KrackAttack: Fragen und Antworten

Sicherheit & Privatsphäre, Vernetztes Leben

Die Sicherheitslücke in der WLAN-Verschlüsselung WPA2 kocht so richtig hoch. Das zeigt sich an der, etwas panisch klingenden, Warnung des BSI: „Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät dazu, WLAN-Netzwerke bis zur Verfügbarkeit von Sicherheits-Updates nicht für Online-Transaktionen wie Online Banking und Online Shopping oder zur Übertragung anderer sensitiver Daten zu nutzen.“ Das wird von vielen Medien so aufgegriffen als wenn ab sofort JEDER ALLE Verschlüsselungen aushebeln und Daten mitlesen könnte.

Das stimmt so nicht.

KrackAttack ist eine ernstzunehmende Schwachstelle, sie ist aber nicht der sofortige Untergang unserer WLAN-Welt. Hier ist unsere erste Analyse und der Versuch, die Lücke einzuordnen:

Ist WLAN jetzt unsicher?

Tatsächlich gibt es noch keine fertigen Angriffs-Tools. Aktuell (17. Oktober 2017) sind daher keine groß angelegten Attacken zu erwarten. Einfach gesagt: Wer WPA2 letzten Samstag knacken konnte, der kann es auch jetzt – wer es nicht konnte, der kann es auch jetzt noch nicht. Mittel- bis langfristig wird sich das ändern, bis dahin sollten aber Updates verfügbar sein.

Soll ich auf WPA2 verzichten?

Nein, andere Verschlüsselungen wie etwa WEP sind noch schlechter und noch einfacher zu knacken.

Was ist mit Updates?

Diverse Hersteller arbeiten an Aktualisierungen für ihre Produkte, etwa die Anbieter von Routern und Access Points. Da die Lücke erst wenige Tage alt ist, kann es noch etwas dauern, bis sie verfügbar sind. Eine erfreuliche Ausnahme ist Microsoft: Für Windows wurde die Lücke bereits am 10. Oktober im Rahmen des Patch Days geschlossen.

Wie läuft der Angriff?

Es wird jetzt etwas technisch und dennoch stark vereinfacht: Die WPA2 Verschlüsselung nutzt einen sogenannten 4-Wege-Handshake um zu Beginn eine Verschlüsselung für die aktuelle Session auszuhandeln. KRACK (Key Reinstallation Attack) setzt auf eine Schwachstelle in diesem Prozess an, indem sie die Übertragung des Keys, der vom Access Point zum Client geschickt wird, abblockt. Dabei werden alle Paketnummern auf Null zurückgesetzt. Durch diesen Reset kann der Angreifer erzwingen, dass der gleiche Key erneut für den Aufbau einer Verbindung genutzt wird. Das sollte eigentlich nicht vorkommen, beim Aushandeln der Verschlüsselung sollten immer nur einmalige Keys verwendet werden. Durch die Attacke hat der Angreifer die notwendigen Informationen, um selbst den verwendeten Schlüssel zu erstellen – und hat er erst einmal diesen, so kann er den Datenverkehr entschlüsseln.

Aktuell sieht es so aus, als würde sich das eigentliche WLAN-Passwort nicht stehlen lassen. Vielmehr ist es ein Man-in-the-Middle-Angriff auf den Client.

Mehr Details zum Angriff gibt es auf der KrackAttacks-Webseite (Achtung, nicht KrackAttack, das S ist wichtig – Vorsicht vor Phishing)

Was braucht ein Angreifer?

Da es noch keinen fertigen Angriff gibt, ist dies noch Spekulation. Es scheint sich aber um eine niedrige Einstiegshürde zu handeln – neben dem passenden Programm dürfte eine WLAN-Karte sowie ein Linux-System ausreichen. KRACK wird daher in absehbarer Zeit im Arsenal jedes Hackers landen.

Was muss aktualisiert werden?

Der Angriff kann sowohl gegen Access Points (etwa in Router) wie auch gegen Clients (etwa Laptops oder Smartphones) stattfinden. Die gute Nachricht: Es reicht, wenn ein Teil dieser Kommunikation aktualisiert ist, also Endpunkt oder Access Point. Sobald ein Endgerät im Netzwerk aktualisiert ist, kann es bei Problemen einen komplett neuen Key anfordern – eine Reinstallation ist damit unmöglich.

Welche Geräte sind betroffen?

Die schlechte Nachricht: Alle aktuellen WLAN-Geräte sind von der Lücke betroffen. Das liegt daran, dass sie im Protokoll enthalten ist, nicht in der technischen Implementierung.

Was kann ich tun?

Zunächst sollten Sie bei Ihrem Hersteller um Updates anfragen. Bauen Sie Druck auf, etwa über Soziale Medien. Parallel dazu sollten Sie auf zusätzliche Verschlüsselung setzen, etwa VPN-Verbindungen. Der Tipp des BSI hierzu bringt es ganz gut auf den Punkt: „Nutzen Sie Ihr WLAN-Netzwerk so, als würden Sie sich in ein öffentliches WLAN-Netz einwählen, etwa in Ihrem Lieblings-Café oder am Bahnhof. Verzichten Sie auf das Versenden sensibler Daten oder nutzen Sie dazu einen VPN-Tunnel.“ Wir empfehlen unsere VPN Lösung FREEDOME, diese ist auch Teil unserer Sicherheitslösung F-SECURE TOTAL.

Ich nutze [Linux, Mac OS, Windows, iOS, Android]! Bin ich betroffen?

Linux und Android werden explizit erwähnt, wpa_supplicant Version 2.6 (das auch in Android 6.0 und höher enthalten ist) sind anfällig. Für Windows-Nutzer stehen Updates seit dem 10. Oktober bereit.

Hilft ein neues WLAN-Passwort?

Nein, Angreifer können die Attacke einfach wieder durchführen.

Kann ich prüfen, ob meine Geräte verwundbar sind?

Die Entdecker der Schwachstelle haben auf ihrer Seite Tools versprochen, mit denen sich Endgeräte auf die Lücke überprüfen lassen. Diese sind aktuell noch nicht online – es lohnt sich, die Seite www.KrackAttacks.com regelmäßig zu überprüfen.

Was soll ich tun, wenn mein Hersteller keine Updates zur Verfügung stellt?

Wechseln Sie den Anbieter. Bei Routern gibt es dank dem Ende des Routerzwangs die freie Auswahl, mit F-Secure SENSE haben wir ein Gerät im Angebot, das auf Sicherheit ausgelegt ist und sämtliche Updates automatisch erhält.

 

Update: Der Angriffsvektor wurde ergänzt.

Diesen Beitrag bewerten

8 Bewertungen

5 Kommentare

In dem Artikel heißt es: „Die gute Nachricht: Es reicht, wenn ein Teil dieser Kommunikation aktualisiert ist, also Endpunkt oder Access Point…“ – Das ist jedoch falsch! – Man muss ALLE Geräte updaten um abgesichert zu sein. -> „Finally, although an unpatched client can still connect to a patched AP, and vice versa, both the client and AP must be patched to defend against all attacks!“

Gefällt mir

Nicht ganz, ein gepatchter Client etwa kann die Attacke bereits abwehren – einfach, indem die Schwachstelle dort nicht mehr vorhanden ist.

Gefällt mir

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Könnte Ihnen ebenfalls gefallen