W-LAN Hacking

W-LAN Hacking
So (un)sicher ist Ihr Wireless LAN
Praxis - Kismet HowTo
Digitaler Reisepass
Gefährdung des Datenschutzes?
E-Voting
Die Qual der Wahl
VerPENnt
Strom - Freund oder Feind?
SecMS
Sichere SMS versenden
Server-Tagebuch
Aus dem Leben eines Sysadmins
Teil 1 von 3
25
18
Hagenberger Kreis
So hat alles begonnen
Sichere E-Mails
Lernen Sie den Umgang mit Thunderbird und GnuPG
www.hagenbergerkreis.at
12
4
6
8
10
21
Hagenberger Kreis
zur Förderung der digitalen Sicherheit
pA FH-Studiengang CMS
Hauptstraße 117
4232 Hagenberg
http://www.hagenbergerkreis.at
[email protected]
fax: 07236 / 3888 2599
HK-Magazin
Medieninhaber und Verleger: Hagenberger Kreis zur Förderung der digitalen Sicherheit
Herausgeber und Redaktion: Harald Fürlinger und Dirk Wallerstorfer
A-4232 Hagenberg, Hauptstraße 117
Fax: +43 (0) 7236 - 3888 2599
E-Mail: [email protected]
Chefredaktion: Harald Fürlinger
Grafik / Design und Layout: Dirk Wallerstorfer
© wenn nicht anders angegeben, bei den Autoren.
Nachdruck der Artikel nur unter genauer Quellenangabe erlaubt, welche die Nennung
des Autors sowie die des Hagenberger Kreises beinhalten muss.
Eine Haftung für die Richtigkeit der Veröffentlichungen kann trotz sorgfältiger Prüfung
durch die Redaktion vom Herausgeber nicht übernommen werden.
Für namentlich gekenntzeichnete Artikel wird nur die presserechtliche Verantwortung
übernommen.
Produktbezeichnungen und Logos sind zu Gunsten der jeweiligen Hersteller als Warenzeichen und eingetragene Warenzeichen geschützt.
Wir übernehmen keine Haftung für eventuelle Schäden die aus der Benutzung des pdfFiles entstehen könnten und empfehlen das File vor dem Öffnen noch einmal mit einem
Virenscanner zu prüfen.
Dieses Magazin erscheint vierteljährlich.
3
Vorwort
Es ist vollbracht!
Sie halten die Erstausgabe des HK-Magazins in Händen. Nach wochenlangen
Vorbereitungen und Recherchen haben wir es nun geschafft ein Magazin auf
die Beine zu stellen welches den Ansprüchen der Leser gerecht werden sollte.
Ich möchte mich auf diesem Weg bei den freiwilligen Autoren und dem Redaktionsteam bedanken, die uns ihr Wissen zur Verfügung gestellt haben und
ohne die es kein HK-Magazin geben würde. Außerdem danke ich dem Gastautor Herrn Dr. Kurt Hickisch für seine Unterstützung.
In dieser Ausgabe warten neun securityrelevante Artikel auf Ihre Leser und ich
verspreche nicht zu viel, wenn ich behaupte, dass die Qualität dieser sich mit
anerkannten kostenpflichtigen Magazinen durchaus messen kann.
Wir durchleuchten im Titelthema W-Lan Hacking wie sicher oder unsicher Ihr
Wireless LAN aufgebaut ist und zeigen dem interessierten Leser anhand eines
Kismet How-To´s wie man die Sicherheit eines Netzes testen kann. Natürlich
werden wir Sie nicht im Dunklen stehen lassen und Ihnen Tipps geben wie Sie
Ihr W-Lan gegen unbefugten Zugriff schützen.
Harald Fürlinger
[email protected]
HK - Magazin
4
Der digitale Reisepass
Der digitale Reisepass
Ist die Horrorvorstellung der Datenschützer wahr geworden?
von der ICAO lediglich eine einzige
Datengruppe, nämlich die Informationen, die auch jetzt schon in
der maschinenlesbaren Zone (siehe
Abbildung 1) am Reisepass vermerkt sind. Alle weiteren Datengruppen können individuell in jedem Mitgliedsstaat implementiert
werden.
KRYPTOGRAPHISCHE
ABSICHERUNG
„PASSIVE AUTHENTICATION“
In vielen Ländern wird der Ruf nach
verstärkten Sicherheitsfunktionen
bei der Passkontrolle immer lauter. Biometrische Identifikation gilt
als zukunftsträchtige Technologie. Auch auf den neuen digitalen
Reisepässen soll die Möglichkeit
bestehen, biometrische Identifikationsmuster abzuspeichern. Doch
dabei bleiben bei der Bevölkerung
viele Fragen offen. Vor allem die
tatsächlich gespeicherten Daten
und die implementierten Sicherheitsfunktionen bleiben ungeklärt.
INTERNATIONALE
ZIVILLUFTORGANISATION
Eine Gutachterkommission der Internationalen Zivilluftorganisation
(ICAO) arbeitet bereits seit geraumer Zeit an einem Vorschlag für
die Implementierung der neuen
maschinenlesbaren
Reisedokumente mit integriertem kontaktlos
lesbarem Chip. Deren Ergebnisse
werden in Form von technischen
Berichten auf der Website der ICAO
zur Verfügung gestellt.
ABGESPEICHERTE DATEN
Einer dieser Berichte beschäftigt
sich mit den Daten, die am Chip
abgespeichert werden. Laut ICAO
sind 16 verschiedene Datengruppen vorgesehen, die die ausstellende Organisation in einzelnen
Dateien auf der Karte speichern
kann. Angefangen von den personenbezogenen Daten über Fotos bis hin zu biometrischen und
kryptographischen Daten, sind den
Ländern hier kaum Grenzen gesetzt. Vorgeschrieben wird aber
HK - Magazin
Klarerweise werden von der ICAO
(http://www.icao.int) auch zahlreiche
Sicherheitsfunktionen
vorgeschlagen. Hier gibt es – genau
wie bei den Datengruppen – verpflichtende und optionale Funktionen. Um zu überprüfen, dass die
Daten am Chip nicht nachträglich
verändert wurden, wird ein Mechanismus namens „Passive Authentication“ vorgeschlagen. Voraussetzung ist ein Public Key Directory,
das von der ICAO verwaltet wird.
Jede ausstellende Organisation der
teilnehmenden Staaten erzeugt
sich durch einen Algorithmus verschiedene asymmetrische Schlüsselpaare. Die privaten Schlüssel
werden geheim gehalten und die
öffentlichen Schlüssel werden – nochmals mit einem „Hauptschlüssel“
des jeweiligen Staates signiert - in
Form von Zertifikaten im Verzeichnis der ICAO veröffentlicht.
Über jede auf der Karte gespeicherte Datei der Datengruppen
wird einzeln ein Hashwert generiert (siehe Abbildung 2). Dieser
Hashwert ist für jede Datei einzigartig, es ist praktisch unmöglich,
dass zwei Dateien den gleichen
Hashwert erzeugen. Die Hashwerte
werden anschließend mit dem privaten Schlüssel der ausstellenden
Behörde signiert und gemeinsam
mit der Signatur in einer speziel-
5
Der digitale Reisepass
Typ
P
Code
AUT
wenn der Pass ordnungsgemäß
geöffnet wurde und die Daten
der maschinenlesbaren Zone dem
Lesegerät bekannt sind. Hat das
Lesegerät durch ein ChallengeResponse-Protokoll dieses Wissen
bewiesen, so wird die Kommunikation zwischen Reader und Karte
aufgebaut. Zur Absicherung der
Kommunikation wird ein symmetrischer Session-Key erzeugt, mit
dem die übertragenen Daten verschlüsselt werden.
Pass-Nr
A 0102345
1. Name
MUSTERMANN
Foto
Passinhaber
2. Vorname
MAX
3. Geschlecht
M
4. Staatsangehörigkeit
ÖSTERREICH
5. Geburtsdatum
01.01.1970
6. Geburtstort
DORNBIRN
7. Wohnort
HAGENBERG
8. Ausstellungsdatum
29.02.2001
9. Gültig bis
29.02.2013
10. Behörde
BEZIRKSHAUPTMANNSCHAFT
FREISTADT
2
3
„EXTENDED ACCESS
CONTROL“
4
P<AUTMUSTERMANN<<MAX<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
5
1
2
3
4
5
6
7
8
9
Maschinenlesbare Zone
Dokumenttyp
Ausstellender Staat
Name
Pass Nummer
Falls ein Staat ganz sicher gehen
möchte, kann er auch noch den
Mechanismus der „Extended Access Control“ verwenden. Bei dieser
Methode werden die biometrischen
Daten in verschlüsselter Form auf
der Karte abgelegt und somit vor
unautorisierten Zugriffen geschützt.
1
A0102345<2AUT7001014M1302294<<<<<<<<<<<<<<<<<<<<<<<<<<<<<< 08
10
6
7
8
9
10
Nationalität
Geburtsdatum
Geschlecht
Gültig bis
Kontrollzahlen
Abbildung 1 - Maschinenlesbare Zone
len Sicherheitsdatei auf der Karte
gespeichert.
Bei der Passkontrolle wiederum
werden die einzelnen Dateien der
Datengruppen wieder ausgelesen.
Die Hashwerte werden neu erzeugt
und mit den in der Sicherheitsdatei abgespeicherten Werten verglichen. Abschließend wird noch die
Signatur mit dem im Verzeichnis
der ICAO verfügbaren Zertifikat
überprüft.
Der Mechanismus der „Passive
Authentication“ schützt also vor
Veränderungen auf der Karte, aber
leider nicht vor 1:1 Kopien.
„BASIC ACCESS CONTROL“
Ein weiteres Verfahren ist die „Basic Access Control“. Einerseits verhindert es, dass die Daten des
Reisepasses ohne Zustimmung des
Besitzers gelesen werden können,
andererseits macht es das Abhören
der Kommunikation zwischen Karte
und Lesegerät unmöglich. Bei diesem Verfahren muss das Lesegerät
dem Chip beweisen, dass es die
Informationen der maschinenlesbaren Zone vom Reisepass kennt.
Das ist nämlich nur dann möglich,
„ACTIVE AUTHENTICATION“
010001101
011010010
101010000
101010101
Wegen dieser und anderer Gefahren
werden von der ICAO weitere optionale Verfahren vorgeschlagen.
Dazu zählt das Verfahren der „Active Authentication“, das überprüft,
ob die Daten der maschinenlesbaren Zone am Pass mit den Daten auf
der Karte zusammenpassen.
Wie man sieht, gibt es eine Vielzahl von kryptographischen Absicherungsmöglichkeiten für Daten
in elektronischen Reisepässen. Was
man aber nicht vergessen darf, ist
die Verwendungsdauer des derzeitigen Reisepasses. Im Moment
sind die EU-Reisepässe 10 Jahre
gültig. Aber wer versichert uns,
dass auch die eingesetzten kryptographischen Algorithmen über
einen längeren Zeitraum hinweg
sicher bleiben? Viele Fragen müssen also noch geklärt werden, bis
man tatsächlich mit der Einführung
der digitalen Reisepässe beginnen
kann.
Barbara Fichtinger
010001101
011010010
101010000
101011111
010001101
011010010
101010000
101010101
Dateien
Hash-Berechnung
010001101
010111101
111101101
Signatur
Abbildung 2 - Signatur
HK - Magazin
6
Verglichen mit der US-Präsidentenwahl 2000, gab es nach der
heurigen Wahl relativ wenig Streiterei um falsch gezählte Stimmen oder nicht funktionierende
Wahlmaschinen. Also ein Erfolg für
die eingesetzten elektronischen
Wahlmaschinen? Oder einfach nur
Glück, weil die Wahl so eindeutig
ausgegangen ist und keine Nachzählungen nötig waren? Wie genau
die elektronischen Wahlsysteme
die Stimmen tatsächlich gezählt
haben, werden wir allerdings nie
wissen. Ganz einfach aus dem Grund, weil ohne Papierausdrücke ein
manuelles Nachzählen nie möglich
sein wird.
ELECTRONIC VOTING
IN DEN USA
Maschinenunterstützte
Wahlen
haben in den USA bereits eine
lange Tradition. Anders als zum
Beispiel in Österreich sind nämlich die Wahlkreise dort viel größer
und händische Auszählungen der
e-Voting
Stimmzettel dadurch oft sehr langwierig und teilweise auch fehlerhaft. Rein Papier-basierte Stimmabgaben machen heute nur mehr
etwa ein Prozent der gesamten
Stimmabgaben aus. Angefangen
von mechanischen Wahlmaschinen, bei denen jeweils ein Hebel
für den gewünschten Kandidaten
zu betätigen ist, über maschinenlesbare Lochkarten bis hin zu optischen Stimmzettel-Lesegeräten
wurden bereits diverse Technologien eingesetzt.
Auch wenn jede dieser Technologien Schwachstellen hat und oft keine hundertprozentige Genauigkeit
liefern kann, bringt doch die neue
Entwicklung des elektronischen
Wählens viel größere Sicherheitsprobleme und vor allem erstmals
auch die Möglichkeit einer wirklich
flächendeckenden
Wahlmanipulation mit sich. Die Hauptkritikpunkte der E-Voting-Gegner sind
vor allem die Geheimhaltung des
Source-Codes der Wahlsoftware
sowie das Fehlen von nachprüfbaren Papierausdrücken.
SECURITY
BY
OBSCURITY
Nach diesem Motto handeln die
meisten Hersteller amerikanischer Wahlsoftware und veröffentlichen so gut wie keine technischen
Informationen über ihre Geräte.
Nicht zuletzt aufgrund dieser
Strategie und der bisher bereits
entdeckten Sicherheitslücken im
System des führenden Herstellers Diebold kommt es zu steigendem Misstrauen und sogar zu
Verschwörungstheorien über beabsichtigte Manipulationsmöglichkeiten in den Maschinen von
Diebold.
SICHERHEITSLÖCHER
IN DEN AMERIKANISCHEN
WAHLMASCHINEN
Auch wenn die Funktionsweise der
Wahlmaschinen streng geheim gehalten wird, sind Teile des Source
Codes von Diebold durch einen
anonymen Mitarbeiter doch im Internet veröffentlicht worden. Experten entdeckten darin schwere
Sicherheitslücken und sprechen
außerdem von schlechter Programmierung.
Wie einfach das Wahlergebnis der
US-Präsidentenwahl zu fälschen
ist, haben etwa auch Programmierer von Blackboxvoting.org bereits vor der Wahl anhand einiger
Sicherheitslücken von Diebold und
Sequoia demonstriert. (www.blackboxvoting.org)
VOTER-VERIFIABLE
PAPER
BALLOTS
Der einzige Weg, elektronische
Wahlen tatsächlich sicher und auch
nachvollziehbar zu machen, sind
HK - Magazin
7
e-Voting
ÖSTERREICH
ausgedruckte Stimmzettel, die vom
Wähler noch einmal kontrolliert
werden können. Hierzu könnten
beispielsweise die ausgedruckten
Stimmzettel geschützt hinter einem Fenster angezeigt werden. Der
Wähler kann so also seine abgegebene Stimme überprüfen und durch
einen Knopfdruck bestätigen. Nach
Bestätigung wird der Stimmzettel automatisch in eine Wahlurne
geschmissen und das Wahlergebnis kann jederzeit händisch nachgezählt werden.
Obwohl die Maschinen von Diebold
diese Möglichkeit bereits unterstützen, wurden „voter-verifiable paper
ballots“ bei der heurigen Wahl lediglich in Nevada eingesetzt. Kalifornien will dieses System bis 2006
unterstützen, hat allerdings auch
heuer bereits jedem Wähler angeboten, bei ausdrücklichem Wunsch, seine Stimme auch auf einem
gewöhnlichen Papier-Stimmzettel
abgeben zu können.
In den übrigen Bundesstaaten
fürchtet man sich wohl vor allem
vor den Kosten für den zusätzlichen Aufwand, sowie auch vor
Problemen wie beispielsweise Papierstaus in den Druckern.
E-VOTING
IN
EU-Wahlen ein mögliches Anwendungsgebiet von E-Voting: „Sieht
man sich die Wahlbeteiligung bei
der letzten EU-Wahl an, wäre EVoting für alle EU-Staaten die
richtige Antwort.“ Der Europarat
arbeitet auch bereits an einem europäischen
E-Voting-Standard.
Von der europäischen Kommission wurde das Projekt CyberVote
ins Leben gerufen, das auch ein
eigenes E-Voting-System entwickelt und bereits mehrere Male bei
Wahlen getestet hat.
EUROPÄISCHE STAATEN
Europäische Staaten, in denen EVoting schon offiziell bei politischen Wahlen eingesetzt werden, sind
etwa Belgien (seit 1999), Frankreich
(seit 2004) und die Niederlande.
Projekte für E-Voting Maschinen in
Wahllokalen (polling place e-voting) gibt es weiters bereits in Großbritannien, Portugal, Norwegen und
Irland. Projekte für E-Voting übers
Internet (remote e-voting) gibt es
in Estland, Deutschland, Spanien
und der Schweiz.
EUROPA
Nicht nur in den USA wird E-Voting
bereits eingesetzt. Beispielsweise
werden auch in Brasilien schon seit
1996 und in Australien seit 2001
elektronische Wahlmaschinen erfolgreich verwendet.
EU
Und natürlich wird auch in Europa
angestrengt über elektronisches
Wählen nachgedacht! Robert Krimmer (Mitglied der E-Voting.atForschungsgruppe der Wirtschaftsuniversität Wien) sieht etwa in den
HK - Magazin
Auch in Österreich laufen bereits
erste Versuche zum Thema E-Voting. Dabei geht es darum, über das
Internet an einer Wahl teilnehmen
zu können. Interessant wäre dies
etwa für die 400.000 Österreicher,
die im Ausland leben.
Das Verfahren von Robert Krimmer wurde bereits bei den Wahlen
zur Österreichischen Hochschülerschaft sowie bei der letzten Wahl
des Bundespräsidenten (zusätzlich
zur normalen Stimmabgabe) getestet. Der Wahltest traf die offiziellen Ergebnisse fast punktgenau.
Das Verfahren von Krimmer basiert
auf zwei Schritten:
Im ersten Schritt muss sich der
Wähler
zunächst
registrieren,
indem er seine Identität nachweist und einen Code zugeschickt
bekommt. Beim zweiten Einloggen
kann er sich mit diesem anonymisierten Code legitimieren und seine
Stimme abgeben.
Ob dieses System tatsächlich von
Auslandsösterreichern bei politischen Wahlen genutzt werden
könnte, wird momentan noch vom
österreichischen
Verfassungskonvent beraten. In den tatsächlichen Wahllokalen wird E-Voting
in Österreich wohl auch in
Zukunft nicht eingesetzt werden.
Anders als in den USA verfügen
die
österreichischen
Parteien
nämlich über genügend Freiwillige für die Arbeit in den Wahlkommissionen. Diese Helfer werden
wohl auch in Zukunft zuverlässiger
und billiger arbeiten als jeder
Computer.
Barbara Schachner
8
verPENnt
verPENnt
Fehlerquelle Hausinstallation
Bei dem von der Simedia GmbH,
Bonn, im Oktober 2004 parallel
zur Security in Essen abgehaltenen Security-Kongress hat DI KarlHeinz Otto, D-32791 Lage, NRW,
Sachverständiger für Elektrotechnik, Leiter der Bundesfachgruppe
„Elektronik und EDV“ im BVS, zum
Thema „EDV-Systemausfälle durch
veraltete Netze“ referiert und dabei
aufgezeigt, dass bei unerklärlichen
Fehlern in der EDV-Anlage auch die
Hausinstallation als Fehlerquelle in
Betracht gezogen werden muss.
TECHNISCHE GRUNDLAGEN
Der elektrische Strom wird vom
Transformator als dreiphasiger
Drehstrom geliefert, benötigt also
drei Leiter für die Phasen (L1, L2,
L3) sowie den Neutralleiter (N).
Der Neutralleiter ist bereits beim
Transformator geerdet bzw hat
diese Erdung nach der NullungsVerordnung, BGBl II 1998/322, bis
spätestens 31.12.2008 zu erfolgen. Erdleiter (Potential Earth) und
Neutralleiter (N) werden zusammen
als PEN-Leitung geführt. Die nächste Erdung erfolgt beim Hausanschlusspunkt des Verbrauchers. PE
und N sind miteinander kombiniert
(combined); es liegt ein TN-C–System vor. Andere Systeme (IT: Erdung nur beim Verbraucher, TT: Die
Erdung erfolgt bei der Stromquelle
und beim Verbraucher jeweils getrennt) sind demgegenüber in der
Praxis weniger anzutreffen.
Zwischen den einzelnen Phasen untereinander besteht eine Spannung
von 400 V, zwischen den Phasen
und dem Neutralleiter eine solche
von 230 V. Sofern nicht Drehstrom
zum Betrieb von Motoren benötigt
wird, wird in der Folge jeweils eine
Phase mit dem Neutralleiter (Drahtfarbe blau) in der Hausinstallation
weitergeführt.
Beim Anschlusspunkt im Haus wird
der Neutralleiter auf der Potentialausgleichsschiene zum einen
mit dem Fundamenterder verbunden, und zum anderen werden alle
Metallteile eines Hauses (Bewehrung, Wasser- und Gasleitungen,
Öltank, Klima-, Heizungs- und
Antennenanlagen) elektrisch leitend ebenfalls zu diesem Punkt
geführt. Damit sind alle Metallteile
gegenüber Erde auf das Potential
Null gesetzt. Von der Potentialausgleichsschiene aus wird der Schutzleiter (Drahtfarbe gelb-grün) als
zusätzliche Leitung weitergeführt
und bringt das Erdpotential weiter
zu allen Elektrogeräten und deren
metallischen Gehäusen, aber auch
zu den Abschirmungen von Datenoder Antennenkabeln.
Es handelt sich dabei um eine
Sicherheitsmaßnahme, die verhindert, dass man beim Berühren
eines Metallteils einen Stromschlag
erhält.
Würde nämlich durch ein blankgescheuertes Elektrokabel Spannung
am Gehäuse eines Gerätes liegen,
würde diese als „Kurzschluss“ über
den Schutzleiter abgeführt, die Sicherung würde die Spannungszufuhr abschalten bzw ein vorhandener FehlerstromSchutzschalter
die gesamte Anlage vom Netz
trennen, ehe größerer Schaden
entsteht.
Von einem solchen Fall abgesehen,
fließt bei konsequent durchgehaltener Erdung des Neutralleiters
an nur einem einzigen Punkt kein
Strom im Schutzleiter (TN-S–System). Der gesamte vom Außenleiter (Phase) kommende Strom
fließt über den Neutralleiter wieder
zurück.
Durch das Weiterführen des PELeiters entsteht ein TN-S–System.
HK - Magazin
FEHLERQUELLE
Wird allerdings zwischen dem
Neutralleiter und dem Schutzleiter
(PE-Leiter) eine weitere Verbindung
eingefügt, entsteht dadurch ein
Nebenschluss (Parallelschaltung)
zum Neutralleiter, was keine oder
nur geringe Auswirkungen dann
hat, wenn der Neutralleiter wegen seines geringen Widerstands
(großer Querschnitt) den gesamten Strom aufnehmen kann. Wenn
sich jedoch, beispielsweise durch
Anschlussklemmen, die sich durch
thermische Beanspruchung gelockert haben, und/oder korrodierte
Anschlüsse der Gesamtwiderstand
des Neutralleiters vergrö-ßert,
wird der Strom zunehmend über
den Schutzleiter fließen und damit
beispielsweise auch über die Abschirmung von HF- und Datenkabeln. Die Abschirmung wird zur
Störquelle, die die rechteckige
Form der Datensignale verzerrt.
Störungen in der Datenübertragung sind die Folge. Unerklärliche
Phänomene treten auf, vor allem
dann, wenn sich größere Verbraucher zuschalten: Zittern der
Bildschirmanzeige, Druckerfehler,
bis zu hin Systemabstürzen, aber
auch Auslösen von Alarmanlagen
oder Feuermeldern.
Verschärft wird das Problem dadurch, dass durch Schaltnetzteile
wie Computer, Dimmer, Stromsparlampen die 50 Hz-Frequenz des
Wechselstroms zunehmend durch
eine solche von 150 Hz überlagert
wird, die, zufolge der höheren Frequenz, das Dielektrikum zwischen
Abschirmung und innen liegenden Drähten leichter durchdringen
kann.
Im worst case, Unterbrechung des
Neutralleiters, würde letztlich der
gesamte Strom über den Schutzleiter und das Erdungssystem abfließen.
Derartige Brücken im TN-S–System
können zum einen dadurch entstehen, dass, technisch der-zeit
zulässig, der Schutzleiter nicht bereits vom Hauptverteiler weggeführt wird, sondern erst von etwa
in den einzelnen Stockwerken
befindlichen Unterverteilern. Bis
9
verPENnt
dorthin wird der Neutralleiter als
PEN-Leitung geführt – man erspart sich Erdungsdraht. So legt
die ÖVE/ÖNORM E 8001-1, Seite
36, Anmerkung 1, fest, dass Neutralleiter und PE-Leiter beliebig oft
vom PEN-Leiter abgezweigt werden
dürfen (TN-C-S–System). Lediglich
nach Abzweigung eines N-Leiters
vom PEN-Leiter darf der abgezweigte N-Leiter nicht mehr geerdet
werden (Anmerkung 3).
Im TN-C-S–System kann es also
durchaus
zwischen
einzelnen
Stockwerken
oder
Betriebsgebäuden untereinander zu Ausgleichsströmen kommen, die auch
über die Abschirmung von HFoder Datenleitungen laufen können, mit den bereits geschilderten
Auswirkungen.
Eine Brücke könnte sich auch ergeben, wenn in der unterbrechungsfreien Stromversorgung Neutralleiter und Schutzerde verbunden
sind!
Weitere Brücken zwischen PE und N
sind eher auf Bastler zurückzuführen, wie Verdrahtungsfehler (die
beiden Leiter wurden versehentlich
vertauscht), oder in alten Installationen dadurch, dass der Schutzkontakt der Steckdose kurzerhand
mit dem Neutralleiter verbunden
wurde, anstatt einen Schutzleiter
einzuziehen. Damit wurde zwar
Berührungssicherheit
erreicht,
doch fließt beispielsweise über die
Abschirmung des Drucker- oder
Monitorkabels Strom zu anderen
geerdeten Geräten. Oder es wurden bei der Aufstellung der neuen
Waschmaschine seinerzeit Erd- und
Neutralleiter der Einfachheit halber
mit Schellen an die Wasserleitung
angeschlossen.
FEHLERSUCHE
FEHLERBEHEBUNG
Das Aufspüren derartiger versteckter Fehler erfordert eine Überprüfung der gesamten Installati-on
und ist entsprechend schwierig
und aufwändig, empfiehlt sich
aber dann, wenn Fehler von Ser-
Abbildung 1 - EMV
HK - Magazin
vicetechnikern trotz wiederholter
Überprüfung der EDV- oder Antennenanlage nicht gefun-den werden
konnten. Unter anderem werden
mit Strommesszangen Ströme unterbrechungsfrei gemessen und
analysiert.
Die Behebung der Mängel erfolgt
durch eine Rückführung der Installation in ein lückenloses TN-S–System, also Auflösung aller Brücken
zwischen dem PE- und dem N-Leiter, die nur am Hausanschlusspunkt
miteinander verbunden sein dürfen. Ein Teil der Probleme kann
auch durch die Verlegung von Lichtwellenleitern zur Datenübertragung umgangen werden.
Weitere Hinweise zum eingangs
genannten
Vortragenden
und
zum Thema finden sich unter
www.sv-otto.de.
Dr. Kurt Hickisch
Der Autor bedankt sich bei Herrn Prof. Dipl.
Ing. Herbert Schild, Ingenieurkonsulent für
Elektrotechnik, allgemein beeideter und gerichtlich zertifizierter Sachverständiger für
Elektro-technik, Wien, für die fachtechnische
Unterstützung bei der Abfassung des Artikels.
Secure Messaging System
SecMS ist eine Applikation, mit
welcher SMS Nachrichten verschlüsselt versendet werden können. Die
Software entstand in einem Semesterprojekt an der Fachhochschule
Hagenberg.
den und empfangen zu können.
Will man nun verschlüsselt per
SMS kommunizieren, muss SecMS sowohl am Handy des Senders
als auch auf dem des Empfängers
vorhanden sein.
Die Hauptfunktion des Produkts ist
die sichere Verschlüsselung einer gewissen Anzahl von Zeichen,
deren Übertragung bzw. Empfang
und die entsprechende Entschlüsselung.
Die Verschlüsselung basiert auf
dem El Gamal Public Key Verschlüsselungssystem. Zu dessen
Anwendung ist ein öffentlicher und
ein privater Schlüssel von Nöten.
Der Vorteil dieser Art der Verschlüsselung liegt darin, dass der Public
Key nur einmal übertragen werden
muss und anschließend beliebig oft
damit verschlüsselt werden kann.
Wenn die Schlüssel einmal vorliegen, kann die Verschlüsselung,
trotz der eingeschränkten Rechenleistung von mobilen Endgeräten,
relativ rasch durchgeführt werden.
Durch das Hinzufügen einer Random-Komponente während des
Verschlüsselungsverfahrens sieht
der zu übertragende Ciphertext
auch bei gleichem Plaintext jedes
SecMS wurde in Java implementiert
bzw. genauer gesagt in Java 2 ME,
der Mobile Edition dieser Sprache.
Dadurch kann SecMS grundsätzlich auf jedem Javafähigen Handy
installiert und verwendet werden.
Man startet SecMS genauso wie
eine gewöhnliche andere Handyapplikation, wie beispielsweise
ein Spiel. Weiters benötigt SecMS
die Wireless Mobile API (WMA 1.0),
die am Handy implementiert sein
muss, um SMS Nachrichten versen-
HK - Magazin
Mal anders aus, wodurch Attacken
auf das System erheblich erschwert
werden.
Die benötigten Keys werden dabei bei der erstmaligen Aktivierung von SecMS erzeugt. Will man
nun jemandem eine verschlüsselte
SMS schicken, so benötigt man den
Public Key des Empfängers. Der
Austausch der Public Keys wird ebenfalls von SecMS per SMS Nachricht erledigt.
Die empfangenen Public Keys
und das eigene Keypaar müssen
natürlich auch gespeichert und
verwaltet werden. Aus Sicherheitsgründen darf der private Key
natürlich nicht unverschlüsselt im
persistenten Speicher des Handys abgelegt werden. Der Schlüssel wird dazu mit dem Passwort,
mit dem sich der User gegenüber
SecMS authentifiziert, verschlüsselt
und abgespeichert. Die Public Keys
sind, wie der Name schon sagt,
11
SecMS
ohnehin öffentlich, wodurch das
Ablegen unverschlüsselt erfolgen
kann.
Die öffentlichen Schlüssel der Kommunikationspartner müssen noch
gesondert verwaltet werden. Nachdem ein Key üblicherweise eine
willkürliche Zeichenfolge ist, würde
ein Mapping zwischen dem Key
und dem Kommunikationspartner
sehr schwer fallen. Da ein Zugriff
auf das Telefonbuch der meisten
Handys von den Herstellern aus Sicherheitsgründen nicht genehmigt
wird, konnten die Keys leider nicht
an die Einträge im Standardadressbuch gebunden werden. SecMS
führt ein eigenes Adressbuch zur
Speicherung von Name, Telefonnummer und Public Key. Will der
User also eine verschlüsselte Nachricht versenden, so wählt dieser
wie gewohnt einfach den Namen
des Empfängers aus dem SecMS
Adressbuch.
Auch erhaltene SMS Nachrichten
soll nicht nur entschlüsselt, sondern
auch dauerhaft abgelegt werden
können. Es ist dazu ein SMS Archiv
Key speichern
entwickelt worden, in welchem die
Nachrichten verschlüsselt abgelegt
werden. Das bedeutet jedoch auch,
dass man immer, wenn man eine
bereits gelesene Nachricht öffnen
möchte, diese vorher entschlüsseln
muss.
Nicht nur die sichere Übertragung und die Verwendung eines
möglichst starken Verschlüsselungsalgorithmus spielten beim
Programmdesign eine wichtige
Rolle, sondern auch dass ein Angreifer, der physischen Zugang zum
Handy besitzt, möglichst keinen
Zugang zum Programm bzw. zu
den gespeicherten Daten erhält.
Ein Login am Programmstart ist
daher unvermeidlich. Der User ist
dadurch gezwungen sich ein Passwort für das Programm zu merken
und sich über dieses bei jedem
Programmstart zu authentifizieren. Ein weiterer Vorteil des Logins
und der Securityeinrichtungen des
Programms ist es, dass es einem
Angreifer auch dann nicht möglich
ist Informationen aus SecMS herauszuholen, wenn dieser direkt den
SMS schreiben
Abbildung 1 - Ablauf SMS-Verschlüsselung
HK - Magazin
Speicher des mobilen Endgeräts
ausliest. Alle wichtigen Informationen sind immer mittels starker
Verschlüsselung geschützt.
Zurzeit ruht das Projekt allerdings, da die Entwickler in anderen
Projekten involviert sind. Erweiterungsmöglichkeiten und Ideen für
die Weiterentwicklung von SecMS
gibt es bereits. So ist beispielsweise vorgesehen, das Verschlüsselungssystem umzustellen, um
einerseits dieses noch sicherer zu
machen bzw. deren Performance
zu verbessern.
Entwicklerteam
Sebastian Gierlinger
Computer und Mediensicherheit
[email protected]
Michael Pascher
Computer und Mediensicherheit
[email protected]
SMS verschlüsseln
12
Live Hacking
Live Hacking
Ein Bericht von
der Systems 2004
in München
Systems2004, Montag der 18.10.
Eine große Gruppe von Studenten
der FH-Hagenberg (Studiengang
Computer und Mediensicherheit)
stürmt die Messe um möglichst viel
über aktuelle Sicherheitsthemen zu
absorbieren.
So gab es eine eigene Halle, welche
sich nur dem Thema IT-Security
widmete. Neben zahlreichen Vorträgen in den Foren gab es noch
zusätzlich Vorträge direkt bei diversen Anbietern vor Ort.
Der erste Live Hacking-Vortrag,
den wir besuchten, wurde am
F-Prot Stand abgehalten, wo uns ein
Mitarbeiter der Firma Syss (the PenTest Experts) namens Pierre Kroma
sein Können unter Beweis stellte.
Sein Vortrag sollte uns die Sicherheitslücken aktueller Technologien
aus dem Bereich Biometrie und
W-Lan vor Auge halten und weit
verbreitete Irrglauben beiseite räumen.
Die Firma Syss beschäftigt sich
hauptsächlich mit Penetration Testing ,Computer Forensik, Schulungen und, wie es auch nicht anders
zu erwarten war, mit Live HackingVorführungen. Auf der Systems
kamen wir in den Genuss so eine
Vorführung live erleben zu dürfen
und ich kann jedenfalls von meiner
Position aus sagen, dass es wohl
eine der interessantesten Vorführungen war, die ich persönlich
besucht hatte.
Dass die oben erwähnten neuen
Technologien an vielen Stellen noch
nicht ganz ausgereift sind, werden
wir nun mit Hilfe des Vortragsinhaltes Schritt für Schritt auflisten und
erklären.
Wir gaben uns natürlich auch nicht
mit dem gewonnenen Wissen zufrieden und recherchierten noch
etwas weiter, um Ihnen nicht nur
die Arten und Durchführungen der
Attacken näherzubringen, sondern
auch deren Vermeidung.
THEMA 1
BIOMETRIE HACKING
Eine bereits relativ weit verbreitete
Technologie zur Benutzerauthentifizierung ist die Biometrie.
Ob Fingerabdruck, IrisScan oder
auch Stimmerkennung, vieles wird
bereits genutzt um einen Benutzer
eindeutig zu identifizieren. Doch
wer von Ihnen mit dem Gedanken
spielt, dass diese Methoden schon
absolut sicher seien, wird erstaunt
feststellen, dass dies keineswegs
so ist; ich will Sie daher nicht länger auf die Folter spannen.
Man nehme eine handelsübliche
Maus mit Fingerabdruckerkennung.
Nach den Installationsroutinen und
der Konfiguration derselbigen will
man natürlich auch wissen, ob diese
funktioniert. Also loggt man sich
aus, kommt zur Anmeldemaske
HK - Magazin
und an Stelle des Passwortes presst
man seinen Finger auf das dafür
vorgesehene Feld. Wie nicht anders
zu erwarten funktioniert das Login
einwandfrei.
Viele wiegen sich von nun an in der
trügerischen Sicherheit, dass ihr
Rechner optimal gegen unerlaubte
Benutzung geschützt ist, zumindest solange man noch im Besitz
seines Fingers bleibt.
BEISPIEL SZENARIO
Wir arbeiten in einem gut bezahlten
Job, in dem unter den Mitarbeitern
großer Konkurrenzkampf herrscht.
Jeder möchte seinem Boss die
besten Arbeiten liefern. Da ist es
natürlich wichtig, dass man seine
Daten auch schützt, selbst dem
Kollegen gegenüber. Unser Angestellter verwendet auf seinem
Laptop die vermeintlich sichere Authentifizierung per Fingerabdruck.
Er kann also getrost den Laptop
unbewacht stehen lassen und sich
eine Tasse Kaffee vom Automaten
holen. Was soll schon passieren ?
Doch unser Freund hat nicht mit
seinem IT geschulten Arbeitskollegen gerechnet, der die bösen Tricks
des einfachen Biometrie Hackings
13
Live Hacking
anzuwenden weiß und begierig auf
seine Chance wartet sich bei deren
Boss einen Vorteil zu verschaffen.
Dieser schlaue Mensch weiß, dass
jeder Fingerabdruck auf der Folie der Abdruckerkennung einen
natürlichen Fettfilm hinterlässt.
Und dieser Fettfilm genügt um die
einfachste Attacke zu starten.
Man nehme die Maus und hauche
ein paar Sekunden auf die Folie.
Die Feuchtigkeit in Verbindung mit
dem Fettfilm erzeugt einen wunderschönen Fingerabdruck, der
zufällig unserem kaffeeholenden
Kollegen gehört, und siehe da, er
ist eingeloggt und kann sich nun
an der tollen Arbeit zu schaffen
machen.
wir es konnten, startet der Verursacher dieser Aussprache bereits eine
neue, etwas trickreichere Variante
um das Fingerabdruck-System zu
überlisten.
Er nimmt die Kaffeetasse, welche
der Mitarbeiter unbedacht auf dem
Tisch stehen ließ, und unter Zuhilfenahme von Graphit, welches sich
in jedem billigen DetektivSet befindet, beginnt er wie ein Spezialist
der Spurensicherung den Fingerabdruck auf der Kaffeetasse wiederherzustellen.
Nach dem Auftragen des Graphits
nimmt er ein Tixoband um den gesicherten Fingerabdruck auf das
Tixoband zu übertragen.
Doch wer jetzt denkt, dass dies
schon die schnellste Variante war,
der täuscht sich, denn wenn man
die Maus in die Hand nimmt, zum
Munde führt und einmal kräftig
anhustet, raten Sie mal .., ist man
eingeloggt! Sie können sich vorstellen, dass das Gelächter bei den
Zuschauern dementsprechend groß
war, denn damit hatte wohl keiner
gerechnet. Die paar Leute, welche
eher geschluckt haben als gelacht,
werden doch nicht eine Maus dieses Types verwenden ?!
Ich möchte aber auch erwähnen,
dass diese Arten von Angriffen
nicht immer zum Erfolg führen;
was bei unserem Vortrag noch perfekt funktionierte, sollte am nächsten Tag bei einer morgendlichen
Präsentation nicht mehr ganz so
reibungslos verlaufen.
Nichtsdestotrotz, mit dem gewonnenen Wissen, wie diese einfache
Methode funktioniert, gibt es nur
eine Schlussfolgerung, wir reinigen den Fingerabdruck-Scanner
auf der Maus nach jeder Benutzung
gründlichst.
Sie haben es sicher schon erraten,
man nehme dieses Tixoband und
klebe bzw. drücke es auf unseren
Fingerabdruck-Scanner. Mit Unterstützung einfachster Mittel hat er
nun auch noch mutwillig die letzten
Beweise vernichtet, welche bezeugen sollten, dass nicht er die Daten
ursprünglich selbst erstellte.
Wie soll der Mitarbeiter das jetzt
seinem Boss beweisen......
Somit hat unser Mitarbeiter seinen
Kollegen überlistet und wendet sich
gemütlich seinem Kaffee zu.
Doch er sollte die kriminellen
Triebe seines Gegenübers nicht
unterschätzen, denn während er
sich im Büro des Chefs rechtfertigen muss, warum sein Kollege im
Stande war dieselbe Arbeit schon
20 Minuten früher abzuliefern, als
Wir haben nun die einfachsten
Varianten kennengelernt, wie man
den Fingerabdruck-Scanner einer
handelsüblichen Maus überlisten
kann, doch es gibt auch Tricks, wie
man komplexere Geräte umgehen
kann. Als Beispiel dient uns diesesmal ein FingerabdruckScanner, der
uns als PCMCIA-Karte zur Verfü-
HK - Magazin
gung steht.
Der Vortragende hat den Scanner
bereits so “scharf” eingestellt, dass
er selbst mit seinem echten Fingerabdruck fünf Versuche benötigt
sich einzuloggen. Denn der nun
verwendete Scanner fragt nicht nur
die Struktur des Fingerabdruckes
genauer ab, sondern auch die Lage
dieses auf der Oberfläche.
Die nun vorgestellte Attacke sollte
den Namen fünf Euro Attacke erhalten:
Man nehme Knetmasse, die in
Bauhäusern für 2,50 Euro erhältlich
ist, und einfaches Silikon, welches
im selben Geschäft ebenfalls für
ca. 2,50 Euro zu erwerben ist.
Man presst nun seinen Finger fest
in die Knetmasse und kreiert dadurch einen sogenannten Negativabdruck, das Silikon verwenden
wir nun um aus dem Negativabdruck wieder einen herkömmlichen Abdruck zu gewinnen. Dieses
schöne Kunstwerk verwenden wir
um uns am PCMCIA Scanner zu authentifizieren. Mit nur 2 Versuchen
benötigt der Präsentator 3 Versuche
weniger als mit dem “Original”.
Wieder ging ein Staunen durch das
Publikum.....
Derzeit kann man beim Kauf solcher Geräte nur darauf achten,
dass diese qualitativ hochwertig
sind und Sicherheitsvorkehrungen
mit sich bringen, welche das unerlaubte Benutzen verhindern.
Ganz zu verhindern ist es aus
jetziger Sicht allerdings nicht, zumindest nicht wenn der Angreifer
ein Profi ist.
Weiters wurde nicht auf Biometrie
Hacks eingegangen, doch kann ich
ergänzend erwähnen, dass es auch
möglich ist einige IrisScanner zu
überlisten, indem man einen hochkarätigen Ausdruck des Auges verwendet und der Kamera den Benutzer damit vorgaukelt. Zukünftig
sollen 3D IrisScanner dieser Art des
Angriffes den Gar aus machen.
Ebenso soll es möglich sein eine
Stimmerkennung mit einer Tonbandaufnahme zu überlisten.
Fazit Biometrie:
Es besteht noch Handlungbedarf
Biometrie tatsächlich sicher zu
14
machen, vor allem da es in Zukunft
geplant ist Biometriedaten vielerorts einzusetzen, wo eine eindeutige Identifikation ein muss ist.
(Reisepass, usw...)
Keine Sorge, diejenigen, die glauben
mit den oben genannten Methoden
sicher unterwegs zu sein, sind
nicht alleine, viele Private sowie
auch Unternehmer (abgesehen
von denjenigen, die gar nicht verschlüsseln) wiegen sich ebenfalls
auf der trügerisch sicheren Seite.
Was jedoch ein großer Irrtum ist,
wie wir weiter unten auch beweisen
werden. Selbst die ausgefeiltesten
Passwörter werden Ihnen nicht
weiterhelfen, doch dazu gleich
mehr.
Wir lassen Sie natürlich nicht auf
einem Sicherheitsloch sitzen und
Fotograf: Dr. Kurt Hickisch
Prinzipiell möchte ich noch einmal
darauf hinweisen, dass man beim
Kauf solcher Geräte darauf achten
sollte, dass diese qualitativ hochwertig sind und zumindest gegen
gängige Angriffe geschützt sind.
Man sollte sich also überlegen, ob
es nicht besser wäre ein Gerät anzuschaffen, welches zwar teurer
ist, dafür aber auch sicherer.
Live Hacking
THEMA 2
W-LAN HACKING
Im zweiten Teil der Präsentation
wurden uns die Tücken des W-Lans
und auch im Speziellen der WEP
Verschlüsselung nähergebracht. In
erster Linie sollte man sich von den
zahlreichen Irrglauben verabschieden, welche nach wie vor in der
Allgemeinheit ihren angestammten
Platz finden.
ERSTER IRRGLAUBE - MACS:
MAC Authentifizierung ist sicher.
Eine MAC ist einmalig und in die
Hardware fest integriert.
ZWEITER IRRGLAUBE - WEP:
WEP Verschlüsselung ist sicher
WEP ist ein einmaliger Schlüssel
werden Sie am Ende von W-Lan
Hacking aufklären, wie sie sich
größtmöglichen Schutz ins Haus
holen (allerdings gibt es keinen
100% Schutz).
Bevor wir uns jedoch mit dem
Knacken eines WEP Schlüssels
näher befassen, beginnen wir wieder mit den Basics, den einfachsten
Varianten, Zugang zu einem WLAN ohne WEP Verschlüsselung zu
erhalten.
MAC-ADRESS SPOOFING
Viele Betreiber eines W-Lans benutzen die “eindeutige” Erkennung eines geduldeten Clients per
MAC-Adresse. Dies lässt sich in
HK - Magazin
der Praxis sehr einfach realisieren, indem man die eigenen W-Lan
Karten vergibt und deren MAC-Adressen im Router speichert.
Somit werden vom Access Point
(Router) nur jene Clients akzeptiert, die eine passende MAC Adresse vorweisen können. Es wird also
Missbrauch von anderen Clients
entgegengewirkt.
Tatsächlich? Bei näherer Betrachtung und etwas KnowHow auf dem
Gebiet des W-Lans weiß man, dass
diese Art der Absicherung nicht
zielführend ist.
Was wir benötigen um in so ein
Netz einzudringen ist also eine
zugelassene MAC Adresse. Dazu
verwenden wir im Internet frei erhältliche Tools wie Kismet und
macchanger. Kismet dient uns als
Werkzeug zum Aufspüren von verfügbaren W-Lans. Die Farbe der
Namen lässt uns erkennen, ob ein
Netz verschlüsselt ist oder nicht.
Wir suchen uns das gewünschte
Zielobjekt und sehen uns dieses
etwas genauer an.
Kismet zeigt uns sofort die Clients,
welche dieses Netz benutzen an,
mit der von ihnen genutzten IP und
die MAC Adresse der W-Lan Karte.
(Im How To bekommen Sie eine
detailliertere Einführung)
Die Schlussfolgerung ist eine einfache, wir werden uns eine der angeführten MACs aneignen und somit Zugang zu dem W-Lan erhalten.
Dazu verwenden wir das Tool macchanger, mit diesem wieder frei erhältlichen Werkzeug kann man die
eigene MAC Adresse ändern.
Der Gewinner sollte nun derjenige
sein, der am nächsten zum Router positioniert ist. Wir können uns
nun auf Kosten des Betreibers frei
im Internet bewegen.
WEP-KEY
KNACKEN
Bevor wir uns der Praxis des WEPKey Knackens widmen, werde ich
Ihnen einen kleinen Einblick in die
Theorie des WEP-Keys bieten.
Am Anfang gab es den 64-Bit Key
und etwas später den 128-Bit Key.
Ab hier werde ich nur noch vom
15
Live Hacking
128-Bit Key sprechen, alles was ich
behandle ist aber auch für den 64Bit Key gültig.
Der erste Eindruck, man habe eine
128Bit Verschlüsselung, ist nicht
ganz richtig, tatsächlich sind es
nur 104 Bit.
Denn der WEP Key besteht “nur”
aus einem 104 Bit Schlüssel, die
restlichen 24 Bit sind eine Zufallszahl, welche der RC4 Algorithmus
benötigt. Diese Zufallszahl wird
Initialization Vector (IV) genannt.
Im RC4 liegt auch das grundlegende Problem der WEP Verschlüsselung. Jedes Paket wird mit einem
neuen Key verschlüsselt (also unser
“Passwort” mit einer neuen Zufallszahl).
Da die Verschlüsselung des RC4
nur 2^24 Kombinationen zur Verfügung hat, genügt es lange genug
Pakete mitzusniffen um den Key zu
knacken. Laut Aussage des Vortragenden wurde in ihren den Testlabors nie mehr als 500MB Traffic
benötigt um selbst den kompliziertesten Key zu knacken.
Zusätzlich weiß man noch, dass der
RC4 auch schwache 24Bit Zahlen
für die Verschlüsselung verwendet (weil es eh schon so wenige
gibt). Werden nun solche Zahlen
verwendet, kann man schon durch
einfache Algorithmen Teile des
WEP Keys erfahren. Manche neuere
Geräte sortieren inzwischen die
schwachen Zahlen aus, jedoch bei
weitem noch nicht alle Geräte.
Durch die Kombination dieser 2
Angriffe benötigen manche Tools
nur noch 10-15 Millionen Pakete.
Um den WEP-Key zu ermitteln
werden kostenlose Programme
wie wepcrack oder wepattack verwendet. Im folgenden Artikel,
welcher ein How-To zu den von
mir genannten Programmen beinhaltet, wird darauf etwas näher
eingegangen. Wenn man WEP Verschlüsselung verwendet, sollte man
also sehr häufig (je nach Traffic)
das Passwort des WEP Keys ändern.
Hat man jedoch die technischen
Voraussetzung für WPA (Wi-Fi Protected Access), sollte man unbedingt WPA verwenden, diese wird
als sichere Variante der WEP Ver-
schlüsselung angepriesen.
Ich möchte aber nicht unerwähnt
lassen, dass es auch für WPA bereits ein Tool gibt, welches erfolgreich WPA-Keys knackt. Der Name
ist wpacracker, um sich gegen
dieses spezielle Tool zu schützen,
sollte man keine schwachen Passwörter zulassen, denn nur dann
ist ein Angriff erfolgreich. Dieser
Angriff ist außerdem nur in Netzen, die im PSK Modus (Pre-Shared
Key) laufen, erfolgreich, Netze, die
im Enterprise Modus laufen, sind
davon nicht betroffen.
W-LAN STÖRSENDER
Zu guter Letzt möchte ich noch auf
die wohl unangenehmste Art und
Weise eingehen ein Netz anzugreifen, den W-LAN Störsender. Derzeit gibt es keine Mittel und Wege
einem W-Lan Störsender entgegen
zu wirken, da weder Verschlüsselung noch andere technische Mittel
etwas dagegen unternehmen können. Der Angreifer ist nur darauf
aus den Betrieb zu stören und eine
Benutzung des W-Lans unmöglich
zu machen. Je nach Qualität des
AccessPoints dauert es mehr oder
weniger lange, bis kein stabiler Betrieb mehr möglich ist.
Folgend sind ein paar Sicherheitsvorschläge, welche technisch nicht
immer durchführbar sind, vor allem
nicht für einen Privatanwender dem
die Ausrüstung dazu fehlt. Aber sie
sind ein guter Anhaltspunkt, auf
dem man aufbauen kann. Dass
eine 100%ige Absicherung (noch)
nicht gegeben ist, sollte man sich
vor Anschaffung eines W-Lan vor
Auge halten. Und dass man selbst
bei der bestmöglichen Absicherung
keine Mittel gegen einen Störsender hat.
Der Vortrag auf der Systems neigte
sich nach 1,5h dem Ende zu und
inspirierte mich diesen Artikel zu
verfassen, der Ihnen einen Eindruck vermitteln sollte, wie unsicher manche Anwendungen noch
sind und wie man sich bestmöglich
absichert.
Harald Fürlinger
SICHERHEITSMASSNAHMEN
- SSID Broacast abstellen
- Sendebereich einschränken durch Regelierung der
Sendeleistung, um eine “Mithören” außerhalb des Firmengeländes zu vermeiden
- fixe IP-Adressen anstelle von DHCP
- Verwendung von WPA Verschlüsselung (sichere Passwörter zwingend erforderlich, Enterprise Modus)
- eventuell zusätzliche MAC-Adressen Zugangskontrolle
- Admin Zugang sollte direkt und nicht über Netzwerk
erfolgen, vor allem nicht über W-Lan
HK - Magazin
16
W-Lan Hacking HowTo
WirelessLAN Hacking in der Praxis
Die Erkenntnisse zum Thema
WLAN-Hacking aus dem Artikel
„Live Hacking“ werden wir nun in
die Praxis umsetzen. Zunächst einmal zu den Grundlagen: Die meisten
und besten Tools gibt es für Linux.
Wenn man noch kein Linux installiert hat, macht das auch nichts.
Es gibt so genannte LiveCDs, die
Linux von einer CD starten, ohne
etwas auf der Festplatte zu installieren. Man kann also z.B. KnoppixSTD1 verwenden. Gegenüber dem
bekannten, normalen Knoppix enthält es viele sicherheitsrelevante
Programme, darunter einige im Artikel verwendete.
Man muss jedoch auch dazu sagen,
dass nicht alle Wireless-Karten unter Linux gleich gut funktionieren, manche funktionieren zwar,
allerdings kann man sich mit ihnen
nur zu einem Netzwerk verbinden, allerdings kann man sie nicht
in den Monitor-Modus versetzen,
welcher benötigt wird, um WirelessLAN Netze auszuspionieren.
Eine Aufstellung über alle Chipsätze findet man unter2.
Am besten funktioniert das mit
PCMCIA-Karten mit Orinoco oder
PrismII-Chipsätzen. Diese haben
allerdings den Nachteil, dass sie
noch den alten Standard 802.11b
benutzen (11 Mbit/s) und man hier
schwer ein WLAN mit dem neuen
Standard (802.11g, 54 Mbit/s)
hacken kann. Oder man wählt eine
Karte mit einem Prism54-Chipsatz,
die auch mit dem neuen Standard
zurechtkommt. Bei diesen Karten ist
die Unterstützung unter Linux auch
recht gut, es werden die meisten
Karten unterstützt3. Weiters gibt es
auch seit kurzem die Möglichkeit,
die eingebauten WLAN-Karten der
Centrino-Notebooks zu verwenden
(mit Hilfe des Windows-Treibers).
Dies ist allerdings etwas kompliziert
und ist eher nur etwas für LinuxVersiertere. Für manche Karten
benötigt man u.U. einen Patch, um
die Karte in den Monitor-Modus
schalten zu können. Außerdem von
Vorteil ist eine externe Antenne für
eine bessere Reichweite, die man
entweder kaufen kann oder selbst
basteln kann (Anleitungen findet
man im Internet). Aber Vorsicht,
nicht an allen Karten kann man externe Antennen anschließen!
Wenn man nun eine WLAN-Netzwerkkarte sein Eigen nennt und
ein lauffähiges Linux hat, kann
es losgehen. Was an dieser Stelle
noch erwähnt werden sollte, dass
es auch für Windows ein Tool gibt,
das Wireless Netzwerke aufspüren
kann (Netstumbler), jedoch findet es keine Netzwerke, die ihre
eigene SSID nicht aussenden, und
man kann den Traffic der Netzwerke nicht direkt mitlesen, sondern
eben nur die Netzwerke finden.
Das Standard-Tool um Netzwerke
unter Linux aufzuspüren heißt Kismet4. In der Konfigurationsdatei
(meist unter /etc/kismet/kismet.
conf) muss man den Treiber anpassen und den Benutzer, unter
dem Kismet laufen soll, angeben.
Das sieht dann z.B. so aus:
zum Starten root-Rechte benötigt,
aber dann aus Sicherheitsgründen
zu einem normalen User wechselt.
Nach dem Start von Kismet erscheint eine Willkommensnachricht,
die man mit SPACE quittieren kann.
Danach wartet man ein paar Sekunden und Kismet findet (hoffentlich)
schon die ersten Netzwerke. Unten
auf dem Bildschirm werden Statusmeldungen ausgegeben, rechts ist
eine Statusanzeige mit der Anzahl
der Netzwerke, Anzahl der Pakete
etc. Bei der Anzeige der Netzwerke
gibt es grüne Netzwerke (WEP-Verschlüsselung), gelbe (keine WEPVerschlüsselung) und blaue (Netzwerke mit versteckter SSID) sowie
rote (Netzwerke mit einer DefaultKonfiguration).
Wenn man sich mit Kismet nun
die Details von einem Netzwerk
ansehen muss, ist es erforderlich
die Netzwerke zuerst zu sortieren (standardmäßig ist AutoFit
eingeschaltet, hier kann man keine Netzwerke auswählen). Dazu
drückt man s für Sortieren und
wählt eine Art der Sortierung aus.
Ich wähle meist s
für die SSID. Dann
...
# User to setid to (should be your normal user)
kann man durch die
suiduser=juergen
Netzwerke navigie# Source are defined as:
ren und sich mit i
# source=cardtype,interface,name[,initialchannel]
bzw. c die Inforsource=orinoco,eth0,orinocosource
...
mationen zu einem
Netzwerk bzw. die
Codeauszug 1 - /etc/kismet/kismet.conf
Clients im entsprechenden
Netzwerk
ansehen. Mit q
Das sind eigentlich die beiden
verlässt
man
jeweils
das Fenster.
wichtigen Parameter in der Datei.
Wenn
man
sich
die
Clients
ansieht,
Bei der Source muss man ev. etkann
man
auch
die
Mac-Adresse
was herumspielen, bis man den
richtigen Wert gefunden hat. Wenn der einzelnen Clients sehen. Falls
in Ihrem PC oder Notebook zwei es sich um ein Netz mit MAC-AdNetzwerkinterfaces sind, müssen ressenfilterung handelt, ändert
Sie ev. statt eth0 eth1 verwenden. man seine MAC einfach auf die
Starten muss man Kismet allerd- eines authorisierten Clients. So:
ings als root ohne weitere Parame- Keine Sorge, die Netzwerkkarte
ter und zwar in einem Verzeichnis,
maria:/# ifconfig eth0 hw ether xx:xx:xx:xx:xx:xx
in dem der User,
Codeauszug 2 - Änderung der MAC-Adresse
den man in der
Konfiguration angegeben hat, Sch- merkt sich die Mac-Adresse nicht
reibrecht hat (z.B. /tmp). Das ist und spätestens nach einem Neusdeswegen erforderlich, da Kismet tart haben Sie wieder Ihre alte MacHK - Magazin
17
W-Lan Hacking HowTo
Abbildung 1 - Kismet findet Wirelessnetze
Adresse.
Wenn man sich jetzt ein Netzwerk
genauer ansehen möchte, markiert
man das Netzwerk und drückt L. Es
gibt nämlich insgesamt 13 Kanäle
und Kismet hüpft ständig zwischen
den Kanälen hin und her, damit es
auch alle Netzwerke findet. Mit L
fixiert man den Kanal und empfängt
nun nur mehr die Pakete von einem
bestimmten WLAN. Wenn es sich
um ein unverschlüsseltes Netzwerk
handelt, kann man nun z.B. Ethereal5 starten, mit dem man sich die
Pakete näher ansehen kann.
Handelt es sich um ein verschlüsseltes Netzwerk, braucht man etwas Geduld. Man braucht eine
bestimmte Anzahl an Paketen um
den WEP-Schlüssel zu knacken.
Hierbei gibt es zwei verschiedene
Möglichkeiten. Manche AccessPoints erlauben eine Eingabe des
WEP-Schlüssels als ASCII-Kombination (anstatt der Hexadezimal-Werte). Hier ist oftmals eine
Wörterbuchattake am schnellsten
und es empfiehlt sich der Einsatz
von wepattack.
Eines vorweg: Kismet loggt alle
seine Aktionen. Die Dateien heißen
in etwa:
/tmp/Kismet-MMM-DD-YYYY-X.*
(Wobei MM für Monat, DD für den
Tag und YYY für das Jahr steht. X
bezeichnet eine fortlaufende Zahl
an einem einzigen Tag). Kismet
speichert eine Liste aller gefundenen Netzwerke als .xml, als .csv
(für den Import in Excel) und als
reines Text-File (.network). Außerdem speichert es einen kompletten
Paketdump (.dump), den man mit
Etheral, wepattack oder aircrack
analysieren kann.
Widmen wir uns nun wieder wepattack6. Man benötigt zusätzlich zum
eigentlichen Programm eine Datei,
welche das Wörterbuch enthälta.
Die weiteren Programmaufrufe finden sie in dem Fenster weiter unten.
Führt wepattack zu keinem Ergebnis, kann man es noch mit einer
Brute-Force-Attacke
versuchen.
Das dazugehörige Programm heißt
aircrack7,b. Sollte man mehrere
verschlüsselte Netzwerke gefunden haben, kann man in der .network-Datei die BSSID des Netwerks
heraussuchen, das man entschlüsseln möchte, und diese angebenc.
Man sollte die Pakete schon über
einen längeren Zeitraum hinweg
mitsniffen, denn umso mehr Pakete man hat, desto leichter ist es,
den WEP-Key herauszufinden. Am
besten danach den Paketdump auf
einen Stand-PC kopieren, und diesen dann rechnen lassen. Hat man
den WEP-Key erfolgreich herausgefunden, kann man mit iwconfig[d]
den Key festlegen und in Ruhe
das
WEP-verschlüsselte
Netzwerk unter die Lupe nehmen oder
auf
Kosten
anderer
surfen.
Viel Erfolg und Spaß beim
Wardriving!
Roman Pertl
a. Wepattack
wepattack –f /home/juergen/wordlist –i /tmp/Kismet-MM-DD-YYYY-x.dump
b. Aircrack
./aircrack /tmp/Kisemet-MM-DD-YYYY-x.dump
c. Aircrack mit BSSID Angabe
./aircrack -b xx:xx:xx:xx:xx:xx /tmp/Kismet-MM-DD-YYYY-x.dump
d. iwconfig
iwconfig eth0 key xx:xx:xx:xx
1.
2.
3.
4.
5.
6.
7.
http://www.knoppix-std.org
http://www.hpl.hp.com/personal/Jean_Tourrilhes/Linux/
http://www.prism54.org
http://www.kismetwireless.net
http://www.ethereal.com
http://wepattack.sourceforge.net
http://www.cr0.net:8040/code/network
Codeauszug 3 - wepattack, aircrack, iwconfig
Links
HK - Magazin
18
Mozilla Thunderbird - GnuPG
Verschlüsselte
eMails?
Da es heutzutage kein Geheimnis
mehr ist, dass fast alle Menschen
mit einem Internetanschluss Mails
versenden und einige von denen
auch in der Lage sind die elektronische Post von anderen mitzuprotokollieren, stellen sich viele
Benutzer öfter folgenden Frage:
Was kann ich eigentlich dagegen
tun? Nun, einerseits kann man
eine verschlüsselte Verbindung zu
seinem Mail-Server aufbauen um
die Geheimhaltung der Daten zu
gewährleisten. Andererseits kann
man das E-Mail selber verschlüsseln.
Diese Möglichkeit möchte ich in
diesem Tutorial anhand eines
praktischen Beispiels unter Verwendung von Open-Source-Software erklären.
Um verschlüsselte E-Mails senden
und empfangen zu können bedarf
es einiger Vorbereitungen.
MOZILLA THUNDERBIRD
Mozilla Thunderbird sollte auf die
neueste Version, in diesem Tutorial 0.9, gebracht werden. Wenn
eine ältere Installation vorhanden
ist, diese einfach deinstallieren,
die neue installieren und wie durch
Zauberhand sind gleich nach dem
ersten Start der neuen Version wieder alle E-Mails, Kontakte, Newsgroups, etc. vorhanden wie in der
alten, da Thunderbird das Profil
extern abspeichert um eben dieses Feature zu gewährleisten und
möglicherweise um das Exportieren/Importieren zu vereinfachen,
weil man alle notwendigen Dateien
auf einem Fleck findet. Eine Standard-Installation reicht vollkommen aus, und falls kein E-Mail-Account importiert wurde, sollte man
sich einen anlegen, das sonst das
Versenden von E-Mails sehr problematisch werden könnte.
WINDOWS PRIVACY TOOLS
Weiters müssen die Windows Privacy Tools (kurz: WinPT) installiert
werden. Dieses Programm wird für
die Verschlüsselung und die digitale
Signierung von Daten verwendet.
Es basiert auf GnuPG1 (Gnu Privacy
Guard) und ist frei verfügbar für
den kommerziellen und privaten
Gebrauch. Für unser Vorhaben ist
vor allem das WinPT Tray interessant, welches wir in weiterer Folge
als Unterstützung für unser Plugin
im Mozilla Thunderbird brauchen
werden. Unter anderem kann es
auch Daten, die auf der Festplatte
residieren, ver- und entschlüsseln,
so dass nur der Besitzer des Keys
lesenden Zugriff auf diese Daten
hat.
Also heißt es nun WinPT herunterladen, ich habe für dieses Tutorial Version 1.0rc2 gewählt, und
installieren. Die Sprache beim Installationsassistenten je nach Belieben wählen und aufmerksam die
Lizenzvereinbarung durcharbeiten.
Wenn das Fenster „Choose Components“ erscheint, ist es nahe liegend, dass man unter E-Mail Plugins
unser E-Mail Client findet … weit
gefehlt, natürlich wird dieser nicht
unterstützt, sondern nur Microsofts
Outlook und Eudora. Bei den AddOns kann man optional die „WinPT
Explorer Extensions“ anhaken, um
wie zuvor besprochen Daten auf
der HD zu verschlüsseln. Für ver-
HK - Magazin
schlüsselte E-Mails ist dieses Feature allerdings nicht essentiell, also
jeder wie er will. In weiterer Folge
kann man WinPT noch spezifische
File-Extensions zuordnen und einen Ordner auswählen, in dem die
Keys gespeichert werden sollen.
Weiters sollte man auf jeden Fall
das Tray Icon installieren, allerdings ist es wieder jedem freigestellt, ob er ein Desktop-Symbol und
ähnliches haben möchte (auch das
Tray Icon muss nicht unbedingt
sein, aber ich persönlich halte es
für sehr praktisch). Nach der Installation sollte man WinPT starten
um folgende Meldung zu erhalten.
Haben wir etwas falsch gemacht?
Nein. Das Programm möchte uns
nur mitteilen, dass es keine vorhandenen „GPG keyrings“ vorgefunden
hat. Wir fahren also mit der Konfiguration fort und wählen entweder
aus, dass wir bereits vorhandene
GPG Keys importieren wollen oder
dass wir uns welche generieren lassen wollen. Beim Generieren bitte
wahrheitsgetreue Angaben machen
besonders im Punkto E-Mail-Adresse, da das verschlüsselte Senden
sonst nicht funktionieren wird. Bei
der Passphrase sollte man sich definitiv über 8 Zeichen halten, da sich
sonst sogar das Programm wundert, warum man solch eine kurze
Phrase verwendet und bei kurzen
19
Mozilla Thunderbird - GnuPG
Phrasen fällt eine Brute-Force-Attacke auch wesentlich leichter aus.
Nachdem die Key Generation begonnen hat, öffnet sich ein Fenster,
in dem man zusehen kann, wie der
Key generiert wird. Falls wer daraus
schlau wird, möge er sich bei mir
melden. Nach der Fertigstellung
des Keys wird darauf aufmerksam
gemacht, dass es ratsam ist seine
Keys entweder auf eine CD oder
eine Diskette zu sichern. Nun ist
die Installation fertig und wir bemerken in unserem System-Tray
ein neues Icon.
Ein Doppelklick auf dieses bewirkt, dass sich der so genannte
Key-Manager öffnet. Wie der Name
schon sagt, ist dieser für die Verwaltung von Keys verantwortlich
und sollte in der Liste dieser genau
einen Eintrag haben, nämlich den
Key, den Sie zuvor generiert haben.
Was wir jetzt machen werden, erscheint zu jetzigem Zeitpunkt noch
sinnlos, wird aber im weiteren Verlauf des Tutorials noch mal sehr
wichtig. Also Rechtsklick auf den
Key, „Sign“ auswählen, das Häkchen
neben „Sign local only entfernen“,
Passphrase eingeben und auf OK
klicken. Bei erneutem Rechtsklick
wählen Sie diesmal „Send to Keyserver“ und wählen einen beliebigen, oder wenn man sich nicht entscheiden kann, einfach den default
Keyserver. Da sich die Keyserver
gegenseitig synchronisieren, sollte
der Key bald auf jedem der Server
stehen. Ich werde später darauf
zurückkommen, was es mit diesem
Prozedere auf sich hat.
lation ist undenkbar simpel. Nach
dem Download des Plugins2 Thunderbird öffnen und unter Tools ->
Extensions -> Install, die soeben
heruntergeladene Datei auswählen.
Natürlich sollten Sie nur Software
von Quellen installieren, denen Sie
trauen und auch wenn Mozilla dieser Quelle nicht traut, tun wir es,
also installieren wir weiter. Nach
der Installation folgen Sie der Aufforderung und starten den MailClient neu. Nun sehen Sie erneut
die Extensions an und sehen hoffentlich folgendes Bild.
Durch Doppelklick auf die soeben installierte Extension können wir diese nun konfigurieren.
Das Wichtigste dabei ist, dass der
„GnuPG executable Path“ angegeben wird. Dieser befindet sich im
Programmverzeichnis von WinPT
unter GnuPG. Hier wählen wir die
gpg.exe aus und bestätigen. Man
kann hier noch einige Einstellungen vornehmen, auf die ich aber
nicht näher eingehen werde.
Wenn wir nun eine neue Nachricht
erstellen, erscheint ein neuer Button im Menü.
Durch Klick auf diesen taucht die
Frage auf, ob der OpenGPG Support
für diese Identität aktiviert werden
soll. Natürlich soll er das.
Nun schreiben wir eine E-Mail an
ENIGMAIL
Um Mozilla Thunderbird nun dazu
zu bringen auch wirklich mit dem
eben erstellten Key verschlüsselte
Mails zu versenden, müssen Sie
den Mail-Client um ein kleines,
aber feines Plugin erweitern – Enigmail. Für dieses Tutorial habe ich
die derzeit neueste Version, nämlich 0.89, verwendet. Die Instal-
HK - Magazin
jemanden, der dieses ganze Prozedere schon hinter sich hat, also bereits verschlüsselte Mails senden,
empfangen und dann natürlich vor
allem auch entschlüsseln kann,
um unsere Konfiguration zu testen. Dazu wird durch den erneuten Klick auf die neue Schaltfläche
„Sign message“ und „Encrypt message“ aktiviert, was bewirkt, dass
die Nachricht, die im weiteren
Laufe verfasst wird, signiert und
verschlüsselt wird. Nach der Fertigstellung der E-Mail versuchen
wir diese zu versenden und bemerken, dass sich ein Fenster öffnet, in dem „Recipient not found“
steht. Will heißen, dass wir zum
Verschlüsseln einer E-Mail, die wir
an jemanden versenden wollen, den
Public Key der Person benötigen.
Nun, nichts leichter als das. Die
einfachere Version ist, dass man
über die Schaltfläche „Download
missing keys“ diesen automatisch
nach der Angabe eines Keyservers
importiert. Nach dem Anhaken des
richtigen Users wird der Empfänger
nun in dieser Liste angezeigt und
wir bestätigen mit OK. Nun müssen wir nur noch die Passphrase,
die man sich hoffentlich gemerkt
hat, eingeben und dann macht sich
ein E-Mail voll mit unlesbarem Text
auf den Weg.
Die etwas kompliziertere Version
ist, dass man über den Key Manager von WinPT im Menüpunkt Keyserver einen Server aus der Liste
auswählt, im Eingabefeld entweder
die E-Mail-Adresse oder die KeyID,
die man zuvor in Erfahrung bringen muss, des zukünftigen Empfängers angibt und dann die Suche
startet. Dann sollte dieses Fenster
erscheinen.
20
Nach dem Klicken auf „Receive“ erscheint ein Fenster mit der Nachricht „Key ‚XXXXXXXX’ successfully
received and imported“. Jetzt kann
man eine verschlüsselte Nachricht
an diese Person schicken, da man
nun seinen Public Key im Key Manager von WinPT gespeichert hat.
Der Empfänger erhält die E-Mail
und muss nun mit seiner Passphrase (Zugang zum Private Key
wird nur mit der richtigen Passphrase erlaubt) diese entschlüsseln
und kann nun die Nachricht lesen.
Im Kopf der Nachricht, die Mozilla
Thunderbird erstellt, wo Absender,
Empfänger usw. angeführt sind,
befindet sich nun eine neue Schaltfläche in Form eines Schlüssels.
Mit deren Hilfe kann der Empfänger nun den Key des Absenders, in
diesem Falle von uns, in den Key
Manager importieren und auch an
uns verschlüsselte E-Mails senden.
Wenn dieser allerdings diesen Button nicht verwenden will, kann er
auch unseren Key über den Key
Manager von WinPT auf bereits beschriebene Art verwenden. Deshalb
haben wir weiter oben unseren Key
W-Lan Hacking HowTo
auf einen der Keyserver hochgeladen um eben dies zu ermöglichen.
Aber warum haben wir ihn zuvor
signiert?
Nun, das hat folgenden Grund. Angenommen, es gibt Leute, die Spaß
daran haben für andere Leute oben
angesprochene Keys zu generieren
und diese auf die Server hochzuladen. Nun gibt es plötzlich zwei
Personen mit identem Namen. Aber
woher soll man wissen, dass man
die richtige Person wählt?
Durch eine Signatur kann man die
Echtheit von der Zusammengehörigkeit von Key und Person garantieren. Wenn man sich nur selber seinen Key “signed”, bringt das
selbstverständlich rein gar nichts.
Doch wenn sich Bekannte von uns
überzeugt haben, dass wir wirklich
die Person sind, für die wir uns
ausgeben, signieren sie mit ihrem
Key auch noch den unsrigen und
laden den signierten Key auf einen
Keyserver. Der Ablauf beim Signieren ist derselbe wie der, der schon
bei der Installation von WinPT angesprochen wurde, nur dass jetzt
HK - Magazin
andere Keys signiert werden. Desto
mehr Signaturen von anderen Personen sich bei einem finden lassen,
umso sicherer kann man sein, dass
die Person wirklich diejenige ist,
die man sucht. Aber ganz sicher
kann man auch dann nicht sein,
da sich ja jemand 20 Identitäten
mit Keys anlegen könnte und mit
diesen 20 jeweils seine eigenen
Keys signieren könnte. Um in
Erfahrung zu bringen, wie viele
Personen unseren Key schon
signiert haben, öffnen wir einfach
die Homepage eines Keyservers3
und suchen nach unserer KeyID.
Wichtig dabei ist unbedingt „0x“
vor die ID schreiben, da es sich um
einen Hexadezimalwert handelt,
und sonst nach einem falschen
Key gesucht wird.
Frohes Verschlüsseln!
Dirk Wallerstorfer
1. www.gnupg.com
2. enigmail.mozdev.org
3. zb. wwwkeys.at.pgp.net
Links
21
Das Server-Tagebuch Teil 1
Dieses HowTo erfordert grundlegende Kenntnisse über Linux und
die Archtitektur und funktionsweise
von Betriebssystemen. Wer über
keine diesbezüglichen Grundkenntnisse verfügt dem sei nahegelegt,
sich diese vor Lesen dieses Howtos
anzueigenen.
Das vorliegende HowTo beschreibt
das Einrichten eines Servers mit
Debian “from scratch” und behandelt folgende Themen:
TEIL 1 -
MUST HAVE
Basisinstallation
System Hardening
TEIL 2 -
SERVICES
FTP
Samba
DynDNS
TEIL 3 -
NICE TO HAVE
Software-Raid
Hardware-Raid
Logical Volume Management
von den Autoren empfohlene Begleitliteratur
http://www.openoffice.de/linux/buch/
BASISINSTALLATION
Zu Beginn empfiehlt es sich das
BIOS den Ansprüchen entsprechend einzustellen. Aus sicherheitsrelevanten Aspekten gehört
dazu insbesondere das Vergeben
eines Passworts, das Achten auf die
Bootreihenfolge und dergleichen.
Zum Beginnen der Installation von
Boot CD einlegen und als Option
idealerweise “expert26” (für eine
sehr detaillierte Konfiguration der
Installation und für die Verwednung
des 2.6er Kernels) wählen. Für dieses HowTo wurde die Debian CD
“gnu/Linux testing “sarge” - official
netinstall snapshot i386 binary-1
20040430”
verwendet.
Nach dem Folgen der Anweisungen
des grafischen Installers die jeweils
erforderlichen Module auswählen.
Nach diesem nicht ganz so aufwenigen Part ist die Basisinstallation
abgeschlossen. Auf zu den komplexeren Dingen.
Nach dem obligatorischen Neustart
startet debconf, wo folgende grundlegen Einstellungen vorgenommen werden:
richtige Zeitzone setzen, enable
shadow-pwd, apt-quelle cdrom
(sarge testing) - vorerst keine
weiteren sources,
keine
weiteren
Filesystem Mountpoint
Pakete
wählen
und (!ganz wichext2
/boot
tig!) unter keinen
ext3
/
Umständen dseswap
lect oder tasksel starten. AnreiserFS
/var
schließend
apt
reiserFS
/tmp
ext3
/usr
konfigurieren
ext3
/home
mittels apt-setup. Dabei die
Die erkannten Module kann man
normalerweise lassen. Mesitens
tritt ein Problem mit der NIC auf,
welches getrost ignoriert werden
kann, da es zu einem späteren
Zeitpunkt automatisch funktionieren wid. Nun sollte man das Netzwerk wie gewünscht konfigurieren
(IP, Subnet, GW, DNS, hostname,
Domain). Wir empfehlen folgendes
Partitionsschma:
Partitionstyp
Größe
primary
primary
primary
extended
logical
logical
logical
logical
20 MB
1 GB
256 MB
2 GB
1 GB
2 GB
Rest
HK - Magazin
22
gewünschten / verfügbaren Sources auswählen (es wird automatisch
ein apt-get update durchgeführt)
und die neuen Pakete einlesen mit
apt-get upgrade und apt-get distupgrade.
Für die später folgenden Schritte,
sowie generell sind folgende Pakete unbedingt nötig und sollten
daher (mit apt-get install) installiert werden:
ncftp, wget, patch, less, kernelpackage, libc6-dev, gcc, debianutils, make, libncurses5-dev, mc,
hdparm, ssh
SYSTEM HARDENING
Um dem Server eine gewisse
Ästethik zu verleihen, sowie aus sicherheitsrelevanten (und anderen)
Gründen sollt man das System in
jedem Fall einem Hardening unterziehen.
KERNEL
Das Server-Tagebuch Teil 1
WICHTIG: “Advanced Partition Selection” darf nicht gesetzt sein!
Ansonsten können die ChipsetTreiber nicht fix in den Kernel
kompiliert werden, wodurch es
nicht mehr möglich ist zu booten
(Fehlermeldung: “kernel panic: vfs
unable to mount root-fs on unknown block”).
SSH
Zur Fernwartung des Systems empfiehlt es sich in jedem Fall auf SSH
zurückzugreifen. Mit “apt-get install” SSH installieren, bei der Konfiguration unbedingt “allow ssh2
only” wählen!
Beispiel für FSTAB
# /etc/fstab: static file system information.
#
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc defaults 0 0
/dev/hda1 /boot ext2 ro,noauto,noatime 0 2
/dev/hda3 none swap sw 0 0
/dev/hda2 / ext3 noatime 0 1
/dev/hda7 /home/ ext3 noatime,nodev,nosuid 0 2
/dev/hda5 /var reiserfs noatime,nodev 0 2
/dev/hda6 /tmp reiserfs noatime,nodev,nosuid 0 2
KOMPILIEREN
Der erste, unausweichliche Schritt
dazu ist sich einen Kernel zu kompilieren. Der Kernel ist das Herz
des Betriebssystems. Um einen
funktionierenden Kernel zu kompilieren, ist ein sehr gutes Verständnis der Materie (Hardware, Linux,
Betriebssysteme) und etwas Erfahrung sowie viel Trial-and-Error und
Geduld nötig. Wer nich weiß,was
ein Kernel ist bzw. was ein Kernel
tut, der sollte nun aufhören dieses HowTo zu lesen und sich das
Linux-Kernel-HowTo zu Gemüte
führen. Alle anderen lesen weiter
und führen folgende Schritte aus:
wechsel mit „mount -o remount,rw
/boot“ schreibbar gemacht. Hinterher sollte nicht vergessen werden,
mit „mount -o remount,ro /boot“
diese Partition wieder read-only
einzuhängen! Der Rest besteht aus
Journaled Filesystemen, wodurch
kein Filesystem-Check nötig ist (/
boot als einzige ext2-Partition ist
read-only und braucht daher auch
nicht geprüft werden) und das System auch nach hartem Ausschalten
innerhalb einer Minute wieder online ist. /tmp und /var können nie
gleichzeitig volllaufen, während
sich durch die relativ kleinen Partitionsgößen der Verschnitt in Grenzen hält. Durch die Lage der Swappartition und /var in der Mitte der
Platte sollten Zugriffe aufgrund
kürzerer Bewegungen des Festplattenkopfs recht effizient erfolgen. Zugunsten der Systemsicher-
Der Datei fstab kommt im Hinblick
auf Security besondere Bedeutung
zu, da neben der statischen FS-Information, auch noch zugriffspezifische Optionen definierbar sind.
Diese sollen im Folgenden erläutert
werden. Die Autoren empfehlen die
obige Verwendung der Optionen
aus folgenden Gründen:
/boot ist in der Regel read-only gemountet und wird nur beim Kernel-
- aktuellen Kernel herunterladen
zB. kernel-source-2.6.5
- diese entpacken in /usr/src/
tar -xvf kernel-source-2.6.5
- Symbolischen Link setzen
ln –s /usr/src/kernel-source-2.6.5/ /usr/src/linux
- cd /usr/src/linux
- alle Kernel-Einstellungen vornehmen
make menuconfig
- den Kernel kompilieren
make && make modules_install
- boot-Partition mounten
- cp arch/i386/boot/bzImage /boot/kernel-265
- /boot/grub/menu.lst editieren und einen Eintrag für den neuen Kernel hinzufügen
title DEBIAN LINUX Kernel 2.6.5
root(hd0,0)
kernel /kernel-265 root=/dev/hda2 ro
heit sind
/tmp mit noatime,nodev,nosuid
/var mit noatime,nodev und
/home (sowie alle weiteren
ftp-verzeichnisse später) mit
noatime,nodev,nosuid
gemountet.
UNNÖTIGE SERVICES
ABSCHALTEN
Prinzipiell gilt: je weniger Services
laufen, desto weniger komplex gestaltet sich das System (und somit auch dessen Administration).
Insgesamt verringert sich dadurch auch die Anzahl der Sicherheitslücken. Dazu sind folgende
Schritte erforderlich:
- mit pstree laufende Prozesse
anzeigen
- nmap installieren und auf den
Server “ansetzen” (um zu sehen
welche Ports offen sind)
nmap localhost
HK - Magazin
23
Das Server-Tagebuch Teil 1 / HK - History
- mit apt-get remove portmap, pcmcia-cs, pppoe, ppp, etc. (was
eben unnötigerweise läuft) die
nicht gewünschten Services deinstallieren
- /etc/inetd.conf editieren und
alles auskommentieren und
inetd neu starten
- nach einem erneuten: nmap localhost sollte (zur Zeit) nur mehr
ssh (Port 22) offen sein
- den Start der restlichen unnötigen Dienste verhindern durch
Löschen der Symlinks in den jeweiligen Run-Levels (rc.0,1,2,etc.)
- keine unötigen Module laden:
dazu editieren von /etc/discover.conf,
/etc/default/discover,
-
-
etc/init.d/modutils,
/etc/modules.conf, /etc/modules, ... (jene
-
harden-environment
Dateien, aus denen die verbleibenden Startskripte ihre Informationen beziehen)
-
harden-servers
SONSTIGES
-
Unter Umständen empfiehlt sich
noch - je nach Geschmack - der
Einsatz folgender Tools:
-
harden-tools
Tools, die die System-Sicherheit
erhöhen (Integritäts-Überprüfer,
Eindringlingserkennung, KernelPatches...)
Hilft eine abgesicherte Umgebung zu konfigurieren (derzeit
leer)
entfernt Server, die aus irgendeinem Grund als unsicher gelten
harden-clients
entfernt Clients, die aus irgendeinem Grund als unsicher
gelten
harden-remoteaudit
Tools um Systeme aus der ferne
zu überprüfen
- weiters: aide, logcheck, sudo,
tripwire, logtail
... to be continued
Martin Brunner
Stefan Streichsbier
Es war einmal ...
Die Geschichte des Hagenberger Kreises
Den Fortschritt verdanken die Menschen den Unzufriedenen.
Aldous Huxley (1894-1963), engl. Schriftsteller
Der kleine Studiengang Computerund Mediensicherheit war von Beginn an eine größere Familie. Auch
Familienfeste waren üblich. Ein
großer Teil der Studenten waren
auch treue Besucher dieser Feste.
anderen kommuniziert. Die Idee
fand sofort große Zustimmung bei
Studentenschaft und der Leitung/
Vortragenden von CMS.
KREATIVES FAMILIENFEST
Noch vor den Weihnachtsferien
wurden die Pläne konkretisiert und
bald kristallisierte sich ein aktiver Kernkreis von Studenten heraus - im Wesentlichen der spätere
Vorstand. Die erste große Aufgabe
war die Statuten festzulegen und
somit auch die Grundprinzipien
des Vereins.
Das erste große Lebenszeichen gab
der Verein am 11. Februar 2002
von sich. 19 Studenten und Vortragende beteiligten sich an der
Gründungssitzung. Es wurden die
Statuten fixiert und die weiteren
Schritte festgelegt. Weiters wurden
auch die 3 Grundziele fixiert:
- die Förderung der Studenten
des Lehrgangs CMS oder diesem nachfolgender Lehrgänge in
studienmäßiger, ideeller, finan-
Man schrieb den 6. Dezember 2001.
Viele der damals insgesamt 36
Studenten von CMS trafen sich, um
Nikolo zu feiern. Natürlich konnten
es viele auch in der Freizeit nicht
lassen, über das Studium und das
Umfeld in Hagenberg zu sprechen.
Man war sich einig, dass es noch
Verbesserungspotential gab. Der
Studiengang war nach außen kaum
bekannt und für Studenten gab es
zu wenig Freizeitangebot.
Ein halbes Dutzend Studenten hatte
daher die Idee, sich zu organisieren und einen Verein zu gründen.
Aus der Euphorie dieses Abends
wurden dann erste konkrete Aktionen gesetzt und die Absicht mit
DIE GEBURT
HK - Magazin
zieller, sportlicher und kommunikativer Hinsicht
- die Hebung des allgemeinen Sicherheitsbewusstseins im Hinblick auf die Informations- und
Telekommunikationstechnologie
- die Förderung des Studienstandortes Hagenberg
Besondere Unterstützung bekamen
die Studenten in dieser Phase von
Dr. Hickisch, der die Statuten aus
rechtlicher Sicht perfektionierte.
Die Motivation war groß und ein
Großteil der Anwesenden bei der
Gründungssitzung erklärte sich
bereit, aktiv mitzuarbeiten.
Der Autor wurde als Proponent für
die offizielle Einreichung zur Nichtuntersagung bestimmt und diese
wurde in Folge durchgeführt. Zuvor
24
HK-History
wurde noch in einem Voting der
Name „Hagenberger Kreis“ gewählt
und offiziell durch den Zusatz „zur
Förderung der digitalen Sicherheit“
ergänzt. Bald wurde der Bescheid
zugesandt und die Gründung war
rechtlich geschehen. In der ersten
Jahreshauptversammlung
wurden dann auch der erste Vorstand
gewählt.
ERSTE
BESCHWERLICHE
SCHRITTE
Voller Enthusiasmus wurden in einem 5 Stunden dauernden Moderations-Prozess die Grundideen
der Statuten konkretisiert und Aktionen geplant. Die ersten Monate
waren von viel Arbeit geprägt, die
zu wenig sichtbaren Ergebnissen
führte. So mussten grundsätzliche
Dinge wie Logo, Homepage oder
Infoblatt erstellt werden. Dies bedeutete viel Arbeit, ließ aber keine
Zeit für die wirklichen Ziel-Aktivitäten wie Veranstaltungsorganisation oder Festveranstaltung.
Ein großer Fehler, der in dieser Zeit
gemacht wurde, war, dass die Information vom Kernteam zu wenig
nach außen transportiert wurde. So
sahen viele Mitglieder die Arbeit
nicht, die gemacht wurde. Eiskellerfeste waren der größte sichtbare Erfolg des Vereins. Es wurden
weiters noch wöchentliche Stammtische mit mittelmäßigem Erfolg
durchgeführt.
Der Autor kann sich noch gut an
die Sitzung vom 30. April 2002
erinnern. In dieser wurde die Unzufriedenheit von den Kritikern offen und dramatisch dargestellt und
die Frage war durchaus im Raum,
welcher Zusatznutzen durch den
Verein geschaffen wurde. Von diesem Zeitpunkt an bemühte sich
der Vorstand, Informationen besser weiterzuleiten und sichtbare
Ergebnisse zu produzieren.
SECURITY FORUM
Schon von Anfang an stand die Idee
im Raum eine Veranstaltung zu ITSicherheit in Hagenberg zu veranstalten. Der Titel „Security Forum“
war auch bald gefunden und schon
sehr bald wurden auch Planungen
getroffen. Parallel zu den ungefähr
2-wöchig stattfindenden HK-Sitzungen traf sich nun das Security
Forum Team fast wöchentlich.
Anfangs war Daniel Fabian federführend - später wurden die
Anstrengungen von Thomas Brandstetter und Verena Köteles angeführt. Die Vorträge wurden geplant, Datum für September 2002
festgelegt und weitere Planungen
durchgeführt. Studiengangsleiter
DI Robert Kolmhofer unterstützte
die Bemühungen großzügig.
Leider stellte sich der Termin im
September als schlecht geeignet
heraus. Das größte Problem war
die Sommerflaute. Nicht nur, dass
die Kontaktpersonen in den Unternehmen schwer erreichbar waren, auch die Organisations-Teammitglieder waren weit verstreut.
Der Autor zum Beispiel verweilte in
Australien und bekam dort ein Mail
von Thomas Brandstetter gesandt,
das die Frustration beschrieb.
Dementsprechend wurde im August der Beschluss gefasst, die
Veranstaltung im September nicht
durchzuführen. Zwei Hauptprobleme gaben den Ausschlag: Der
österreichische Innenminister hatte
zugesagt gehabt für die Eröffnung,
aber die Regierung Blau-Schwarz I
löste sich zu dieser Zeit gerade auf.
Zweitens konnte die Finanzierung
des Projektes nicht im ausreichenden Maße sichergestellt werden.
Das Finden von Sponsoren für eine
unbekannte Veranstaltung stellte
sich als schwierig heraus.
NEUER VERSUCH
Mit diesem Dämpfer gingen die
Arbeiten im neuen Studienjahr
2002/03 weiter. Das neue Jahr
brachte aber auch neue Mitglieder: die neuen Studenten. Und 2
besonders aktive davon taten sich
hervor und wurden Vorstandsmitglieder: Barbara Fichtinger und
Barbara Schachner.
Es wurde beschlossen, die Idee
des Security Forums nicht versickern zu lassen und man fasste als
neuen Termin den 27. März 2003
ins Auge. Als Hauptverantwortliche
HK - Magazin
wurden Verena Köteles, Thomas
Brandstetter und der Autor festgelegt und zusammen mit dem
Team nahm man sich vor, aus den
Versäumnissen des ersten Versuches zu lernen.
Es stand viel auf dem Spiel. Ein
zweiter Fehlversuch hätte wohl das
Ende der Idee bedeutet und manche Mitglieder waren noch immer
nicht von der Sinnhaftigkeit des HK
überzeugt.
Die gemeinsamen Anstrengungen
trugen reife Früchte. Die Veranstaltung war ein toller Erfolg. Über
60 externe Besucher lauschten
den Vorträgen und das Feedback
war extrem gut. Nun war der HK
auch für die meisten Zweifler eine
legitime und sinnvolle Anstrengung geworden. Der 27. März war
der erste große Glanztag für den
HK. Es wurde erstmals größere
Aufmerksamkeit in der Öffentlichkeit erreicht. Für die vielen fleißigen Organisatoren und Helfer gab
es guten Grund zu feiern und dies
wurde auch intensiv bis in die Morgenstunden getan.
Nach dem Höhepunkt fand sich
beim Verein wieder der Alltag ein
und es wurden während des Jahres
wieder kleinere Brötchen gebacken. Die Anzahl der durchgeführten
Aktionen stieg aber stets an.
Mit Ende des Sommersemesters
2003 wurde im Hagenberger Kreis
ein großer Wechsel vollzogen. Der
Jahrgang 2000 von CMS begann
das Praktikumssemester und so
legten auch dessen Studenten die
Funktionen im Verein nieder. Barbara Fichtinger wurde neue Obfrau
und führte erfolgreich den HK mit
einem neuen Team durch das folgende Jahr.
Das Securityforum 2004 stellte
die Veranstaltung des vorherigen
Jahres noch einmal in den Schatten
und bereitete dem HK Medienecho
in mehreren Zeitungen. Mittlerweile ist der nächste Generationenwechsel im Gange. Für den Autor
als Gründungsobmann ist es ein
Freude zu sehen, welch lebendige
Bewegung die einstige Idee mit den
derzeit vielen motivierten Aktivisten geworden ist.
DI (FH) Wolfgang Köppl
Hagenberger Kreis
zur Förderung der digitalen Sicherheit
pA FH-Studiengang CMS
Hauptstraße 117
4232 Hagenberg
http://www.hagenbergerkreis.at
[email protected]
fax: 07236 / 3888 2599