Dipl.-Inform. Carsten Eilers

Bis zur Entdeckung von KRACK gab es für einen Angreifer nur eine Möglichkeit, Zugriff auf die in einem WPA2-geschützten WLAN übertragenen Daten zu erlangen: Er musste den Pre-Shared Key ermitteln, was nur bei einem schwachen Schlüssel möglich ist. Und im Grunde hat sich daran auch durch KRACK nichts geändert, denn damit lässt sich zwar u.U. die Verschlüsselung aufheben, vollständigen Zugriff aufs WLAN erhält der Angreifer damit aber nicht. Und nur um den geht es ja zur Zeit.

Die Programme zum Ermitteln des WEP-Key wurden ja bereits vorgestellt. Einige davon können auch schwache Pre-Shared Keys in WPA- und WPA2-geschützten Netzen berechnen. Als Gegenmaßnahme bleibt nur, einen möglichst langen und zufällig gewählten Pre-Shared Key zu verwenden. Und den sollten Sie selbst erzeugen.

Denn ein weiteres Problem sind oft die vom Hersteller gesetzte Pre-Shared Keys. Selbst wenn die aussehen, als wären sie Zufallswerte, muss das noch lange nicht so sein. Oft lassen sich die "zufälligen" PSKs aus öffentlich verfügbaren Informationen zu berechnen oder zumindest so weit einzugrenzen, dass ein Brute-Force-Angriff möglich ist.

Vor allem Vodafone ist in der Hinsicht einige Jahre lang immer wieder negativ aufgefallen (die Telekom hat einige Zeit ebenfalls betroffene Router vertrieben, deren Vertrieb dann aber eingestellt):

• 2010 wurde bekannt, dass die voreingestellten WPA-PSK der z.B. von Vodafone und der Telekom vertriebenen Router des Herstellers Arcadyan sich leicht ermitteln lassen. Sie bestehen aus einem vorgegebenen String (bei Speedport-Routern z.B. "SP-"), gefolgt von neun hexadezimale Stellen. Fünf davon lassen sich aus dem Funknetz-Namen (SSID) und der MAC-Adresse der WLAN-Schnittstelle berechnen, Informationen die ein Angreifer im aufgezeichneten Netzwerkverkehr findet. Zwei der verbleibenden vier Stellen enthalten immer den selben Wert, so dass der Angreifer nur drei Stellen ermitteln muss. Da es sich nur um hexadezimale Ziffern handelt, müssen dafür nur 16³ = 4096 Schlüssel getestet werden. Was für ein Skript kein Problem ist.
• 2011 kam heraus, dass in die Erzeugung der fehlenden Stellen drei Stellen der Seriennummer einfließen, was den Schlüsselraum auf 1000 mögliche Werte verringert. Da eine Stelle der einfließenden Seriennummer fast immer 3 ist bleiben am Ende nur 100 mögliche Werte übrig. Dafür braucht man schon fast kein Skript mehr, sondern nur noch fixe Finger.
• 2012 wurde bekannt, der WPA-PSK der von Arcadyan hergestellten EasyBox-Router von Vodafone gar nicht erraten werden muss, sondern sich auch aus der MAC-Adresse berechnen lässt. Die von der Telekom vertriebenen Router nutzen ein anderes Verfahren zu Schlüsselgenerierung und waren mit dem vorgestellten Angriff nicht angreifbar.
  Auch die WPS-PIN ließ sich berechnen, aber dazu komme ich gleich.
• 2013 wurde diese Schwachstelle für Angriffe genutzt: Ein Unbekannter hat im Raum Krefeld reihenweise verwundbare WLAN-Router geknackt und über die Telefonanschlüsse der Router-Besitzer wiederholt bei der Kundenhotline eines Krefelder IT-Dienstleisters angerufen. Die war dadurch stundenlang nicht erreichbar.
• 2014 hatte Vodafone seine Router immer noch nicht richtig abgesichert, ein Update zum Beheben der Schwachstelle hatte nur dafür gesorgt, dass nicht die öffentliche MAC-Adresse für die Schlüsselberechnung verwendet wird. Stattdessen wurde aber ein Teil der ebenfalls öffentlichen Standard-SSID verwendet. Nach Anpassungen am Knack-Algorithmus lieferte der zwar immer noch nicht den richtigen WPA-PSK, aber immerhin nur noch ca. 20 mögliche Schlüssel, die sich dann einfach ausprobieren lassen.
  Das gleiche gilt für die WPS-PIN.

Und das ist nur ein Beispiel für viele ähnliche Fälle, in denen sich der WPA-PSK ganz oder teilweise berechnen lässt, so dass ein Angreifer entweder sofort Zugriff aufs WLAN erlangt oder zumindest einen erfolgreichen Brute-Force-Angriff starten kann.

Der WPA-PSK lässt sich auf einen sicheren Wert ändern, das ist weiter kein Problem. Wie aber oben schon erwähnt ließ sich bei den z.B. von Vodafone vertriebenen Arcadyan-Routern auch die WPS-PIN berechnen.

Die WPS-PIN ersetzt den WPA-PSK

Wer die WPS-PIN kennt, kann sich mit dem WLAN verbinden, ohne den WPA-PSK kennen zu müssen. Sofern WPS mit PIN-Unterstützung verwendet wird.

Und die WPS-PIN ist bzw. war nicht nur bei den oben erwähnten Arcadyan-Routern gefährdet, sondern sorgt immer wieder für Ärger, weil sie allgemein bekannt oder errat- bzw. berechenbar ist. So z.B. immer dann, wenn unsichere Zufallszahlen für ihren Schutz verwendet werden. Dass sie sich oft nicht ändern lässt ist da nur noch das Tüpfelchen auf dem i, dass das Fass zum überlaufen bringt.

Darüber hinaus gibt es in WPS noch einen Designfehler, der ebenfalls den Zugriff aus WLAN erleichtert. Weshalb Sie diese Funktion möglichst ausschalten sollten, wenn Sie sie nicht gerade brauchen.

Oder zumindest nur die Push-Button-Version verwenden sollten, die den Zeitraum, in dem ein Angriff möglich ist, stark reduziert - auf einen kurzen Zeitraum nach dem (dem Angreifer unbekannten) Zeitpunkt des Drucks auf den WPS-Button. Wenn ein Angreifer genau diesen kurzen Zeitraum für seinen Angriff nutzt muss er schon verdammt viel Glück haben.

Der Angriff auf die Schwachstelle der verwendeten unsicheren Zufallszahlen wird als "Pixie Dust" (auf deutsch "Feenstaub") bezeichnet, Tools dafür sind z.B. Pixiewps (C-Programm, läuft auf einer Vielzahl von Plattformen inkl. OpenWrt und Android), reaver-wps-fork-t6x (für Linux, z.B. Kali Linux) oder Bully (C-Programm, benötigt Pixiewps).

In der nächsten Folge geht es um den 4. Schritt des Angriffs: Das Eindringen in das WLAN und was der Angreifer dort anstellen kann.

Carsten Eilers