[abgeschlossen] Freifunk und Emotet?

Hallo Freunde,

Vor einigen Tagen habe ich den folgenden Beitrag in der c’t gelesen: Malware Malware Emotet greift WLANs an Emotet nutzt offenbar eine bislang nicht bekannte Methode, sich weiter auszubreiten: Er klinkt sich in schlecht gesicherte Funknetze ein. Update 268 Kommentare Security

Nun, prinzipbedingt dürfen wir ja wohl Freifunk als „schlecht gesicherte WLAN-Zugänge“ verstehen. Wir haben ja nicht nur bekannte oder „schlechte“ Passwörter, sondern überhaupt keine.
Sollten wir uns da jetzt nicht irgendwie Gedanken machen? Nicht, dass wir diesen Verbrechern eine Bühne bereitstellen, auf der sie sich austoben können.
Hat mal jemand von den hiesigen Wissensträger dieses Risiko untersucht?

MfG Peter

Moin Peter,

Freifunk ist ein öffentliches Netz, in das man ohnehin keine ungesicherten Netzwerkfreigaben einstellen sollte. Allgemein betrachtet man in der IT-Sicherheit ein Netz heute nicht mehr als sicher. Man geht inzwischen davon aus, dass Angreifer ohnehin in jedes Netz kommen können und sichert daher die Systeme im Netz einzeln ab. Das gilt insbesondere für ein offenes Netz wie Freifunk.

Emotet kann ja nicht innerhalb des Freifunks dann auf jeden Laptop zugreifen, sondern könnte auch dort nur nicht gesicherte Netzwerkfreigaben angreifen.

Von daher ist das kein Problem.

Viele Grüße
Matthias

1 „Gefällt mir“

Hallo Matthias,

nun, ein „klein wenig“ ist schon aus meinen 20 Jahren Arbeitstätigkeit im Bereich der IT-Sicherheit hängen geblieben … . Und ja, ich weiß auch, dass Angreifer - letztendlich - in (fast) jedes Netz kommen,
Ich sehe das Problem auch weniger technisch, als vielmehr - sagen wir - juristisch.
Die Masse unserer Nutzer betreibt, wenn keinen Androiden oder ein i-Dingens, dann zumeist irgend eine WinDOSe. Und ich weiß recht genau, wie Hobbyadministratoren ihre Geräte „absichern“. Und es geht bei Freifunk IMHO auch weniger darum, irgendwelchen Schutz gegen aktives Hacking zu implementieren.
Ich mache mir viel mehr Gedanken, dass der Emotet oder irgend eine andere sich selbst verbreitende Schadsoftware irgendwann im Netz kreiselt und auf einem Schlag massenhaft ungepflegte WinDOSen erfolgreich angreift. Wenn ich so sehe, was da für Gerätenamen zu sehen sind, bspw. große Abteilungsdrucker, die garantiert keiner zu Hause zu stehen hat.

Wie schon gesagt, ich gehe davon aus, dass wir keine völlig abgesicherte Umgebung bereitstellen können. Aber ich sehe uns in der Pflicht, offensiv Informationen über bestehende Gefahren und auch für ONU mögliche und zumutbare Maßnahmen zu verbreiten. Gute Ansätze gibt es ja schon auf so manchen FF-Seiten, wo die Nutzer darüber informiert werden, dass das WLAN unverschlüsselt betrieben wird und von „jedermann“ mitgelesen werden kann. Und es gibt gleich die passenden Hinweise, entweder ein VPN zum heimischen Router oder zumindest eine TSL-gesicherte Verbindung zu nutzen.

So weit meine Gedanken … .

MfG Peter

Das gesamte Internet kann von Jedermann mitgelesen werden, da es unverschlüsselt ist. Da jetzt nur vom WLAN zu sprechen könnte Leute in die Irre führen.

Übrigens kann auch ein verschlüsseltes WLAN problemlos mitgelesen werden. Folgendes Szenario: Man setzt sich in ein Restaurant, welches ein WPA2-verschlüsseltes WLAN anbietet. Das bietet für die Privatsphäre überhaupt keinen Schutz. Die bösen Jungs trinken da einmal einen Kaffee, erhalten das Passwort und können wunderbar alles mitlesen.

Verschlüsselung ist ein Zugriffsschutz, wie eine Haustür, die man in privaten Haushalten typischer Weise abschließt und in öffentlichen Einrichtungen nicht. Daher ist ein öffentliches WLAN nicht verschlüsselt, weil man will, dass jeder reinkommt.

Dieses Pseudosicherheitsdenken, dass Verschlüsselung irgendeine Art von Schutz für den Nutzer bringen würde, ist fatal. Verschlüsselung eines WLANs schützt den WLAN-Betreiber vor unbefugten Nutzern.

Webseiten sind ohnehin nahezu alle verschlüsselt heutzutage. Ein VPN schützt übrigens vor den hier thematisierten Angriffsszenarien nicht, weil das Gerät weiterhin auf seiner Freifunk-IP lokal erreichbar bleibt.

2 „Gefällt mir“

Da ›ONU‹ darauf besteht – wie auch viele öffentliche Stellen –, datenschutzfragliche und bekanntermaßen chronisch anfällige Systeme zu verwenden, sehe ich nicht den Hauch einer Legitimation, ein kostenloses öffentliches WLAN-Angebot zu irgendwelchen Maßnahmen gegen die Dummheit seiner Nutzer zu verpflichten.

Bei Android gilt im Grunde das Gleiche. Generell ist die Politik gefragt, endlich gleiches Recht im Digitalen wie Analogen durchzusetzen und nicht gepatchte Sicherheitslücken während der 24 monatigen Gewährleistungsperiode ab Kauf unmißverständlich als direkten Wandlungsgrund zu benennen.

Daß sich Hersteller auf die faule Bärenhaut legen und zudem für Schäden beim Nutzer nicht haftbar gemacht werden können, ist einfach nur ein Unding.

That said, im Rahmen des Bildungsauftrags, den ja viele Vereine in der Satzung stehen haben, sollten die Themen durchaus unter’s Volk gebracht werden, ja. Paradebeispiel ist IMHO, daß aufgrund der Verpflichtung, den staatlichen Lauschern Zugriff auf die Kommunikation zu gewähren (das sog. »lawfull interception«), keine Ende-zu-Ende-Verschlüsselung bei der öffentlichen Telefonie erlaubt ist. Technologisch ist das eigentlich kein Problem, siehe HTTPS; aber da die Verschlüsselung dann das legale Lauschen verhindern würde, müssen wir weiterhin unverschlüsselt kommunizieren, sodaß BND, NSA und Co. alles mitschneiden und -hören können.

Emotet liest halt die Passwörter (und SSID/BSSID) bekannter Netze aus und gibt diese weiter an andere infizierte Rechner, um ebenfalls diese Netze nutzen zu können.

Die Weitergabe der Zugangsdaten zu Freifunknetzen zu unterbinden ist … schwierig…

Aber ganz im Ernst:
Die kleinkarierte Idee, irgendwelche Netze (overlay/vpn) für „sicher“ anzunehmen in der Lesart „kein Innnenangriff zu erwarten“ ist Denke der 1990er. Aus der Zeit als man in Rechenzentren mehr Angst vor Feuer und physical intrusion hatte als vor Datenabfluss oder DoS durch Co-Mieter und/oder schlicht Organisationsversagen.

Was den Emotet-Stack anbelangt fehlt dem aktuell (um es nochmal virulenter zu machen) noch der Verbreitungsweg/Zwischenwirt Bluetooth-Stack-Android.

1 „Gefällt mir“

Thema hiermit abgeschlossen.

1 „Gefällt mir“