Wer aufgibt, der hat schon verloren Marc Ruef | 26.08.2013 Vor kurzem hatte ich einmal mehr eine Diskussion darüber, ob das Verstecken der SSID in einem WLAN empfohlen werden soll oder nicht. Ich vertrete dabei die Position, dass man aus Sicherheitsgründen von dieser Möglichkeit Gebrauch machen sollte. Mein Gegenüber argumentierte, dass ein halbwegs anständiger Angreifer sowieso die Tools und Zeit mitbringen würde, um auch versteckte SSIDs identifizieren zu können. Dem will ich gar nicht widersprechen. Dennoch gehen mit der besagten Aussage gewisse Ableitungen einher: Einerseits muss ein Angreifer das nötige Wissen, aber auch die erforderliche Zeit mitbringen. Angreifer mit wenig Wissen oder Zeit werden also vom Kompromittieren des Netzes absehen - Mehr oder weniger "freiwillig". Dieser vermeintlich minimale Vorsprung kann Spielentscheidend sein. Das Gegenargument wird untermauert, indem darauf hingewiesen wird, dass das Verstecken der SSID gar nicht als echte Sicherheitsfunkion gedacht ist. Aber soll man deshalb auf diese verzichten? WEP galt auch als "keine echte Sicherheitsfunktion". Und dennoch kam hoffentlich niemand in den 90er Jahren auf die Idee, sein WLAN gänzlich offen zu betreiben. Diese Argumentation könnte man weiterspinnen. Passwörter sind sinnlos, da ein Angreifer mit genügend Zeit immer einen erfolgreichen Bruteforce-Angriff durchsetzen kann. Und Passwort-Hashing brauchen wir ja nun ebenfalls auch nicht. Und wie siehts nun aus mit SSL? Kevin Mitnick schreibt voller Hohn auf Twitter, dass nur Idioten bei Wikipedia glauben, dass sich damit die NSA aufhalten liesse (https://twitter.com/kevinmitnick/status/363962572149501953) (der Tweet wurde mittlerweile gelöscht, hier eine Kopie (http://www.computec.ch/_images/newspost_images/kevin_mitnick_tweet.png)). Das mag stimmen. Aber soll man es nun der NSA so einfach wie möglich machen? Und im gleichen Atemzug ebenso für alle anderen Angreifer? Da hat die vermeintlich progressive Szene jahrelang gemault, dass niemand SSL breitflächig einsetzt. Und nun ist es endlich der Fall - Facebook ist vor wenigen Wochen nachgezogen (http://www.zdnet.com/facebook-details-two-years-of-work-to-turn-on-default-https-7000018835/) - gibt es wieder Gemotze, dass nur Amateure darin einen Vorteil sehen. Es sind paradoxe Dispute dieser Art, die offenbaren, dass im Fachbereich viel mit Halbwissen jongliert und vermeintliche "Strong Opinions" als Zeichen von Stärke angesehen werden. Ich bedaure dies, schiesst es doch meilenweit an der eigentlichen Aufgabe vorbei. Ich bleibe bei meiner Position, dass nach Möglichkeiten alle zur Verfügung stehenden Sicherheitsfunktionen genutzt werden sollen (z.B. Default Ports ändern, Banner deaktivieren). Auch für "professionelle Angreifer" stellen sie nämlich eine Hürde dar - Wenn auch nur eine kleine. Ich habe schon zig Exploits und Würmer (http://www.computec.ch/news.php?item.239) geschrieben und weiss, dass es genau diese kleinen Hürden sind, die einem das Leben mühsam und viele Angriffe deshalb unattraktiv machen. Gibt man stattdessen kampflos auf, dann gewinnen definitiv die anderen.