Im Kinofilm whoami wurde eines meiner liebsten Spielzeuge für WLAN Sicherheit gezeigt. Ein sogenannter “Evil Twin”.

Ich werde weder Anfragen zum Bau eines evil twins beantworten, noch woher man die Firmware bekommt und wie man diese installiert. Weiterhin ist dieses keine Anstiftung einen evil Twin zu bauen. Mir geht es in diesem Artikel um Aufklärung!

Was ist ein evil twin?

Hardwareseitig ist es ein ganz normaler Accees Point den man überall käuflich erwerben kann. Es ist nur zu beachten, dass man dort eine leicht modifizierte Firmware aufspielen kann. Empfehlen würde ich Modelle die bereits den WLAN N-Standard unterstützten und das 2,4 GHz und das 5 GHz Band unterstützen. Ein nettes Feature ist, wenn man die Sendeleistung über 100% stellen kann, das erleichtert die Sache etwas.

Wie funktioniert die Firmware?

Diese spezielle Firmware basiert auf Linux (Wer hätte es gedacht Smiley ) und kann sich als normaler Client ausgeben und als Access Point. Einmal aufgespielt übernimmt der evil twin die Steuerung alleine. Er startet im Modus als Client und versucht sich bei allen erreichbaren Netzen in seiner Nähe anzumelden. Selbstverständlich scheitern diese Versuche, da werder Username und Passwort oder ein Zertifikat bekannt sind.

Nebenbei schneidet der evil twin alle Informationen über das Netzwerk und die Authentifizierung notwendig sind mit.

  • SSID
  • MAC Adresse des Access Point
  • Beacon Frames (Security Ciper, Channel, Datenrate, etc.)
  • 802.1x Authentifizierungsframe mit “nonce und ANonce”
  • Herstellerinformationen
  • etc.

Um nicht blockiert zu werden, oder im Netz auffindbar zu sein, schaltet der evil twin mit den gesammelten Informationen auf den Access Point Modus um und bietet eines neu erkannten Netzwerke an. Durch eine erhöhte Sendeleistung wird der evil twin schnell als bevorzugter Access Point von einem Client kontaktiert. Nun offenbart der evil twin dem Client das neu erlernte und fragt die Authentifizierung ab.

Der Ahnungslose Client antwortet brav, denn offensichtlich scheint er einen ordentlichen Access Point als Authentifizierungspartner anzutreffen. Gemäß Protokoll werden alle Frames ausgetauscht und der evil twin gewährt dem Client mit dem Token Zugriff zum Netzwerk. Kurz danach trennt der evil twin die Verbindung und wechselt zurück in den Client Modus.

Er fälscht seine eigene MAC Adresse mit der des Clients (spoofing) und kontaktiert das bekannte Netzwerk. Nun kann der evil twin die Authentifizierung des Access Points erfolgreich beantworten und er bekommt Zugriff auf das Netzwerk. 

Diese ganzen Informationen werden als Trace-Datei gespeichert und können von den bösen Buben verschlüsselt abgerufen werden.

Wie schütze ich mich vor evil twin Angriffen?

Für Firmen:

RADIUS Server und Port Security nach 802.1x. Das kann ein evil twin, Stand heute, nicht überwinden. Kopierte Zertifikate sind korrupt und werden als solches erkannt. Dazu ist es wichtig, dass der DHCP Server, der für die IP Adressen des 802.1x zuständig ist, Leases ausstellen kann die nur für Sekunden gültig sind. Kommerzielle Access Points haben 3 Antennen, wobei die zusätzliche Antenne nichts anderes macht, als die Umgebung auf schmutzige Access Points zu scannen und zu isolieren (jamming).

Für Privatanwender:

Sorry, ihr seid schutzlos Trauriges Smiley Leider gibt es keinen wirklich wirksamen Schutz gegen diesen Angriff, wenn man sich an einem fremden Netzwerk anmeldet. Egal ob Flughafen, Hotel oder während eines Kongresses, die evil twins können überall sein. Ein Client kann das nur erkenne, wenn man mit einem Netzwerk sniffer (z.B. Wireshark)die Authentifizierung analysiert. Zugriff auf sensible Daten sollten per VPN erfolgen und beim heimischen Netzwerk öfter mal das Passwort für den WPA2 pre-shared-key (PSK) tauschen.

Eine wichtige Info gibt es aber noch. Der evil twin muss in die Nähe des anzugreifende Netzwerks gebracht werden und das muss nach wie vor von Menschen erledigt werden. Weiterhin ist ein solcher Angriff eine Straftat und wird hart bestraft.

Nochmal ermahnende Worte: Macht es nicht, kümmert euch um eure Sicherheit und schützt das Firmennetzwerk.


 
Comments are closed.