• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

WLAN-Sicherheitslücke: Was ist da los?

abgdf

Guru
Hallo,

http://www.spiegel.de/netzwelt/netzpolitik/krack-was-die-wlan-sicherheitsluecke-fuer-nutzer-bedeutet-a-1173291.html

Das BSI betont, dass die Schwachstellen insbesondere Geräte mit Android- und Linux-Betriebssystemen betreffen
Wieso das? Was ist da los?
 

Tralalla

Newbie
Irgend wie viel Skepsis... bei Windows werden "Staatspione" und diverse andere schädliche Software über Updates eingespielt, bei Linux Systemen muss man den Benutzer "bequatschen" Er möge sich das freiwillig antun, sonnst kommt man ja in sein System nicht hinein... würde gern mal was vom CCC dazu hören.

Gruß Tralalla
 

gehrke

Administrator
Teammitglied
Ich vermute, dass dahinter weniger eine handfeste technische Abgrenzung steht, sondern viel mehr die Überlegung, dass es mit den ganzen Android-Devices, Routern, TVs und IoT-Devices Milliarden Linux-Geräte gibt, die im Gegensatz zu PCs, Notebooks und Servern niemals im Leben auch nur einen einzigen Patch sehen werden, weil der Hersteller sich einen Dreck darum kümmert.
 

marce

Guru
Sorry, aber statt zu vermuten könntet ihr mal die recht umfangreichen, ausführlichen und konkreten Artikel auf heise.de und z.B. golem.de lesen. Oder die "Doku" der Entdecker des Bugs.

... und ja, unter Linux ist wpa_supplicant "Schuld" daß es einfacher geht als unter Windows.

Erschreckend finde ich eher, daß in einem IT-affinen Forum erst mal ein SPON-Artikel gepostet wird und dann gefragt wird, was da los ist. Wenn selbst für ITler SPON die erste Anlaufstelle ist sieht's echt übel aus für die Welt...
 

gehrke

Administrator
Teammitglied
Ich bezog mich auf die zitierte Warnung vom BSI. Wo auch immer die sonst noch referenziert sein mag, und sei es in Computer-Bild...
 

gehrke

Administrator
Teammitglied
Ein schöner Kommentar dazu von Jürgen Schmidt:
https://www.heise.de/newsticker/meldung/Kommentar-KRACK-knackt-WPA2-und-wir-stehen-im-Regen-3863929.html

Nicht genannt darin ist ein weiteres krasses Beispiel aus dem letzten Monat, welches möglicherweise ein noch größeres Potential hat: BlueBorne

Das ist mittlerweile 1 Monat her und ausser den echten Linux-Distributionen auf PC+Notebook hat keines meiner Geräte inklusive des Autos einen Patch erhalten. Und es wird auch keiner mehr kommen.

Warten wir mal ab, wie lange es dauert, bis jemand einen medienübergreifenden Wurm gebaut hat. Scheinbar reicht ja die Zeit eines Ampelstopps für einen Angriff.
 

Jägerschlürfer

Moderator
Teammitglied
marce schrieb:
Erschreckend finde ich eher, daß in einem IT-affinen Forum erst mal ein SPON-Artikel gepostet wird und dann gefragt wird, was da los ist. Wenn selbst für ITler SPON die erste Anlaufstelle ist sieht's echt übel aus für die Welt...

Jedem das seine,...

Ich sehe die Lücke nicht so kritisch. Kritischer sind da eher die offenen WLANs in die sich alle einbuchen, da manche ja immer online sein müssen. Was hier für Daten abgegriffen werden können, interessiert keinen,....

Problem ist in diesem Fall eher, dass es jede Menge Geräte gibt, die nicht gepatcht werden und hier müssten die Hersteller entsprechend verpflichtet werden, dies zu beheben. Dann wäre die Welt schon etwas besser :D
 
marce schrieb:
Ich
Falls der AP SHA256 nicht unterstützt, kannst du das Password auch mit
# wpa_passphrase <SSID> <PASSWORD>
verschlüsseln und das Resultat unter psk=xxx eintragen.
Auch dann ist das Problem behoben.
Quelle?
Schon wieder ich

Gruß
 

marce

Guru
Das PW ist nicht das Problem.

und https://forum.golem.de/kommentare/security/krack-wpa2-ist-kaputt-aber-nicht-gebrochen/psk-vs-enterprise/112944,4927485,4927490,read.html#msg-4927490 meint z.B. - tja, schade.
 
marce schrieb:
Das PW ist nicht das Problem.

und https://forum.golem.de/kommentare/security/krack-wpa2-ist-kaputt-aber-nicht-gebrochen/psk-vs-enterprise/112944,4927485,4927490,read.html#msg-4927490 meint z.B. - tja, schade.

Egal ob mit SHA256 oder wpa_passphrase, der Angreifer bekommt das Cert. nicht mehr.
 

marce

Guru
???

https://papers.mathyvanhoef.com/ccs2017.pdf - Seite 4, ff.

Soweit ich das grob überflogen habe dürfte das mehr oder weniger allgemeingültig sein.
 
marce schrieb:
???

https://papers.mathyvanhoef.com/ccs2017.pdf - Seite 4, ff.
Soweit ich das grob überflogen habe dürfte das mehr oder weniger allgemeingültig sein.

Ich habe das nicht gelesen,
Gültig ist es bei AES,WPA,WPA-2 und wirkt sich aus auf WEP, TKIP und CCMP
Es geht um das Verfahren, wie die Informationen ausgetauscht werden und der key erzeugt wird.
Der key wird generiert aus password (psk), der mac (BSSID), der SSID und einer weiteren Komponente
Also entweder:
pairwise=CCMP
key_mgmt=WPA-PSK-SHA256
psk="password"

oder eben
# wpa_passphrase
psk=encrypted_password
weil damit SSID und password als Teil des keys schon generiert werden.
 

marce

Guru
ja, und weiter? Ich weiß ehrlich gesagt immer noch nicht, auf was Du raus willst...

Die Stelle, an der der "Exploit" greift ist wesentlich später relevant.
 
OP
A

abgdf

Guru
marce schrieb:
Erschreckend finde ich eher, daß in einem IT-affinen Forum erst mal ein SPON-Artikel gepostet wird und dann gefragt wird, was da los ist. Wenn selbst für ITler SPON die erste Anlaufstelle ist sieht's echt übel aus für die Welt...
Ich glaube, Du überschätzt das Niveau dieses Forums bei weitem. ;)
Die erste Anlaufstelle meiner Frage war die Tagesschau, da hatte ich von dem Thema gehört. So what?
Außerdem: Es gibt keine dummen Fragen, nur dumme Antworten.

---

Hier ein ganz guter Artikel zum Thema:

https://entwickler.de/online/security/krack-ueberblick-579816756.html

1. Der Angreifer muss sich in Funkreichweite des angegriffenen WLANs befinden.
2. Gebrochen wird nur die WPA2-Verschlüsselung. Ausgespäht oder manipuliert werden können nur unverschlüsselt übertragene Daten.
3. Der WPA2-Schlüssel kann nicht ausgespäht werden.

Fazit: Es ist zwar nicht gut, aber der Weltuntergang ist es auch nicht. Ich persönlich nutze gar kein WLAN.
 

MH1962

Member
Der Patch für wpa_supplicant ist für die meisten Linux-Distributionen übrigens schon im Repo. Man muss also nicht viel machen, um wieder sicher zu sein.

Ärgerlich ist nur die Situation bei Android, da die meisten Hersteller den Patch einfach nicht verteilen. Das kann man wirklich nur noch mit Kopfschütteln quittieren.

Eine kleine Anekdote am Rande: Am Morgen nach der Entdeckung der Lücke waren meine Frau und ich im Auto unterwegs und da kam im Radio die Meldung, man sollte doch bitte vorläufig auf Online-Banking verzichten, wenn man ein WLAN nutzt. Prompt begann ich zu schimpfen, was das denn für ein Blödsinn sei, da gibt es ja schließlich eine Ende-zu-Ende-Verschlüsselung zwischen PC und Bank. Auf der Rückfahrt einige Stunden später wurde genau dieser Fakt dann auch im Radio korrekt dargestellt und ich rief spontan aus "kaum zu glauben, sie haben es doch kapiert".

IT-Sicherheits-Lücken und populäre Medien sind einfach eine ungünstige Kombination, da da eben auch viel "halbwahrer" oder schlicht unwahrer Kram an die breite Bevölkerung verteilt wird. Auch das ist einfach ein Ärgernis.
 

marce

Guru
MH1962 schrieb:
Der Patch für wpa_supplicant ist für die meisten Linux-Distributionen übrigens schon im Repo. Man muss also nicht viel machen, um wieder sicher zu sein.
Leider falsch. Solange der AP / Router / Repeater (also der, der das WLAN bereitstellt) nicht auch gepatcht ist ist man weiter angreifbar.
 

MH1962

Member
marce schrieb:
MH1962 schrieb:
Der Patch für wpa_supplicant ist für die meisten Linux-Distributionen übrigens schon im Repo. Man muss also nicht viel machen, um wieder sicher zu sein.
Leider falsch. Solange der AP / Router / Repeater (also der, der das WLAN bereitstellt) nicht auch gepatcht ist ist man weiter angreifbar.
Quelle?

Nach meiner Kenntnis ist nämlich nur der Client über diese Attacke angreifbar.
 
Oben