Forum

Florian

  • Verderbliche Ware!
Da macht's KRACK: WPA/WPA2-Netzwerke unsicher
Oktober 16, 2017, 17:43:43
Tja, nun ist es so weit, auch wenn die Tragweite nicht ganz so schlimm ist, wenn man weiterliest. Das WLAN-Passwort selbst ist nicht auslesbar, wohl aber der gesamte unverschlüsselte Verkehr, sofern man sich in WLAN-Reichweite befindet.
Verschlüsselter Verkehr, etwa mit der Hausbank oder bei allen vernünftigen Online-Shops, kann über diese Schwachstelle nicht mitgelesen werden.
Allerdings muss man vielleicht damit rechnen, dass dies nicht immer so bleiben wird.

Der Hack ist (noch) nicht im Einsatz, die Sicherheitsforscher halten den Code zurück.

So oder so braucht es jetzt Patches ohne Ende, denn alle Geräte mit WLAN-Chips sind betroffen! Androids und Linux-Systeme sind noch leichter zu knacken als andere.
Wer immer noch vom Internet der Dinge träumt, sollte sich mal fragen, wann und ob überhaupt alle Geräte Updates bekommen.

https://www.heise.de/security/meldung/Details-zur-KRACK-Attacke-WPA2-ist-angeschlagen-aber-nicht-gaenzlich-geknackt-3862571.html



« Letzte Änderung: Oktober 16, 2017, 17:48:35 von Florian »
_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.

Florian

  • Verderbliche Ware!
Re: Da macht's KRACK: WPA/WPA2-Netzwerke unsicher
Antwort #1: Oktober 17, 2017, 00:01:24
Apple meint, die Betas aller Systeme (mac-, watch-, i-, tv-OS) hätten schon alle Patches und alle Kunden bekämen diese bald:
https://www.macrumors.com/2017/10/16/krack-wifi-vulnerabilities-patched-apple-ios-macos/

Bin gespannt, ob das auch die Vorgängersysteme von macOS miteinschließt.

Edit: Einen neuen Router werden wohl viele Leute brauchen. Schon traurig, wie schnell die Geräte heute Sondermüll werden.
« Letzte Änderung: Oktober 17, 2017, 00:10:22 von Florian »
_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.
Re: Da macht's KRACK: WPA/WPA2-Netzwerke unsicher
Antwort #2: Oktober 17, 2017, 07:52:35
Uiuiui, das klingt erstmal ziemlich übel. Ich habe in meiner WLAN-Liste bereits 18 Geräte. Und die werden garantiert nicht alle ein Update bekommen.

So beim ersten Lesen des heise-Artikels ist mir aber noch nicht 100%ig klar, was wie genau betroffen ist. Muss ich mir wohl noch ein paar der weiterführenden Links durchlesen.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: Da macht's KRACK: WPA/WPA2-Netzwerke unsicher
Antwort #3: Oktober 17, 2017, 08:49:03
Uiuiui, das klingt erstmal ziemlich übel. Ich habe in meiner WLAN-Liste bereits 18 Geräte. Und die werden garantiert nicht alle ein Update bekommen.

So beim ersten Lesen des heise-Artikels ist mir aber noch nicht 100%ig klar, was wie genau betroffen ist. Muss ich mir wohl noch ein paar der weiterführenden Links durchlesen.
Wenn es Dir schon nicht klar ist, was soll erst ein normaler User wie ich machen? ;D
Verstehe ich es richtig, dass der Angreifer zumindestens in der Nähe des WLAN sein muss um da einzudringen?

Jochen
_______
Wenn Du es eilig hast, gehe langsam.
Re: Da macht's KRACK: WPA/WPA2-Netzwerke unsicher
Antwort #4: Oktober 17, 2017, 09:19:16
@Jochen:
Ja, er muss in Funkreichweite der WLAN-Basis und des Gerätes sein.

Puh, ich habe mir jetzt mal die längere Erklärung auf der Website durchgelesen.
https://www.krackattacks.com/
Ein bisschen klarer ist es schon, aber es bleiben für mich offene Fragen.
Was ich verstanden habe, aber evtl auch nicht richtig ist:

- Der Angreifer muss sich in Funkreichweite von WLAN-Basis und Gerät befinden.
- Wenn sich das Gerät bei der WLAN-Basis anmeldet, schaltet sich der Angreifer mit einem zusätzlichen Funknetzwerk auf einem anderen Kanal ein.
- Der Angriff zwingt zunächst einmal das Gerät nicht auf dem richtigen Funkkanal, sondern auf dem des Angreifers zu funken. Effektiv fliessen so also die Daten vom Gerät zum Angreifer zur WLAN-Basis und zurück. Klassisches Man-in-the-middle.
- Das Gerät und die WLAN-Basis handeln dann in 4 Schritten miteinander die Verbindung aus und die WLAN-Basis schickt in Schritt 3 einen Schlüssel, der für diese Verbindung genutzt werden soll.
- Der Angreifer versendet dann die Nachricht von Schritt 3 mit einem alten schon einmal benutzten Schlüssel und der wird akzeptiert. Das ist der eigentlich Fehler.
- Bei Linux und Android kommt ein weiterer Fehler hinzu: Statt nun den alten schon einmal verwendeten Schlüssel zu benutzen, benutzen sie dann einen bekannten Schlüssel, der nur Nullen enthält.
- Im weiteren fliessen alle Daten über den Angreifer und wenn der den alten Schlüssel kennt, kann der alles mitlesen (außer zusätzlich per SSL verschlüsselte Daten). Bei Linux/Android besonders einfach, weil eben auf jeden Fall der Nullen-Schlüssel genommen wird.

Was mir noch nicht genau klar ist:

1. Im Gegensatz zu Linux/Android wird bei den anderen Geräten der alte schon einmal benutzte Schlüssel verwendet. Wie kommt der Angreifer da dran? Wenn ich die Erklärung richtig verstehe, dann muss der durch Knacken von verschlüsselten Paketen erst ermittelt werden. Es gäbe aber Nachrichten, deren Inhalt bekannt ist und somit das Knacken relativ einfach ist.

2. Updates sind notwendig für alle Client-Geräte, da sich der Fehler auf der Client-Seite befindet. D.h. wenn man seine WLAN-Basis tatsächlich nur als Basis verwendet, macht es keinen Unterschied, ob sie gepatcht ist oder nicht. Erst wenn die Basis selber als Client arbeitet (z.B. als Repeater), dann ist sie auch angreifbar.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: Da macht's KRACK: WPA/WPA2-Netzwerke unsicher
Antwort #5: Oktober 17, 2017, 21:07:40
Updates sind notwendig für alle Client-Geräte, da sich der Fehler auf der Client-Seite befindet.

 ???  Client = Netzwerkgeräte? Und wenn die WLAN-Bsasis AntiKRACK hat, dann ist zumindest die KRACK Lücke auf der Teilnehmergeräteseite nicht mehr ausnutzbar  ???
Re: Da macht's KRACK: WPA/WPA2-Netzwerke unsicher
Antwort #6: Oktober 18, 2017, 07:16:39
???  Client = Netzwerkgeräte?

Bei einem WLAN hast Du immer eine Basis, die das Netzwerk zur Verfügung stellt und bei der sich andere Geräte (Computer, Telefone Tabletts, Drucker, Radios, Fernseher...) anmelden.
Die WLAN-Basis (meistens der Router) ist von dem Fehler nicht betroffen und müsste dann nicht gepatcht werden bzw. es bringt keine Änderung.
Mit Clients sind alle anderen Geräte gemeint, die sich an der Basisstation anmelden. Diese müssen alle gepatcht werden. Ich habe aber jede Menge Geräte, bei denen das nicht mehr passieren wird, weil sie sehr alt sind.

Manchmal ist die Basisstation nicht nur eine reine Basisstation, sondern gleichzeitig ein Client an einer anderen Basisstation. Z.B. wenn ein Repeater eingesetzt wird oder der Router als Repeater arbeitet. Dann ist der Repeater zwar Basisstation für die umgebenden Clientgeräte und somit wäre es nicht nötig in zu patchen, aber das Gerät meldet sich ja gleichzeitig an der anderen Basisstation als Client an. In dieser Funktion ist er dann auch angreifbar.

Zitat
Und wenn die WLAN-Bsasis AntiKRACK hat, dann ist zumindest die KRACK Lücke auf der Teilnehmergeräteseite nicht mehr ausnutzbar  ???

s.o. Nein, das macht keinen Unterschied.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller

mbs

Re: Da macht's KRACK: WPA/WPA2-Netzwerke unsicher
Antwort #7: Oktober 18, 2017, 08:58:18
1. Im Gegensatz zu Linux/Android wird bei den anderen Geräten der alte schon einmal benutzte Schlüssel verwendet. Wie kommt der Angreifer da dran?

Soweit ich das verstanden habe, beruht der Trick darauf, dass der mithörende Angreifer die Kommunikation durch eine gefälschte Anwort so stört, dass der Sender in Schritt 3 meint, der echte Empfänger hätte den Schlüssel aufgrund eines Übertragungsfehlers nicht empfangen, obwohl der Empfänger bereits akzeptiert hat, diesen Schlüssel zu verwenden. Dadurch wird Schritt 3 mit einem neuen Schlüssel wiederholt, woraufhin der Angreifer antwortet, er würde jetzt doch lieber den alten Schlüssel aus dem ersten Versuch verwenden.

2. Updates sind notwendig für alle Client-Geräte, da sich der Fehler auf der Client-Seite befindet. D.h. wenn man seine WLAN-Basis tatsächlich nur als Basis verwendet, macht es keinen Unterschied, ob sie gepatcht ist oder nicht. Erst wenn die Basis selber als Client arbeitet (z.B. als Repeater), dann ist sie auch angreifbar.

Ja, so ist es. Das Problem beruht auf einem Detail des Standards IEEE 802.11r, der die schnelle Weitergabe eines Clients zwischen zwei Basisstationen regelt. Diese Norm wurde dazu entwickelt, dass ein mobiles WLAN-Telefon sich in einem großen Netz mit mehreren Basisstationen bewegen kann und jeweils an die empfangsstärkste weitergeleitet wird, ohne dass dabei ein laufendes Telefongespräch durch Neuaushandlung der Verschlüsselung unterbrochen wird ("roaming client"). Geräte, die niemals als Client arbeiten, mit anderen Worten also Basisstationen, sind deshalb nicht betroffen und benötigen kein Update.

Florian

  • Verderbliche Ware!
Re: Da macht's KRACK: WPA/WPA2-Netzwerke unsicher
Antwort #8: Oktober 18, 2017, 17:13:41
Liste mit Hersteller-Stellungnahmen;
https://www.heise.de/security/meldung/KRACK-Hersteller-Updates-und-Stellungnahmen-3863455.html

Generell, wie ja hier schon von mehreren Seiten erwähnt, sind Basisstationen nur anfällig, wenn sie etwa als Bridge oder Repeater konfiguriert sind. Dafür haben die meisten wesentlichen Router-Hersteller Updates versprochen - aber natürlich dürfte man mit Uralt-Routern leer ausgehen.
Bis zu den Updates: Repeater usw. am besten vom Netz nehmen.

Kommentar zur Misere:
https://www.heise.de/newsticker/meldung/Kommentar-KRACK-knackt-WPA2-und-wir-stehen-im-Regen-3863929.html
_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.
Re: Da macht's KRACK: WPA/WPA2-Netzwerke unsicher
Antwort #9: Oktober 19, 2017, 07:03:35
Danke! Nur damit ichs verstehe, sobald ein ungepatchtes Clientgerät in meinem WLAN regulär in Betrieb ist, könnte ein fremdes Gerät sich einbuchen und mitlesen?
Re: Da macht's KRACK: WPA/WPA2-Netzwerke unsicher
Antwort #10: Oktober 19, 2017, 07:32:04
Korrekt. Dieses fremde Gerät setzt sich als Man-in-the-middle zwischen die Basisstation und Dein ungepatchtes Gerät und kann diesen Datenverkehr mitlesen und auch verändern.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: Da macht's KRACK: WPA/WPA2-Netzwerke unsicher
Antwort #11: Oktober 19, 2017, 09:15:50
Danke! Nur damit ichs verstehe, sobald ein ungepatchtes Clientgerät in meinem WLAN regulär in Betrieb ist, könnte ein fremdes Gerät sich einbuchen und mitlesen?
Damit ich es ohne Fachchinesisch auch verstehe.
Ich habe einen Drucker der mit USB Kabel an der Fritzbox hängt.
Gibt es da theoretisch diese Probleme?
Ja oder Nein?

Mein iPad und mein MBP kommunizieren im heimischen WLAN via Fritz mit dem www.
Gibt es da theoretisch Probleme?
Ja oder Nein?

Jochen
_______
Wenn Du es eilig hast, gehe langsam.
Re: Da macht's KRACK: WPA/WPA2-Netzwerke unsicher
Antwort #12: Oktober 19, 2017, 09:36:32
Ich habe einen Drucker der mit USB Kabel an der Fritzbox hängt.
Gibt es da theoretisch diese Probleme?
Ja oder Nein?

Nein, kein WLAN.

Zitat
Mein iPad und mein MBP kommunizieren im heimischen WLAN via Fritz mit dem www.
Gibt es da theoretisch Probleme?
Ja oder Nein?

Ja, weil WLAN.

Zitat
Damit ich es ohne Fachchinesisch auch verstehe.

Es ist doch wirklich simpel.
Alle Geräte, die sich irgendwo per WLAN an einem Funknetzwerk anmelden, sind betroffen und benötigen ein Update.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: Da macht's KRACK: WPA/WPA2-Netzwerke unsicher
Antwort #13: Oktober 19, 2017, 10:02:43
Es ist doch wirklich simpel.
Alle Geräte, die sich irgendwo per WLAN an einem Funknetzwerk anmelden, sind betroffen und benötigen ein Update.

Sogar der Drucker, der per USB-Kabel an der FRITZ!-Box hängt, wenn er außerdem noch per WLAN an der FRITZ!Box hängt.