WLAN-Sicherheit in Gefahr: So knacken deutsche Forscher WPA

Vor dem Hintergrund, dass eine AES-Verschlüsselung mittels WPA2 zwar sicher, aber nicht immer praktikabel ist, sind die Erkenntnisse von Beck und Tews durchaus ernst zu nehmen. Ihr Angriff beruht auf der Chopchop- oder KoreK-Attacke, die ein Hacker unter dem Namen KoreK im Jahr 2004 in ein Forum postete. Seine Software nannte er Chopchop. Damit ist es möglich, WEP innerhalb kürzester Zeit zu knacken.

Der Angriff nutzt zum einen die Tatsache aus, dass jedes WLAN-Paket zur Fehlerabsicherung mit einer CRC32-Prüfsumme ausgestattet wird. Da die CRC32-Funktion streng linear ist, lassen sich die Bits berechnen, die sich in der Prüfsumme ändern, wenn man das verschlüsselte Paket leicht abändert.

Zum anderen gibt es Pakete, die regelmäßig fast unverändert in WLAN-Netzen auftauchen. Da nur wenige Bytes variabel sind, ist der Großteil eines solchen Paketes im Klartext bekannt, so dass man unter Zuhilfenahme des CRC32 die restlichen Bytes durch Ausprobieren erraten kann.

Ein Beispiel für solche Pakete sind ARP-Requests. ARP dient in IPv4-Subnetzen dazu, die zu einer IP-Adresse gehörende MAC-Adresse zu finden. Dabei fragt ein Rechner per Broadcast beispielsweise "Wer hat die IP-Adresse 192.168.0.5?". Der Rechner, dem diese IP-Adresse gehört, antwortet daraufhin mit seiner MAC-Adresse.

Variabel sind in einem solchen Paket nur die MAC-Adresse des Absenders mit 6 Bytes und die angefragte IP-Adresse. MAC-Adressen werden allerdings nicht verschlüsselt, damit jedes Paket innerhalb des WLAN-Netzes auch dann ankommt, wenn es nicht im Klartext vorliegt. Bei der IP-Adresse kann man davon ausgehen, dass sie in fast allen Fällen mit 192.168.0 beginnt. Somit sind von der IP-Adresse in der Regel 3 von 4 Bytes bekannt. Insgesamt muss also nur 1 Byte des Paketes erraten werden.

Da man den CRC32-Wert neu berechnen kann, wenn sich der Geheimtext ändert, lässt sich durch Ausprobieren aller 256 Möglichkeiten des unbekannten Bytes herausfinden, wann der Access-Point ein Paket akzeptiert. Das dauert nur wenige Sekunden.

Im Gegensatz zu WEP hat WPA bereits eine ganze Reihe "Anti-Chopchop-Features" eingebaut. Zusätzlich zum CRC32 kommt ein 64-Bit-Message-Integrity-Check (MIC) mit dem Namen MICHAEL zum Einsatz, der nicht berechnet werden kann, wenn man ein verschlüsseltes Paket ändert. Darüber hinaus sperrt ein Access-Point einen Angreifer, der mehrfach versucht, Pakete mit korrektem CRC32, aber falsch erratenem MIC zu versenden.

Die Forscher konnten dennoch eine modifizierte Chopchop-Attacke gegen die meisten WLAN-Access-Points mit WPA ausführen. Sie entdeckten dabei zum einen eine Schwäche im MICHAEL-Algorithmus, die es erlaubt, aus einem einmal erratenen Plaintext mit dem zugehörigen verschlüsselten Text den Key zu berechnen.

Zum anderen stellten sie fest, dass moderne Access Points mit QoS-Funktion nach 802.11e ein Problem mit dem Time Sequence Counter (TSC) haben. Der wird nämlich nicht erhöht, wenn man die Antwort auf ein Paket auf einem anderen logischen QoS-Kanal sendet als das Paket selbst. Somit waren sie in der Lag, auf sieben von acht Kanälen zu antworten, ohne dass der Access-Point Verdacht schöpfte. Obwohl sie ihre Pakete zum Ausprobieren möglicher Antworten in großen Zeitabständen schicken mussten, damit die Access Points keine Gegenmaßnahmen ergriffen, gelang der Angriff in etwa 12 bis 15 Minuten.

Folgeangriffe, die jeweils wieder sieben Pakete erlauben, gelangen in nur vier bis fünf Minuten, da der MICHAEL-Key durch den ersten Angriff bekannt wurde. Solche Pakete können insbesondere für jede Art von Traffic-Umleitung verwendet werden. Neben gefälschten DNS-Antworten ist es insbesondere auch möglich, gefälschte ARP-Antworten zu senden.

So kann sich der Rechner des Angreifers als Default-Gateway zum Internet ausgeben, dessen IP-Adresse bei den meisten Routern 192.168.0.1 lautet. So wird jeglicher Traffic für das Internet über den fremden Rechner geroutet.