WLAN-Sicherheitslücke: Was ist da los?

[abgdf]

Hallo,

http://www.spiegel.de/netzwelt/netzpoli ... 73291.html

Das BSI betont, dass die Schwachstellen insbesondere Geräte mit Android- und Linux-Betriebssystemen betreffen

Wieso das? Was ist da los?

[Tralalla]

Irgend wie viel Skepsis... bei Windows werden "Staatspione" und diverse andere schädliche Software über Updates eingespielt, bei Linux Systemen muss man den Benutzer "bequatschen" Er möge sich das freiwillig antun, sonnst kommt man ja in sein System nicht hinein... würde gern mal was vom CCC dazu hören.

Gruß Tralalla

[MH1962]

Das BSI betont, dass die Schwachstellen insbesondere Geräte mit Android- und Linux-Betriebssystemen betreffen

Wieso das? Was ist da los?

Wenn ich es richtig verstanden habe, sind ALLE Client-Betriebssysteme betroffen, allerdings macht die konkrete Implementierung im wpa_supplicant einen trivialen Exploit möglich.

[gehrke]

Ich vermute, dass dahinter weniger eine handfeste technische Abgrenzung steht, sondern viel mehr die Überlegung, dass es mit den ganzen Android-Devices, Routern, TVs und IoT-Devices Milliarden Linux-Geräte gibt, die im Gegensatz zu PCs, Notebooks und Servern niemals im Leben auch nur einen einzigen Patch sehen werden, weil der Hersteller sich einen Dreck darum kümmert.

[marce]

Sorry, aber statt zu vermuten könntet ihr mal die recht umfangreichen, ausführlichen und konkreten Artikel auf heise.de und z.B. golem.de lesen. Oder die "Doku" der Entdecker des Bugs.

... und ja, unter Linux ist wpa_supplicant "Schuld" daß es einfacher geht als unter Windows.

Erschreckend finde ich eher, daß in einem IT-affinen Forum erst mal ein SPON-Artikel gepostet wird und dann gefragt wird, was da los ist. Wenn selbst für ITler SPON die erste Anlaufstelle ist sieht's echt übel aus für die Welt...

[gehrke]

Ich bezog mich auf die zitierte Warnung vom BSI. Wo auch immer die sonst noch referenziert sein mag, und sei es in Computer-Bild...

[gehrke]

Ein schöner Kommentar dazu von Jürgen Schmidt:
https://www.heise.de/newsticker/meldung ... 63929.html

Nicht genannt darin ist ein weiteres krasses Beispiel aus dem letzten Monat, welches möglicherweise ein noch größeres Potential hat: BlueBorne

Das ist mittlerweile 1 Monat her und ausser den echten Linux-Distributionen auf PC+Notebook hat keines meiner Geräte inklusive des Autos einen Patch erhalten. Und es wird auch keiner mehr kommen.

Warten wir mal ab, wie lange es dauert, bis jemand einen medienübergreifenden Wurm gebaut hat. Scheinbar reicht ja die Zeit eines Ampelstopps für einen Angriff.

[Jägerschlürfer]

Erschreckend finde ich eher, daß in einem IT-affinen Forum erst mal ein SPON-Artikel gepostet wird und dann gefragt wird, was da los ist. Wenn selbst für ITler SPON die erste Anlaufstelle ist sieht's echt übel aus für die Welt...

Jedem das seine,...

Ich sehe die Lücke nicht so kritisch. Kritischer sind da eher die offenen WLANs in die sich alle einbuchen, da manche ja immer online sein müssen. Was hier für Daten abgegriffen werden können, interessiert keinen,....

Problem ist in diesem Fall eher, dass es jede Menge Geräte gibt, die nicht gepatcht werden und hier müssten die Hersteller entsprechend verpflichtet werden, dies zu beheben. Dann wäre die Welt schon etwas besser

[Gräfin Klara]

Das Problem läßt sich mit dem key management
WPA-PSK-SHA256
einfach beheben

[marce]

Das Problem läßt sich mit dem key management
WPA-PSK-SHA256
einfach beheben

Quelle?

[Gräfin Klara]

Quelle?

Ich
Falls der AP SHA256 nicht unterstützt, kannst du das Password auch mit
# wpa_passphrase <SSID> <PASSWORD>
verschlüsseln und das Resultat unter psk=xxx eintragen.
Auch dann ist das Problem behoben.
Quelle?
Schon wieder ich

Gruß

[marce]

Das PW ist nicht das Problem.

und https://forum.golem.de/kommentare/secur ... sg-4927490 meint z.B. - tja, schade.

[Gräfin Klara]

Das PW ist nicht das Problem.

und https://forum.golem.de/kommentare/secur ... sg-4927490 meint z.B. - tja, schade.

Egal ob mit SHA256 oder wpa_passphrase, der Angreifer bekommt das Cert. nicht mehr.

[marce]

???

https://papers.mathyvanhoef.com/ccs2017.pdf - Seite 4, ff.

Soweit ich das grob überflogen habe dürfte das mehr oder weniger allgemeingültig sein.

[Gräfin Klara]

???

https://papers.mathyvanhoef.com/ccs2017.pdf - Seite 4, ff.
Soweit ich das grob überflogen habe dürfte das mehr oder weniger allgemeingültig sein.

Ich habe das nicht gelesen,
Gültig ist es bei AES,WPA,WPA-2 und wirkt sich aus auf WEP, TKIP und CCMP
Es geht um das Verfahren, wie die Informationen ausgetauscht werden und der key erzeugt wird.
Der key wird generiert aus password (psk), der mac (BSSID), der SSID und einer weiteren Komponente
Also entweder:
pairwise=CCMP
key_mgmt=WPA-PSK-SHA256
psk="password"

oder eben
# wpa_passphrase
psk=encrypted_password
weil damit SSID und password als Teil des keys schon generiert werden.

[marce]

ja, und weiter? Ich weiß ehrlich gesagt immer noch nicht, auf was Du raus willst...

Die Stelle, an der der "Exploit" greift ist wesentlich später relevant.

[abgdf]

Erschreckend finde ich eher, daß in einem IT-affinen Forum erst mal ein SPON-Artikel gepostet wird und dann gefragt wird, was da los ist. Wenn selbst für ITler SPON die erste Anlaufstelle ist sieht's echt übel aus für die Welt...

Ich glaube, Du überschätzt das Niveau dieses Forums bei weitem.
Die erste Anlaufstelle meiner Frage war die Tagesschau, da hatte ich von dem Thema gehört. So what?
Außerdem: Es gibt keine dummen Fragen, nur dumme Antworten.

---

Hier ein ganz guter Artikel zum Thema:

https://entwickler.de/online/security/k ... 16756.html

1. Der Angreifer muss sich in Funkreichweite des angegriffenen WLANs befinden.
2. Gebrochen wird nur die WPA2-Verschlüsselung. Ausgespäht oder manipuliert werden können nur unverschlüsselt übertragene Daten.
3. Der WPA2-Schlüssel kann nicht ausgespäht werden.

Fazit: Es ist zwar nicht gut, aber der Weltuntergang ist es auch nicht. Ich persönlich nutze gar kein WLAN.

[MH1962]

Der Patch für wpa_supplicant ist für die meisten Linux-Distributionen übrigens schon im Repo. Man muss also nicht viel machen, um wieder sicher zu sein.

Ärgerlich ist nur die Situation bei Android, da die meisten Hersteller den Patch einfach nicht verteilen. Das kann man wirklich nur noch mit Kopfschütteln quittieren.

Eine kleine Anekdote am Rande: Am Morgen nach der Entdeckung der Lücke waren meine Frau und ich im Auto unterwegs und da kam im Radio die Meldung, man sollte doch bitte vorläufig auf Online-Banking verzichten, wenn man ein WLAN nutzt. Prompt begann ich zu schimpfen, was das denn für ein Blödsinn sei, da gibt es ja schließlich eine Ende-zu-Ende-Verschlüsselung zwischen PC und Bank. Auf der Rückfahrt einige Stunden später wurde genau dieser Fakt dann auch im Radio korrekt dargestellt und ich rief spontan aus "kaum zu glauben, sie haben es doch kapiert".

IT-Sicherheits-Lücken und populäre Medien sind einfach eine ungünstige Kombination, da da eben auch viel "halbwahrer" oder schlicht unwahrer Kram an die breite Bevölkerung verteilt wird. Auch das ist einfach ein Ärgernis.

[marce]

Der Patch für wpa_supplicant ist für die meisten Linux-Distributionen übrigens schon im Repo. Man muss also nicht viel machen, um wieder sicher zu sein.

Leider falsch. Solange der AP / Router / Repeater (also der, der das WLAN bereitstellt) nicht auch gepatcht ist ist man weiter angreifbar.

[MH1962]

Der Patch für wpa_supplicant ist für die meisten Linux-Distributionen übrigens schon im Repo. Man muss also nicht viel machen, um wieder sicher zu sein.

Leider falsch. Solange der AP / Router / Repeater (also der, der das WLAN bereitstellt) nicht auch gepatcht ist ist man weiter angreifbar.

Quelle?

Nach meiner Kenntnis ist nämlich nur der Client über diese Attacke angreifbar.