Der «Hack» seines Lebens

Von Joel Gernet. Aktualisiert am 24.01.2012 32 Kommentare

Ein Basler Computerfreak hat im WLAN-Netz der Swisscom eine ernsthafte Sicherheitslücke ausgemacht – doch der Grosskonzern reagiert auf seine Hinweise nicht wie gewünscht.

Kann fast überall gratis ins Internet – wenn er will: Patrick Schlegel vor seinem Laptop.

Kann fast überall gratis ins Internet – wenn er will: Patrick Schlegel vor seinem Laptop.
Bild: Joël Gernet

Über die WPS-Sicherheitslücke

Beim im Dezember 2011 aufgedeckten Problem handelt es sich um eine international bekannte Sicherheitslücke bei WLAN-Routern/Modems. In der Schweiz sind vor allem Swisscom-Router des Typs Centro Grande der Hersteller Motorola und Pirelli/ADB betroffen. Schwachstelle der Geräte ist das System WPS (Wi-Fi Protected Setup), welches den einfachen, kabellosen Internetzugang mittels eines achtstelligen PIN-Codes ermöglicht und die Geräte anfällig macht für Cyber-Attacken. Der WPS-Code kann nämlich relativ rasch geknackt werden – und er führt zur wesentlich sicheren 20-stelligen SSID-Verschlüsselung, mit der nun auf geschützte Drahtlosnetzwerke zugegriffen werden kann. Wer eines dieser Geräte knackt, kann – ausgestattet mit den richtigen Programmen – ohne viel Aufwand auf alle gleichartigen Modems zugreifen. So gelangt der virtuelle Besucher unbemerkt auf das betroffene WLAN, im schlimmsten Fall sogar auf die Computer der Nutzer. Genaueres erfährt man zudem in einem Artikel auf heise.de.

Ein Swisscom-Router des Typs Centro Grande.

Stichworte

Artikel zum Thema

Patrick Schlegel fühlt sich nicht ernst genommen. Vergangene Woche hat der Basler den Kommunikations-Giganten Swisscom (SCMN 352 0.09%) auf eine Lücke in dessen Sicherheitsnetz aufmerksam machen wollen – ohne Erfolg, wie er sagt. Beim Besuch in einem Basler Swisscom-Shop sei er an eine Gratis-Hotline verwiesen worden, sein Mail an den Kundendienst blieb lange unbeantwortet. «Dabei geht es doch um die Sicherheit der Kunden», meint Schlegel, «entweder ist sich die Swisscom des Problems nicht bewusst – oder die sind ignorant.»

Der 42-Jährige erscheint im BMX-Trikot und Tarnhosen zum Gespräch. Für ihn ist klar: «Für die Swisscom ist das ein harter Schlag». Konkret geht es um speziell standardisierte Internet-Modems (siehe Box), die eine Sicherheitslücke aufweisen, welche genutzt werden kann, um auf verschlüsselte Drahtlosnetzwerke und Heimcomputer zu gelangen. «Das Schlimme ist: Wenn ich erst einmal via Netzwerk auf einem Computer bin, muss ich nur noch zugreifen», sagt Schlegel. Das habe er allerdings nie probiert.

«Das ist für mich eine Chance»

Um zu zeigen, wie rasch er in einem beliebigen Wohnquartier auf verschlüsselte Netzwerke zugreifen kann, hat Schlegel zwei entsprechende Videos gedreht, welche er auf Youtube veröffentlichen will, sofern Swisscom ihn weiter links liegen lässt. Deshalb hat sich der arbeitslose Basler auch an die Medien gewandt. Dass er sich von seiner Entdeckung auch gewisse Vorteile verspricht, daraus macht der 42-Jährige – der einst bei der Swisscom eine einjährige Ausbildung als Teleoperateur, sprich Telefonberater, durchlaufen hat – keinen Hehl. «Das ist für mich eine Chance», findet Schlegel.

Als Gegenleistung erhofft er sich eine kleine finanzielle Geste, vielleicht sogar ein Jobangebot. «Ich bin 42 und habe nicht jeden Tag Glück im Lotto – andere werden bezahlt fürs Denken.» Zudem geht es ihm um Anerkennung. «Ich will, dass ich derjenige bin, der auf diese Lücke aufmerksam macht – und nicht irgendein Studenten-Snob.» Er, der sein Leben lang nie längere Zeit an einem Job festhalten konnte – aus Langeweile und Unterforderung, wie er sagt. Er, der bei einer psychiatrischen Untersuchung vor Jahren herausgefunden habe, dass sein Intelligenzquotient mit 127 weit über dem Durchschnitt liegt. «Ich bin heute der, der die Schrauben in die Wand treibt – dabei könnte ich derjenige sein, der die Bohrmaschine konstruiert hat», findet der Computerfreak, der sich stets geweigert hat, Sachen zu büffeln, die ihm seiner Meinung nach nichts bringen.

Ein Problem höchster Priorität

Dass er nun von der Swisscom einen Gegenleistung für seinen Hinweis verlangt, empfindet Schlegel nicht als Erpressung. «Nein», entgegnet er, «aber irgend etwas sollte diese technische Information doch schon wert sein. Ich melde mich ja schliesslich freiwillig und könnte mein Wissen kriminell ausnützen – aber das will ich nicht». Schliesslich sieht er sich nicht als Hacker. Aus Schlegels Hoffnung auf eine kulante Geste des Grosskonzerns wird nichts. «Die Sicherheitslücke im WLAN-Standard ist in der Branche seit 29. Dezember 2011 bekannt», lässt Swisscom-Mediensprecher Carsten Roetz auf Anfrage wissen. «Wenn Herr Schlegel nun enttäuscht ist, hatte er womöglich keine Kenntnis von den bereits kursierenden Medienberichten

Zudem habe die Swisscom bereits vergangene Woche versucht, Kontakt zu dem Basler aufzunehmen. Zur Sicherheitslücke sagt Roetz, dass es mit der sogenannten «Brute Force Method» in der Tat möglich sei, an Drahtlosnetzwerk-Zugangsdaten zu gelangen. Ursache sei ein Programmierungsfehler, der sämtliche Netzbetreiber betreffe. Die Swisscom räume dem Problem höchste Priorität ein, entsprechende Software-Updates erhalte man voraussichtlich kommende Woche. Diese würden dann unverzüglich auf die betroffenen Geräte (siehe Box) übertragen.

Weil die Reaktion der Swisscom Schlegels Erwartungen nicht erfüllen, hat er heute seine beiden bisher als «privat» deklarierten Videos – sie zeigen, wie der 42-Jährige auf fremde Netzwerke zugreift – im Netz für alle auf «sichtbar» geschaltet. «Eine Veröffentlichung auf Youtube liegt gänzlich in seiner Hand», sagt Roetz und weist darauf hin, dass ein missbräuchlicher Zugriff auf das WLAN-Netz einer Drittperson strafbar ist. (baz.ch/Newsnet)

Erstellt: 24.01.2012, 14:02 Uhr

32

Kommentar schreiben

Verbleibende Anzahl Zeichen:

No connection to facebook possible. Please try again. There was a problem while transmitting your comment. Please try again.

32 Kommentare

Marc Keller

24.01.2012, 16:31 Uhr
Melden 39 Empfehlung

Man braucht um diese Lücke auszunutzen ja nicht mal grossartige Informatikkenntnisse - im verlinkten Artikel von Heise findet man ein Tool dafür. Mehr als die Installation einer Software hat Herr Schlegel also nicht geleistet - ob man dafür einen IQ von 127 braucht weiss ich nicht. Die Lücke hat ausserdem ein "Studenten-Snob" gefunden - oder zumindest dokumentiert :-). Die Blamage seines Lebens. Antworten


Stephan Schmid

24.01.2012, 15:25 Uhr
Melden 21 Empfehlung

Falls es sich bei der durch Herr Schlegel entdeckten Lücke wirklich um die WPS vulnerability handelt, dann ist dieses Problem in der Tat seit dem 27.12.2011 bekannt (CERT vulnerability note VU#723755). Was soll nach Herrn Schlegel daran neu sein? Mir war WPS onehin immer suspekt und habe das grundsätzlich immer ausgeschaltet. Ein Service der nicht läuft bietet keine Angriffsfläche. Antworten



Basel

Populär auf Facebook Privatsphäre

Verzeichnis

Werbung

Meistgelesen in der Rubrik Basel

Show-Business

Immobilien

Marktplatz
Wohnung/Haus suchen
Weitere Immo-Links
homegate TV
Hypotheken vergleichen
Umzug
Immobilie inserieren
Inserat erfassen
Grillsaison
homegate Besser grillieren mit unseren Experten-Tipps Mehr

In Partnerschaft mit:

Homegate

Faktor-5-Preis

Live @ Sunset

Publireportage

Videoreportage

English Corner

Beruf

Ist der Kreisel bei der Prüfstation trotz Sanierung gefährlich?

Ja

 
52.2%

Nein

 
47.8%

1101 Stimmen

zur Story...

NMTM

Publiblog

Beruf

Steilpass

bluebanana.ch

BaZ.Reisen. 2012

Weiterbildung

Werbung

Asyl in der Schweiz

Eine Aktion von bluebanana.ch, Baslerstab und Basler Zeitung

NMTM

Publiblog

BaZ.Mobil.

Mimpfeli

Kostenlose Ebooks

Promotion

Wir wollen Ihre schönsten Bilder!