Laut dem Chaos Computer Club (CCC) in Hannover ist es „erschreckend zu sehen, wie schlecht die[…] Software“ des neuen WLAN-Angebots in den ICEs der Deutschen Bahn umgesetzt wurde. Das Mitglied „Nexus“ hat dazu einen umfangreichen Bericht verfasst, indem klar wird, dass das ICE-WLAN starke Mängel im Bereich der Privatsphäre aufweist.
Eigentlich sollte nur der Login automatisiert werden
Nexus wollte eigentlich nur ein Script schreiben, welches den Login ins Bahn-WLAN erlaubt, ohne dass dafür der Browser geöffnet werden muss. Nach eigenen Angaben gelang dies sehr gut – aber leider nur, weil die Entwickler hinter der Netzwerksoftware keine Ahnung von dem hatten oder haben, was sie da gemacht haben.
Gerade das Ausnutzen von Seiten-Requests über diverse Sicherheitsgrenzen hinaus wurde bei der Realisierung des Wifis im Zug nicht beachtet. Sogenannte Cross Site Request Forgerys (CSRF respektive XSRF) werden dadurch möglich. Man kann also theoretisch Aktionen im Namen eines anderen Nutzers ausführen – oder bei diesem Aktionen im Namen der genutzten Seite.
Nutzer in der ICE-WLAN-Umgebung einfach mal offline schicken
„Die Netztopologie sieht dabei wie folgt aus:
- WLAN-Geräte erhalten eine IP aus dem Netzwerk 172.16.0.0/16 also z.B. 172.16.10.33
- ombord.info befindet sich mit der IP-Adresse 172.16.0.1 im Netz 172.16.0.0/16 und ist der Gateway für alle mit dem WLAN verbundenen Geräte
- wifionice.de befindet sich mit der IP-Adresse 172.18.10.10 in einem anderen Netz, welches über das www.omboard.info Gateway geroutet wird
Damit ist www.omboard.info sowohl der Router, als auch die Authentifizierungsstelle für den Zugriff und www.wifionice.de stellt ausschließlich eine Portalseite zur Verfügung.
Durch diesen Umstand wird klar, dass das gesamte System nur mit Cross-Site-Requests funktioniert.“
Durch dieses Vorgehen und die fehlende Absicherung über Tokens ist es dem oben verlinkten Bericht zufolge, aus dem auch das Zitat mit der Aufschlüsselung des Anmeldeverfahrens stammt, auch möglich, Nutzer einfach aus dem WLAN des ICE zu kicken.
Hinweis zur Sicherheit im ICE-WLAN
Im Fazit des Berichts gibt Nexus noch einen Hinweis für alle WLAN-Nutzer im Zug: „Bis die Bahn dieses Datenleck geschlossen hat, kann eine Firewallregel Abhilfe schaffen, die TCP-Verbindungen zur Adresse 172.16.0.1 verbietet, nachdem der Login ins WLAN erfolgt ist. Bei aktueller Umsetzung lässt man den Browser im Zug aber vielleicht am besten einfach geschlossen.“