Ob am Flughafen, im Café, bei der Zugfahrt oder im Hotel – öffentliche WLANs stellen Oasen der Netzanbindung dar und gehören mittlerweile zum Alltag eines jeden Smartphone-Besitzers. Es stellt sich jedoch die Frage, wie sicher die öffentlichen WLANs tatsächlich sind und wie sich Nutzer vor Gefahren schützen können.

Als kostenlose WLAN-Hotspots erstmals auf der Bildfläche erschienen, war das Vertrauen in die Sicherheit der Netze gering. Die Angst vor Malware und dem Ausspähen von Daten war groß und nicht ganz unberechtigt. Rechner, die sich im selben Netzwerk befinden, kommunizieren gemäß den Vorgaben des Layer 2 (Data Link Layer) des TCP/IP-Protokoll-Stacks. Hacker nutzen das Verfahren aus, um sich in die Kommunikation zwischenzuschalten – die gefürchteten MITM-Angriffe (Man in the Middle). Das 1999 von dem Hacker Dug Sonof vorgestellte Tool arpspoof beispielsweise bietet dem Rechner kontinuierlich ei- ne mögliche Verbindung zum System eines Angreifers an. Einmal angenommen, läuft der gesamte Datenverkehr über diese „Verkehrsumleitung“. Angreifer könnten DNS-Antworten fälschen, den Datenverkehr nach Log-in-Informationen ausspähen und im nächsten Schritt weitere Hacking-Tools einsetzen, zum Beispiel sslstrip.

Das vom Kryptografen und Sicherheitsforscher Moxie Marlinspike erstmals auf der Black Hat 2009 vorgestellte sslstrip entwickelte sich schnell zum Lieblingsspielzeug von Hackern. Es erlaubte Angreifern, eine Zielperson beim Browsen im Web abzufangen und die SSL-Verschlüsselung zu umgehen. Denn sslstrip greift Websites an, die HTTP für die Bereitstellung von Inhalten und HTTPS lediglich für „geheime“ Informationen wie Kennwörter oder Schlüssel verwenden. Das sslstrip-Tool fängt den HTTP-Verkehr ab, schreibt alle darin befindlichen HTTPS-URLs in HTTP neu um und schickt sie wieder auf den Weg. Durch diesen Trick können sich Hacker in den Datenstrom einklinken und Daten auslesen.

Standard für sichere Kommunikation: TLS

Seit arpspoof und sslstrip sind zehn beziehungsweise zwanzig Jahre vergangen. Was hat sich in dieser Zeit getan? Die Antwort: TLS (Transport Layer Security). Das Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet hat sich mittlerweile zum Standard entwickelt. Mit steigender Leistungsfähigkeit der Geräte, einschließlich der mobilen Endgeräte, kommt TLS nicht nur bei der Übertragung von Anmeldeinformationen, sondern beim gesamten Datenverkehr zum Einsatz. Folglich können Angreifer Daten während der Übertragung weder lesen noch verändern.

Darüber hinaus nutzen Websites heute in der Regel HSTS (HTTP Strict Transport Security), das den Clients die Verbindung über HTTP verbietet. Viele Browser verfügen über eine Vorladeliste von HSTS-Sites, was bedeutet, dass der Verbindungsaufbau zu diesen Seiten niemals über HTTP erfolgt. Dadurch lassen sich Downgrade-Angriffe von HTTPS auf HTTP verhindern. Auch HTTP/2 und HTTP/3, die Nachfolger von HTTP/1.1, laufen nur noch über TLS.

Nachahmung von Zertifikaten

Sicher konfigurierte Websites und Anwendungen nutzen TLS für die gesamte Kommunikation, um Daten zu schützen. Wie sieht es aber mit der Authentifizierung aus? Woher weiß ein Web-Browser, dass er mit der richtigen Website spricht? Websites müssen gemäß X.509-Standard über ein Zertifikat verfügen, um sich gegenüber einem Web-Browser oder einer Anwendung zu identifizieren. Ein Angreifer, der diese Sicherheitsvorkehrung umgehen will, kann das auf unterschiedliche Art und Weise versuchen: Er erstellt ein eigenes Zertifikat, ahmt ein legitimes Zertifikat nach, oder er stiehlt es.

Ein eigenes Zertifikat zu erstellen ist einfach. Allerdings stehen die Chancen eher schlecht, dass moderne Web-Browser oder Apps dieses Zertifikat als gültig akzeptieren. Nur technisch sehr versierte Angreifer schaffen es, ihre Zertifikate als vertrauenswürdig einstufen zu lassen. Mit einem Netzwerk-Sniffer wie Wireshark lässt sich einsehen, wie ein Browser die Authentifizierung mit einer betrügerischen Webseite untersagt und eine entsprechende TLS-Warnmeldung ausgibt.

Windows-Angriffsfläche verkleinern

Es gibt jedoch ein Problem, das insbesondere Windows-Systeme betrifft: Legacy-Authentifizierungs- und Erkennungsmechanismen, insbesondere LLMNR (Link-Local Multicast Name Resolution) und NBT-NS (NetBios over TCP/IP – Name Service). Ein gerissener Angreifer kann diese Dienste missbrauchen und Windows-Betriebssysteme dazu bringen, sich mit einem bösartigen Server zu verbinden. Das bekannte Responder-Tool automatisiert solche Angriffe. Hier empfiehlt es sich, die Legacy-Systeme zu deaktivieren, sofern sie nicht nötig sind.

Eine weitere Schwachstelle von Windows ist die in Browsern integrierte Proxy-Authentifizierungsfunktion über WPAD (Web Proxy Auto-Discovery). WPAD ist unter Windows standardmäßig aktiviert. Auch in macOS und Linux ist die Funktion zu finden, dort aber nicht als Standard hinterlegt. WPAD sendet den NTLMv2-Hash des Benutzerkennworts über das Netzwerk, sobald ein Web-Proxy eine WPAD-Datei bereitstellt. Diese weist den Browser an, sich über NTLM zu authentifizieren. Ein Angreifer kann sich so den NTLMv2-Hash seines Angriffsziels verschaffen und offline knacken. So kann er entweder den Klartext wiederherstellen oder den Hash mit einer „Pass the Hash“-Attacke wiederverwenden. Diese Angriffsarten setzen voraus, dass entweder Active-Directory-Zugangsdaten aus dem Internet (etwa über RDP und einige SSO-Provider) oder Hashes akzeptiert werden (beispielsweise über psexec oder WMI). Es gehört damit zu den dringlichsten Sicherheitsvorkehrungen, die Angriffsfläche für Windows-Systeme möglichst klein zu halten. So ergibt sich folgende To-do-Liste:

WPAD: Ist das WPAD-Protokoll aktiv, können Anwender einen statischen DNS-Eintrag verwenden, um sicherzustellen, dass niemand den Host-Namen des Proxys fälscht. Bei der automatischen Proxy-Erkennung empfiehlt es sich, in allen installierten Browsern das Häkchen auf „deaktiviert“ zu stellen, sofern diese nicht zum Einsatz kommt.

LLMNR: Wenn nicht im Einsatz, lässt sich diese Funktion über Gruppenrichtlinien (GPOs) deaktivieren.

NBT-NS: Auch diese Funktion lässt sich über Gruppenrichtlinien ausschalten.

NTLM-Authentifizierung: Um die Verwendung durch den Browser zu deaktivieren, gehen Anwender am besten schrittweise vor. Anstatt die Windows-Anmeldeinformationen automatisch zu übermitteln, fordert der Browser nun nach jedem Schritt eine Authentifizierung an, um die Anmeldeinformationen zu erfassen.

Firewalls: Die Sicherheitssysteme sind und bleiben essenziell, um öffentliche WLANs ruhigen Gewissens nutzen zu können. Selbst wenn Hacker Log-in-Daten abfangen, verhindern Firewalls in den meisten Fällen ihre Wiederverwendung.

Zum Schluss noch ein Wort zum Einsatz von VPNs, die oft als Allheilmittel für alle Arten von Sicherheitsproblemen im Netz gelten. Viele überschätzen die virtuellen privaten Netze. So machte erst im Oktober 2019 ein Vorfall beim VPN-Anbieter NordVPN Schlagzeilen. Offenbar konnten sich Angreifer Zugriff auf einen Rechner verschaffen und mehrere kryptografische Schlüssel und Informationen über Konfigurationsdateien abgreifen. Einer der Schlüssel passt zu einem älteren, inzwischen abgelaufenen HTTPS-Zertifikat des Sicherheitsanbieters. Der Hack betraf zwar nur einen einzelnen VPN-Server in Finnland und war aufgrund eines Konfigurationsfehlers im Rechenzentrum eines Drittanbieters möglich. Doch die These „Niemand kann dein Online-Leben stehlen, wenn du ein VPN benutzt“ lässt sich nicht mehr so leicht unterschreiben. Denn ein VPN bringt als Sicherheitsvorkehrung eine zusätzliche Komponente mit ins Spiel, die theoretisch wiederum ein Sicherheitsrisiko darstellen kann. Darüber hinaus führen VPNs oft zu Problemen, zum Beispiel bei der Verbindung mit unternehmenseigenen Portalen. Daher lohnt es sich, das Kosten/Nutzen-Verhältnis von VPNs genau abzuwägen. Eine Alternative zur richtigen Konfiguration sind sie keinesfalls.

Fazit

Unsichere und gefährliche WLANs lassen sich heute durchaus zu den Mythen der IT zählen – solange Anwender bei der Konfiguration ihrer Endgeräte die richtigen Vorkehrungen treffen und vor allem bei Windows die oben angeführten Altbestandsfunktionen deaktivieren. Wer bewährte Anwendungen bekannter Anbieter nutzt und sich mit offenen Augen und gesundem Menschenverstand im Netz bewegt, kann selbst viel dazu beitragen, das Risiko von Angriffen und Identitätsdiebstahl auf ein Minimum zu beschränken.