Extremste Sicherheitslücken in fremden WLAN entdeckt - Was nun?

Sniper

Lt. Commander
Dabei seit
Juni 2001
Beiträge
1.660
Guten Morgen allerseits,

ich weiß nicht ob ich hier richtig bin - Sorry schonmal.
Ich stecke gerade in einem riesen Dilemma.Kurze Vorgeschichte:

Gestern hatte ich Probleme mit meinem Laptop und meinem WLAN, nach kurzem rumgerödel hatte ich endlich wieder eine Verbindung. Ins Internet kam ich aber immer noch nicht. Gut dacht ich, schaust mal nach. Nun wohne ich direkt neben einer relativ großen und bekannten Klinik und ihr könnt euch vorstellen wo sich mein Laptop hin connected hat. Genau, auf deren offenes WLAN! Man kann zwar nicht über diese Verbindung surfen, da ich den Proxy nicht weiß den sie vermutlich verwenden. Aber ... Was jetzt kommt ist der Hammer: Ich dachte mir "schaust mal was da los ist - Von wegen Klinik und offenes WLAN". Also Netzwerkscanner angeschmissen... Als ich sah was da zu Tage kam, ist mir fast das Laptop aus der Hand gefallen.

Nach nur ein paar Minuten scan ...

- Sämtliche HP-Switche in deren Netzwerk. Per Browser kam ich auf deren Config-Seite. Man könnte sämtliche Ports deaktivieren ... Switche resetten ... Herunterfahren - Ebenso Telnet-Verbindung ist darauf möglich. OHNE PASSWORT!

- Sämtliche Rechner im Netzwerk ... Domänenname ... Domänen-User ... Rechner-Infos ... MAC-Adressen ... etc.

- Ich konnte mich sogar auf einen der Rechner per R-Desktop verbinden. Logischerweise habe ich keine Benutzernamen/Passwort, aber man denke an jemand der böswillig und noch mehr Ahnung hat kommt da drauf ...

- Auf einer alten NT4-Kiste war Zugriff auf die komplette C$-Share des Rechners möglich. Inklusive Zugriff sensibler Daten (*.doc / *.xls Files)

Das ganze war in knapp 30 min. erledigt. Man stelle sich jemand vor der wirklich mut- und böswillige Absichten hegt. Der hockt sich mit dem Laptop gemütlich bei denen vor die Bude und ...

Wie gesagt. Ich hatte keinerlei Hürden zu nehmen. Das WLAN ist offen und nicht verschlüsselt. Ebenso o.g. Sachen. Ich war gestern wirklich geschockt und konnte es nicht fassen. Jetzt stecke ich ziemlich in der Klemme, denn ich weiß nicht was ich tun soll. Natürlich will ich denen nichts böses. Gerne würde ich rüber zur Geschäftsleitung und denen das unter die Nase halten.

Aber wie sieht es hier rechtlich aus? Wenn die mir da an den Karren fahren können, habe ich natürlich keine Lust. Andererseits ist es ein Skandal. Eine Klinik in der Größenordnung. Die haben doch extremste Auflagen bezüglich Datenschutz etc.

Ich habe als "Beweis" etliche Screenshots gemacht um aufzuzeigen was ich, als "Nachbar" in deren Netzwerk ohne Probleme und Hürden sehen kann.

Ich war wirklich fertig gestern und hab echt gezittert. Es ist unfassbar!
 

Rolex

Lt. Junior Grade
Dabei seit
Juni 2005
Beiträge
479
Guten Morgen !

Das ist ja echt krass ! Zu dem rechtlichen kann ich garnicht viel sagen, aber ich würde ein anonymen Brief direkt an dei Geschäftsleitung (vielleicht an den Datenschutzbeauftragten) schicken. Spätestens dann sollten die "Nichts-Ahnenden" mal aufwachen!
Wie du schon geschrieben hast, jemand mit böen Absichten könnte da einiges anstellen.

Gruß

Rolex
 

Sniper

Lt. Commander
Ersteller dieses Themas
Dabei seit
Juni 2001
Beiträge
1.660
Wirklich, ich weiß nicht was ich tun soll. Ich bin total fertig.
Man stelle sich mal vor wenn das Publik wird. "Klinik XY seit Jahren ungeschützt etc."
Das WLAN ist mir schon ein paar mal Zuhause aufgefallen. Habe mich aber nie wirklich dafür interessiert. Ich wohne dort seit Ende 04. Mindestens seit dort besteht vermutlich diese Lücke.
 

[Stephan]

Captain
Dabei seit
Dez. 2006
Beiträge
3.919
Du musst ja nicht zu viel sagen. Ich würde zum Verwaltungsdirektor gehen und ihm mitteilen, dass dir das beim Einrichten deines WLAN's aufgefallen ist!
 

Leko

Cadet 3rd Year
Dabei seit
Juni 2007
Beiträge
55
am Besten haust bei der Gelegenheit dem Hausadmin eine rein! ;-)
Ich würd auch rüber gehen und das berichten, sollten eigentlich über diese Zivilcourage froh sein
 

BasCom

Commodore
Dabei seit
Feb. 2006
Beiträge
4.384
gibt doch kein grund da zu zittern. bist ja nicht persönlich betroffen. wennse dat so wollen... schmeiss den doch nen anonymen brief innen briefkasten. fertig.
 

Captiver

Ensign
Dabei seit
Mai 2007
Beiträge
159
Also soviel ich weiß ist bei der Rechtslage so:

Wenn du ein Offenes ungesichertes WLAN nutzt gibt es kein Problem, da das nicht "Cracken" oder sonst was ist. Wenn du ein WLAN das PW verschlüsselt ist knackst dann kannst du Probleme bekommen. Du solltest vielleicht nicht gerade auf den Patienten oder sonst was Unterlagen rum schnüffeln. Da könntest nämlich wieder wegen nem anderen Thema streß bekommen.

Ich würde einfach in die Klinik gehen und dort den an der Info nach dem Geschäftsführer fragen. Sagst du hast ein Datenschutzrechtliches Problem vestgestellt und würdest Ihn gerne drauf aufmerksam machen.

Dann sollte alles kein Problem darstellen.
 

Uturn

Cadet 4th Year
Dabei seit
Feb. 2005
Beiträge
120
@Captiver: genau so ist.

@Sniper: Ausserdem...bleib mal ganz entspannt. Ich mach das beruflich
und hab schon die skurilsten Faelle erlebt. Solange du keinen Passwort-
schutz aushebeln musst, kann dir niemand was...selbst mehrfach in der
Situation gewesen. Vielleicht darfst du sogar einen abschliessenden
Security Audit fahren.

Aber da sieht mans wieder...WLAN im Krankenhaus...es ist nicht zu glauben
 

Captiver

Ensign
Dabei seit
Mai 2007
Beiträge
159
Naja WLAN ist nicht schlecht bzw eigentlich ok im Krankenhaus (ausgenommen die Strahlungen usw :D)

Desweiteren sollte es ordentlich gesichert werden zumindest mit WPA2 und SSID unsichtbar. Im Idealfall noch MAC Filtering und der ganze SPaß.

Also naja kannst ja anfragen ob es einrichten darfst und dir was nebenher verdienen. Was du auch machen könntest wäre die Patienten anschrieben und eine Sammelklage machen zwecks Datenschutz. Solltest auch was dabei verdienen bisschen Schadensersazt usw
 

.mojo

Fleet Admiral
Dabei seit
Nov. 2004
Beiträge
13.001
bei aller leibe, aber wenn das krankenhasu nur halb so groß ist, wie es sich anhört: Ein dahergelaufenenr Möchtegern Security consult (Nicht falsch verstehehn. Ist nicht abwerten dir gegenüber gemeint. Aber in deren Augen bist du das) wird sicher nicht mal so nebenher den auftrag beklommen ein WLAN in nem KH sicher zu machen. ICh vermute, da rollt erstmal der Kopf des IT leiters und dann wird da ne profesionelle Frima angestellt.
 

Martin.H

Lt. Commander
Dabei seit
Apr. 2004
Beiträge
1.335
Das mit dem Brief ist eine gute Idee.
Allerdings würde ich denen dann auch eine Frist geben, nach der du zur Polizei (sic!) gehst (mögl Verletzung des Datenschutzes wg Patientendaten).

Nur so wird sich daran auch etwas ändern.
Eine sinnvolle Frist wären bspw. 10 Tage.
Ich würde in jedem Fall zunächst anonym bleiben; dazu gehört auch, deinen Wohnort nicht preiszugeben.

Nervös wäre ich wg oben genannter Fakten nicht: Solange du nix crackst, passiert dir nix. Du missbrauchst auch die Daten nich, von daher no prob.
 

fi**en32

Lieutenant
Dabei seit
Mai 2007
Beiträge
962
ich darf also echt einfach so in jedes netz was nicht geschützt is?

ich dachte das is trotzdem irgendwie illigal.

kann ich jetzt von meinem nachbarn die leitung nutzen?

was is wenn ich jetzt illigal musik über seine leitung ziehe
 

Martin.H

Lt. Commander
Dabei seit
Apr. 2004
Beiträge
1.335
Illegales damit tun darfst du nicht. Du würdest Dich bspw auch strafbar machen, wenn du jemandem den Zugang zeigst bzw ermöglichst.

Das Urteil bzw eine News dazu gibts hier.
 

MacroWelle

Commander
Dabei seit
Apr. 2006
Beiträge
2.227
Also erstmal weiß ich nicht, warum hier einige von Cracking reden, er hat weder gecrackt noch gehackt. Das WLAN da is offen wie ein öffentlicher Hotspot...kein Passwort, kein Filter - kein Hack!

G
Ich stecke gerade in einem riesen Dilemma. [...] Als ich sah was da zu Tage kam, ist mir fast das Laptop aus der Hand gefallen.
[...]

Jetzt stecke ich ziemlich in der Klemme, denn ich weiß nicht was ich tun soll. Natürlich will ich denen nichts böses. Gerne würde ich rüber zur Geschäftsleitung und denen das unter die Nase halten.

Aber wie sieht es hier rechtlich aus? Wenn die mir da an den Karren fahren können, habe ich natürlich keine Lust. Andererseits ist es ein Skandal. [...]
Du musst handeln - das Problem muss möglichst schnell behoben werden. Bin kein Anwalt, aber du machst dich wahrscheinlich sogar eher strafbar, wenn du nix machst. Keine Angst - die können dir nix, nur weil du diese Mängel entdeckt und teilweise dokumentiert hast!

Ich würde dir auch empfehlen, dass du da rüber gehst und dir am besten den IT-Leiter oder Datenschutzbeauftragten geben lässt - alternativ auch den Direktor des Hauses. Am besten vielleicht den IT-Chef, der kann die Probleme am schnellsten beseitigen und wird dir auch am ehesten glauben, weil er die Sache fachlich am besten nachprüfen kann und vor allem weil sein Job da dran hängen könnte :D

Aber vorher machst du was anderes: Geh zur örtlichen Zeitung oder - noch besser - zu einem lokalen TV-Sender (falls du das Glück hast, dass es in der Nähe einen gibt). Sag, du hast ein Sicherheitsloch im WLAN einer großen, öffentlichen Einrichtung entdeckt, dann fangen die bestimmt das Rotieren an.
Am besten verlangst du nach einem technikaffinen, entsprechend kompetenten Redakteur/Reporter. Dem erklärst du die Problematik und kopierst ihm deine Screenshoots als Beweise - außerdem kommt es sicher gut wenn du die Lücken live vorführst und abfilmen oder abfotografieren lässt (live vom Notebook und unter freiem Himmel). Ich rate davon ab, Geld für die Sache zu verlangen. Das ganze dient nur der Absicherung für dich.

Mach mit denen aus, dass sie die Sache in ein paar Tagen veröffentlichen dürfen, dann hat das Krankenhaus Zeit, um die Lücken zu fixen. Stellen die sich stur, setzt der Bericht sie unter Druck und in aller Öffentlichkeit wird das Krankenhaus dich dann kaum noch anzeigen können oder so ;) (damit machen die sich nämlich dann nur noch lächerlich).
 

Bates83

Commander
Dabei seit
Dez. 2001
Beiträge
2.076
Warum so kompliziert und um so viele Ecken gedacht? Du hast dich nicht strafbar gemacht, es sei denn du verkaufst deren Daten bei Ebay weiter.:D Und warum solltest du diesem Negativbeispiel für Datenschutz mit Polizei drohen oder eine Deadline setzen? An deiner Stelle würde ich persönlich in der Klinik vorbeigucken und an der Info sagen das du SOFORT mit einem oder dem Zuständigen reden musst (der Datenschutzbeauftragte?) weil über das WLAN Daten zugänglich sind, was du auch zeigen kannst. Von wegen Anzeige und so, die werden dir danken das sie über diesen eklatanten Sicherheitsmangel informiert wurden. N Strauß Blumen solltest du für die Info kriegen.;) Wie immer macht der Ton die Musik: "Entschuldigen sie, mir ist da was aufgefallen" ist für die Klinik und dich angenehmer als der Vorschlaghammer "Presse und Polizei".
 
Zuletzt bearbeitet:
N

Nigigo

Gast
Du bist nicht allein ;)

Ich habe die selbe "erfahrung" gemacht !
Bei mir sind insgesammt 3 ganz offene wlans komme auch in die Fritzbosern und speedports config rein
Ich bni aber zufaul die genau ausfindig zumachen und denen bescheidt zusagen ...

An deiner stelle würde ich aber darüber gehen und beswcheidt sagen ... vieleicht ist es aber auch so gewollt so das mitarbeiter direkt surfen können ohne sämtlichen einrichtungskramm ...
 

Sniper

Lt. Commander
Ersteller dieses Themas
Dabei seit
Juni 2001
Beiträge
1.660
Danke für die Vielen Antworten. Habe mir noch ein paar Tips von Profis geholt. Unterm Strich kommen die auch zu der Meinung nochmal eine eMail (diesmal mit Screenshots wie es wirklich aussieht) zu schicken plus einer Frist mit Androhung der Polizei. Gewollt (für Mitarbeiter/Besucher) kann das nicht sein. Das ist ja absolut dilletantisch.
Ebenfalls raten die mir auf jedenfall erstmal anonym zu bleiben. Die Gefahr das die mir nen Strick drauß drehen wenn ich rübergehe ist zu hoch.
 

VelleX

Rear Admiral
Dabei seit
Dez. 2005
Beiträge
5.652
Viele haben ja hier geschrieben dass es kein Hacken oderso ist, und man ja keine Passwörter aushebeln musste. Aber naja, was ist Hacken schon? Unter anderem suchen von sicherheitslücken, um den zugriff zu erleichtern.

Also Netzwerkscanner angeschmissen... Als ich sah was da zu Tage kam, ist mir fast das Laptop aus der Hand gefallen.

Nach nur ein paar Minuten scan ...
Wenn man dann zb bischen rumscannt, um IPs zu finden und offene Ports, und dann sich da mal umschaut, das ist ja schon fast hacken.

Der zugriff auf ein offenes WLAN an sich wäre ja ok. Kann ja sein dass es so gewollt ist. Und wenn man dann normale services testet, wäre das vielleicht auch ok. Vielleicht gibts ja beim offenen WLAN zb einen FTP Server mit Daten, die dem WLAN nutzer zugänglich gemacht werden wollen oderso.
 
Zuletzt bearbeitet:

vulgo

Commander
Dabei seit
Sep. 2006
Beiträge
3.024
ich finde sowas MUSS an die öffentlichkeit
wer derart mit kundendaten spielt hat nichts bessere verdient.


wenns unter der hand passiert erfährt ja keiner was, und diese spitze des eisbergs änder ja herzlich wenig, aber wenn mehr leute davon erfahren ist vlt. kurzfristig deren ruf im eimer, aber es ziehen sicher viele nach, die sonst auch offen wären -> ab zur nächsten zeitung (ICH würde mir einen möglichst guten preis rauschlagen, warum auch nicht?) die das dann ein paar tage später abdrucken und dann zum krankenhaus um denen zeit zu geben..
 
Top