WPA2, das Sicherheitsprotokoll praktisch aller modernen WLAN-Verbindungen, ist nicht sicher. Es ist sogar grundsätzlich kaputt, wie Forscher der KU Leuven am Montag gezeigt haben. Krack nennen sie ihren Hack, für key reinstallation attacks. Er hat alles, was eine Sicherheitslücke heutzutage braucht: einen Namen, ein Logo, eine Website und eine Social-Media-Kampagne, die seit Sonntagabend läuft.
Aber die dramatische Inszenierung täuscht darüber hinweg, dass Krack trotz der fundamentalen Schwachstelle im Verschlüsselungsprotokoll WPA2 eine Attacke ist, die nur unter sehr speziellen Bedingungen funktioniert und viele Internetnutzer nicht betreffen wird, selbst wenn ihre Geräte dafür anfällig sind.
Wie der Angriff funktioniert
WPA2 wird genutzt, um die Verbindungen in drahtlosen Netzwerken zu verschlüsseln. Praktisch alle modernen Router greifen auf das Protokoll zurück: Wer zu Hause über ein WLAN mit dem Smartphone oder Laptop ins Netz geht, nutzt fast immer WPA2. Die Verschlüsselung soll gewährleisten, dass Menschen, die sich in Funkreichweite des WLAN befinden, die Daten anderer Nutzer nicht mitlesen können. WPA2 galt bisher als weitgehend sicher, zumindest solange man entsprechend lange und schwer zu erratende Passwörter benutzt.
Die technischen Details des Krack-Angriffs bauen darauf, dass in der Verschlüsselung ein bestimmter Zahlenwert, ein sogenannter Nonce, mehrfach mit demselben Schlüssel verwendet wird. Korrekt genutzt darf ein Nonce aber immer nur einmal verwendet werden. Durch diesen Fehler ist die Sicherheit des Verfahrens nicht mehr gewährleistet.
Ganz praktisch bedeutet das, dass ein Angreifer die übers WLAN verschickten Daten mitlesen kann. In manchen Fällen kann ein Angreifer die Daten auch manipulieren, doch das hängt von den genauen Einstellungen des Netzwerks ab.
Allerdings muss ein Angreifer in jedem Fall in Reichweite des WLAN sein. Betreiber und Nutzer sind wegen Krack also nicht plötzlich von überall aus dem Internet angreifbar.
WLAN-Verschlüsselung – war da nicht mal was?
Verschlüsselung in WLANs war schon früher ein Problem. Der erste entsprechende Standard mit dem Namen WEP stellte sich als extrem unsicher heraus. Im Jahr 2001 entstand eine ganze Reihe von Angriffen dagegen. Daher wurde als Nachfolger WPA entwickelt und später wiederum dessen Nachfolger WPA2.
Anders als bei WEP kann die jetzige Schwäche behoben werden, ohne ein komplett neues Protokoll zu schaffen. Durch einige kleine Änderungen, mit denen die Kompatibilität zu bestehenden Geräten erhalten wird, kann man WPA2 absichern.
Welche Folgen ein Angriff haben kann
Da es sich bei Krack um eine Schwäche im WPA2-Standard selbst handelt, sind praktisch alle WLAN-fähigen Geräte betroffen, vom Router über Smartphones und Desktoprechner bis zu vernetzten Geräten im Internet der Dinge. Für zahlreiche Systeme werden daher schon in den nächsten Tagen Software- oder Firmware-Updates der Hersteller bereitgestellt werden, wie die Wi-Fi Alliance mitteilt.
Das US-Cert (das Computer Emergency Readiness Team der USA) hat Unternehmen laut Ars Technica vorab vor mehreren möglichen Angriffen auf Basis der Sicherheitslücke gewarnt. Daten und Verbindungen könnten demnach mitgelesen, manipuliert und umgeleitet werden. Die Forscher selbst behaupten, mit Krack ließen sich Kreditkartendaten, Passwörter, Chatbotschaften und E-Mails abfangen.
Nur stimmt das in vielen Fällen nicht. Die Anbieter der entsprechenden Internetdienste gehen in aller Regel davon aus, dass ihre Angebote auch in unverschlüsselten Netzen genutzt werden, etwa in öffentlichen WLANs, die gar nicht verschlüsselt sind oder ein Passwort erfordern, das aber für alle Nutzer identisch ist. Daher versuchen sie längst, die Verbindungen auf einer anderen Ebene abzusichern. Am sichtbarsten ist das bei Websites – die nutzen inzwischen immer häufiger den verschlüsselten Standard HTTPS. Dabei wird das klassische HTTP-Protokoll mit dem TLS-Verschlüsselungsprotokoll abgesichert. Erkennbar ist so eine Verbindung an der Adresse https://… und am Schloss-Icon in der Adresszeile des Browsers.
Kommentare
Ich kommentiere hier bei Zeit Online und manchmal bei der Welt.
Das ist meine einzige politische Betätigung, diese aber durchaus sehr Regierungskritisch.
Meine Tochter hat jetzt über mein WLAN ihr ITunes Programm auf ihrem Windows Rechner updaten wollen.
Darauf hin bekam Sie eine Mitteilung auf ihr IPhone, ob sie zulassen möchte das von diesem Standort aus auf Ihr Konto zugegriffen werden darf.
Angehängt war der Standort.
Ich wohne in der Nähe von Dortmund.
Der Laptop soll aber in Sulzbach im Taunus stehen, in einer Überwachungsanlage für elektronische Fussfesseln extremer Gewalttäter.
Meine Tochter hat das schwer beeindruckt und ihr Handy ist nicht mehr ihr bester Freund, die Kamera jetzt abgeklebt.
Jedenfalls wenn mein WLAN komplett überwacht wird, nur weil ich völlig friedlich meine Meinung hier poste, kann das mit den richterlichen Anordnungen wohl nicht weit her sein.
Oder die Gefahr von mir liegt bereits in Form einer kritischen Meinung vor.
Ich meine, wehren kann ich mich doch eh nicht, mache mich damit dann vermutlich erst recht verdächtig.
Und gegen diese Prisom und Xcore Dinger kommt doch kein Laie an.
> Jedenfalls wenn mein WLAN komplett überwacht wird, nur
> weil ich völlig friedlich meine Meinung hier poste, kann das
> mit den richterlichen Anordnungen wohl nicht weit her sein.
Und woran machen Sie fest, dass Ihr WLAN ueberwacht wird?
Risiko gering? Naja.. also ich hab in meiner direkten Umgebung etwa 10-20 WLANs, wenn ich die Bereiche um Cafes in der Nähe etc. hinzuzähle, dann komme ich ganz schnell in den Bereich hunderte. Wenn ich mich da einfach in die hausinternen Netzwerke reinhängen kann, dann bekomme ich bestimmt innerhalb kürzester Zeit auf verschiedene Rechner oder Laptops und mit ein bisschen mitlauschen auch an die ohnehin sehr einfachen Passwörter. Damit kann man dann Emails mitlesen oder sogar schreiben/löschen und somit diese auch einfach nutzen, um sich irgendwo anzumelden, ggf. Dinge bestellen etc.
Identity Theft ist eine Gefahr, die man nicht herunter spielen sollte. Immer mehr in unserem Leben spielt sich online ab, vom Einkauf übers bezahlen bis zur Warenumleitung kann man inzwischen alles aus der Ferne initiieren. Und selbst mit recht wenig Fachkenntnis ist es bereit möglich, Schaden anzurichten und dabei auch noch selbst unsichtbar zu bleiben.
Insofern: lieber etwas mehr warnen. Denn solche Schwachstellen lassen sich durchaus vielfältig nutzen.
"Damit kann man dann Emails mitlesen oder sogar schreiben/löschen ..."
Fast alle ernstzunehmenden Provider verschlüsseln inzwischen den Zugang zu ihrem Server. Sie können da also plaintext nichts mitlesen. Dazu müssen Sie die Attacke dann schon noch mit schwachen Serverkeys kombinieren.
Unterschiede der Betriebssysteme
Soso - alle wichtigen Betriebssystem werden in den nächsten Tagen entsprechende Updates erhalten. Bei einem wird das Update zwar bereitgestellt aber nur auf einem Bruchteil der Geräte installiert werden: Android. Hier werden die Updates auf jeden Fall für aktuelle Hardware installiert werden können welche von Google vertrieben wird.Bei neueren hochwertigen Geräte wird das Update wohl auch früher oder später kommen. Und der Massenmarkt - preislich viel günstiger - wird das Update wohl nie erhalten.
Denkt der "gemeine Anwender" nun:
* ich habe eh' nichts zu verbergen?
* die Geheimdienste können sowieso alles mitlesen?
* die Verschlüsslerei ist mir sowieso egal?
Ich werde meine Geräte auf jeden mit den Updates versorgen sobald sie verfügbar sind. Auch wenn ich weiß dass mein Auto oder mein Autos mit der entsprechenden "Motivation" auch geöffnet werden können: ich schließe sie trotzdem ab.
Ich bin mir ziemlich sicher, dass mein LineageOS-Android-Smartphone in den nächsten 5 Tagen ein Update bekommen wird.
Ich möchte gern die Zeit sicher lesen.
Aber beim Aufruf einer Zeit-Seite über https erfolgt eine Warnmeldung
Dieser Server konnte nicht beweisen, dass er zeit.de ist. Sein Sicherheitszertifikat stammt von ssl.zeit.de. Mögliche Gründe sind eine fehlerhafte Konfiguration oder ein Angreifer, der Ihre Verbindung abfängt.
Bitte liebes Zeitteam sagen sie doch ihrem Admin das man die Seite auch über https erreichbar machen sollte.
Bei der Anmeldung klappt das ja auch das hier das richtige Zertifikat benutzt wird.
@Stedemokrat:...Ich möchte gern die Zeit sicher lesen.! Ich auch!
.
Doch dem steht entgegen, dass HTTPS & Ad-ons, Werbung usw. sich nicht vertragen.
.
Wenn Public-Server wie ZON/SPON usw. auf HTTPS umsteigen wollen/müsse, geht eine MENGE an "Möglichkeiten" die nicht dich, aber den Anbieter, Werber usw. interessieren verloren.
.
Sicher oder kostenlos, that is the questions:-)
.
Gruss Sikasuu
.
Ps. Wobei die "Bezahlseiten" fast überall, ja auch nicht HTTPS &Werbefrei angeboten werden!