Heise: Vorsicht im Zug: WIFIonICE manipuliert PayPal (Allgemeines Forum)

tommie, Freitag, 19.05.2017, 22:54 (vor 2526 Tagen) @ br752

So, die Kommentare laufen hier ja in ähnliche Richtungen wie im Heise-Forum, daher möchte ich die Gelegenheit nutzen, einige Missverständnisse aufzuräumen. Gerade beim Thema "WLAN" sprudelt immer einiges an Halbwissen und Cargo-Cult-Know-How nach oben.

* "Ein WLAN ist immer unsicher, Kabelnetze sind viel besser."

Das ist falsch, denn ein privates WLAN ist in der Regel verschlüsselt und damit nur einer geschlossenen Benutzergruppe zugänglich - in ein Kabelnetz kann sich jeder einklinken und alle übertragenen Daten belauschen und/oder manipulieren. Das ist aber kein Problem, wie wir gleich sehen werden...

* "In einem öffentlichen WLAN macht man ja auch kein Online-Banking, das sollte man zu Hause am eigenen Router machen."

Auch das ist offensichtlich Unfug, wenn man bedenkt, dass die Kommunikation zwischen dem eigenen Rechner und der Bank über zahlreiche Stationen weitergeleitet wird. Jede davon kann die Pakete nach belieben mitlesen, umleiten, unterdrücken oder sonstwie manipulieren - und natürlich auch jeder, der Zugriff auf die Leitungswege dazwischen hat. Die Luftstrecke vom Notebook zum WLAN-AP ist daher zu vernachlässigen, wenn an die Kommunikation wirklich sichern will. Der eigene Internet-Zugang zu Hause bietet da global gesehen kein bisschen Sicherheit mehr, das ist ein absoluter Trugschluss.

Daher gibt es ja Verschlüsselung, die ja in diesem Fall auch erkannt hat, dass die Daten eben nicht bei Paypal, sondern bei Maersk landen (dazu später mehr).

Was ist jetzt also genau im ICE passiert? Als ich die Heise-Meldung heute Mittag gelesen habe, habe ich sofort überprüft, wo www.paypal.com und die in der Meldung genannte Reederei-Seite genau gehostet werden:

stefan@handoergli:~$ host www.paypal.com
www.paypal.com is an alias for www.paypal.com.akadns.net.
www.paypal.com.akadns.net is an alias for pprussia.www.paypal.com.akadns.net.
pprussia.www.paypal.com.akadns.net is an alias for ppdirect.paypal.com.akadns.net.
ppdirect.paypal.com.akadns.net is an alias for wlb.paypal.com.akadns.net.
wlb.paypal.com.akadns.net is an alias for www.paypal.com.edgekey.net.
www.paypal.com.edgekey.net is an alias for e3694.a.akamaiedge.net.
e3694.a.akamaiedge.net has address 2.19.69.23

Über fünf Umwege teilt das Telefonbuch des Internets uns also mit, dass Paypal seine Webpräsenz über das Content-Delivery-Netzwerk des weltweiten Hosters Akamai verteilt. Wo hat wohl Maersk seine Daten liegen?

stefan@handoergli:~$ host apid.maerskline.com
apid.maerskline.com is an alias for apid.maerskline.com.edgekey.net.
apid.maerskline.com.edgekey.net is an alias for e2742.a.akamaiedge.net.
e2742.a.akamaiedge.net has address 2.20.17.149

Tada, das gleiche Inhaltsverteiler-Netzwerk.

Das wäre alles kein Problem. Ohne im ICE gesessen zu haben, kann ich nur Vermutungen anstellen. Ich vermute, dass das ICE-WLAN bestimmte Optimierungen bei den Verbindungen vornimmt, um den Datendurchsatz zu steigern; dazu gehören zum Beispiel, dass die oben genannten DNS-Anfragen im Zug oder der Bodenstation zwischengespeichert (gecachet) werden, um sie bei Bedarf schnell wieder an andere Clients im Zug zustellen zu können. Da spricht nichts gegen, das ganze Internet funktioniert so. Gerade im Mobilfunkbereich werden jedoch durch die Provider gerne Abkürzungen genommen, um noch ein bisschen mehr Leistung herauszukitzeln, da werden Verbindungsanfragen zum Beispiel direkt von einer Zwischenstation des Providers angenommen, der dann im Hintergrund die echte Verbindung zum eigentlichen Ziel aufbaut und anschließend zwischen diesen vermittelt. Die Nebenwirkungen der Latenzen im Mobilfunkbereich (die ja auch im ICE-WLAN existieren) kann man so vermeiden. Vermutlich läuft hier irgendetwas schief, so dass die Verbindungen, die eigentlich zu Paypal gehen sollten, an die Maersk-Gegenstelle gesendet werden. Die Browser erkennen das und würgen die Verbindung ab: bestellt wurde www.paypal.com, geliefert wurde apid.maerskline.com, also Annahme verweigert.

Achja, damit können wir auch direkt das nächste Argument entwerten

* "Ich mache sowas nur über das Mobilfunknetz, da kann sowas nicht passieren!"

Die Mobilfunk-ISPs haben diese Optimierungen erst eingeführt, ebenso gelten auch hier die Argumente bezüglich des Internetzugangs von zu Hause: das Internet ist offen für viele, die Daten laufen sichtbar über viele Drähte - und wenn die Verschlüsselung nicht von Anfang (Notebook) bis Ende (Bankserver) reicht, ist eh alles für die Katz. Weder euer Mobilfunk- noch euer Heimnetz verfügt über irgendwelche Superkräfte, die ein Abhören eurer Daten verhindern, dafür gibt es Kryptographie - die hier auch hervorragend und genau wie geplant funktioniert hat.