KRACK-Entdecker Mathy Vanhoef: Viele Geräte werden niemals Schutzupdate erhalten - Attacken über Spezialantennen aus 2 - 3 km Entfernung - Grundlagenproblem einmalige Software-Bezahlung

23.10.2017 22:48:43, Jürgen Auer, keine Kommentare

Der KRACK-Hack (Key Reinstallation Attacks) beschäftigt derzeit die Welt. Man kann damit WPA2, die Verschlüsselung von WLAN-Verbindungen, aufbrechen, so daß eigentlich unverschlüsselte Kommunikation, die lediglich aufgrund von WPA2 im Funknetz verschlüsselt ist, für den Angreifer lesbar ist. Die Schwäche liegt nicht in einzelne Produkten, sondern steckt im WPA2-Standard selbst drin.

Der belgische Sicherheitsforscher Mathy Vanhoef, der zusammen mit Frank Piessens diese Lücke entdeckt hat, hat sich in einem Video zu einigen Details geäußert.
.

Tech News Weekly 3: Mathy KRACKs the Code - KRACK researcher describes the WPA2 hack

https://twit.tv/shows/tech-news-weekly/episodes/3?autostart=false

.
Sein grundsätzlicher Hinweis: Viele Geräte würden niemals ein Update erhalten. Vor allem Android-Geräte würden von diversen Herstellern nach wenigen Jahren nicht mehr mit Updates versorgt. Jedes Gerät, das einen WLAN-Chip eingebaut hat, ist prinzipiell gefährdet.

Auf der Seite

Key Reinstallation Attacks: Breaking WPA2 by forcing nonce reuse

https://www.krackattacks.com/

> The attack works against all modern protected Wi-Fi networks. Depending on the network configuration, it is also possible to inject and manipulate data. For example, an attacker might be able to inject ransomware or other malware into websites.

Besonders gefährdet sind Linux und Android ab Version 6. Diese nutzen wpa_supplicant, einen Wi-Fi-Client. Bei dem gibt es einen zusätzlichen Fehler, der es ermöglicht, einen 0-Key zu installieren. Bei einer XOr-Verschlüsselung mit einem 0-Key wird nichts verschlüsselt.

Damit sind etwa 50 % der Android-Geräte von diesem Problem unmittelbar betroffen.

Ein Schutz: Nur Verbindungen per https nutzen. Was umgekehrt für Websites bedeutet: Wer noch nicht auf https/SSL umgestiegen ist, der sollte das nun womöglich forcieren.

Ferner weist er in dem Video darauf hin, daß es Spezialantennen gäbe, mit denen sich Angriffe auch noch aus zwei bis drei Kilometern Entfernung durchführen lassen (Video, etwa  04:50).

Heimnutzer, die schnell updaten, seien eher nicht von der Attacke betroffen. Heikler ist das für Personen, die bsp. in Universitäten oder anderen öffentlichen Räumen aktiv sind. Dort, wo es viele öffentliche Access Points gäbe.

Ein Vorteil sei, daß es dieses Loch schon sehr lange gibt, aber das bis jetzt wohl noch niemand herausgefunden habe (~ 08:30).

Das Gespräch findet sich am Anfang des Videos, etwa bis Minute 12.

Die Lücke wirft ein Schlaglicht darauf, daß Android-Geräte nur mangelhaft über einen längeren Zeitraum mit Updates versorgt werden. Praktisch sehe ich darin das eigentliche Problem. Das ist so, wie wenn Autohersteller Autos verkaufen würden, ohne daß es ein Netz von Wartungsfirmen und sogar die Verpflichtung zur regelmäßigen Wartung gäbe. In so einem Fall würden die "Schrottkarren" andere Verkehrsteilnehmer gefährden.

Bei Software ist es leider üblich, daß oft ohne einen Updatemechanismus verkauft wird.

Wobei bei Autos selbstverständlich davon ausgegangen wird, daß die Autokäufer die Wartungen bezahlen. Nur bei Software wollen alle immer nur Einmalzahlungen - und wundern sich dann über solche Seiteneffekte.

Persönlich war dieser Punkt für mich ein Grund, Server-Daten auf Mietbasis zu entwickeln. Damit verdiene einerseits ich kontinuierlich durch Mieteinnnahmen. Andererseits ist aber für die Kunden auch sichergestellt, daß das System immer wieder gepatcht wird.

*
* (wird nicht angezeigt)
Die Erläuterungen zum Datenschutz habe ich gelesen und stimme diesen zu.