KRACK das Problem mit dem WPA Protokoll

ICEMAN

Grand Admiral Special
Mitglied seit
17.10.2000
Beiträge
9.640
Renomée
238
  • SIMAP Race
  • Spinhenge ESL
  • Docking@Home
  • BOINC Pentathlon 2011
  • BOINC Pentathlon 2012
  • BOINC Pentathlon 2013
  • BOINC Pentathlon 2014
  • BOINC Pentathlon 2015
  • BOINC Pentathlon 2016
  • BOINC Pentathlon 2017
  • BOINC Pentathlon 2018
  • BOINC Pentathlon 2019
  • BOINC Pentathlon 2020
  • BOINC Pentathlon 2021
Hallo,

da ja so gut wie jeder davon betroffen ist, wollte ich nachfragen was ihr dagegen macht.

Ich für meinen Teil habe einen TL-WR1043ND Router und laut deren Support, den ich gestern per Mail kontaktiert habe, sollte man den WDS Modus nicht nutzen, und dann wäre der Router sicher. Wichtiger wäre auch die Clients, als Handy, Laptop, Tablet, TV usw..... das die upgedatet werden.

Auch TP-Link hat sich inzwischen dazu geäußert. http://forum.tp-link.com/showthread...RACK-quot-are-discovered-in-the-WPA2-protocol

Wie sieht es bei euch aus?
 
Ich mach mir vorerst keine Sorgen. Mein internes Netz ist Kabel-only, dort wo auch die wichtigen Dinge laufen. WLAN habe ich nur alibihalber, hat aber keinen Zugriff aufs interne Netz (Fritzbox hinter Fritzbox) Damit werden allerhöchstens 2 Handys verbunden, wo mal nach Backrezepten geschaut wird oder eine gewisse App geupdated wird.
 
Hi

die router scheinen nicht das problem zu sein AVM hat auch ein Statement geschrieben bei heise.
die geräte machen wohl sehr viel mehr Probleme, wer bekommt schon für iot Geräte zeitnah update?
da finde ich den Artikel von Heise
ganz gut, nur glaube ich es erst wenn sie es mal wirklich tun. es gibt viele Mio. Iot Geräte die unsicher sind und es interessiert niemanden, hier hätte
man die Industrie mal vorher an die Eier gehen sollen das das nicht so ist...

lg
 
Das Problem an sich ist nur bei Geräten mit 802.11r Unterstützung zu finden.
Das sind meist Repeater und ggf. APs die im Repeater-Modus laufen bzw. APs die Fast-Roaming unterstützen.

Auf Client-Seite sind Windows-Notebooks sicher. Android, iOS und Linux dagegen sind der GAU, da man deren Verbindung "Zurücksetzen" und manipulieren kann, wegen einem Fehler in wpa_supplicant.
 
Da lobe ich mir gerade LineageOS die haben für mein Tablet heute ein neues Update rausgegeben und da wurde der WPA Bug behoben. Muss nur noch auf mein Handy und das meiner Frau warten.
 
Unzählige Clients werden mit Sicherheit keine updates bekommen und die gute Frage, welche mir noch keiner wirklich beantworten konnte, ist:
Ist man "sicher" wenn alles APs im Netz gepatcht sind, oder hilft nur die Kombination von Client und AP patchen?

Momentan bin ich am lesen unzähliger Seiten, Konkretes, das ich auch verstehe, ist leider nicht wirklich herauszulesen :P
 
Ich hoffe einfach mal, dass es für die doch schon etwas alte Fritzbox 7270 ein update geben wird.
Und wenn der Handshake wieder korrekt abläuft und keine bereits verwendeten keys akzeptiert werden, dann sollte die Verbindung an sich ja auch wieder sicher sein.
Bis dahin nutze ich es einfach normal weiter. Auf dem Smartphone ist sowieso Hersteller-Android, da mach ich nichts Sicherheitsrelevantes über WLAN.
Auf dem ipad gabs seit dem Kauf wöchenliche updates, wird also bald wieder der Fall sein.
Ansonsten wird möglichst alles mit Stecker betrieben.

So langsam frage ich mich aber echt, wieso einige Politiker so scharf sind auf irgendwas4.0 und Digitalisierung-überall. Es fehlen nach wie vor die Vorraussetzungen dafür: updatepflicht für Hersteller über 5-10 Jahre, je nach Gerät und Schadenersatzansprüche für eigenverschuldete Sicherheitslücken. Es vergeht doch irgendwie keine Woche mehr, wo nicht riesige Lücken neu entdeckt wurden.
 
Unzählige Clients werden mit Sicherheit keine updates bekommen und die gute Frage, welche mir noch keiner wirklich beantworten konnte, ist:
Ist man "sicher" wenn alles APs im Netz gepatcht sind, oder hilft nur die Kombination von Client und AP patchen?

Momentan bin ich am lesen unzähliger Seiten, Konkretes, das ich auch verstehe, ist leider nicht wirklich herauszulesen :P

So geht es mir auch. Die Router Hersteller schieben das ziemlich vor sich her, dass ja Hauptsächlich die Client betroffen sind, was auch der Entdecker Mathy Vanhoef so sagte, aber sagt auch, dass es wichtig ist, wenn von Router Seite die Lücke geschlossen ist, da dies eben zusammen hängt.

https://www.krackattacks.com/#faq
So again, update all your devices once security updates are available. Finally, although an unpatched client can still connect to a patched AP, and vice versa, both the client and AP must be patched to defend against all attacks!
For ordinary home users, your priority should be updating clients such as laptops and smartphones.
 
Wie es aussieht, nach Durchsicht unzähliger Seiten, sieht es so für mich aus:

AP patchen beseitigt ausschließlich das 802.11r Problem.

Alle anderen Probleme sind rein client-seitig, dh. ohne Clientpatches ist ein WLAN praktisch offen, sobald nur ein einziger unsicherer Client vorhanden ist.
Wobei man sagen muss, das bis jetzt zumindest, nur der Netzwerkverkehr mitgetraced werden kann.
Trotzdem nicht gut.
 
Alle anderen Probleme sind rein client-seitig, dh. ohne Clientpatches ist ein WLAN praktisch offen, sobald nur ein einziger unsicherer Client vorhanden ist.
Wobei man sagen muss, das bis jetzt zumindest, nur der Netzwerkverkehr mitgetraced werden kann.
Trotzdem nicht gut.

Endlich mal eine brauchbare Aussage. Bei der Berichterstattung der letzten Tage klang es ja fast wie der Weltuntergang.
 
Wenn ein unsicherer Client das ganze Netzwerk kompromittiert, dann ist das für Freifunk und jegliche anderen öffentlichen Access Points ohne VPN durchaus ein Weltuntergang.
In praktisch jedem Privathaushalt befindet sich momentan ein Einfallstor in Form von Android oder IoT Hardware.
Die Router müssten dahingegen gepachted werden unsichere Clients abzulehnen.

Bestimmte Aussagen, gerade bezüglich der geringeren Angriffsfläche von Windows Clients finde ich irreführend.
Intel hat die Windows Treiber aktueller WLAN AC Produkte schon gepatched.
Zu den vielen WLAN-N Produkten, von welchen viele noch über Jahre genutzt werden söllten, stand nichts.
Bei den verbreiteten Intel Wireless-N2230 beispielsweise stammen die aktuellsten Treiber sowohl für Win7 oder auch 10 aus dem Jahr 2015.
 
Wie es aussieht, nach Durchsicht unzähliger Seiten, sieht es so für mich aus:

AP patchen beseitigt ausschließlich das 802.11r Problem.

Alle anderen Probleme sind rein client-seitig, dh. ohne Clientpatches ist ein WLAN praktisch offen, sobald nur ein einziger unsicherer Client vorhanden ist.
Wobei man sagen muss, das bis jetzt zumindest, nur der Netzwerkverkehr mitgetraced werden kann.
Trotzdem nicht gut.
Also ich hab es so verstanden, dass es nicht möglich ist, sich direkt ins WLAN einzuklinken - offen ist da nix.
Man kann es belauschen, das wars dann aber auch schon.
Und man muss es hinbekommen, dass man ein stärkeres Signal bietet als der Router, sonst wird man als Hacker ignoriert..

AVM ist der Meinung, AP/Router sind gar nicht betroffen und daher wirds auch kein update geben. Repeater machen Probleme und natürlich die Clients.
 
Das mit der benötigten hohen Signalstärke hatte ich bisher anscheinend überlesen.
So braucht man definitiv angepasstere Hardware als bei der WEP-Entschlüsselung für welche selbst Spielzeuge wie diese kleinen Sony PSP reichten.

'Belauschen' ist schlimm genug, wenn man bedenkt was so alles unverschlüsselt innerhalb von Heim- und Firmennetzwerken an Daten kursiert.
Unverschlüsselte Logins gibt's massenhaft, auch fürs Administrieren einer FRITZ!Box.
Sind die üblicherweise wichtigen Daten, die an den Netzwerkdrucker gehen verschlüsselt?

Für Linux Clients wurde wpa_supplicant gepatched von jeder namhaften Distribution ausgerollt.
Wenn bei den Windows Clients das WPA Handling dem herstellerspezifischen Gerätetreiber obliegt, dann haben die Hersteller noch sehr viel zu tun.
AVM muss dann auch tatsächlich auch mal wieder an den Treibern ihrer USB WLAN Sticks arbeiten.
 
Also ich hab es so verstanden, dass es nicht möglich ist, sich direkt ins WLAN einzuklinken - offen ist da nix.

Nachdem man angeblich das WLAN Passwort mitlauschen kann, wäre das betroffene WLAN letztendlich offen.
Es ist wohl nur eine Frage der Zeit bis das WPA2 ganz geknackt ist.
Man wird wohl um ein "WPA3" nicht umhin kommen.
 
Ich habe das so verstanden das Microsoft das WPA2 Thema erledigt hat. Dafür braucht es doch keine neue Treiber oder habe ich was falsch/überlesen?
 
Hast Du mal einen Link dazu?
Das war mir neu und wäre ja der SuperGAU.

Hm, hab jetzt echt den Link aus dem Heise-Forum nicht mehr gefunden.
War etwas mit kali und längerem Lauschen am WLAN, was ja jetzt dank KRACK geht.
Da bekommt man, wenn das kali künstliche disconnects schickt, die WLAN-Geräte dazu neuerliche handshakes zu machen um dabei dann zum Passwort-hash zu gelangen.
Dieser hash ist dann mittels hashcat oä. per Graka zu knacken.
Ist das Kennwort entsprechend lang dauert das natürlich etwas. Je nachdem.
 
Hallo

Solche Meldungen stärken mein Vertrauen in "Smart Home" Geräte ungemein...
Betroffene TP-Link-Produkte:
* Smart-Home-Geräte
Intelligente Steckdosen: HS100, HS110
Intelligente Glühbirnen: LB100, LB110, LB120, LB130
Intelligente Repeater: RE350K, RE270K, RE370K
Kameras: NC250, NC260, NC450, KC120


"Intelligente Glühbirnen" -> *lol* *glaubses*

Ganz Mega-Super-Wichtig und Fancy ist die Steuerung der "Smart Wi-Fi LED Bulb"
über Sprache durch Verbindung mit Amazon Alexa oder Google Assistent:

Voice Control – Pair to Amazon Alexa and the Google Assistant to enable voice control

http://www.tp-link.com/us/products/details/cat-5609_LB120.html

Da kann jeder seiner Fantasie freien Lauf lassen durch die vielen neuen Möglichkeiten...

Wann fliegen einem die ganzen IoT-Gadgets um die Ohren ?
http://www.geekculture.com/joyoftech/joyarchives/2340.html

MfG
RedBaron
 
Zuletzt bearbeitet:
Im Prinzip sind alle Wpa2 Geräte betroffen.
Da es sich ja um ein grundlegendes Problem des Protokolls handelt.
Damit und der Tatsache, dass iot Geräte nie Upgrades bekommen werden ist der Standard mehr oder weniger obsolet.
Ich überlege alle Geräte bei mir ausschließlich per VPN anzubinden (zumindest wo es möglich ist) und das WLAN generell als offenes WLAN zu betrachten.
 
jetzt mal ne ganz Blöde Frage:

Falls WPA3 kommen sollte, um das Problem zu lösen, lassen sich aktuelle Router da per Firmware nachrüsten?

Ich wollte auf Vectoring DSL wechseln, und brauche wohl ein neues Modem. Und ich will nicht bald ein neues kaufen müssen.
 
Hm, hab jetzt echt den Link aus dem Heise-Forum nicht mehr gefunden.
War etwas mit kali und längerem Lauschen am WLAN, was ja jetzt dank KRACK geht.
Da bekommt man, wenn das kali künstliche disconnects schickt, die WLAN-Geräte dazu neuerliche handshakes zu machen um dabei dann zum Passwort-hash zu gelangen.
Dieser hash ist dann mittels hashcat oä. per Graka zu knacken.
Ist das Kennwort entsprechend lang dauert das natürlich etwas. Je nachdem.

Aber hat nicht selbst der Finder von KRACK gesagt das das Passwort nicht auslesbar ist?
 
Aber hat nicht selbst der Finder von KRACK gesagt das das Passwort nicht auslesbar ist?

Direkt ist es nicht auslesbar, aber wie beschrieben mit KALI kann man den hash lesen und per Graka knacken.
(Ich will hier bewusst keine Anleitung reinstellen, sondern nur das Prinzip beschreiben ;) )
 
Das Problem an sich ist nur bei Geräten mit 802.11r Unterstützung zu finden.
Das sind meist Repeater und ggf. APs die im Repeater-Modus laufen bzw. APs die Fast-Roaming unterstützen.

Auf Client-Seite sind Windows-Notebooks sicher. Android, iOS und Linux dagegen sind der GAU, da man deren Verbindung "Zurücksetzen" und manipulieren kann, wegen einem Fehler in wpa_supplicant.

https://de.wikipedia.org/wiki/IEEE_802.11(r) das Protokoll ist von 2008 !, und diente wohl nur für VOIP Zwecke. Scheinbar haben da die Hersteller diesen für was anderes verwendet ?
 
Direkt ist es nicht auslesbar, aber wie beschrieben mit KALI kann man den hash lesen und per Graka knacken.
(Ich will hier bewusst keine Anleitung reinstellen, sondern nur das Prinzip beschreiben ;) )
Nur wie lange dauert es in der Praxis, z.B. ein 16stelliges PW aus Klein/Großbuchstaben/Zahlen/Sonderzeichen zu knacken mit aktueller Hardware?
Notfalls änder ich das halt auf 32 oder 63 Zeichen. Ob die mitgeschnittenen Daten dann in 100 Jahren endlich gebrutforced werden können, ist mir ziemlich egal.
 
Zurück
Oben Unten