KRACK – oder: warum WLAN nicht zum Untergang verdammt ist

Im Oktober 2017 ging ein Aufschrei durch die weltweiten Medien. Ursache für diese Empörung war ein kürzlich veröffentlichter Bericht des belgischen Sicherheitsforschers Mathy Vanhoef. In diesem wird eine Methode („KRACK“) beschrieben, mit der WPA2 – jenes Protokoll, das für die Absicherung sämtlicher moderner WLAN-Netzwerke verwendet wird – geknackt werden kann.
Das Alarmierende daran ist, dass die Schwachstelle, die dabei ausgenutzt wird, de facto auf jedem WLAN-fähigen Gerät vorhanden ist. In den Medien wurde daher bereits das Ende sicherer WLAN-Netzwerke prophezeit. In diesem Artikel erfahren Sie, was daran stimmt (oder nicht stimmt) und wie Sie sich vor Gefahren schützen können.

Was ist KRACK und wie funktioniert es?

KRACK, kurz für „Key Reinstallation Attack“, ist eine neuartige Angriffstechnik, die sich unter anderem gegen den 4-Wege-Handshake verwenden lässt, der für das WPA2-WLAN-Protokoll eingesetzt wird. Der so genannte 4-Wege-Handshake findet in der Praxis Anwendung, wenn sich ein Gerät mit einem gesicherten WLAN-Netzwerk verbinden möchte. Mit dem „Handshake“ wird sichergestellt, dass sowohl das Gerät, als auch der Access Point/Router dieselben Zugangsdaten (z.B. das Kennwort des WLAN-Netzwerks) besitzen. Parallel dazu wird mit dem Handshake auch ein eigener Schlüssel ausgehandelt, mit dem sämtlicher nachfolgender Datenverkehr zwischen Gerät und Access Point/Router verschlüsselt wird. Die „Key Reinstallation Attack“ erlaubt dem Angreifer einen derartigen bereits in Verwendung befindlichen Schlüssel beim Opfer neu zu installieren. Im Fall des wpa_supplicant-Systemtools, das unter anderem unter macOS und Linux verwendet wird, kann sogar ein komplett leerer Schlüssel installiert werden, wodurch ein beachtlicher Teil an Aufwand für den Angreifer wegfällt.

Was passiert nach einer KRACK-Attacke?

Nach einer KRACK-Attacke ist es, vereinfacht ausgedrückt, möglich, Verbindungen mitzulesen, zu manipulieren und zu fälschen – egal ob von oder zu einem Gerät. Der Angreifer muss sich hierfür in eine „Man in the Middle“-Position bringen, um als Mittelsmann zwischen Gerät und Access Point/Router in die Datenströme eingreifen zu können. Dadurch kann etwa Schadcode in unverschlüsselte HTTP-Verbindungen eingeschleust oder private Passwörter von Facebook & Co können mitgelesen werden. In jedem Fall kann ein Angreifer durch KRACK das Kennwort Ihres WLAN-Netzwerkes NICHT herausfinden.

Nähere technische Details können Sie dem Forschungsbericht von Mathy Vanhoef entnehmen: „Key Reinstallation Attacks: Forcing Nounce Reuse in WPA2“

Wer ist von KRACK betroffen?

Der 4-Wege-Handshake wird von sämtlichen modernen WLAN-Netzwerken verwendet, wodurch auch alle WLAN-Netzwerke von KRACK betroffen sind. Dabei spielt es keine Rolle, ob das WLAN-Netzwerk nach dem WPA- oder aktuellen WPA2-Standard – gleich ob TKIP oder AES – abgesichert ist. Ebenso ist es unerheblich, ob es sich um ein persönliches Netzwerk (PSK) oder ein Firmennetzwerk (Enterprise) handelt.

KRACK nützt eine Schwachstelle im WPA2-Protokoll selbst. Wie fatal das Ausmaß von KRACK ist, hängt dabei ausschließlich von der Implementierung des Geräteherstellers ab.

Aktuell scheint es so, als seien fast alle gängigen Betriebssysteme sämtlicher Hersteller von zumindest einer KRACK-Variante betroffen. Pauschal sollte man daher davon ausgehen, dass jedes Gerät mit einem WLAN-Chip von KRACK betroffen ist.

Zumindest der „Haupt-Angriff“ zielt lediglich auf Geräte ab, nicht jedoch auf Access Points/Router. Diese sind nicht direkt betroffen, können aber das Ausnutzen von KRACK erleichtern. Eine weitere Komponente ist die Nähe zum Gerät. Strahlen zwei Access Points/Router dasselbe WLAN-Netzwerk aus, so wählt das Gerät jenes, bei dem der Empfang besser ist. Je näher ein Angreifer also zum Gerät ist, desto wahrscheinlicher ist es, dass sich das Gerät mit dem Angreifer verbindet und die KRACK durchgeführt werden kann.

Wie kann ich mich vor KRACK schützen?

In Medienberichten wird häufig empfohlen, zumindest in nächster Zeit auf Ihr WLAN zu verzichten und nur noch über ein Netzwerkkabel zu surfen. Das ist angesichts der großen Verbreitung von WLAN jedoch eine höchst unrealistische Vorgehensweise.

Vielmehr sollte man bis zur Installation eines Sicherheitsupdates das private WLAN wie ein öffentliches WLAN (z.B. an einem Bahnhof) behandeln. Bei sensiblen Tätigkeiten wie Online-Banking sollte also auch im privaten WLAN vorsichtig agiert werden (dazu unten mehr). Nicht zu Unrecht rät das deutsche Bundesministerium für Sicherheit in der Informationstechnik (BSI) dazu bis auf Weiteres auf Online-Banking im WLAN zu verzichten.

Um eine KRACK-Attacke ausführen zu können, ist sehr hohes technisches Fachwissen und die räumliche Nähe zum Opfer erforderlich. Dennoch sollte man sich deshalb nicht in Sicherheit wiegen. Der Autor des Forschungsberichts, Mathy Vanhoef, hat bereits angekündigt den Quellcode seines Demonstrations-Prototyps zu veröffentlichen, sobald für einen Großteil der betroffenen Geräte entsprechende Sicherheits-Updates zur Verfügung stehen. Den zuständigen Sicherheits-Behörden und –Organisationen sind bislang keine Fälle bekannt, in denen KRACK bereits in der Praxis ausgenutzt wurde. Dies bedeutet jedoch nicht, dass es bis dato keine gegeben hat.

Sicherheits-Updates bekannter Hersteller

Eine Vielzahl an Herstellern hat bereits bekannt gegeben an Sicherheits-Updates für ihre Produkte zu arbeiten. Diese Updates sind glücklicherweise abwärtskompatibel, d. h. ein gepatchtes Gerät kann weiterhin mit einem ungepatchten Access Points/Router kommunizieren (und umgekehrt). Bedenken Sie, dass auch auf den ersten Blick nicht betroffene Netzwerkgeräte wie WLAN-fähige Drucker gepatcht werden sollten. Auf Heise.de finden Sie eine ausführliche Liste mit den Sicherheits-Updates der bekanntesten Hersteller im Netzwerk- und Betriebssystem-Segment. Die wichtigsten betroffenen Geräte seien hier nochmals kurz genannt:

Hier hat Microsoft bereits am 11.10.2017 im Rahmen des Patchdays ein Sicherheits-Update ausgerollt. Stellen Sie also sicher, dass Sie die aktuellen Windows-Updates auf Ihrem PC installiert haben. (Update KB4041676 bzw. KB4043961 im Release Preview Ring)

Auch hier haben die bekanntesten Distributionen bereits Sicherheitsupdates in den Umlauf gebracht. Stellen Sie also auch hier unbedingt sicher, dass Sie die aktuellsten Updates installiert haben, denn Linux ist durch wpa_supplicant am stärksten von KRACK betroffen. (Besonders wichtig: Updates zu den wpa_supplicant-Paketen)

Apple testet aktuell in den Betaversionen von macOS eine Fehlerbehebung. Mit einer Ausrollung in Form von Updates ist vermutlich erst in einigen Wochen zu rechnen. Agieren Sie bis dahin also vorsichtig, denn macOS ist durch wpa_supplicant am stärksten von KRACK betroffen!

[Update vom 2. November 2017] Die von Apple am 31.10.2017 veröffentlichte Version 10.13.1 behebt die KRACK-Sicherheitslücke. macOS ist durch wpa_supplicant am stärksten von KRACK betroffen, hier ist ein Update also besonders wichtig.

Appel arbeitet ebenfalls an einer Fehlerbehebung für den Betriebssystem seiner Smartphones. Seien Sie hier genauso vorsichtig bis die nächste Update verfügbar ist.

[Update vom 2. November 2017] Mit der Veröffentlichung der iOS-Version 11.1 am 31.10.2017 wurden von Apple Maßnahmen gegen KRACK gesetzt. Es ist daher zu empfehlen Ihr Gerät schnellstmöglich auf diese Version oder eine höhere zu aktualisieren.

Google (die Entwickler von Android) verspricht Android-Sicherheitsupdates für die kommenden Wochen. Das beliebte Custom-ROM LineageOS ist seit 17.10.2017 gegen KRACK geschützt, womit die Entwickler sogar Google zuvorgekommen sind. Bei Android-Geräten ist die Update-Verbreitung allerdings sehr gering. Es besteht daher die Gefahr, dass viele Geräte das Sicherheitsupdate nie erhalten werden.

[Update vom 7. November 2017] Google (die Entwickler von Android) haben am 6.11.2017 bereits einen Patch für Android veröffentlicht, der die KRACK-Sicherheitslücke behebt. Leider dauert es ab diesem Zeitpunkt noch einige Zeit, bis die Entwickler diesen auch in ihre angepassten Android-Versionen einbauen.

Vorsichtsmaßnahmen bis zum Sicherheitsupdate:

  • VPN installieren:
    Technisch versierte Benutzer können zu einem VPN greifen und damit sämtlichen Datenverkehr über das WLAN auf einer zusätzlichen Ebene verschlüsseln, um so zu verhindern, dass Angreifer mitlesen können.

  • WLAN-Reichweite reduzieren:
    Sofern Sie die Möglichkeit haben Ihren Access Point/Router zu konfigurieren, können Sie die Sendeleistung so einschränken, dass sie nur den Bereich abdeckt, in dem Sie auch tatsächlich WLAN nutzen.

  • Auf sichere HTTPS-Verbindungen achten:
    Ein effektiver Schutz, den Sie generell in Ihrem täglichen Umgang mit dem Internet beherzigen sollten, ist in jedem Fall die Prüfung, ob die besuchte Webseite eine sichere Verbindung verwendet. Sie erkennen dies an der Markierung in Ihrem Browser und am Protokoll HTTPS am Anfang der Adresse (z.B. https://www.google.at). Ein Angreifer würde dafür sorgen, dass eine derartige HTTPS-Verbindung zu einer normalen HTTP-Verbindung wird (z.B. http://www.google.at). Bei einer HTTPS-Verbindung können Sie sicher sein, dass ein Angreifer Ihre Daten nicht mitlesen oder manipulieren kann.

KRACK: Auf den Punkt gebracht

KRACK ist eine durchaus ernstzunehmende Schwachstelle, die uns alle in irgendeiner Art und Weise betrifft. Doch der Eindruck ist falsch, dass ab sofort jede Verschlüsselung unwirksam ist und im WLAN künftig jede Kommunikation mitgelesen werden kann.

Jedes System kann mit dem entsprechenden Aufwand an krimineller Energie, Wissen, Zeit und Geld erfolgreich attackiert werden. Das war vor KRACK so und wird auch weiterhin so sein. Absolute, 100-prozentige Sicherheit ist bei IT-Systemen – wie auch in allen anderen Bereichen des Lebens – eine Illusion. Aber die Risiken können gezielt minimiert werden.

Achten Sie darauf, dass Sie ausschließlich auf Websiten surfen, deren Adresse mit https:// beginnt! Dann sind auch die Auswirkungen von KRACK weitgehend vernachlässigbar. Oder wie es Alexander Riepl vom österreichischen CERT (Computer Emergency Response Team) passend formulierte: „Ja, wir werden alle sterben. Aber nicht an KRACK.[1]

[1] https://cert.at/services/blog/20171016132413-2092.html

Wir sind gerne für Sie da!

GEKKO unterstützt Sie gerne bei der Analyse Ihrer Anforderungen wie auch bei der Implementierung Ihrer Entscheidung. Wir stehen Ihnen für ein unverbindliches Beratungsgespräch zur Verfügung und freuen uns auf Ihre Kontaktaufnahme.

zum kostenlosen Beratungsgespräch
2017-11-16T09:31:38+00:00 23.10.2017|IT-Security|

Über den Autor:

Johannes Kunschert
Als Mitgründer der GEKKO und Vater von 7 Kindern, ist Projektmanagement sein zweiter Name. Dank seiner 20-jährigen IT-Erfahrung ist Jo Experte in der Abwicklung professioneller IT-Betreuung. Fordern Sie ihn einfach heraus!

Hinterlassen Sie einen Kommentar