KRACK: Wie das WLAN wieder sicher werden soll

02.08.2018
G DATA Blog

Fast ein Jahr ist es her, dass die "KRACK"-Schwachstelle im WPA2-Protokoll weltweit für Furore sorgte. Wir werfen einen Blick auf den Stand der Dinge zehn Monate "post-KRACK". Dazu haben wir mit Mathy Vanhoef gesprochen, dem Mann, der KRACK 2017 entdeckt hat.

Der Entdecker der WLAN-Sicherheitslücke KRACK Mathy Vanhoef hat an der Ruhr-Universität Bochum erklärt, wie WPA2 künftig gegen Angriffe abgesichert werden kann. Denn es gibt zwar Patches für verwundbare Geräte, doch diese bekämpfen nur die Symptome und lösen das Problem nicht im Protokoll selbst. Wir haben mit ihm über die mediale Wahrnehmung seiner Arbeit, seine persönliche Motivation und die Gefährdung durch KRACK gesprochen. Wie wir bereits vor einem Jahr festgestellt haben, besteht für die meisten Nutzer kein Grund zur Panik. Viele dramatische Vorhersagen haben sich bislang nicht erfüllt. Vanhoef ist Postdoc an der Uni Leuven in der Nähe von Brüssel.

Einige Experten nahmen an, dass KRACK in kurzer Zeit in Standard Hacking-Tools aufgenommen würde, und Angreifer die Attacke damit leicht selbst durchführen können. Das ist bislang nicht der Fall. Für die allermeisten Privatanwender und auch für Unternehmen besteht daher keine unmittelbare Gefahr eines Angriffes über WLAN-Schwachstellen. Andere Einfallstore wie Social Engineering dürften sowieso deutlich einfacher umsetzbar sein und mehr Erfolg versprechen.

Außerdem gibt es weitere Faktoren, die die reale Gefahr durch KRACK vermindern. Zunächst ist eine gewisse räumliche Nähe erforderlich, um den Angriff durchzuführen. Auch wenn Angreifer auf Spezialausrüstung wie spezielle Langstreckenantennen oder Drohnen zurückgreifen können, ist das Szenario nicht gut skalierbar. Dennoch gibt es erste Versuche, den Angriff nachzubauen: "Mir ist heute mindestens ein Werkzeug bekannt, das den Angriff neu implementiert. Dieses Tool wurde wahrscheinlich mehrmals verwendet. Ich kenne auch andere, die den Angriff auf Android unter Laborbedingungen durchgeführt haben", sagte Mathy Vanhoef bei seinem Vortrag an der Ruhr-Universität Bochum im Rahmen des HackerPraktikums, das die Hochschule gemeinsam mit G DATA veranstaltet.

Laut Vanhoef ist es nicht möglich, den Angriff nach einem Wochenende Vorbereitung und ein paar Google-Suchen durchzuführen – dafür sei er zu kompliziert. Es ist auch nicht möglich, ein Ziel stunden- oder gar tagelang zu belauschen. Vanhoef dazu: "Der Angriff eignet sich nicht zum Entschlüsseln großer Datenmengen. Ich halte es für wahrscheinlicher, dass der Angriff dazu verwendet wird, um ganz bestimmte Informationen, wie z.B. Klartext-Cookies, gezielt wiederherzustellen. Das gilt auch, wenn man bedenkt, dass man den Vorgang immer und immer wieder wiederholen kann.“

Unklar bleibe allerdings, wie häufig KRACK in freier Wildbahn ausprobiert wurde: "Ich kann keine Schätzungen darüber abgeben, wie häufig der Angriff in realen Szenarien verwendet wird, da wir das nicht messen können. Aber die Tatsache, dass jemand den Angriff in einem Werkzeug implementiert  hat, zeigt eindeutig, dass es ein Interesse daran gibt.“, sagt Vanhoef. Der Angriff bleibt aber trotzdem komplex - und funktioniert nicht immer und mit jedem Gerät.

Verbesserungen geschehen (langsam)

Zehn Monate nach der Entdeckung von KRACK gibt es allerdings immer noch viele Geräte, die potenziell gefährdet  sind - meist solche, die entweder keine System-Updates mehr erhalten oder bei denen Updates mit einem langwierigen Entwicklungsprozess verbunden sind, zum Beispiel in medizinischen Anwendungen. Tatsächlich ist es nach Angaben von Vanhoef so, dass alle an der Kommunikation beteiligten Geräte die Updates einspielen müssen, damit die Verbindung sicher ist.

Wenn ein Client, der über das erforderliche Update verfügt, einen verwundbaren Zugriffspunkt kontaktiert, könnte KRACK also immer noch gefährlich werden. In mehrfacher Hinsicht ist die Branche jedoch mit einem blauen Auge davongekommen. Das Problem kann in WPA2 behoben werden, ohne das gesamte System zu ersetzen. Als Schwachstellen im Vorgänger WEP gefunden wurden, war das noch ganz anders – verwundbare Technik konnte eigentlich nur entsorgt werden.

Die Erkenntnisse von Mathy Vanhoef haben es in die neueste Überarbeitung des IEEE-Standards 802.11 (der etwas sperrige offizielle Name für das, was die meisten Leute als "WiFi" bzw. WLAN kennen) geschafft. Die Art und Weise, wie ein Gerät und ein Access Point beim Verbindungsaufbau miteinander kommunizieren, wurde geändert. Damit ein Client mit der neuen Revision konform ist, darf vor allem auch bei einer Schlüssel-Neuinstallation (das "Key Reinstallation" in "KRACK") einige der Parameter, die für einen Angriff wichtig sind, nicht verändern (Wiederverwendung der Nonce). Einige Hersteller von Access Points haben auch Änderungen an der Art und Weise vorgenommen, wie sie den 4-Wege-Handshake handhaben - obwohl diese Änderungen nicht ausdrücklich in 802.11 spezifiziert sind.

Wie funktioniert KRACK?

Wie in den meisten modernen kryptographischen Protokollen verwendet WPA2 keinen statischen, vordefinierten Schlüssel zur Verschlüsselung von Paketen, da dieser leicht knackbar und unsicher wäre. Stattdessen handeln sowohl der Client als auch der Access Point einen sicheren Kanal für den Austausch kryptographischer Schlüssel aus. Hier kommt die KRACK-Schwachstelle ins Spiel. Wenn ein Client eine Verbindung zum Access Point herstellen möchte, verwendet er eine von mehreren Möglichkeiten, dies zu tun. Am häufigsten wird der Vier-Wege-Handshake verwendet.

Um eine Verbindung herzustellen, benötigt ein Benutzer das Wifi-Passwort. Nach Eingabe des richtigen Passwortes beginnt der Handshake. Hier geben beide Parteien geheime Informationen an die andere Partei weiter. Dieses geteilte Geheimnis ist in der Regel eine zufällig gewählte Zahl (die so genannte „Nonce“). Diese Informationen werden in vier Schritten übertragen, die letztendlich dazu führen, dass der Verschlüsselungsschlüssel auf beiden Geräten für die dann abgesicherte Kommunikation installiert wird. Vanhoef hat einen Weg gefunden, Schritt drei von einem Computer, der bislang nicht Teil der Kommunikation war, erneut zu senden. Mit diesem Trick kann ein Angreifer dann einige Pakete der weiteren Kommunikation mitlesen. Ein dauerhaftes Belauschen des WLAN-Traffics ist allerdings nicht möglich.

Alle Teilnehmer brauchen Patches

Gepatchte Access Points senden die dritte Komponente des Handshakes nicht erneut, um Angriffe auf verbundene Clients zu verhindern. An diesem Punkt setzt der Angreifer an. Um zu verhindern, dass Angreifer das drahtlose Netzwerk einfach dazu zwingen, einen anderen Kanal zu verwenden, hat Vanhoef vorgeschlagen, Änderungen an der Art und Weise vorzunehmen, wie "Channel Switch Announcements" (CSAs, dt. etwa „Ankündigung zum Kanalwechsel“) verarbeitet werden. Nach einer noch neueren Revision von 802.11 müssen diese CSAs sowohl vom Access Point als auch vom Client-Gerät verifiziert werden, bevor sie einen Kanal wechseln können.

Sowohl Clients als auch Access Point müssen beim Verbindungsaufbau prüfen, auf welchem Kanal sie arbeiten. Dies wird als "Operating Channel Validation" (OCV, dt. etwa „Validierung des Arbeitskanals“) bezeichnet und macht es viel schwieriger, die Verbindung anzugreifen. Effektiv machen diese Maßnahmen einen Angriff für die meisten Anwendungsfälle zu schwierig und unpraktisch. Wenn der Access Point und der Client sich auf den Kanal einigen, auf dem sie kommunizieren wollen, würden alle Versuche, die Kommunikation auf einem anderen Kanal zu erzwingen - wie es die Angreifer tun müssen - fehlschlagen.

Der einzige Nachteil ist, dass es noch ein paar Jahre dauern wird, bis die Veränderungen sich bei allen Geräten durchsetzen. Es wird also auf längere Zeit verwundbare Geräte geben.

Wie kam es zur KRACK-Entdeckung?

Vanhoef erzählte auch, wie es eigentlich zur Entdeckung der Sicherheitslücke kam. Denn als KRACK entdeckt wurde, war der WPA2-Standard bereits ein Jahrzehnt lang ohne ernstzunehmende Angriffe auf die Verschlüsselung im Einsatz. Es gab sogar formale Prüfungen, die die Sicherheit von WPA2 bescheinigten. Die einzigen bislang bekannten Angriffe richteten sich gegen schwache Passwörter. Damit wurde aber nicht der Standard an sich in Frage gestellt. Vanhoef sagte beim Vortrag, dass er die Sicherheitslücke nicht gezielt gesucht habe:

"Ich bin sicher nicht eines Morgens aufgewacht und dachte: ‚Mal sehen, ob ich heute eine Schwachstelle in WPA2 finde‘. Ich schätze, es war nur eine Kombination aus glücklichen Zufällen, denn damals arbeitete ich an etwas völlig anderem. Als ich eine Pause brauchte, blätterte ich durch den Quellcode, der speziell für den 4-Wege-Handshake entwickelt wurde. Diese Komponente hat sich schließlich als kritisch für KRACK erwiesen. Irgendwie hat es dann in meinem Kopf „Klick“ gemacht und ich spürte, dass ich vielleicht an etwas dran war, obwohl ich damals nicht genau wusste, was es war. Am Ende kontaktierte ich mehrere Anbieter mit meinen Ergebnissen und einer nach dem anderen bestätigte sie. Da wurde mir klar, dass es etwas Größeres werden würde."

Mathy Vanhoef

Benannte Schwachstellen und Medienaufmerksamkeit

Die kurzen Zyklen moderner Online-Medien führen bei vielen News-Webseiten dazu, Geschichten in kürzester Zeit zu veröffentlichen. So wurde ein Tweet von Vanhoef wie "T minus ~24 Stunden" als eine Art "Countdown zur Vernichtung" interpretiert. Interessanterweise hat Mathy uns gesagt, dass der erwähnte Tweet anfangs keine große Resonanz gefunden hat. Das geschah erst, nachdem ein anderer Kryptographie-Experte, Kenn White, dem Tweet etwas Kontext hinzugefügt hatte.

Im Falle von KRACK sind einige Geschichten erschienen, noch bevor sich Experten ein Urteil darüber gebildet hatten, wie schlimm KRACK wirklich ist – und sogar bevor das ganze Forschungspapier überhaupt veröffentlicht wurde. Wann immer dies geschieht, herrscht in der Öffentlichkeit große Verunsicherung. Natürlich wollen die Menschen Antworten und versuchen, die Wissenslücke mit ihrer eigenen Interpretation der verfügbaren Daten zu schließen.

Vanhoef teilte uns außerdem seine ganz eigene Seite der Geschichte mit: "Während ich mit einer Person telefonierte, hörte ich im ganzen Büro die Telefone klingeln. Journalisten und andere Leute probierten im Grunde jede Durchwahl im Büro aus, in der Hoffnung, direkt zu mir durch zu kommen. Meine Kollegen taten mir schon irgendwie leid, denn sie haben an diesem Tag so gut wie nichts geschafft. Es war eine sehr arbeitsreiche Zeit". Für Forscher an Universitätsinstituten ohne eine große PR-Agentur oder Abteilung kann die plötzliche Aufmerksamkeit sicherlich überwältigend sein.

 

Tim Berghoff
Security Evangelist

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein