Viele von Ihnen haben es sicher bereits gelesen: WPA2 konnte gehackt werden. Was heißt gehackt? Es ist theoretisch möglich sich in ihre Verbindung zwischen zuschalten und ihre Daten mitzulesen und zu modifizieren. Gerade im Internet sind wir auf Sicherheiten aus, welche damit bedroht werden. Was sollten Sie nun also beachten?
Was ist WPA2?
Fangen wir jedoch erst einmal damit an was WPA2 überhaupt bedeutet. WPA2 steht für Wi-Fi Protected Access 2 und der bisherige Sicherheitsstandard für Ihre W-lan Verbindung. Wir könnten jetzt noch mit vielen Fremdwörtern um uns schmeißen. Sie nutzen WPA2 sehr wahrscheinlich zu Hause. Und zwar dann, wenn Sie einen Router bekommen haben und sich nun über W-lan mit Ihrem Computer, Smartphone oder Tablet mit dem Internet verbinden. Ihr Gerät möchte dann ein Passwort haben, was meist auf der Rückseite des Routers steht. Sie geben dieses Passwort ein und haben nun eine bisher sichere Verbindung hergestellt. Sinn ist es ihre Daten zu verschlüsseln und dafür zu sorgen, dass kein anderer Ihre Daten mitlesen kann. Vorläufer des WPA2 waren WPA und WEP, wobei WEP bereits extreme Schwachstellen aufzeigte in Punkto Sicherheit.
Bis KRACK Attacks aufgetaucht ist galt WPA2 als sicherster Standart.
Was ist KRACK Attacks?
Achtung jetzt wird es kurz theoretisch! Die WPA2-Verschlüsselung beruht auf einer sehr einfachen und logischen Operation auf Bit-Ebene namens XOR. Dies ist ein striktes "entweder, oder". Es ergibt entweder 1 (wahr) wenn genau eines der beiden Bits 1 ist , sonst ergibt es 0. XOR ist eine in der Kryptographie sehr häufig genutzte Funktion. Mit ihr kann man sehr sichere Krypto-Systeme bauen. Aber XOR hat ein ganz zentrales, bekanntes Problem: Sobald verschiedene Daten mit dem gleichen Schlüssel verschlüsselt werden, war es das.
Sprich ein Schlüssel darf niemals doppelt verwendet werden.
Dieses Problem war bei der Erstellung von WPA2 bereits bekannt. Es wurde deshalb dafür gesorgt, dass die eingesetzten Schlüssel aus einer so genannten Nonce abgeleitet werden. Nounce steht für "Number used ONCE" (Nummer einmal verwenden). In der Praxis besagt der Standard, dass WPA2-Clients die Nonce ständig hochzählen und somit sicherstellen, dass nie zweimal die gleiche Nonce zum Einsatz kommt. Das Problem sollte somit also behoben sein und WPA2 sicher sein.
Der Angriff des KRACK beruht nun darauf, dass WLAN-Geräte ihre Nonces austauschen müssen, damit beide den gleichen Schlüssel verwenden. Der Angreifer versucht also in den Nonce-Austausch im Funknetz (und damit in Ihrer Nähe) einzugreifen und dafür zu sorgen, dass Teile davon nicht beim Empfänger ankommen.Konkret heißt dies dass die Angreifer beispielsweise eine letzte Empfangsbestätigung des WLAN-Clients abfangen, bevor diese den WLAN-Router erreicht. Der WLAN-Client bekommt davon nichts mit und verschlüsselt bereits munter Daten. Nach dem Verstreichen einer bestimmten Frist schickt der Router das scheinbar verloren gegangene Paket erneut – und diesmal lassen es die Angreifer durch. Der Client merkt, dass er voreilig war und macht einen Reset – und führt die namensgebende Key Reinstallation durch. In der Folge verschlüsselt der Client Daten mit der gleichen Nonce wie beim ersten Mal.
Es sei zudem erwähnt, dass nur die Norm 802.11r vom Hack betroffen ist (welche jedoch eben auch die am weitesten verbreitetste darstellt).
Gerade Linux ist hier extrem Anfällig. Der Linux-WLAN-Treiber wpa_supplicant ein, welcher auch bei Android-Geräten zum Einsatz kommt, überschreibt den Schlüssel nach seiner Nutzung im Speicher mit Nullen, womit durch die Key Reinstallation ein Schlüssel nur aus Nullen zum Einsatz kommt. Die daraus resultierende Verschlüsselung lässt sich somit ganz einfach hacken.
Schnell gesagt: Sie senden Daten von Ihrem Wohnzimmer an Ihren Router im Flur und der Angreifer stellt sich in die Tür und fasst die Daten ab.
Bin ich jetzt noch sicher?
Da sich der Angriff auf WPA2 bezieht, ist praktisch fast jedes Gerät betroffen. Wir wir aber oben festgestellt haben, muss der Angreifer in Funkweite sein. Und das ist ein entscheidender Unterschied zu Viren und Co. Der Angriff lässt sich nicht von irgendwo beliebig steuern und über das Internet verbreiten, sondern jemand muss sich bewusst in ihre Verbindung zwischenschalten. Wenn also niemand ein extremes Interesse daran hat, sich ihre letzten Facebookeinträge, YouTube Videos etc anzusehen, würde ich fast behaupten, dass Sie als "normaler Internutzer" kaum betroffen sein werden (ok kommt evtl. auf Ihren Kontostand an :-) oder ob ihr Nachbar zufällig ein Krypto-Hacker ist). Eher betroffen sind hier Firmen, die ebenso WPA2 nutzen und wobei das Interesse anderer hierbei doch leicht steigt. Nutzen Sie Online Banking, so sollten Sie, bereits vorher schon, immer auf die sichere Verbindung achten. Dies erkennen sie in Ihrer Adresszeile, indem ein https:// ihrem "www." vorsteht und an einem grünen Schloß (nicht so sichere haben hier nur ein http:// vorstehen und ein offenes Schloß - es geht somit um das "s"). Https verschlüsselt nochmals auf TLS Basis (nehmen Sie das jetzt so hin) und ist somit nicht vom KRACK betroffen. Wenn Sie diesen Artikel lesen, befinden Sie sich im übrigen ebenso auf einer https Seite, schauen sie doch einmal oben in ihrer Adresszeile nach.
Was kann ich noch machen?
Wie bereits beschrieben, achten Sie darauf, Seiten zu nutzen welche zusätzlich unter "https://www.(...)" bestehen (sollte gerade bei Dingen wie Online Banking immer bestehen).
Alles andere ist Aufgabe der jeweiligen Anbieter. Diese versuchen natürlich schnell darauf zu reagieren und entsprechende Sicherheitsupdates zu liefern. Diese sollten Sie dann auch entsprechend schnell installieren um das Problem wieder zu beheben.
Fritz Boxen Diese sollen hier bereits sicher sein da sie "als Access Point die betroffene Norm 802.11r nicht verwendet".
Telekom: Derzeit werden ihre Geräte noch auf Anfälligkeit geprüft. Für betroffene Geräte will die Telekom zeitnah Updates bereitstellen. Bisher wird das Risiko jedoch als gering eingeschätzt, da Sie ebenso, die bei einem Access Point betroffenen WLAN-Standards nicht implementieren. Firmeninformation
Apple: Apple Produkte wurden in der Beta Version bereits gepatcht (Quelle), weitere Updates sind hier in Arbeit.
Windows: Microsoft hat ebenso bereits gepatcht. Standartmässig bekommen Sie diese Updates automatisch. Wer jedoch automatische Updates in Windows deaktiviert hat, kann sich das einzelne Sicherheits-Update aus dieser Liste herunterladen:
- Windows 10 (32/64 Bit)
- Windows 7 SP1 (32/ 64 Bit) – KB4041678
- Windows 8.1 (32/64 Bit) – KB4041687
- Windows Server 2008 – KB4042723
- Windows Server 2008 R2 – KB4041678
- Windows Server 2012 – KB4041679
- Windows Server 2012 R2 – KB4041687
- Windows Server 2016 – KB4041691
Weitere:
Linux: Updates für wpa_supplicant und hostapd
Cisco: Cisco Security Advisory
Intel: Security Center
TP LINK: Firmenauskunft
Zu guter Letzt
Verfallen Sie nicht in Panik. Sie müssen auch nicht ihr Passwort ändern (das würde sowieso nichts bringen). Achten Sie auf die Updates und darauf https Seiten zu nutzen, dann sind Sie auch wieder auf der sicheren Seite.
Wir sprechen hier zudem über einen Hack, denn bei weitem nicht jeder einfach so durch führen kann (Oder können Sie jetzt ihre Nachbarn hacken?) und zudem nur Vor-Ort durchführbar ist. Daher muss man auch immer noch dazu sagen, dass Privatpersonen tendenziell doch eher uninteressant für diese Dinge sind.
Kommentar schreiben
Schmitz, Martina (Samstag, 28 Oktober 2017 18:36)
Vielen Dank für die umfangreiche und gut verständliche Erklärung. Bis nächste Woche und einen schönen Feiertag
Martina Schmitz