bin kein Fachmann, aber ich würde direkt sehr viel auf:
dass jemand das 16-Stellen PW gecrackt hat (brute-force, i guess)
setzten. WPA2 war nicht der Weisheit letzter Schluss: wer da pfiffig ist
und genügend Traffic mitloggt, der bekommt das Passwort ganz gut raus.
Und Traffic gibt es ja wirklich genug …
dass jemand aus den per MDM gelockten iPads das Passwort dennoch
auslesen konnte?
glaub ich nicht.
dass jemand rausbekommen hat, wie er root-rechte unter Linux
bekommt, so dass er das Passwort dort auslesen konnte?
… da steht doch nur der Hash drin, oder?
dass es (trotz nicht-verbreitung, nur admins wissen Bescheid) über
soziale Kontakte doch geklappt hat?
Standardmäßig nicht, soweit ich weiß. Und es gab in letzter Zeit immer wieder Sicherheitslücken ohne Ende… und Tools, die automatisch alle abtesten und dann entsprechend beim Exploiten helfen, gibt es i zwischeb auch genug. Waren die Rechner denn zu 100% up-to-date?
ich denke, dass es viel einfacher war. Jemand, der das Passwort haben durfte, hat es aufgeschrieben und den Zettel oder das Heft offen liegen lassen. Das habe ich mehr als einmal erlebt.
Sind die Linux-Laptops gegen Booten mit einem USB-Stick gesichert, z.B. mit einem BIOS-Password.
Falls nicht, kann man mit einem Linux-USB-Stick booten und das Password vermutlich aus einer /etc-Datei auslesen.
Jürgen Adloff (IT-Assistent Maria-Montessori-Gesamtschule Düsseldorf)
Das hier, nehme ich an, ist per Einschränkungen durch Dein MDM geblockt?
Dann tippe ich auf „social engineering“. Oder jemand, der Zugang zu dem Schlüssel hatte, könnte diesen auf einem Gerät eingegegeben haben, wo es nicht gegen Auslesen gesichert war.
Weil ich bei unseren linuxmuster Notebooks so was befürchtet hatte, hab ich unseren 63stelligen WPA2-PSK damals weggeworfen, nachdem ich ihn auf unseren unmanaged AccessPoints hinterlegt und ins Image eingebacken hatte.
Wenn User das Linux Wlan Passwort auslesen können, würde in diesem Falle bedeuten, dass die Zugriffsrechte falsch gesetzt sind (/etc/ NetworkManager/…). IMHO
Die Kennwörter in /etc/shadow werden als Hash gespeichert, so wie es Holger bereits ansprach.
Und das ist meiner Erinnerung bestimmt seit > 20 Jahren so.
Ich vermute auch eher Social Engineering oder wie von Jürgen beschriebene fehlende Absicherung auf den iPads.
Auf jeden Fall ein sehr interessantes Thema …
VG Andreas
Nachdem hier so viele interessante und unterschiedliche Rückmeldungen kommen:
Danke!
Zu Jürgen: Es ist noch kein iOS16 installiert.
Tatsächlich wird man noch sehen, ob ein MDM in iOS16 dieses Feature abschalten kann.
Was ich mich sowohl bei linux als auch bei iPad frage:
Kann es überhaupt möglich sein, dass physikalisch der WLAN-PSK nicht im Klartext gespeichert wird?
klar, kann man einerseits behaupten, der PSK liegt nie im Klartext in einer Datei/Datenbank, man muss ja „nur“ eine Verschlüsselung anwenden, wie den Schlüsselbund, oder ähnliches, aber diese Verschlüsselung muss man ja dann Rückgängig machen und dass muss man mit entsprechenden Rechten können (z.B. der NetworkManager als root, oder dem iPad-„root“)
andererseits schreibt Holger und Dorian, dass „da ja nur der Hash“ drin stände. Das suggeriert mir: Es geht auch, dass ein Hash abgespeichert wird, also eine Einweg-Codierung, so dass ich daraus auch gar nicht mehr mit vertretbarem Aufwand den PSK rückrechnen kann (md5, sha, whatever).
Letzterer Punkt finde ich spannend: Geht das für Linux? Dann geht das auch fürs iPad! Wenn das geht, müsste das System beim WPA-Handshake den Hash vergleichen… was hätte man gewonnen? Wenn jemand den Hash liest, könnte er dann auch ins WLAN…Wie ich es in meinem Kopf drehe und wende: beide Rechner (Endgerät und Access Point) müssen ein gemeinsames Secret haben, das sie (oder ein abgeleitetes Hash im Handshake) vergleichen… Ich kann mir nicht vorstellen, dass etwas auf dem Linux-Rechner liegt, das man als user lesen kann und dann damit nichts anfangen kann…
oder?
VG, Tobias
p.s. ja: linux-kaperung per Bootstick oder Rechteerweiterung halte ich auch für plausibel(er), nur waren die Geräte im Vergleich zu den iPads marginal im Einsatz… Ich frag mich nur, ob man mit iOS < 16 auch die nötige Rechteerweiterung hinbekommen konnte. Aber das hängt vermutlich stark von den Einschränkungen ab, die unser MDM anwendet…
NEIN
Meine Privatmeinung, da ich nicht an Schulen arbeite und es daher nicht einschätzen kann:
Ich würde bei den SuS mal ansetzen, einer weiss immer irgend etwas bzw. von wem er es erhalten hat …
VG Andreas
Nachher schalte ich mal meine Linux-Kiste an und schaue mir speziell das Verzeichnis /etc/Networkmanager an.
iOS 16 hat diese Möglichkeit nicht exklusiv. Es ist desweiteren möglich eine WLAN-Verbindung mit anderen zu teilen, ohne dass man den Key im Klartext sieht.
Auf unseren Notebooks stand der Schlüssel tatsächlich als Klartext in einer Datei, die nur root lesen konnte. Solange die Rechte stimmen …
Ich habe keine Stelle unter /etc/…/ gefunden, wo ein WLAN-Kennwort gesetzt/eingetragen war, auch nicht als Hash o.ä. Unter dem KDE-Desktop habe ich bei WLAN-Verbindung auch keine Möglichkeit gefunden das (gesetzte) Kennwort mir anzeigen zu lassen.
Welche Oberfläche setzt ihr bei euch ein - Gnome?
IM INET habe ich auch nichts gefunden, ausser vom > Jahr 2010, was aber technisch überholt ist.
Setzt ihr auch Raspis ein?
VG Andreas
es kommt darauf an, wie man seine WLAN-Verbindung aufbaut Verwendet man
den NetworkManager, dann ist das Passwort entweder in einer Datei in
/etc/NetworkManager/system-connections vorhanden oder aber im Keyring
gespeichert.
Wenn’s nach mir ginge wuerde ich alle WLANs in der Schule einfach aufmachen, als alter Freifunker liegt mir das nah - juckt mich auch nicht.
Wenn die Sicherheit der Server von einem WLAN-Passwort abhaengen sollte, dann ist was schiefgelaufen. Ich wuerde mir erst einen Kopf machen wenn die Bandbreite knapp wird.
In diesem Fall hier wuerde ich artikulieren, dass wenn jemand unberechtigt im Netz surft, er von der Schule fliegt und eine Anzeige wegen Datenspionage zu erwarten hat…was natuerlich beides nicht passieren taete.
Gruss Harry
Glaube nicht, dass man das als Hash ansehen kann, das ist lediglich eine Stufe weiter an der Authentifizierung und das Ergebnis reicht aus um sich zu authentifizieren - also kein wirklicher Schutz.
Auch die Ueberschrift in dem verlinkten Artikel scheint mir nicht richtig: „How to encrypt your wifi password on a Raspberry Pi“, das ist nicht verschluesselt - vielleicht liege ich ja aber falsch.
Es stimmt, dass das reicht, um sich im Netz anzumelden, aber sobald sich die ssid oder das passwort ändert, ist dieser Hash nutzlos. Außerdem kann man den nur benutzen, wenn man unter Linux ist, bei Android, IOS, MacOS oder Windows Geräten ist der meines Wissens nach komplett nutzlos.