Wardialing Revisited - Ein Anruf mit schweren Folgen

Wardialing Revisited

Ein Anruf mit schweren Folgen

Stefan Friedli
von Stefan Friedli
Lesezeit: 7 Minuten

Am 4. Dezember 2014 herrschte plötzlich Panik im Zürcher Toni-Areal: Auf dem Gelände der Zürcher Hochschule der Künste (ZHdK) war Alarm ausgelöst worden – der dritten in drei Wochen. Die initiale Gelassenheit vieler Studenten, man kennt das Phänomen aus der alten Fabel Der Junge der Wolf schrie, wich schon bald ernsthafter Sorge: In Lautsprecherdurchsagen forderte die Polizei die Anwesenden auf, sich in abschliessbare Räumen zu bewegen, von den Fenstern fernzubleiben und sich allgemein nur in Bodennähe aufzuhalten. Von einer Amokdrohung war die Rede.

Die Zürcher Hochschule der Künste im Toni Areal

Bange Stunden verstrichen, die Zürcher Stadtpolizei durchkämmte in dieser Zeit mit der Interventionseinheit Skorpion die rund 1400 Räume des mehrstöckigen Hauses. Rund 100 Polizeigrenadiere waren im Einsatz, ungefähr 5000 Personen sassen den grössten Teil des Vormittags im Gebäude fest und hielten sich – die einen mehr, die anderen weniger – an die Instruktionen der Polizei, die immer wieder über Lautsprecher durchgegeben wurden. Dann um 11.55 Uhr die Entwarnung: Es besteht keine Gefahr, der Schulbetrieb wird aber für den Rest des Tages eingestellt. Die Anwesenden werden gebeten, ruhig und geordnet das Gebäude zu verlassen.

Schnell werden Spekulationen darüber angestellt, was vorgefallen ist: Handelt es sich um einen schlechten Scherz? Wollte jemand auf Biegen und Brechen seinen Prüfungstermin verhindern? Wenn ja, ist die Reaktion der Autoritäten überrissen oder sollte jede potenzielle Bedrohung im potenziell höchsten Grad beurteilt werden, auf die Gefahr hin, mit einer Überreaktion für Kopfschütteln zu sorgen?

Verhängnisvolles Verwählen

Eine Situation, in der eine konkrete Drohung vorliegt, einzuschätzen, ist wahnsinnig anspruchsvoll und für den Laien vermutlich nicht nachvollziehbar. Was am 4. Dezember 2014 aber vorgefallen ist, war – so zeigen es die Informationen die im Anschluss bekannt wurden – in erster Linie eine hochgradige technische Fehlleistung. So wurde der Einsatz, der nach Aussage von Zürcher Polizeisprecher Marco Cortesi gegenüber 20 Minuten mehrere 10‘000 Franken kostete durch einen Anruf auf eine automatisierte, geheime Alarm-Nummer ausgelöst. Und das nicht mit Absicht oder wegen eines Missverständnisses, sondern aus reinem Zufall und vermutlich auch, bis zum Besuch der Polizei, unwissentlich.

Man kann sich das so vorstellen: Die Hochschule hat für den Fall eines effektiven Ernstfalles eine Telefonnummer – im Zuge dieses Artikels werden wir exemplarisch die von uns erfundene Nummer 044 XXX 1324 verwenden – so eingerichtet, dass automatisch beim Eintreffen eines Ernstfalles Alarm ausgelöst wird. Möchte jetzt jemand einen Bekannten mit der Rufnummer 044 XXX 1234 anrufen und verwählt sich, löst er damit den Alarm aus. Es ist eigentlich verwunderlich, dass dieses System – das sicher mit guten Absichten konzipiert wurde – bis heute noch nie versehentlich ausgelöst wurde, ist der Mechanismus doch ungefähr so fragil, als würde man die Notbremse in einer S-Bahn in Form eines identischen Knopfes direkt über dem Türöffner anbringen.

Erinnerung an Wardialing wird wach

Eine in die Jahre gekommene Technik, die viele InfoSec-Veteranen noch in guter Erinnerung haben, ist das sogenannte Wardialing. Mittels einer dedizierten Software wurde ein Modem dazu eingesetzt, einen bestimmten Nummernblock durchzuwählen und sich dabei zu notieren welche Nummern auf Anrufe antworten, zum Beispiel durch eine Faxmaschine oder – meistens im Fokus dieser Aktionen – Modems, die für den Remote Access genutzt wurden. Zu Weltruhm schaffte es das Wardialing mit dem Film WarGames aus dem Jahre 1983. Dass es mittels eines Wardialers also trivial gewesen wäre den Alarm der ZHdK und andere, identisch aufgebaute Alarmhotline, zu triggern, ist besorgniserregend.

In unseren Projekten raten wir Kunden strikt davon ab, Security by Obscurity als valides Sicherheitsmodell zu betrachten. Es ist natürlich eine valide Option, die Authentisierungsmaske einer Applikation nicht unter /admin/ zu lagern – eine weitaus bessere Option ist es aber, eine saubere Authentisierung, wenn möglich mit mehreren Faktoren zu implementieren. Und genau das wäre es, was im Falle der ZHdK auch in irgendeiner Form hätte passieren müssen: Zumindest eine Nachricht, die dem Anrufenden die Möglichkeit gibt seinen Fehler zu erkennen und den Alarm nicht auszulösen, zum Beispiel in dem er innerhalb von fünf Sekunden den Hörer aufhängt oder mittels der Kurzwahl 117 seinen fatalen Irrtum melden könnte, wäre technisch vermutlich in 2014 durchaus machbar und hätte in diesem Fall viel Zeit, Ärger und Geld sparen können.

Die ZHdK hat die Nummern mittlerweile deaktivieren lassen. Eine Sofortmassnahme, wie es in den Medien heisst. Welche Massnahmen an deren Stelle treten, ist nicht bekannt. Es bleibt zu hoffen, dass das Vorgefallene nun als Lektion dient und dazu führt, dass solche Zwischenfälle in Zukunft nicht mehr vorkommen. Sie führen zu Polemik, zu übermässiger Kritik an der Polizei – die unter Berücksichtigung der Tatsache, dass von einem Ernstfall auszugehen war vorbildlich reagiert hat – und Verunsicherung im Falle eines effektiven Zwischenfalles.

Trotzdem: Wer im Kanton Zürich mit einem Wardialer herumhantiert, tut vermutlich gut daran, etwas Umsicht walten zu lassen. Sicher ist sicher.

Über den Autor

Stefan Friedli

Stefan Friedli gehört zu den bekannten Gesichtern der Infosec Community. Als Referent an internationalen Konferenzen, Mitbegründer des Penetration Testing Execution Standard (PTES) und Vorstandsmitglied des Schweizer DEFCON Group Chapters trägt er aktiv zum Fortschritt des Segmentes bei.

Links

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

×
Active Directory-Zertifikatsdienste

Active Directory-Zertifikatsdienste

Eric Maurer

Konkrete Kritik an CVSS4

Konkrete Kritik an CVSS4

Marc Ruef

Das neue NIST Cybersecurity Framework

Das neue NIST Cybersecurity Framework

Tomaso Vasella

Angriffsmöglichkeiten gegen Generative AI

Angriffsmöglichkeiten gegen Generative AI

Andrea Hauser

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv