Cloud Expo Europe
28.11.17 - 29.11.17
In Frankfurt

Data Centre World
28.11.17 - 29.11.17
In Frankfurt

IT-Tage 2017
11.12.17 - 14.12.17
In Frankfurt, Messe Kap Europa

Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

Router 538031995 500

Die Sicherheitslücke in der WLAN-Verschlüsselung WPA2 kocht so richtig hoch. Das zeigt sich an der, etwas panisch klingenden, Warnung des BSI. Das wird von vielen Medien so aufgegriffen als wenn ab sofort JEDER ALLE Verschlüsselungen aushebeln und Daten mitlesen könnte. Das stimmt so nicht.

KrackAttack ist eine ernstzunehmende Schwachstelle, sie ist aber nicht der sofortige Untergang unserer WLAN-Welt. Hier ist unsere erste Analyse und der Versuch, die Lücke einzuordnen:

Ist WLAN jetzt unsicher?

Tatsächlich gibt es noch keine fertigen Angriffs-Tools. Aktuell (17. Oktober 2017) sind daher keine groß angelegten Attacken zu erwarten. Einfach gesagt: Wer WPA2 letzten Samstag knacken konnte, der kann es auch jetzt – wer es nicht konnte, der kann es auch jetzt noch nicht. Mittel- bis langfristig wird sich das ändern, bis dahin sollten aber Updates verfügbar sein.

Soll ich auf WPA2 verzichten?

Nein, andere Verschlüsselungen wie etwa WEP sind noch schlechter und noch einfacher zu knacken.

Was ist mit Updates?

Diverse Hersteller arbeiten an Aktualisierungen für ihre Produkte, etwa die Anbieter von Routern und Access Points. Da die Lücke erst wenige Tage alt ist, kann es noch etwas dauern, bis sie verfügbar sind. Eine erfreuliche Ausnahme ist Microsoft: Für Windows wurde die Lücke bereits am 10. Oktober im Rahmen des Patch Days geschlossen.

Wie läuft der Angriff?

Es wird jetzt etwas technisch und dennoch stark vereinfacht: Die WPA2 Verschlüsselung nutzt einen sogenannten 4-Wege-Handshake um zu Beginn eine Verschlüsselung für die aktuelle Session auszuhandeln. KRACK (Key Reinstallation Attack) setzt auf eine Schwachstelle in diesem Prozess an, indem sie die Übertragung des Keys, der vom Access Point zum Client geschickt wird, abblockt. Dabei werden alle Paketnummern auf Null zurückgesetzt. Durch diesen Reset kann der Angreifer erzwingen, dass der gleiche Key erneut für den Aufbau einer Verbindung genutzt wird. Das sollte eigentlich nicht vorkommen, beim Aushandeln der Verschlüsselung sollten immer nur einmalige Keys verwendet werden. Durch die Attacke hat der Angreifer die notwendigen Informationen, um selbst den verwendeten Schlüssel zu erstellen – und hat er erst einmal diesen, so kann er den Datenverkehr entschlüsseln.

Aktuell sieht es so aus, als würde sich das eigentliche WLAN-Passwort nicht stehlen lassen. Vielmehr ist es ein Man-in-the-Middle-Angriff auf den Client.

Mehr Details zum Angriff gibt es auf der KrackAttacks-Webseite (Achtung, nicht KrackAttack, das S ist wichtig – Vorsicht vor Phishing)

Was braucht ein Angreifer?

Da es noch keinen fertigen Angriff gibt, ist dies noch Spekulation. Es scheint sich aber um eine niedrige Einstiegshürde zu handeln – neben dem passenden Programm dürfte eine WLAN-Karte sowie ein Linux-System ausreichen. KRACK wird daher in absehbarer Zeit im Arsenal jedes Hackers landen.

Was muss aktualisiert werden?

Der Angriff kann sowohl gegen Access Points (etwa in Router) wie auch gegen Clients (etwa Laptops oder Smartphones) stattfinden. Die gute Nachricht: Es reicht, wenn ein Teil dieser Kommunikation aktualisiert ist, also Endpunkt oder Access Point. Sobald ein Endgerät im Netzwerk aktualisiert ist, kann es bei Problemen einen komplett neuen Key anfordern – eine Reinstallation ist damit unmöglich.

Welche Geräte sind betroffen?

Die schlechte Nachricht: Alle aktuellen WLAN-Geräte sind von der Lücke betroffen. Das liegt daran, dass sie im Protokoll enthalten ist, nicht in der technischen Implementierung.

Was kann ich tun?

Zunächst sollten Sie bei Ihrem Hersteller um Updates anfragen. Bauen Sie Druck auf, etwa über Soziale Medien. Parallel dazu sollten Sie auf zusätzliche Verschlüsselung setzen, etwa VPN-Verbindungen. Der Tipp des BSI hierzu bringt es ganz gut auf den Punkt: „Nutzen Sie Ihr WLAN-Netzwerk so, als würden Sie sich in ein öffentliches WLAN-Netz einwählen, etwa in Ihrem Lieblings-Café oder am Bahnhof. Verzichten Sie auf das Versenden sensibler Daten oder nutzen Sie dazu einen VPN-Tunnel.“ Wir empfehlen unsere VPN Lösung FREEDOME, diese ist auch Teil unserer Sicherheitslösung F-SECURE TOTAL.

Ich nutze [Linux, Mac OS, Windows, iOS, Android]! Bin ich betroffen?

Linux und Android werden explizit erwähnt, wpa_supplicant Version 2.6 (das auch in Android 6.0 und höher enthalten ist) sind anfällig. Für Windows-Nutzer stehen Updates seit dem 10. Oktober bereit.

Hilft ein neues WLAN-Passwort?

Nein, Angreifer können die Attacke einfach wieder durchführen.

Kann ich prüfen, ob meine Geräte verwundbar sind?

Die Entdecker der Schwachstelle haben auf ihrer Seite Tools versprochen, mit denen sich Endgeräte auf die Lücke überprüfen lassen. Diese sind aktuell noch nicht online – es lohnt sich, die Seite www.KrackAttacks.com regelmäßig zu überprüfen.

Was soll ich tun, wenn mein Hersteller keine Updates zur Verfügung stellt?

Wechseln Sie den Anbieter. Bei Routern gibt es dank dem Ende des Routerzwangs die freie Auswahl.

f-secure.blog

GRID LIST
Tb W190 H80 Crop Int C2ba5ef936b84b748ce5064d774e909c

Die zentrale Rolle von Login-Daten im Uber-Hack

Der Vermittlungsdienst zur Personenbeförderung Uber erlitt 2016 einen Hack, in dem bis zu…
Dr. Chris Brennan

IT-Sicherheit: Schwachstelle ist nicht gleich Schwachstelle

Nicht jede Schwachstelle hat das gleiche Bedrohungspotential – Kontextbezug ist…
DNS

DNS wird zur ersten Verteidigungslinie gegen Cyber-Attacken

F-Secure und die Global Cyber Alliance bekämpfen künftig gemeinsam bösartige URLs mit…
Fisch aus Wasser

Gezielte Cyberangriffe von „MuddyWater“

Unit 42, das Forschungsteam von Palo Alto Networks, hat Cyberangriffe beobachtet, die sie…
Malware

Was Sie jetzt über Malware wissen müssen

Neue Viren, Ransomware und Co erfordern aktuelle Anti-Malware-Programme: Häufig ist die…
DDoS

Mehr komplexe DDoS-Attacken: Gaming-Industrie im Visier

In verschiedenen Ländern sind Ressourcen ins Visier der Angreifer geraten, ebenso wie wir…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet