WiFi on ICE. (Foto: Jorg Hackemann / Shutterstock.com)
Deutsche Bahn behebt Sicherheitslücken
Die Deutsche Bahn hat auf die Sicherheitsbedenken überraschend schnell reagiert. Wie ein Sprecher der Deutschen Bahn t3n mitteilt, hat das Unternehmen die Lücke identifiziert und damit begonnen, ein entsprechendes Update einzuspielen. Der Fehler soll noch am Donnerstag vollständig behoben sein.
„Wir haben die vom Chaos Computer Club beschriebene vermeintliche Sicherheitslücke identifiziert. Wir haben bereits begonnen, ein Softwareupdate aufzuspielen, so dass das Problem bis zum Ende des Tages bei allen Zügen behoben sein wird.“
Wifi on ICE: Kostenloses WLAN der Deutschen Bahn sammelt viele Nutzerdaten
Originalartikel vom 13. Oktober, 11:40 Uhr: Die Deutsche Bahn will bis Ende des Jahres alle ICE-Züge mit kostenlosem WLAN ausrüsten. Sowohl Kunden der ersten als auch der zweiten Klassen sollen das Angebot nutzen können. Bei der Entwicklung des WLAN-Zugangs scheint die Bahn beziehungsweise das mit dem Ausbau betraute Unternehmen aber nicht unbedingt das Thema Sicherheit im Auge gehabt zu haben.
WLAN im ICE – lange haben wir darauf gewartet. Mehr Sicherheit wäre dennoch zu begrüßen. (Screenshot: t3n)
CCC-Hannover-Mitglied Nexus, selbst regelmäßiger Bahnfahrer, hat sich das Angebot näher angesehen, um sich ein Script zu bauen, damit er sich in das WLAN einloggen kann, ohne den Browser öffnen zu müssen. Seinem Bericht zufolge ging das einfacher als angenommen, allerdings habe es damit zu tun, „dass dort Menschen ‚gefrickelt‘ haben“: Das ICE-WLAN-Angebot sei seinen Entdeckungen zufolge nicht gegen Angriffe wie Cross-Site-Request-Forgery (CSRF) geschützt und die Privatsphäre der Nutzer scheint den Entwicklern des Zug-WLANs nicht sonderlich wichtig zu sein.
Bei den CSRF-Angriffen wird ausgenutzt, dass Requests über die Grenzen einer Website versendet werden können. Der Request der Originalseite kann von einem Angreifer gegen ein eigenes Formular ausgetauscht und unbemerkt im Hintergrund verschickt werden. Ist ein Nutzer zum Beispiel auf der Website, an die der Request geschickt wird, angemeldet, können Aktionen unter seinem Konto ausgeführt werden. Diese Art des Angriffs ist nicht neu und es ist mittlerweile üblich, dass in Formularen ein Token mitgeschickt wird. Ohne Besitz des entsprechenden Sicherheits-Tokens könne ein externer Angreifer keine Aktionen per CSRF auslösen.
Wifi on ICE: Nutzung des kostenloses WLANs nur mit bestimmten Firewall-Einstellungen empfohlen
Zur Nutzung des kostenlosen WLANs der Deutschen Bahn muss ein „Captive-Portal“ aufgerufen werden. In diesem bestätigt man durch einen Button-Klick die Geschäftsbedingungen und kann online gehen. Für den Aufruf dieses Portal wird der Nutzer auf eine weitere Seite umgeleitet. Laut Nexus funktioniert das gesamte System mit Cross-Site-Requests – ohne Token. Wie Nexus in seinem Blogpost weiter schreibt, ist das Spektrum der vergebenen IP-Adressen bekannt. Versierte Nutzer können so durch das Einschleusen eines Codes das WLAN kurzerhand für bestimmte Nutzer offline schalten.
Das ist aber noch relativ harmlos. Kritischer ist es, dass durch das Angebot der Deutschen Bahn die Bewegungsdaten der WLAN-Nutzer, die GPS-Position des Zuges und die Geschwindigkeit ausgelesen werden können. Aber nicht nur das – auch die MAC- und die lokale IP-Adresse sowie Transfer-Statistiken und alle Informationen der Gateway-Services können abgefragt werden. Befindet ihr euch im ICE-WLAN-Netz, könnt ihr euch über folgendes Proof-of-Concept einen Überblick über die gesammelten Daten verschaffen: http://hannover.ccc.de/~nexus/dbwifi/read_data.html
Laut Nexus könnte ein Szenario der Ausnutzung der Nutzerdaten wie folgt aussehen:
„Versieht man eine Webseite mit einem geeigneten Script, erlaubt dies die eindeutige Erfassung und Zuordnung von Bewegungsdaten bei Seitenzugriffen. So lassen sich diese Informationen durch Werbetreibende über eingebettete Werbebanner in Seiten erfassen, die dann entsprechend Bewegungsprofile von Internetnutzern sammeln können.“
Nexus geht davon aus, dass die Bahn viel Geld in die Infrastruktur investiert hat, aber auf ein Security-Audit, also einen Test auf Sicherheit des Angebots, verzichtet hat. Die Bahn habe, so vermutet Nexus, auf die Fachkenntnis des Unternehmens, das das kostenlose WLAN-Netz gebaut hat, blind vertraut. Dem fehlte es allem Anschein nach aber an Grundlagenwissen von Webtechnologien – oder einer gewissen Sensibilität für die Privatsphäre der Kunden. Bis auf Weiteres sollte man entweder die Nutzung des ICE-WLANs meiden oder wenigstens eine Firewallregel nutzen, die TCP-Verbindungen zur Adresse 172.16.0.1 verbietet.
t3n hat die Deutsche Bahn kontaktiert und um eine Stellungnahme gebeten. Das Statement im vollen Wortlaut:
„Sicherheitshinweise zu möglichen Sicherheitslücken in unseren Systemen nehmen wir grundsätzlich sehr ernst, so auch den Blogeintrag des Chaos Computer Clubs. Wie bei Einführungsphasen üblich, testen wir das System permanent auf Funktionsfähigkeit und Sicherheit. Sollte tatsächlich eine Sicherheitslücke in unserem neuen WLAN-System bestehen, werden wir diese natürlich umgehend schließen.“
=> Dem fehlte es allem Anschein nach aber an Grundlagenwissen von Webtechnologien..
Bitte schön, das kann man von einem Staatsbetrieb nicht erwarten. Seit doch bitte etwas nachsichtig..
Und wieder einmal eine „Sicherheitslücke“ die von einem CCC-Mitglied gefunden wurde und eigentlich keine Praxisrelevanz hat. Oder habe ich überlesen, WIE er einen Code einschleusen möchte? Wie immer die eigentliche Sicherheitslücke nicht gefunden – aber dafür ist Nexus ja bekannt. Original Quelle liefert auch keine Hinweise.