der Welt noch, oder ist es bloß eine Legende, die zum Abenteuerspielplatzcharakter der Defcon beiträgt? "Es ist extrem feindselig", sagt Riverside. "Jedes Jahr sehen wir Attacken auf Konferenzteilnehmer, auf Menschen außerhalb der Konferenz, und sehr viel Schadsoftware, die ihre Runden macht. Die Art der Angriffe entwickelt sich dabei immer weiter."

Mike Spicer, Spitzname "d4rkm4tter", sucht diese Angriffe mithilfe spezieller Hardware. 2017 lief er dazu mit dem "WiFi-Kaktus" herum, einer selbst gebauten Konstruktion in der Größe und mit dem Gewicht eines vollgestopften Reiserucksacks, bestehend aus 25 antennengespickten, Pineapple Tetra genannten Geräten, die zur Überwachung von WLANs entwickelt wurden. "Damit habe ich einen komplett passiven Angreifer simuliert", erzählt Spicer. "Unsere Geräte senden ja nicht nur Daten an ihr Ziel, sondern senden ihre Funkwellen überall hin. Die sauge ich im Vorbeigehen sozusagen auf und analysiere sie dann später."

Hunderte Gigabyte abgefangen - was verraten sie?

Mittlerweile stellt er vergleichbare Sensoren an mehreren Orten der Konferenz auf und sammelt darüber permanent Daten von WLAN- und auch Bluetooth-Nutzern, die daran vorbeigehen. Im Laufe einer Konferenz kommen dabei Hunderte Gigabyte zusammen. Spicer braucht Monate, um die Daten mithilfe von Programmen wie Wireshark, Kismet und NetworkMiner zu analysieren. Aber jeder, der die Zeit und die nötigen Kenntnisse hat, kann es ihm nachmachen, überall. Die Software ist Open Source, die Hardware kostet 200 Dollar pro Stück. WLAN-Überwachung ist nicht einfach, aber verhältnismäßig billig.

Auch Spicer sucht nach ungesichert übertragenen oder verräterischen Nutzerdaten. "Aber ich will auch wissen, was die aktuellen Angriffstechniken auf WLANs sind", sagt er. "Neue Methoden tauchen die ganze Zeit auf." Ein Klassiker seien gefälschte Hotspots mit Namen wie Starbucks oder GoGo WiFi. Wer sein Gerät so eingestellt hat, dass es sich mit bekannten Netzwerken automatisch verbindet, läuft Gefahr, unbemerkt in diesen gefälschten, vermeintlich vertrauten WLANs angemeldet zu werden. Die Fälscher können dann den kompletten Datenverkehr sehen.

Patrick Beuth / SPIEGEL ONLINE

"Komplett passiven Angreifer simuliert": Mike Spicer

Das heißt zwar nicht unbedingt, dass sie ihn auch lesen können. Passwörter werden allenfalls noch bei unseriösen Anbietern im Klartext übertragen, eine verschlüsselte Übertragung ist Standard. Das macht übrigens auch meine Wireshark-Gehversuche ein wenig unrealistisch. Schon die Verbindung zu vielen Websites wird per TLS verschlüsselt, womit für Dritte nicht mehr sichtbar ist, was jemand auf der Seite tut. Und Messenger wie WhatsApp oder Signal setzen sogar auf Ende-zu-Ende-Verschlüsselung, die nur noch auf einem der Endgeräte entschlüsselt werden kann.

Doch nicht alles im Internet wird verschlüsselt, und manchmal lässt sich eine Verschlüsselung auch austricksen. Mit SSL Strip zum Beispiel gibt es seit zehn Jahren eine Methode, das Opfer zur unverschlüsselten Kommunikation mit einem gefälschten Hotspot zu zwingen.

Eine zweite Angriffstechnik, die Spicer "sehr oft" sieht, ist die sogenannte Deauthentication-Attacke. Dabei wird das Opfer durch spezielle Befehle immer wieder aus einem WLAN geworfen. Beim Versuch eines erneuten Verbindungsaufbaus werden kryptografische Schlüssel übertragen, die ein Angreifer abfangen kann. Die letzte Hürde ist dann das Passwort des Opfers für das Netzwerk. Ist es kurz und schwach, kann der Angreifer es möglicherweise in kurzer Zeit knacken und hat dann Zugriff auf den Datenverkehr des Opfers.

Klingt aufwendig, aber Spicer findet, dass die Defcon "ein ziemlich guter Ort ist, um so etwas auszuprobieren - solange man nicht das Kasino- oder Hotel-Netzwerk angreift". Denn alles andere sei mehr oder weniger "zum Abschuss freigegeben". Das mag eine höchst inoffizielle Position sein. Aber Spicer sagt: "Das führt zu einer wundervollen Lernumgebung."

So schützen Sie sich vor WLAN-Schnüfflern

VPN
Ein Virtual Private Network (VPN) baut eine kryptografisch gesicherte Verbindung zu einem Server des VPN-Betreibers auf. Erst von dort werden Daten an das eigentliche Ziel - und zurück - übertragen. Von außen ist der Datenverkehr, selbst wenn er abgefangen wird, nicht zu entziffern. Gute VPN-Dienste sind einfach zu bedienen, kosten aber ein paar Euro im Monat.
Tor-Browser
Eine Alternative zum VPN ist das Tor-Netzwerk, für das man spezielle (kostenlose) Browser beziehungsweise Apps braucht. Sie leiten Daten verschlüsselt über mehrere Proxyserver ans eigentliche Ziel und zurück. Damit ist Tor auch ein Anonymisierungsdienst, der maskiert, wer gerade einen Dienst im Internet nutzt.
Mobilfunk statt WLAN nutzen
Viele Besucher von Hackerkonferenzen wie der Defcon vermeiden das dortige WLAN ganz und nutzen lieber eine Mobilfunkverbindung, weil Attacken darauf aufwendiger und prinzipiell auch erkennbar sind: Wechselt das Smartphone ständig zwischen 4G, 3G und Edge hin- und her, oder leert sich der Akku ungewöhnlich schnell, deutet das auf eine simulierte Funkzelle hin.
Faraday-Taschen
Wer sein Gerät dabei haben, aber nicht die ganze Zeit benutzen will, kann es in der Zwischenzeit in eine Tasche stecken, die wie ein Faradayscher Käfig funktioniert und alle Signale, also zum Beispiel auch Bluetooth, abschirmt. Für ein Smartphone kostet so eine Tasche rund zehn Euro.
SSH (Secure Shell)
Fortgeschrittene Anwender können ihr Endgerät über einen SSH-Tunnel mit ihrem eigenen Webserver oder Computer zu Hause verbinden. Das ist grob vergleichbar mit einem VPN, die Konfiguration ist aber komplexer.
Ende-zu-Ende-Verschlüsselung
Messenger wie WhatsApp, Signal, Wire oder Threema nutzen eine Ende-zu-Ende-Verschlüsselung, die zur Folge hat, dass nur Sender und Empfänger eine Nachricht entziffern können. Selbst wenn ein Angreifer eine Kommunikation mitschneidet, kann er sie nicht lesen. In manchen Apps - derzeit ist das zum Beispiel noch der Facebook Messenger - ist die Verschlüsselung nicht voreingestellt, sondern muss vom Nutzer aktiviert werden.
insgesamt 2 Beiträge
Flying Rain 17.08.2019
1. Hm
Die Defcon zeigt uns jährlich was alles derzeit möglich ist und was sonst offen nie zu sehen ist. Es ist oftmals einfach besser für sensible Dinge wohl das Mobilnetz zu nutzen nehme ich als Laie in dem Bereich einfach mal an...
Die Defcon zeigt uns jährlich was alles derzeit möglich ist und was sonst offen nie zu sehen ist. Es ist oftmals einfach besser für sensible Dinge wohl das Mobilnetz zu nutzen nehme ich als Laie in dem Bereich einfach mal an...
J.Corey 18.08.2019
2. VPN und gut ist
Die in D weit verbreitete Fritzbox erlaubt es ein VPN einzurichten mir dem man seinen Traffic verschlüsselt an die Box richtet, die es dann entschlüsselt über den eigenen Internetprovider ausliefert. Antworten erfolgen den [...]
Die in D weit verbreitete Fritzbox erlaubt es ein VPN einzurichten mir dem man seinen Traffic verschlüsselt an die Box richtet, die es dann entschlüsselt über den eigenen Internetprovider ausliefert. Antworten erfolgen den umgekehrten Weg. Die Konfiguration ist nicht schwer, und im Gegenzug kann man öffentliche Hotspots (Hotel, ICE, ...) überhaupt erst nutzen. Klappt der VPN- Aufbau in einen solchen Netz nicht, stimmt etwas nicht und man sollte es nicht nutzen. Wer keine Fritzbox hat, oder die IP der heimischen Box nicht preisgeben möchte, nutzt einen VPN Provider, sollte sich aber bewusst sein, dass dann dort der Traffic entschlüsselt wird - darum Augen auf bei der Wahl des Vertragspartners. Übrigens: Gerade Wifionice ist ein netter Trick um Geräte in ein Wlan zu locken, denn viele verbinden sich da automatisch rein, doch nur weil eine SSID so heißt, muss noch lange kein ICE in der Nähe sein ;-)

Mehr im Internet

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung

TOP