Wunder, Wahn und Wirklichkeit der Sicherheit im WLAN

In fast jedem vernetzten Zuhause steht mittlerweile ein WLAN Router, der es den Benutzern im Haus erlaubt, drahtlos im Internet zu surfen.

Die Zugangsprovider, wie z.B. T-Online, Arcor oder 1&1, liefern diese Kisten bei Vertragsabschluss gratis und werben mit sogenannten "Features" wie Plug and Play.

Plug and Play soll bedeuten, man verknubbelt das Ding mit den entsprechenden Buchsen, klickt auf dem Laptop auf ein paar Knöpfe und los gehts.

Der durchschnittliche Haushalt lebt mit diesem Arrangement recht gut, bis zu dem Tag, wenn ein unternehmungslustiger Teenager aus der Nachbarschaft mit seinem Laptop Hacker spielt und sich Zugang auf den schlecht gesicherten WLAN Router verschafft, den er dann als Sprungbrett für allen möglichen, illegalen Unfug nutzt.

Die meisten User wissen, dank der Nebelkerzen der Anbieter, oftmals garnicht, welche Sicherheitslücken sich in ihrem mit Plug and Play konfigurierten Router verstecken.

Sicherheitslücken, die sich mit den Mitteln der knallebunten Konfigurationsoberfläche nicht schließen lassen.

Gefährliches Souvenir aus der Steinzeit

Die wenigsten User der bunten Welt des World Wide Web wissen, dass es das Internet schon viel länger gibt als die Seiten des WWW, und dass aus dieser Zeit Kommunikationsverfahren stammen, mit denen der heutige User nie oder selten konfrontiert wird.

Eines dieser Kommunikationsverfahren heißt Telnet und verbarg sich bis vor kurzem immer noch als Hintertürchen auf Billigroutern, die in vielen Haushalten bis zum heutigen Tag in Betrieb sind.

Über Telnet erreicht man oftmals Einstellungsmöglichkeiten des Routers, die der Anbieter wohl für zu fortgeschritten für den normalen User hält. Aus dem gleichen Grund wird der Zugang über Telnet auch in den Handbüchern für Endverbraucher nicht erwähnt.

Leider ist dieser Zugang oftmals vollständig von den Einstellungen im Web-Interface abgekoppelt und das führt dazu, dass z.B. das selbst gesetzte Passwort nur für das Web-Interface gilt. Der Zugang über Telnet ist dann weiterhin problemlos mit dem weithin publizierten Standardpasswort des Routers wie z.B. "1234" oder "0000" möglich.

Wer also nicht unternehmungslustig genug ist, um mit Telnet auf seinen Router zuzugreifen und dort ein eigenes Telnet-Passwort zu setzen, betreibt einen Router mit Hintertürchen.

Secure Shell – nur sicher wenns richtig gemacht ist

Telnet hat eine Menge Sicherheitslücken und bietet auch keine Verschlüsselung des Datenverkehrs, wodurch z.B. ein beim Einloggen eingegebenes Passwort unverschlüsselt übertragen wird.

Mit Secure Shell, kurz SSH, gibt es mittlerweile ein Werkzeug für Datenübertragung und Fernadministration, das die Schwächen von Telnet nicht mehr hat. Vorausgesetzt, es ist korrekt installiert und konfiguriert.

Wie viele Programme aus der Welt der Unix-artigen Betriebssysteme basiert SSH auf einer Server/Klienten Struktur, d.h auf dem per Fernwartung zu konfigurierenden System läuft ein Server, den man mit dem Klientenprogramm anspricht.

Auf vielen Haushaltsroutern ist dieser SSH Server ab Werk weit offen und man kann sich mit einem der bekannten Standardpassworte dort anmelden und jede Menge Unfug anstellen.

Während SSH und die für seine Bedienung notwendigen Werkzeuge auf Linux und anderen Unix-artigen Betriebssystemen zur Standardausrüstung gehören, muss man sie auf Windows umständlich nachinstallieren.

Selbst dieser Artikel eines professionellen Windowsbenutzers dringt nur bis zur Benutzung mit Passwort vor.

Ein selbst eingerichtetes Passwort für den SSH Server ist zwar besser als garnichts, gilt aber schon lange als sub-optimale Minimallösung. Der sicherste Weg heißt Public Key Authentifizierung, doch der Weg dorthin ist für den Windowsbenutzer noch steiniger, als der Weg zur Benutzung mit Passwort.

Eine kleine Kostprobe einer Anleitung für den SSH Klienten Putty finden Sie hier …

Jetzt stellen Sie sich einen Benutzer vor, der schon bei geringfügigen Problemen die Microsoft Hotline oder den örtlichen Microsoft-zertifizierten Scharlatan anruft, wie er sich da durchbaggert …

Die Abhilfe – auch nichts für schwache Nerven

Die Server und anderen Programme in einem Router sind wegen der begrenzten Speicher- und Verarbeitungskapazitäten dieser Geräte als sogenannte Firmware in Speicherchips abgelegt, die man Programmable Read-Only Memory, kurz PROM, nennt.

Globale Einstellungen, die ein Ausschalten des Routers überleben müssen, werden in sogenanntem Non-volatile Random Access Memory, kurz NVRAM, abgelegt. Für Veränderungen an diesen Einstellungen benötigt man ein spezialisiertes Programm.

Die von den Internet Zugangsprovidern gelieferten Router enthalten meist nur Firmware, die nicht alle Fähigkeiten des Routers zugänglich macht und mit deren Konfigurationsoberfläche man nur eine sehr eingeschränkte Zahl der im NVRAM festlegbaren Einstellungen erreicht.

Deshalb existieren Projekte, die für die meisten gängigen Router alternative Firmware anbieten, mit der man alle Fähigkeiten des Routers aufschließen kann.

Die populärsten und ausgereiftesten Projekte sind dd-wrt, openWRT und Bitswitcher, welche alle Firmware in professioneller Qualität bereitstellen.

Nach der Installation dieser alternativen Firmware kann man dann z.B. aus dem Web-Interface des Routers Einstellungen am SSH Server vornehmen, oder den Router für andere Aufgaben, wie z.B. dem Einsatz als Access Point oder WLAN Bridge einrichten.

Auch die Konfiguration von Feineinstellungen der in den meisten Routern eingebauten Firewall wird dadurch erleichtert.

Der Weg dorthin bedingt allerdings, dass der User die Angst vor der Installation einer alternativen Firmware überwindet. Da viele User aber bereits vor einem Update des Routers mit Original-Firmware vom Hersteller zurückschrecken, bleibt die Sicherheit der meisten Haushaltsrouter für immer auf einem bedauerlich niedrigen Niveau.

Vermeidbare Komplexität

Die Hersteller von Routern, und die Internet-Zugangsprovider, die sie an ihre Kunden verteilen, könnten durch Einsatz von Firmware und Konfigurationsprogrammen, die alle Nutzungsmöglichkeiten des WLAN Routers bereits in der Werkskonfiguration erschließen, einen wichtigen Beitrag zur Sicherheit leisten. Warum tun sie es also nicht?

Die Antwort ist in einem Wort zusammenfassbar: Gier.

Die Hersteller wollen, dass Kunden für sogenannte Access Points und WLAN Bridges spezialisierte Geräte kaufen, die oftmals deutlich teurer sind als die Haushaltsrouter. Daher wird diese Funktionalität, die in allen Haushaltsroutern und selbst im Super-Sonderangebot für €7,99 beim Verramscher versteckt ist, durch Verkrüppelung der ab Werk installierten Firmware und Übersimplifizierung der Konfigurationsoberflächen vor dem Endverbraucher verborgen.

Dabei nimmt man billigend in Kauf, dass auch sicherheitsrelevante Einstellungen verkrüppelt, versteckt oder gar ausgeschaltet werden.

Denkweisen updaten

Das Internet ist schon lange nicht mehr nur Spielplatz für Spezialisten. Die Informationspolitik der Hersteller und die Rechtssprechung hinken dem Trend allerdings bis dato hoffnungslos hinterher.

Durch ein mittlerweile mit dem Prädikat „ständige Rechtssprechung“ geadeltes Urteil des Bundesgerichtshofes sind Endverbraucher seit letztem Jahr dazu verpflichtet, das Werkspasswort eines Routers durch ein selbst vergebenes zu ersetzen. Leider versäumte es der BGH, die Hersteller im Gegenzug dazu zu verpflichten, die verborgenen Einstellungs- und Zugriffsmöglichkeiten offenzulegen.

Der BGH hat die Verbraucher also zu etwas verurteilt, dass sie, wie oben erläutert, in vielen Fällen garnicht vollumfänglich leisten können.

Es wird Zeit für ein Update in den Köpfen der Verantwortlichen.

Advertisements

About dozykraut

Proud member of Hillbilly's on Linux, promoting open source redneckism in remote parts of the Milky Way.
This entry was posted in Web and tagged , , . Bookmark the permalink.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s