WLANs in München aus der Luft
2000 von 4000 WLANS sind nicht gesichert

Von ganz oben erkannt

WLANs in München aus der Luft

Auf Luftbildfotograf Klaus Gorkinant wartete alles andere als ein normaler Rundflug über München: Anstatt Touristen oder Luftbild-Interessenten stiegen drei PC-Professionell-Redakteure mit jeweils einem Notebook im Gepäck in Gorkinants Cessna 172F. Das Ziel: PC Professionell will als erste Zeitschriftenredaktion Europas aus der Luft nach Wireless LANs suchen. Bisher sind lediglich Suchflüge in den USA und Australien dokumentiert.

Vor dem Abflug Richtung Münchner Innenstadt präparierten die Experten die viersitzige Maschine mit leistungsfähigen Antennen. Schließlich war in einer Höhe von 300 Metern über der Stadt nicht mit übermäßig starken Funksignalen zu rechnen. Tiefer darf der Pilot nur in Ausnahmefällen zum Beispiel bei Turbulenzen fliegen und muss sich nach dem Flug für die geringe Höhe rechtfertigen.
Vor dem Abflug gab es trotz der Profi-Antennen von Lancom und Senao daher sogar noch große Zweifel, ob in solchen Höhen überhaupt Wireless LANs zu entdecken sind. Alles völlig unberechtigte Befürchtungen, wie sich später zeigen sollte. Denn die Antennen fingen dank ihrer Verstärkereigenschaften – das Spitzenmodell von Lancom erzielt einen Gewinn von 14 dB(i) – die Signale von mehreren tausend Funknetzen auf. Der erste WLAN-Scanning-Flug war also in jeder Hinsicht ein voller Erfolg.

Der PCpro-Rundflug beweist aber vor allem eins: Viele Besitzer von Wireless-LANs machen es unberechtigten Nutzern denkbar einfach. In den meisten Fällen verzichten sie bei ihren drahtlosen Netzen auf die notwendigen Schutzmaßnahmen.

WLAN-Sicherheit? In den meisten Fällen Fehlanzeige

WLANs in München aus der Luft

Über zweitausend offene, ungesicherte WLANs allein in München, das ist das beunruhigende Ergebnis des Rundflugs über München. Die Sicherheit von Wireless LANs ist vielen Funknetzbetreibern offenbar keinen Gedanken wert. Während der einstündigen Tour über die Münchner Innenstadt gehen den drei an Bord lauschenden Notebooks über 4000 Access-Points ins Netz weniger als die Hälfte ist gesichert. Die Sorge, aus der Luft keine Funksignale mehr empfangen zu können, wird schon kurz nach dem Start der Cessna zerstreut. Auf allen drei Notebooks einem Sony Vaio VGN-S1XP, einem Dell Latitude D600 und einem Apple Powerbook Titanium füllte sich die Liste der entdeckten Netze schneller, als es die Redakteure glauben konnten. Zum Vergleich: Beim War-Driving finden Scanner bestenfalls einige hundert Wireless LANs über einen ganzen Tag verteilt.

Aus der oben genannten Zahl sind bereits diejenigen Hotspots in Hotels, am Flughafen oder in Cafés herausgerechnet, die offensichtlich kommerziellen Charakter haben. Diese sind meist leicht durch ihren Netzwerknamen zu erkennen, wie das »T2« genannte Funknetz im Terminal 2 des Franz-Josef-Strauß-Flughafens oder aber das »Mediamarkt«-Netz des lokalen Elektronik-Markts.

Allen Zeitschriften-Artikeln und Warnungen der Netzwerkhersteller zum Trotz: Wie die niedrige Zahl der im Test aus der Luft entdeckten, gesicherten Netze belegt (1973 von 4022), kümmert sich die Mehrheit der WLAN-Admins nicht um Sicherheit. Und selbst wenn sie es tun, dann nur halbherzig. Denn lediglich 124 Netze, also weniger als sieben Prozent, setzen auf die sichere WPA-Codierung (Wifi Protected Access). Alle übrigen Funknetze sind mit der zu Recht als unsicher verschrieenen WEP-Verschlüsselung (Wired Equivalent Privacy) nur unzureichend gesichert. Details zu den Schwächen von WEP liefert der Tech Talk »WLAN? Aber sicher!« in PC Professionell 5/2004, Seite 164.
Immerhin knapp 300 dieser codierten WLANs versuchen zudem, durch Unterdrücken des Netzwerknamens (SSID, Service Set Identifier) gar nicht erst auf sich aufmerksam zu machen; die dem Wireless LAN eigenen Sicherungsmechanismen werden hier weitestgehend ausgeschöpft.

Weitere 160 Betreiber verzichten jedoch komplett auf Codierung und versuchen, ihr Netzwerk einzig durch Verstecken der SSID zu schützen: Ein fataler Fehler, sich hiervon Schutz zu versprechen. Denn Freeware-Tools wie das unter Mac OS X auf dem mitfliegenden Powerbook laufende Kismac finden die Netze trotzdem und zeigen zudem nach wenigen Sekunden die SSID im Klartext an. Zugegeben: Wer mit einem Windows-Notebook scannt, sieht die versteckten WLANs nicht. Denn die zur Erkennung der Hidden SSIDs nötigen, modifizierten WLAN-Kartentreiber stehen bislang nur Mac-OS-X- und Linux-Usern zur Verfügung. Windows-Tools wie der Netstumbler werden nicht auf Hidden SSIDs aufmerksam, da die WLAN-Adapter die notwendigen Informationen nicht aus der Luft fischen können.

Besserung ist nicht in Sicht, da kein Hersteller von WLAN-Karten seine Treiber im Quellcode veröffentlichen wird. In der Mac-OS-X- und Linux-Welt ist das gang und gäbe.

Von Fahrern und Crackern

WLANs in München aus der Luft

Das Scannen nach WLANs ist in einschlägigen Kreisen inzwischen zum Volkssport avanciert. Mit Notebook oder PDA und einer Freeware wie Netstumbler (PC) oder Ministumler (Pocket PC) zum Sammeln der Wireless-LAN-Infos ausgestattet, kreuzen die Funknetz-Jäger mit Autos, Fahrrädern oder gar zu Fuß durch deutsche Innenstädte immer auf der Pirsch nach ungeschützten Netzwerken. Meist stellen die War-Driver ihre Ergebnisse hinterher ins Internet um Gleichgesinnte wissen zu lassen, wo es ungeschützte Netzwerke und damit Gratis-Internetzugang für alle gibt.

Dass diese Nutzung fremder Netze
nicht legal ist, stört die Huckepack-Surfer nicht weiter. Schließlich ist das Risiko, erwischt zu werden, minimal und wo kein Kläger, da kein Richter. Die Schwarz-Nutzer müssen also meist nicht mit strafrechtlichen Konsequenzen rechnen. Die rechtmäßigen Besitzer der Netze hingegen sehr wohl: Denn wenn ein Schmarotzer beispielsweise über ein offenes WLAN Zugriff auf den dahinter liegenden DSL-Zugang bekommt, kann er vollkommen anonym sein Unwesen im Internet treiben. Er nutzt ja die Zugangsdaten des ahnungslosen Anschlussinhabers. Treibt der Cracker strafrechtlich Relevantes im Netz, zieht er also beispielsweise Webseiten mit Neo-Nazi-Inhalten hoch, endet die Ermittlung des Staatsanwaltes beim Besitzer des offenen Access-Points; der Cracker bleibt außen vor, da seine einstige Anwesenheit extrem schwer nachzuweisen ist. Das Ganze hat dann natürlich entsprechend unangenehme Folgen für den per se unschuldigen und unwissenden Anschlussinhaber.

Administration? Äußerst ungern

WLANs in München aus der Luft

Wie ein Blick in die Logfiles der Scanner belegt, haben viele WLAN-Betreiber mit der Administration ihrer Access-Points nichts am Hut. Denn sonst gäbe es nicht derart viele Einträge in den Logs, bei denen die SSID auf vom Hersteller voreingestellte Namen wie »default«, »WLAN«, »Linksys«, »Netgear« oder »Wireless« lautet. Allein 430 Netze melden sich mit der Kennung »WLAN«. Bezeichnenderweise sind von diesen 430 Wireless LANs auch nur 90 mit WEP codiert.

Etwas besser gehen die 360 Netgear-User mit ihrem Equipment um: Immerhin mehr als die Hälfte setzt auf WEP. Alle übrigen Access-Points mit Default-SSIDs insgesamt knapp 1000 Stück dürften sich im Lieferzustand befinden und sind so ein erstklassiges und leicht auszumachendes Angriffsziel.

Aber selbst wenn die SSID geändert wurde, tun sich Risiken auf so groß wie ein Scheunentor: Namen wie »Kliniknetz«, »Kanzlei_Dr_XYZ« oder »Praxis_Dr_XYZ« lassen nur allzu leicht erkennen, dass sich im zugrunde liegenden Wireless LAN schützenswerte Daten wie etwa Kundendaten befinden. Gut gemeint ist hier das exakte Gegenteil von gut gemacht.

WLAN-Perlenkette

WLANs in München aus der Luft

So effizient die Suche aus der Luft auch ist, sie hat diverse Nachteile. Beinahe völlig unmöglich ist zum Beispiel die Lokalisierung der gefundenen Netzwerke. Zwar loggen die Scanner dank Bluetooth-GPS-Empfänger alle Koordinaten mit. Da sich das Flugzeug aber nicht senkrecht über dem jeweiligen Access-Point befindet, sondern mit Tempo 200 über diesen hinwegfliegt, ist der verzeichnete Ort bestenfalls ein grober Hinweis. Außerdem empfangen die Notebooks auch Signale von Access-Points aus dem Umkreis. Deren genaue Position können sie aber nicht festhalten.

Deshalb taugt die nach dem Flug erstellte Karte bestenfalls dazu, die abgeflogene Strecke zu visualisieren; die WLANs ziehen sich wie eine Perlenkette über die Karte.

Erzeugt wurde die Karte mit den Programmen Stumbverter (
www.sonar-security.com) und
Microsoft Map Point 2004. Stumbverter liest dazu das Logfile des Netstumblers oder von Kismet ein und setzt automatisch Symbole mit den korrespondierenden SSIDs in die Karte.

Wie gewonnen, so zeronnen

WLANs in München aus der Luft

Ein weiterer Nachteil ist die kurze Zeitspanne, während der WLANs in Funkreichweite sind. Denn so sind kaum zusätzliche Informationen wie aktiver IP-Adress-Bereich oder angemeldete Clients zu gewinnen. Ganz zu schweigen von einer Anmeldung an einem der WLANs, um mal eben E-Mails zu checken oder online zu gehen.
Außerdem bringt ein Scan aus der Luft nur die Access-Points an den Tag, die entweder in hohen Gebäuden arbeiten oder aber direkt an Fenstern angebracht sind. Denn andernfalls reicht das Signal nicht weit genug gen Himmel.

Eine Fahrt durch die Stadt bringt mit Sicherheit andere Access-Points auf, da dann auch WLAN-Traffic aus dem Gebäude-Inneren aufgefangen wird. Von daher ist ein Flug-Scan nur bedingt repräsentativ, was die absolute Anzahl an Wireless LANs in einer Stadt anbelangt.

Faszination Fliegen

WLANs in München aus der Luft

So nachteilig manches am War-Flying ist, eines ist nicht zu überbieten: das Erlebnis an sich. Zwar zählt in erster Linie, wieviele WLANs gefunden wurden und welche Schlüsse sich daraus ziehen lassen. Wenn man aber in geringer Höhe in einer kleinen Maschine sitzend über eine Stadt fliegt, sind die Netze längst nicht mehr so wichtig.

Das unbestrittene Highlight der besten Pressereise 2004 war die Flughafenrunde: Der Pilot bekam eine Überflugerlaubnis für den Münchner Flughafen und die Redakteure so einen Blick auf den Airport aus gänzlich neuer Perspektive. Wobei es ein etwas mulmiges Gefühl hinterlässt, mit einem Viersitzer zwischen startenden und landenden Verkehrsflugzeugen zu kreisen. Dass das interne WLAN des Flughafens perfekt abgesichert ist, haben die Passagiere erst nach ihrer Rückkehr festgestellt – vorher war die Aufmerksamkeit abgelenkt.