Mit Hardware im Wert von rund 70 Euro können sich IT-Fachleute, aber auch Hacker, das Wireless-Analyse-System »Keykeriki v2« zusammenbauen. Mit dem Gerät lassen sich die Signale von Systemen aller Art abfangen und dekodieren, die über Funk kommunizieren: Tastaturen von Microsoft und Logitech, Fernbedienungen oder medizinischen Systemen.

Auf der CanSecWest-Sicherheitskonferenz in Vancouver zeigte Thorsten Schroeder, ein Mitarbeiter der schweizerischen Sicherheitsfirma Dreamlab Technologies, wie einfach es ist, Daten abzufangen, die Funktastaturen übermitteln. Solche Keyboards sind weit verbreitet, etwa Geräte von Microsoft und Logitech.

Der Experte von Dreamlab nutzte dazu das Analysesystem Keykeriki v2, dessen technische Details für jedermann zugänglich sind. Keykeriki fängt auf Layer 2 die Datenpakete ab, die zwischen Tastatur und Funkempfänger übertragen werden.

Schwache Datenverschlüsselung

Zur Technik: Die Keyboard-/Maus-Sets von Herstellern wie Microsoft und Logitech verwenden zur Datenübertragung eine spezielle Funktechnik, die das 27-MHz- oder 2,4-GHz-Band verwendet. In vielen dieser Komponenten kommen Chips der NFR-24xxx-Familie des norwegischen Chip-Herstellers Nordic Semiconductor zum Einsatz.

Die Chips von Nordic bieten eine 128-Bit-AES-Verschlüsselung, um die Datenübertragung zu schützen. Doch einige Keyboard-Hersteller setzen laut Dreamlab eigene Verfahren ein, Microsoft beispielsweise eine leicht zu knackende Verschlüsselungstechnik namens XOR.

Auch die hardwaregestützte AES-Verschlüsselung, auf die Logitech setzt, ist laut Dreamlab angreifbar. Zwar sei in der Praxis noch kein Fall bekannt geworden, doch sei es nur eine Frage der Zeit, bis ein entsprechendes Angriffsverfahren auf der Bildfläche erscheinen würde.

Auch andere Geräte angreifbar

Kinderleicht sei, den Datenstrom bei Fujitsu- beziehungsweise Fujitsu-Siemens-Tastaturen zu analysieren. Denn dieser Hersteller setzt gar keine Verschlüsselung ein. Gleiches gilt für die Keyboards der meisten No-Name-Hersteller aus Fernost.

Mit der ersten Version von Keykeriki waren Angriffe auf 24-MHz-Geräte möglich. Mit der zweiten Ausgabe ist es nun auch möglich, Sniffing-Attacken auf Tastaturen zu starten, die das 2,4-GHz-Band nutzen.

Diese Frequenz wird auch von einer Vielzahl weiterer Geräte verwendet, etwa Sportuhren, welche die Herzfrequenz messen, sowie Fernbedienungen oder Garagentoröffner.

Wie Angriffe auf solche Komponenten funktionieren, will Schroeder in Kürze demonstrieren, wenn er wieder von der IT-Fachmesse in Vancouver zurück ist.

Die Anleitung zum Bau der Hardware von Keykeriki sowie die Software kann über Remote-Exploit.org heruntergeladen werden. Noch eine Anmerkung zum Namen »Keykeriki«: Er leitet sich von Kikeriki ab, dem »Schlachtruf« von Hähnen.