Evil Twin und kein Ende? - Von einem, der auszog, ein Zertifikat umzustellen 76. DFN-Betriebstagung, 30. März 2022

Die Seite wird erstellt Verena Probst
 
WEITER LESEN
Evil Twin und kein Ende? - Von einem, der auszog, ein Zertifikat umzustellen 76. DFN-Betriebstagung, 30. März 2022
Evil Twin und kein Ende?
Von einem, der auszog, ein Zertifikat umzustellen
76. DFN-Betriebstagung, 30. März 2022
 – Forum Mobile IT –
 Dr. Martin Pauly
 HRZ Uni Marburg
Evil Twin und kein Ende? - Von einem, der auszog, ein Zertifikat umzustellen 76. DFN-Betriebstagung, 30. März 2022
Überblick

 1. Vorgeschichte ab ~2006
 2. Problem Android
 3. Lösungsansätze 2008–2019
 4. Zertifikatsmigration 2019
 5. Bachelor-Arbeit: Realer Evil Twin
 6. Exkurs Rechtssituation
 7. Exkurs Methoden: TLS-Fingerprinting
 8. Ergebnisse und Folgerungen

2 76. DFN-BT 2022-03-30
Wie alles anfing ;-)

 • ~2006: 802.1X kann sicheres Roaming dank SSL und Zertifikaten:
 username@einrichtung.org →DFNRoaming → eduroam
 • ~2008: DFN-BT greift eigene User an und
 erbeutet etliche Passwörter!
 • Was ist passiert?
 → Die Clients verschlüsseln zwar, aber manche
 validieren das Zertifikat der Netzseite nicht!

3 76. DFN-BT 2022-03-30
Android als DAOS™

 ●
 2010: mehr Android- als iOS-Geräte
 ●
 Android macht Zertifikatsvalidierung schwer :-(
 ●
 Eine SSID für die gesamte akademische Welt
 ●
 Mobilgeräte sind „always on“
 ⟹Toxische Mischung:
 Jeder, der eduroam aussendet, bekommt das Passwort/ den MS-
 CHAP-Hash aufgedrängt
 ●
 WLAN-Evil-Twin mit SSID eduroam ist leicht zu bauen und extrem
 effektiv.

4 76. DFN-BT 2022-03-30
Reaktionen

 ●
 2015: CAT geht an den Start:
 einfache, leistungsfähige Installer für Clients
 ●
 2015: DFN-CERT weist auf Android-Probleme hin, meldet an Google
 → Teil-Fix
 ●
 2015: Android lernt mit Version 6, WLAN-Einstellungen manchmal
 über Upgrades hinweg zu behalten.

5 76. DFN-BT 2022-03-30
Problem gelöst?

 ●
 Na ja, Apple schafft dasselbe noch gründlicher:
 EAP-Success-Bug schließt Zertifikatsvalidierung auf allen Geräten
 kurz.
 Immerhin gibt es bald einen Fix.
 ●
 Etliche Arbeiten zum Thema erscheinen und lassen nichts gutes
 vermuten.
 ●
 Mobile Device Management (MDM) kaum existent
 → Blindflug bzgl. Clients

6 76. DFN-BT 2022-03-30
PKI-Migration im DFN

 ●
 Juli 2019: DFN-PKI läuft aus
 ●
 Strategie zur Umstellung von ca. 5 Mio. Endgeräten:
 – nutze redundanten Freiheitsgrad Outer ID,
 um neue von alten Clients zu unterscheiden
 –
 Hinterlege zwei Zertifikate im RADIUS-Server
 – Präsentiere jedem Client das passende Zertifikat

7 76. DFN-BT 2022-03-30
Derweil auf dem Server ...

 ●
 Client-Einstellungen sind zum ersten mal sichtbar!
inner{
 Thu Jan 27 11:45:54 2022 : Auth: (10395286) Login OK: [pauly] (from client wlc7 port 8022 cli
 90:8d:6c:65:2a:2b via TLS tunnel)
outer{
 Thu Jan 27 11:45:54 2022 : Auth: (10395286) Login OK: [pauly] (from client wlc7 port 8022 cli
 90:8d:6c:65:2a:2b)

inner{
 Thu Jan 27 11:45:54 2022 : Auth: (10395286) Login OK: [pauly] (from client wlc7 port 8022 cli
 90:8d:6c:65:2a:2b via TLS tunnel)
outer{
 Thu Jan 27 11:45:54 2022 : Auth: (10395286) Login OK: [eduroam@staff.uni-marburg.de] (from
 client wlc7 port 8022 cli 90:8d:6c:65:2a:2b)

 ●
 Nutzungsgrad: Staff: ~35%, Students:
Jul 2019: PKI-Umstellung

 ●
 Entspannter wird‘s nicht:
 Nur wenige Benutzer-Anfragen, Logs zeigen: WLAN geht für fast alle
 – aber mit alten Einstellungen!
 ●
 WAS IST MIT DEN CLIENTS,
 PRÜFEN DIE WIRKLICH NICHTS ??
 ●
 Windows lehnt zumindest das inzwischen abgelaufene Zertifikat ab.

9 76. DFN-BT 2022-03-30
Was tun?

 ●
 Wir haben ja die Info auf dem Server ...

inner{
 Thu Jan 27 11:45:54 2022 : Auth: (10395286) Login OK: [pauly] (from client wlc7 port 8022 cli
 90:8d:6c:65:2a:2b via TLS tunnel)
outer{
 Thu Jan 27 11:45:54 2022 : Auth: (10395286) Login OK: [pauly] (from client wlc7 port 8022 cli
 90:8d:6c:65:2a:2b)

inner{
 Thu Jan 27 11:45:54 2022 : Auth: (10395286) Login OK: [pauly] (from client wlc7 port 8022 cli
 90:8d:6c:65:2a:2b via TLS tunnel)
outer{
 Thu Jan 27 11:45:54 2022 : Auth: (10395286) Login OK: [eduroam@staff.uni-marburg.de] (from
 client wlc7 port 8022 cli 90:8d:6c:65:2a:2b)

 ●
 … und können die nutzen!
 ⟹ Filtere Nutzer anhand der äußeren ID

 10 76. DFN-BT 2022-03-30
Sep 2019: MDM ohne MDM?

 ●
 Man kann Benutzer zu korrekter äußerer ID zwingen.
 ●
 Aber können die das nicht unterlaufen und die lästige Prüfung
 einfach abschalten?
 ●
 Ja, könnten sie. Und in echt?
 ●
 Wir brauchen den Realitätscheck!

11 76. DFN-BT 2022-03-30
Migrationsstrategien

 ●
 Weg 1: Harter Schnitt (Bremen, Gießen, Bonn)
 – Ausnahmelisten nötig, nicht alle Clients können das
 ●
 Weg 2: Zwinge nur neue Benutzer zur ihrem Glück, ziehe die
 anderen später nach (Idee aus Göttingen, leicht adaptiert)
 – Neues Nutzer-Recht im LDAP: eduroamAnyOuterIdAllowed
 – Ausnahmen können flexibel verwaltet werden

12 76. DFN-BT 2022-03-30
Nov 2019: Bachelorarbeit?

 ●
 Planung Bachelorarbeit Y. Alshater in Kooperation mit FB Informatik,
 AG Freisleben
 ●
 Inhaltliche Vorarbeiten
 – Evil Twin aufsetzen
 – Methoden zur Informationsgewinnung über Clients entwickeln
 ●
 Rechtliche Vorarbeiten
 – Wie mit §202c StGB umgehen??
 – Datenschutzkonzept

13 76. DFN-BT 2022-03-30
§§ Begründung trotz §202c Stgb

 Zusammen mit der Uni-Rechtsabteilung wird eine doppelte
 Begründung erarbeitet:

 1 Wissenschaftlicher Erkenntnisgewinn
 Untersuchung einer relevanten wissenschaftlichen Fragestellung
 2 Verbesserung der praktischen WLAN-Sicherheit
 Die Methode ist angemessen und geeignet, die Sicherheit
 des WLAN-Betriebs an der Universität signifikant zu verbessern.

14 76. DFN-BT 2022-03-30
§§ Datenschutz/Anonymisierung

 ●
 Datenschutzkonzept:
 – trenne abgefangene Passwörter/Hashes sofort vom Username
 → Anonymisierung
 → Passwörter/Hashes können untersucht werden
 – informiere Nutzer wenn möglich

15 76. DFN-BT 2022-03-30
Aussagen über Clients?

 ●
 Informationsgewinnung schwierig:
 – Anfällige Clients machen oft kein DHCP,
 ⟹ kein User-Agent
 – resistente Clients: nur MAC-Adresse als Information
 ●
 Lösung (von Uni Bremen/DFN):
 TLS-Fingerprinting aus Client-Hello
 – geht mit allen Clients
 – liefert teilweise detaillierte Daten

16 76. DFN-BT 2022-03-30
TLS-Fingerprinting auf Layer 2

 1 Schneide Client-Hello mit
 2 Extrahiere relevante Teile
 3 Bilde Hashwert
 4 Vergleiche mit Hashwerten von Referenzgeräten

17 76. DFN-BT 2022-03-30
Ergebnisse

Betriebssystem anfällig resistent
macOS X/iOS 11–14 6 (3%) 196 (97%)
Android 4.2 1 (25%) 3 (75%)
Android 7 5 (33%) 10 (67%)
Android 8 6 (40%) 9 (60%)
Android 9 10 (52%) 9 (48%)
Android 10–11 25 (56%) 19 (44%)

Android gesamt 47 (48%) 50 (52%)
Windows 10 1 (6%) 14 (94%)
Unbekannt 117 (23%) 389 (77%)

Gesamt 171 (21%) 649 (79%)
Supplikanten und die Realität

 ●
 Wie befürchtet: Android hat das größte Problem.
 Immer noch tausende trivial anfällige Geräte unterwegs!
 ●
 Apple hat die „Party“ nur knapp verpasst:
 Bis April 2019 EAP-Success-Bug auf allen Geräten
 ●
 Microsoft macht es immerhin etwas besser
 ●
 Linux hat als einzige Plattform brauchbaren manuellen Dialog
 ●
 Kein einziges Gerät mit korrekter Outer ID war anfällig!

19 76. DFN-BT 2022-03-30
Derweil auf dem Smartphone...

 ●
 Die gefährliche Option
 CA-Zertifikat: Nicht validieren
 verschwindet plötzlich aus Android 11 und 10
 ●
 Erklärung: In WPA3-R2 ist sie verboten!
 ●
 eduroam-Community sitzt im WPA-Gremium, Vertreter hat es in den
 Standard geschrieben

20 76. DFN-BT 2022-03-30
Sieg auf der ganzen Linie?

 ●
 Nicht ganz: Nur das größte Scheunentor wird geschlossen
 ●
 TOFU weiter Default auf Windows und Apple
 ●
 Android und Windows 11 erzwingen mindestens Angabe des
 Servername/SAN
 ●
 Samsung erst ab Android 12
 ●
 Aber:
 – Der Trick mit Outer ID funktioniert in der Praxis
 – easyroam4edu ermöglicht einfaches EAP-TLS

21 76. DFN-BT 2022-03-30
Reale Angriffe?

 ●
 Wissen wir von realen Evil-Twin-Angriffen?
 ●
 Erfolgreicher Angriff auf Uni Marburg in 2015 nach
 vorausgegangener Drohung:
 – Viele gehackte Accounts
 – Vermutung: Accounts mit Evil Twin erbeutet
 ●
 Profis nutzen das auch, vgl. z.B.Podcast
 Der Mann in Merkels Rechner

22 76. DFN-BT 2022-03-30
Schlussfolgerungen
 ●
 Trivialer Evil Twin 10+ Jahre fast omnipräsent
 ●
 Bei BYOD gewinnt immer der Default, notfalls aussperren!
 ●
 Geräte brauchen Management!
 ● Alte Lücken + Vernetzung = 
 (vgl. Office-Makros und emotet)
 ●
 Hersteller nicht aus der Verantwortung entlassen,
 die Community hat auch Macht!
 ●
 Man muss das Gesamtsystem betrachten:
 – Netzwerk-Effekte sind wichtig
 – Praktische Handhabbarkeit
 – Standards, Organisations-Policies

23 76. DFN-BT 2022-03-30
Anhang: TLS-Fingerprinting im Detail

1 Schneide Verkehr mit:
 tcpdump -i wlan0 -o rec.pcap
2 Extrahiere Client-Hello:
 tshark -r rec.pcap -c1 \
 -R „eth.addr==${MAC} and ssl.handshake.type==1“ \
 -w mac-${MAC}-clienthello.pcap
 tshark -Vr mac-${MAC}-clienthello.pcap > \
 mac-${MAC}-clienthello.txt

3 Bilde Hashwert:
 md5sum mac-${MAC}-clienthello.txt > \
 mac-${MAC}-clienthello.md5
4 Vergleiche mit Hashwerten von Referenzgeräten
Anhang: Änderungen Freeradius + LDAP

● Neues Nutzer-Recht im LDAP-Attribut UniMrDarf:
 eduroamAnyOuterIdAllowed
●
 In /usr/share/freeradius/dictionary:
 ATTRIBUTE UniMrDarf 3007 String
●
 In /etc/freeradius/3.0/sites-available/inner-tunnel:
 if ( &UniMrDarf[*] !~ /eduroamAnyOuterIdAllowed/ ) {
 if ( &outer.request:User-Name != "eduroam@staff.uni-marburg.de" ) {
 update {
 control:Auth-Type := Reject
 }
 }
 }
Sie können auch lesen