RUB » RUBIN » 

Sie sind hier

IT-Sicherheit 2016 » Die Tücken des eduroam

Die Tücken des eduroam

Vorsicht vor Passwort-Diebstahl

von Raffaela Römer  

21. Dezember 2015

 

An jeder Uni bequem mit den Zugangsdaten der Heimuni ins WLAN – das ist dank eduroam möglich. Doch wer seinen Computer oder sein Handy nicht korrekt dafür konfiguriert, läuft Gefahr, im Netz ausspioniert zu werden. Wissenschaftler der AG Informationssicherheit fanden heraus: Von rund 1.300 getesteten Nutzergeräten war knapp die Hälfte nicht sicher vor einem Diebstahl von Nutzerkennung und Passwort.

Eduroam ermöglicht es Studierenden und Mitarbeitern, sich an jeder Uni unkompliziert mit dem WLAN zu verbinden.

Die Idee hinter eduroam (kurz für education roaming) ist einfach, aber genial: Studierende oder Mitarbeiter, die sich für Vorträge oder Gastaufenthalte an einer anderen Uni aufhalten, können sich mit den Zugangsdaten ihrer Heimuni in das WLAN der Fremduni einloggen – das spart Zeit und Arbeit, denn das Beantragen eines Gastzugangs wird überflüssig. Mittlerweile sind fast alle europäischen und zunehmend auch außereuropäische Länder bei eduroam vertreten, und immer mehr Universitäten der jeweiligen Länder schließen sich dem Forschungsnetz an.

Doch kaum eine Technik, die nicht auch Hacker auf den Plan rufen würde. So ist es auch mit eduroam. Prof. Dr. Christina Pöpper und ihr ehemaliger Masterarbeitsstudent Sebastian Brenza von der AG Informationssicherheit sind dem Problem nachgegangen und fanden heraus: Von 500 getesteten Nutzergeräten war 2014 mehr als die Hälfte nicht sicher vor einem Diebstahl von Nutzerkennung und Passwort. „Liest ein Angreifer diese Daten aus, hat er damit Zugang auf viele Uni-Services, zum Beispiel auf das E-Mail-Konto des Nutzers“, sagt Christina Pöpper, die die AG seit 2013 leitet.

Abb. 1© Roberto Schirdewahn

Juniorprofessorin Christina Pöpper hat an der RUB gemeinsam mit ihren Studenten auf Sicherheitslücken im eduroam aufmerksam gemacht.

Um herauszufinden, welche Möglichkeiten Hacker im Hinblick auf eduroam haben, begaben sie und ihr Student sich in die Rolle des Angreifers. Dafür setzten sie einen falschen Access-Point auf und simulierten ein eduroam. „Access-Points sind die kleinen Funkgeräte, die verteilt an der Uni an der Wand hängen. Sie senden ein eduroam-Signal aus, auf das sich internetfähige Geräte verbinden wollen. Gibt der Nutzer seine Kennung und sein Passwort ein, laufen verschiedene Authentifizierungsverfahren ab. Sie prüfen, ob die Daten echt sind. Diese Überprüfungen passieren an der Heimuni, denn dort ist der Nutzer registriert“, erklärt Pöpper.

Um einen falschen Access-Point aufzusetzen, ist es nicht nötig, ein WLAN-Funkgerät an die Wand zu schrauben. Ein normaler Laptop und eine kleine Funkantenne reichen aus und fallen niemandem auf. So ausgestattet luden die beiden Sicherheitsexperten vergangenen Sommer zu einem Aktionstag, organisiert vom Rechenzentrum der RUB, in die RUB-Mensa ein. 350 Menschen kamen und brachten ihre insgesamt 500 Smartphones und Laptops mit. Mitarbeiter des Rechenzentrums überprüften mit Hilfe der von Christina Pöpper und Sebastian Brenza zur Verfügung gestellten Software die einzelnen WLAN-Konfigurationen und stellten fest: In vielen Fällen waren diese fehlerhaft und kein Hindernis für einen potenziellen Angreifer. Betroffen waren sowohl Apple-Geräte als auch Android-Smartphones und -Tablets. „Das eduroam-System ist gut durchdacht“, so Christina Pöpper. „Allerdings basiert es darauf, dass von den Nutzern entsprechende Installationen auf den Endgeräten gemacht werden. Welche das sind und wie man dabei vorgehen muss, erfährt man auf den Seiten des Rechenzentrums.“ Doch warum hatten so viele Besucher des Aktionstages hierbei Fehler gemacht? Zum Teil lag es daran, dass eine Konfigurationsanleitung auf den Seiten des Rechenzentrums unvollständig war. Andere Nutzer wiederum hatten die Zertifikate gar nicht heruntergeladen. Das Rechenzentrum war dankbar für den Hinweis der Wissenschaftler und korrigierte umgehend die Konfigurationsanleitung.

Auch die Geräte selber wiesen zum Teil Schwachstellen auf. Sebastian Brenza, der sie gemeinsam mit dem Doktoranden Andre Pawlowski entdeckte, nahm daraufhin Kontakt zu den Herstellern auf und wies sie auf die Sicherheitslücken hin.

Trotz dieser Maßnahmen konnte das Problem der unsicheren eduroam-Zugänge bisher allerdings nicht gelöst werden: Im Rahmen einer Bachelorarbeit in der AG Informationssicherheit wurde im September 2015 erneut eine Auswertung durchgeführt. Es zeigte sich, dass von 1.275 getesteten Geräten knapp die Hälfte anfällig für Angriffe war – ein ähnliches Ergebnis also wie im Jahr zuvor. Nach den Gründen befragt, antwortet Christina Pöpper: „Die Schwachstellen der Geräte sind weitgehend die gleichen geblieben. Es dauert, bis sich neue Betriebssystemversionen oder Sicherheitskorrekturen bei den Nutzern verbreiten. Außerdem ist nicht ausgeschlossen, dass ein Teil der Nutzer zum Beispiel gar nicht mitbekommen hat, dass auf der Webseite des Rechenzentrums eine korrigierte Konfigurationsanleitung zu finden ist.“

Ob es in der Vergangenheit bereits zu einem echten Angriff und in der Folge zu einem Diebstahl von Passwort und Nutzername kam, kann man laut Christina Pöpper nicht genau sagen. Einige Indizien scheinen aber dafür zu sprechen: „Man kann solch einen Angriff nur genau in dem Moment erkennen, in dem er gemacht wird. Es gab aber vor einiger Zeit Vorfälle, wo Passwörter geknackt wurden. Ein Angriff über eduroam könnte die Ursache gewesen sein.“

Sicher im eduroam unterwegs

Als Besitzer eines Apple-Gerätes sollte man möglichst die von der Heimuni angebotenen vorgefertigten WLAN-Profile verwenden. Hierbei muss der Nutzer nur noch seinen Nutzernamen und sein Passwort eingeben, und das Gerät ist im Anschluss korrekt konfiguriert.

Die Nutzer aller anderen Geräte sollten der Konfigurationsanleitung der Heimuni folgen. Wichtig ist hierbei, dass die Anleitung die Konfiguration eines Zertifikates vorgibt. Sollte dies nicht der Fall sein, ist die Konfigurationsanleitung fehlerhaft, und man sollte sich an das Rechenzentrum der Universität wenden.

Zur Konfigurationsanleitung der RUB

Kontakt zum Fachbereich

Jun.-Prof. Dr. Christina Pöpper
AG Informationssicherheit
Ruhr-Universität Bochum
44780 Bochum
Tel. 0234/ 32-27391
E-Mail: christina.poepper@rub.de

Download hochauflösender Bilder

Markieren Sie die gewünschten Bilder und akzeptieren Sie unsere Nutzungsbedingungen.
Der Download der gewählten Bilder erfolgt als ZIP-Datei.

Nutzungsbedingungen
Die Verwendung der Bilder ist nur im Kontext der Berichterstattung zu
RUBIN – Wissenschaftsmagazin der RUB und unter Angabe der entsprechenden Copyrights für die Presse frei.



Ich akzeptiere die Nutzungsbedingungen.