KRACK – WPA2 Schwachstelle im WLAN

      Kommentare deaktiviert für KRACK – WPA2 Schwachstelle im WLAN

Aktuell macht eine Schwachstelle im WLAN die Runde, welches viele Besitzer eines Home WLANs stark verunsichert. Hierbei steht die Abkürzung KRACK für „Key Reinstallation Attack“. Der Hinweis, dass im wesentlichen Linux Systeme betroffen sein sollen macht das Ganze nicht besser. Denn schließlich laufen viele Systeme (Router, Kleincomputer wie der Raspberry Pi auf Linux.  Ein guter Grund, das Problem einmal genauer zu beleuchten.

Was ist die Ursache?

Wenn sich ein neues Gerät an einem Access Point mittels WLAN anmelden möchte, wird eine Anmeldeprozedur durchgeführt. Dieses als Handshake bekannte Verfahren wird in vier Schritten durchgeführt. Hierbei einigen sich beide Geräte auf einen sogenannten Session Key. Hier greift die Manipulation ein und es wird ein bereits zuvor benutzter Session Key eingefordert. Dies müsste der Access Point eigentlich ablehnen, was er aber scheinbar nicht tut. Da dies aber scheinbar protokollkonform ist, handelt es sich auch nicht einen Softwarefehler innerhalb der Firmware eines Herstellers, sondern um eine Design-Schwäche innerhalb des WPA2 Standards. Dies macht das Ganze gleich brisanter, da es eine sehr gr0ße Zahl an Geräten ist, die hier betroffen sein kann.

Eine Risikoabschätzung

Wie groß ist nun das Risiko für das heimische WLAN? Zum einen kann man sagen, dass der potenzielle Angreifer in der unmittelbaren Umgebung des Hauses / der Wohnung sein muss, damit er in Kontakt mit dem Funknetz kommen kann. Da der Angreifer aber scheinbar nicht in den Besitz des WLAN Passworts kommt, kann er nur die Kommunikation belauschen und Informationen abgreifen. Ob ein solcher Angriff auf ein privates WLAN aufgrund des Aufwandes interessant sein kann, bleibt zu bezweifeln. Hier werden Unterhemen oder auch größere WLAN Hotspots für Angreifer deutlich interessanter sein.

Mögliche Maßnahmen

SSL bei Homebanking

Nun gibt es allerlei Warnungen die bis zur Maßnahme gehen, das WLAN abzuschalten. Kompromittiert werden kann aber nur Kommunikation im WLAN, die nicht zusätzlich via TLS oder SSL gesichert ist. Die Kommunikation zur Bank beim Homebanking ist in der Regel immer verschlüsselt – unabhängig von der Infrastruktur (LAN, WLAN, Powerline, …). Meist nicht zusätzlich verschlüsselt ist die Kommunikation zum  Heimserver oder zum NAS beispielweise beim Video Streamen. Auch private NAS Systeme im eigenen WLAN können betroffen sein (Owncloud / Nextcloud). Auch eine Überbrückung via WLAN Repeatern könnte ergriffene Maßnahmen torpedieren. Hier könnte man auch nachbessern und die Kommunikation im heimischen WLAN verschlüsseln (allerdings wohl nicht über LetsEncrypt – hier müsste man wohl ein statischen Schlüssel verwenden, was aber unproblematisch sein sollte.

Oder doch besser per Kabel?

Meine Empfehlung

  • Beim Hersteller des Routers nachsehen  ob ein Software Update zur Verfügung steht.
  • Kommunikation mit dem heimischen NAS verschlüsseln
  • Besondere Vorsicht bei öffentlichen WLANs / Hotspots
  • Bei besonderem Sicherheitsbedürfnis die Zeit bis zum Update des Herstellers die WLAN Strecke für ein besonders kritisches Gerät mit einem LAN Kabel überbrücken und WLAN am Gerät deaktivieren

Am Schluss bleibt nur zu hoffen, dass die Hersteller der Router an dieser Stelle nachbessern, so dass man im heimischen Netz wieder sicher ist