Banner News uptodate v2

 

WLAN WPA2 - KRACK-Attacke


Die aktuellen Meldungen über die WLAN WPA2 – KRACK-Attacke überschlagen sich derzeit in den Medien. Sicherlich haben Sie auch einige Fragen zu dieser Sicherheitslücke sowie zu den Statements der einzelnen Hersteller – vor allem in welchem Maße Sie und Ihre User davon betroffen sind und wie Sie sich schützen können.

Dabei wollen wir Sie gerne unterstützen.

Worum geht es eigentlich?

Der belgische Forscher Mathy Vanhoef hat insgesamt 10 Schwachstellen veröffentlicht, welche in Verbindung mit der WPA2-Verschlüsselung stehen. Durch Ausnutzung selbiger ist es möglich, den verschlüsselten Datenverkehr zwsichen WLAN-Endgerät und Access Point einzusehen.
Die Schwachstellen betreffen den WPA2-Standard selbst und nicht die Implementierung in spezifischen Geräten. Sie sind somit nahezu allumfassend. Dabei ist zu beachten, dass sowohl WLAN-Infrastruktur-Komponenten (AccessPoints, WLAN-Router, Repeater, etc.) als auch WLAN-Endgeräte (Laptops, Tablets, Smartphones, SmartTVs, etc.) betroffen sind. Dies bedeutet, dass eine ganzheitliche Behebung der Schwachstellen erfolgen muss, sowohl infrastrukturell als auch Endgeräte-seitig.

Ist es so schlimm wie es klingt?

Jein! Um eine der Schwachstellen ausnutzen zu können, muss sich ein Angreifer in der Nähe von Sender und Empfänger befinden. Ein Angriff über das Internet ist also ausgeschlossen.
Allerdings, wie obig erwähnt, ist nahezu jedes WLAN-nutzende Gerät betroffen.

Werden die Schwachstellen bereits aktiv ausgenutzt?

Genau kann dies nicht beantwortet werden. Allerdings ist es zum aktuellen Zeitpunkt unwahrscheinlich, da die Forscher Ihre Software nicht veröffentlicht haben. Somit müssten Angreifer diese Leistung eigenständig erbringen.

Sind auch HTTPS-Verbindungen nicht mehr sicher?

In den Medien wird teilweise darauf hingewiesen, dass man kein Online-Banking/-Shopping über WPA2-geschützte Verbindungen betreiben solle. Verschlüsselung auf höheren Protokollebenen via SSL/TLS oder IPSec stehen in keinem Zusammenhang mit der aktuellen KRACK-Attacke und sind nicht grundsäztlich als unsicher zu betrachten. Allerdings gab es in den letzten Monaten immer wieder Schwachstellen bei Android und iOS-Apps, welche auf HTTPS aufbauen. Auf Grund der nicht mehr vollständig gegebenen Schutzfunktion des WPA2 rät das BSI zu den gleichen Vorsichtsmaßnahmen beim privaten WLAN, wie bei öffentlichen Hotspots.

Sollte ich schnell aktiv werden und meinen PSK oder die Verschlüsselung ändern?

Auf Grund der Beschaffenheit der Schwachstellen schafft die Änderung des Sicherheitsschlüssels keine Abhilfe. Weiterhin kann durch die Schwachstelle der PSK auch nicht ausgelesen werden, so dass eine Änderung des PSKs nicht zwingend erforderlich ist.
Die KRACK-Attacke ist sowohl effektiv gegen WPA1/WPA2 private & Enterprise Netzwerke, mit den Cipher Suites (WPA-TKIP, AES-CCMP, and GCMP). Auch vom Wechsel auf WEP, auf Grund der diesbezüglich seit langem bekannten Schwächen, wird dringend abgeraten.

Welche Geräte sind betroffen?

Vermutlich sind alle WLAN-fähigen Geräte betroffen. Eine aktuelle Übersicht findet man hier.
Microsoft hat für Windows bereits einen Patch veröffentlicht, welcher über die „Windows Update“ Funktion bereitgestellt wird. Seitens Apple und Google gibt es noch keine genauen zeitlichen Angaben für eine Veröffentlichung eines Patches.
Die Hersteller Aerohive, Aruba, Cisco, Extreme Networks, LANCOM, Ruckus und Juniper haben jeweils Stellungnahmen veröffentlicht und Prüfungen bzw. Patches für ihre Hardware angekündigt.

Werden Endgeräte und AccessPoints inkompatibel, wenn das Patching nicht parallel erfolgt?

Nein, die jeweiligen Patches können Abwärtskompatibel gestaltet werden und sollen nicht zu Funktionsausfällen oder des Bedarfs eines neuen Standards à la WPA3 führen.

Gibt es Workarounds um schnell zu reagieren?

Ja. Die meisten Hersteller beschreiben diese direkt auf den obig verlinkten Webseiten.
Da nur eine der Schwachstellen (CVE-2017-13082) die Infrastruktur Komponenten und nicht die Endgeräte betrifft, würde eine Deaktivierung des IEEE 802.11r  Standards (fast BSS transition (FT) oder fast roaming) eine Ausnutzung der Schwachstelle verhindern. In vielen Installationen ist dieser Standard aus Kompatibilitätsgründen nicht aktiv. Hinsichtlich dessen und des weiteren Vorgehens unterstützt Sie die magellan netzwerke GmbH natürlich gerne.

Wo erhalte ich weitere Informationen?

www.krackattacks.com    
www.bsi.bund.de
www.heise.de


Zudem versuchen wir diese Seite stetig up-to-date zu halten, so dass Sie alle aktuellen Hinweise hier finden. Stand: 17.10.2017, 16:06 Uhr


Kontakt

Bei Fragen melden Sie sich gerne bei uns.

Email: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
Tel: +49 2203 922630