Gestern pfiffen es alle Spatzen von den Dächern, der Untergang des WPA Standards ist da welcher inzwischen die meisten WLan Netzwerke vor neugierigen Blicken schützt.
Naja so schlimm ist es nicht, auch wenn man es denken könnte, da manche Online Medien mit reißerischen Schlagzeilen versuchen auf sich aufmerksam zu machen. Da ließt man dann zum Beispiel WPA2 geknackt: WLAN nicht mehr sicher? oder Krack – Die WPA2-Verschlüsselung ist geknackt: Was kann man tun?
Auch das BSI tut dem Nutzer keinen gefallen und behauptet schlicht das nun alle Online Banking Transaktionen per Wlan ohne einen VPN Tunnel potentiell unsicher sein.
Das kann man schon als Panikmache werten, und wenn das von einer Bundesbehörde kommt kann man das nur als Traurig ansehen. Auch der Hinweis an die Industrie nun besonders vorsichtig zu sein ist einfach nur lächerlich.
Denn wenn man sich die Erklärungen auf der KRACK Attack Website anschaut dann kann man schon wieder vieles relativieren.
Die wichtiges Frage ist wohl ist der WPA Standard hiermit nun geknackt? Nein ist er nicht. Man kann mittels dieser Attacke nicht den WPA Schlüssel rekonstruieren, das bedeutet auch das sich ein Angreifer nicht ohne weiteres in das Wlan einloggen kann.
Was möglich ist ist das mitschneiden und decrypten des Traffics zwischen dem Access Point und dem Client. Bei Android Systemen soll es z.B. auch möglich sein den Traffic zu manipulieren (also z.B. SSL Verschlüsselungen zu entfernen).
Das alles hört sich schlimmer an als es in Wirklichkeit ist. Zuerst muss sich der Täter in unmittelbarer nähe des Opfers befinden. Ganz zu schweigen davon das es noch keinen PoC Code gibt mit dem Skriptkiddies das Problem leicht ausnutzen können. Dann ist auch nur der Traffic gefährdet welcher keine extra Verschlüsselung wie TLS/SSL einsetzt. Banken oder Online Shops die dabei schlampig vorgehen haben ganz andere Probleme.
Das Problem lässt sich per Software Update beheben. In OpenBSD ist es schon gefixt, Microsoft hat wohl auch schon einen Fix verteilt. Genauso einige Linux Distributionen. Ubiquiti war der erste Routerhersteller der dies gemacht hat, bei AVM wird es zur Zeit wohl geprüft. Apple hat es in zahlreichen Betas schon gefixt.
In Deutschland werden viele Zwangsrouter (so lang es eine Fritzbox etc. ist) garantiert automatisch geupdated.
Wer steht nur mal wieder im Regen? Diejenigen die es am meisten Betrifft, die Android User ohne Aussicht auf ein Software Update. Diese könnten sich wirklich nur noch mit einem permanenten VPN Tunnel behelfen, wenn Sie nicht wissen ob Ihr Traffic eh verschlüsselt ist.
Wie kann man sich nun vor bösen Buben schützen die versuchen die KRACK Attacke auszunutzen? Das ist einfach, es gibt dabei nur zwei Dinge zu beachten:
- Haltet eure Geräte immer auf einem aktuellen Stand, es ist schon schrecklich das man das noch erwähnen muss
- Nutz Webservices mit TLS/SSL. Die extra Schicht an Verschlüsselung schützt eure Daten. Webservices die SSL nicht anbieten können so wichtige Daten nicht übertragen, falls doch kann handelt man dort fahrlässig
- Bekommt Ihr keine Patches oder ein wichtiger Webservice unterstützt kein TLS/SSL dann nutzt einen VPN tunnel. So kann dann nur der VPN Anbieter mitlesen und kein KRACK Angreifer 😉 Ihr merkt schon das ist dann auch keine erstzunehmende Lösung für unsichere Webservices
Mir kommt aktuelle nur ein Anwendungsfall in den Sinn wo diese Attacke wirklich kritisch sein kann. Ich denke da an zahllose Wlan Überwachungskameras die garantiert nie einen Patch erhalten werden und manchmal an sensiblen Orten stehen, aber das ist dann eine andere Geschichte.