web’n'walk Box von T-Mobile – Security Fail

Zu allererst natürlich der DISCLAIMER:

Ich habe die folgenden Schritte in keiner Form durchgeführt um Schaden bei dem Betreiber dieser Box zu verursachen. Außer den wenigen Pings und Traceroutes habe ich keinerlei Traffic verursacht und auch sonst keine Daten über dieser fremden Box genutzt. Die folgenden Ausführungen wurden an dieser Stelle nur dokumentiert um Besitzer einer derartigen Box vor den möglichen Sicherheitsrisiken zu warnen und um zu demonstrieren, wie unsicher viele Router im Werkszustand sind.

Auf meinem Web zur Arbeit bin ich heute mal wieder im Zug über ein katastrophales Sicherheits-Leck gestolpert. Am Bahnhof fiel mir mal wieder ein WLAN-Accesspoint mit der ESSID “web’n'walk Box IV” auf, der keinerlei Verschlüsselung aufwies. (Die Box ist ein UMTS-WLAN-Router für unterwegs)

(Infos über die Box bei T-Mobile)

Dadurch wurde ich neugierig und begann mir das Gerät mal etwas genauer “anzusehen”

Nachdem der Netzwerkmanager eine Verbindung hergestellt hatte begann ich mit “Bordmitteln” die Box etwas genauer unter die Lupe zu nehmen:

nicolas@nicolas-laptop:~$ ifconfig
ath0      Link encap:Ethernet  Hardware Adresse 00:15:af:83:22:1b
inet Adresse:192.168.1.107  Bcast:192.168.1.255  Maske:255.255.255.0
inet6-Adresse: fe80::215:afff:fe83:221b/64 Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
RX packets:6 errors:0 dropped:0 overruns:0 frame:0
TX packets:47 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:0
RX bytes:2444 (2.3 KB)  TX bytes:7818 (7.6 KB)

Aha, eine Verbindung steht also schon mal, mal sehen, ob wir auch Zugang zum Internet haben:

nicolas@nicolas-laptop:~$ ping heise.de
PING heise.de (193.99.144.80) 56(84) bytes of data.
64 bytes from redirector.heise.de (193.99.144.80): icmp_seq=1 ttl=240
time=136 ms
64 bytes from redirector.heise.de (193.99.144.80): icmp_seq=2 ttl=240
time=87.3 ms

Check! Scheint zu klappen!

nicolas@nicolas-laptop:~$ route
Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
192.168.1.0     *               255.255.255.0   U     0      0        0 ath0
link-local      *               255.255.0.0     U     1000   0        0 ath0
default         e.home          0.0.0.0         UG    0      0        0 ath0

Auch hier alles so wie es sein soll!

nicolas@nicolas-laptop:~$ traceroute heise.de
traceroute to heise.de (193.99.144.80), 30 hops max, 40 byte packets
1  e.home (192.168.1.1)  6.898 ms  7.489 ms  12.269 ms
...

Per Traceroute habe ich dann auch die IP-Adresse der web’n'walk Box raus. Im Browser eingegeben habe ich dann die Weboberfläche. Leider (bzw. zum Glück!) mit Passwort geschützt! Per Bruteforce hätte man sicher schnell das Kennwort gefunden, da NUR das Kennwort notwendig ist, jedoch nicht der Username.

Naja, mal sehen, wer sich noch hier im Netz tummelt:

nicolas@nicolas-laptop:~$ nmap -sP 192.168.1.0-255
Starting Nmap 4.53 ( http://insecure.org ) at 2009-09-30 09:36 CEST
Host e.home (192.168.1.1) appears to be up.
Host 192.168.1.104 appears to be up.
Host 192.168.1.107 appears to be up.
Nmap done: 256 IP addresses (3 hosts up) scanned in 6.435 seconds

Interessant, die 192.168.1.1 ist die Box, 192.168.1.107 bin ich, 192.168.1.104 wird wohl der Wahnsinnige sein, der sich auf diesem Weg ins Netz begibt. Den sehen wir uns mal genauer an:

nicolas@nicolas-laptop:~$ nmap 192.168.1.104 -PN -vvvv
Starting Nmap 4.53 ( http://insecure.org ) at 2009-09-30 09:37 CEST
Initiating Parallel DNS resolution of 1 host. at 09:37
Completed Parallel DNS resolution of 1 host. at 09:37, 13.00s elapsed
DNS resolution of 1 IPs took 13.00s. Mode: Async [#: 1, OK: 0, NX:
0, DR: 1, SF: 0, TR: 3, CN: 0]
Initiating Connect Scan at 09:37
Scanning 192.168.1.104 [1714 ports]

Nachdem ich diesen Scan gestartet habe bin ich rausgeflogen, entweder hat mich die Box gekickt, weil sie einen Portscan entdeckt hat oder die Box ist offline gegangen. Hätte ich mehr Zeit oder mehr kriminelle Energie gehabt hätte ich mit ziemlicher Sicherheit deutlichen Schaden mit dieser fremden gekaperten Box anrichten können. Mal abgesehen davon, dass ich fremden UMTS-Traffic zum gratis-Tarif hätte nutzen können. Denkbar wäre z.B. auch die Nutzungen eines Sniffers gewesen (wie z.B. Wireshark) um die Daten von dem 2. Client an der Box in Echtzeit zu capturen und zu analysieren. (Stichwort Kennwörter mitlesen)

An dieser Stelle also meine eindringliche Warnung an Nutzer einer derartigen Box: Bitte mal ein paar Minuten Zeit nehmen und die Box ausreichend absichern! Ihr tut euch damit einen riesen Gefallen. Man denke nur mal daran, was passiert, wenn ein Fremder über die Box illegale Inhalte (KiPo u.ä.) heruterläd und man selber dann mal nachweisen muss, dass da zu dieser Zeit ein fremder Angreifer auf der Box eingeloggt war. Außerdem der Hinweis an die Telekom: Bitte solche Boxen nicht mehr in der denkbar unsichersten Konfiguration verkaufen! Nehmt Euch ein Beispiel an AVM: Eine Fritzbox ist defaultmäßig IMMER mit WPA2 verschlüsselt!

Denkt mal drüber nach!