Funknetze mit WPA galten bisher als sicher. Forscher haben nun eine Methode gefunden, mit der sich gefährliche Angriffe ausführen lassen. ZDNet erläutert die Hintergründe und zeigt, wie man sein WLAN wieder sicher machen kann.
Anfang des Monats überraschten Martin Beck von der TU Dresden und Erik Tews von der TU Darmstadt mit dem Papier Practical attacks against WEP and WPA[1] (Praktische Angriffe auf WEP und WPA). Darin beschreiben die Forscher, wie man in 12 bis 15 Minuten die WPA-Verschlüsselung von WLAN-Access-Points zu großen Teilen knacken kann.
Mit der beschriebenen Methode kann man weder das WPA-Password herausfinden, noch den kompletten Datenverkehr entschlüsseln. Dennoch ist es möglich, einzelne Pakete zu dechiffrieren und bis zu sieben Datenpakete in ein WLAN einzuschleusen, die der Access Point als korrekt betrachtet. Insbesondere letzteres muss als ernste Bedrohung gesehen werden. Eine UDP-basierendes Protokoll, etwa DNS, kann auf diese Art mit Hilfe von geeigneten Spoofing-Techniken kompromittiert werden.
So lässt sich beispielsweise der DNS-Cache mit Falschinformationen versorgen. Benutzer im angegriffenen Netz geben dann www.google.de[2] ein und landen auf einem Server des Angreifers. Für das Einklinken in TCP-Datenverkehr hingegen sind sieben Pakete zu wenig.
Während allgemein bekannt ist, dass sich WEP[3] (Wired Equivalent Privacy) innerhalb weniger Minuten mit geeigneten Programmen knacken lässt, gilt WPA[4] (Wi-Fi Protected Access) als deutlich sicherer. Weitaus weniger bekannt ist, dass WEP und WPA den gleichen Verschlüsselungsalgorithmus verwenden, nämlich RC4[5].
Wegen des inzwischen sehr schlechten Rufs von RC4 nannte man die Verschlüsselung Temporal Key Integrity Protocol[6] (TKIP). Dieser Begriff bezieht sich nicht auf den Algorithmus selbst, sondern darauf, dass sich der Schlüssel ändert, sobald 10 KByte Daten übertragen wurden.
WPA2[7] ist eine Erweiterung von WPA und nicht grundsätzlich sicherer, denn auch WPA2 kann TKIP nutzen. WPA2 bietet allerdings alternativ zu TKIP die Möglichkeit, AES[8] als Verschlüsselungsalgorithmus zu verwenden.
AES ist ist um ein Vielfaches sicherer als das auf RC4 basierende TKIP. Die AES-Implementierung in WPA2 nennt sich Counter Mode with Cipher Block Chaining Message Authentication Code Protocol[9] (CCMP). Offensichtlich haben Marketingstrategen herausgefunden, dass Dinge, die sich niemand merken kann, beim Benutzer ein Gefühl besonders hoher Sicherheit implizieren.
Bildergalerie
So schützt man sein WPA-WLAN vor Chopchop-Attacken[10]
» zur Bildergalerie ...[10]Wichtig ist jedoch, zu wissen, dass einige WLAN-Access-Point-Hersteller die Bezeichnung CCMP verwenden (Bild 1[11]), andere wiederum AES (Bild 2[12]). Beides bezeichnet jedoch dieselbe Verschlüsselungsmethode.Der grundsätzliche Unterschied zwischen AES und RC4 liegt darin, dass AES eine Blockverschlüsselung[13] ist, während RC4 zu den Stromverschlüsselungen[14] zählt. Stromverschlüsselungen sind meist kryptologisch angreifbar, ohne eine komplette Brute-Force-Attacke durchführen zu müssen.
Für RC4 sind mehrere Angriffsmöglichkeiten bekannt. Bereits im Jahre 2001 konnten Fluhrer, Mantin und Shamir[15] Ungleichverteilungen im verschlüsselten Strom nachweisen. Gängige WEP-Knackprogramme verwenden Methoden, die auf der Arbeit der drei Forscher beruhen.
Obwohl die Angreifbarkeit von Stromverschlüsselungen schon bei der Entwicklung von WEP bekannt war, wurde RC4 für WEP und später für WPA verwendet. Der Grund dafür ist einfach: Stromverschlüsselungen benötigen deutlich weniger Rechenzeit als Blockverschlüsselungen. RC4 erlangte in den 90er Jahren seine enorme Popularität, weil sein Erfinder Ron Rivest[16] einen Algorithmus entwickelt hatte, der mit sehr wenig Rechenleistung auskommt.
WLAN-Access-Points verfügen nur über leistungsschwache CPUs, da die Hersteller den Stromverbrauch gering halten und auf Lüfter verzichten wollen. Meist werden MIPS- oder ARM-Prozessoren mit einer Taktfrequenz zwischen 100 und 250 MHz verwendet. Geräte mit einem 500-MHz-Prozessor, etwa von Lancom[17], gehören zu den hochwertigen Modellen und liegen preislich bei mehreren hundert Euro.
Für die "untermotorisierten" Geräte bedeutet das: Die Verwendung von AES-CCMP mindert den Datendurchsatz. Das kann man mit einem handelsüblichen Access-Point und einem Breitband-Internet-Anschluss leicht ausprobieren.
Dazu reicht es aus, einen der vielen Speedtests im Internet, beispielsweise WieIstMeineIP.de[18], für einen Vergleich von WPA/TKIP und WPA2/AES zu verwenden. Nachts zwischen vier und fünf Uhr, wenn der Breitbandanschluss wenigstens annähernd das hergibt, was die Werbung verspricht, sieht man die Unterschiede: Mit AES-Verschlüsselung holen auch hochwertige Geräte nur um die 5000 KBit/s heraus.
Für Inhaber eines DSL1000-Anschlusses bedeutet das natürlich keine Einschränkung. In entsprechend ausgebauten Gebieten erfreuen sich jedoch Geschwindigkeiten von 16.000 KBit/s und mehr großer Beliebtheit. Wer seine Geschwindigkeit drahtlos auskosten möchte, braucht an WPA2 mit AES-Verschlüsselung nicht zu denken.
Unternehmen lösen das Problem oft mit einem VPN[19]. Dabei verschafft der Access Point nur Zugang zu einem VPN-Server mit großer Durchsatzleistung. Von dort aus kann man sich mit einem sicheren Verschlüsselungssystem ins Firmennetz verbinden. Für Betreiber von privaten Netzen und SOHO[20]-Umgebungen sind die Kosten dafür in der Regel zu hoch.Vor dem Hintergrund, dass eine AES-Verschlüsselung mittels WPA2 zwar sicher, aber nicht immer praktikabel ist, sind die Erkenntnisse von Beck und Tews durchaus ernst zu nehmen. Ihr Angriff beruht auf der Chopchop- oder KoreK-Attacke, die ein Hacker unter dem Namen KoreK im Jahr 2004 in ein Forum postete. Seine Software nannte er Chopchop. Damit ist es möglich, WEP innerhalb kürzester Zeit zu knacken.
Der Angriff nutzt zum einen die Tatsache aus, dass jedes WLAN-Paket zur Fehlerabsicherung mit einer CRC32-Prüfsumme ausgestattet wird. Da die CRC32-Funktion streng linear ist, lassen sich die Bits berechnen, die sich in der Prüfsumme ändern, wenn man das verschlüsselte Paket leicht abändert.
Zum anderen gibt es Pakete, die regelmäßig fast unverändert in WLAN-Netzen auftauchen. Da nur wenige Bytes variabel sind, ist der Großteil eines solchen Paketes im Klartext bekannt, so dass man unter Zuhilfenahme des CRC32 die restlichen Bytes durch Ausprobieren erraten kann.
Ein Beispiel für solche Pakete sind ARP-Requests[21]. ARP dient in IPv4-Subnetzen dazu, die zu einer IP-Adresse gehörende MAC-Adresse zu finden. Dabei fragt ein Rechner per Broadcast beispielsweise "Wer hat die IP-Adresse 192.168.0.5?". Der Rechner, dem diese IP-Adresse gehört, antwortet daraufhin mit seiner MAC-Adresse.
Variabel sind in einem solchen Paket nur die MAC-Adresse des Absenders mit 6 Bytes und die angefragte IP-Adresse. MAC-Adressen werden allerdings nicht verschlüsselt, damit jedes Paket innerhalb des WLAN-Netzes auch dann ankommt, wenn es nicht im Klartext vorliegt. Bei der IP-Adresse kann man davon ausgehen, dass sie in fast allen Fällen mit 192.168.0 beginnt. Somit sind von der IP-Adresse in der Regel 3 von 4 Bytes bekannt. Insgesamt muss also nur 1 Byte des Paketes erraten werden.
Da man den CRC32-Wert neu berechnen kann, wenn sich der Geheimtext ändert, lässt sich durch Ausprobieren aller 256 Möglichkeiten des unbekannten Bytes herausfinden, wann der Access-Point ein Paket akzeptiert. Das dauert nur wenige Sekunden.
Im Gegensatz zu WEP hat WPA bereits eine ganze Reihe "Anti-Chopchop-Features" eingebaut. Zusätzlich zum CRC32 kommt ein 64-Bit-Message-Integrity-Check (MIC) mit dem Namen MICHAEL zum Einsatz, der nicht berechnet werden kann, wenn man ein verschlüsseltes Paket ändert. Darüber hinaus sperrt ein Access-Point einen Angreifer, der mehrfach versucht, Pakete mit korrektem CRC32, aber falsch erratenem MIC zu versenden.
Die Forscher konnten dennoch eine modifizierte Chopchop-Attacke gegen die meisten WLAN-Access-Points mit WPA ausführen. Sie entdeckten dabei zum einen eine Schwäche im MICHAEL-Algorithmus, die es erlaubt, aus einem einmal erratenen Plaintext mit dem zugehörigen verschlüsselten Text den Key zu berechnen.
Zum anderen stellten sie fest, dass moderne Access Points mit QoS[22]-Funktion nach 802.11e[23] ein Problem mit dem Time Sequence Counter (TSC) haben. Der wird nämlich nicht erhöht, wenn man die Antwort auf ein Paket auf einem anderen logischen QoS-Kanal sendet als das Paket selbst. Somit waren sie in der Lag, auf sieben von acht Kanälen zu antworten, ohne dass der Access-Point Verdacht schöpfte. Obwohl sie ihre Pakete zum Ausprobieren möglicher Antworten in großen Zeitabständen schicken mussten, damit die Access Points keine Gegenmaßnahmen ergriffen, gelang der Angriff in etwa 12 bis 15 Minuten.
Folgeangriffe, die jeweils wieder sieben Pakete erlauben, gelangen in nur vier bis fünf Minuten, da der MICHAEL-Key durch den ersten Angriff bekannt wurde. Solche Pakete können insbesondere für jede Art von Traffic-Umleitung verwendet werden. Neben gefälschten DNS-Antworten ist es insbesondere auch möglich, gefälschte ARP-Antworten zu senden.
So kann sich der Rechner des Angreifers als Default-Gateway zum Internet ausgeben, dessen IP-Adresse bei den meisten Routern 192.168.0.1 lautet. So wird jeglicher Traffic für das Internet über den fremden Rechner geroutet.Man kann eine Chopchop-Attacke wesentlich erschweren, indem man sein privates Subnetz abändert. Einen erheblich besseren Schutz erhält man bereits, wenn man den Class-C-Adressraum wechselt, beispielsweise auf 192.168.184.0/24 (192.168.184.x).
Besser noch ist es, wenn man das Class-A-Netz 10.0.0.0/8 (10.x.x.x) verwendet. Dann müssen stets 3 von 4 Bytes der IP-Adresse erraten werden. Man sollte allerdings nicht besonders einfallslose Adressen, etwa 10.0.0.1, verwenden. Eine Adresse wie 10.164.219.16 ist deutlich schwieriger zu erraten.
Wer ganz clever ist, verwendet gar keine private IP-Adressen, sondern sogenannte Bogon-Adressen[24]. Das sind Adressen, die zwar nicht gemäß RFC1918[25] als privat gekennzeichnet, von der IANA aber zur Zeit nicht vergeben sind. Eine aktuelle Liste bietet die IANA zum Download[26] an.
Verwendet man beispielsweise das Netz 14.156.23.0/24 (14.156.23.x), so stellt man derzeit sicher, dass es keinen Konflikt mit Internet-Adressen gibt. Allerdings muss die Liste regelmäßig überprüft werden, da die IANA diese Adressen bei einer weiteren Verknappung von IPv4-Adressen jederzeit vergeben kann.
Ferner gilt es zu beachten, dass die Idee, Bogon-Adressen zu verwenden, auch andere schon hatten. Die VPN-Lösung Hamachi[27] verwendet beispielsweise den Adressraum 5.0.0.0/8 (5.x.x.x). Wer Hamachi einsetzt oder dies plant, darf diesen Adressraum natürlich nicht verwenden.
Auch bei den offiziell privaten Adressen muss man mit Bedacht vorgehen, da einige Internetprovider glauben, es sei besonders klug, private IP-Adressen in ihren eigenen Netzen zu verwenden. So sind bei Kabel Deutschland[28], die Server aus den Domains kabeldeutschland.de und kabeldeutschland.com aus dem eigenen Netz nur unter privaten IP-Adressen aus dem Netz 10.0.0.0/8 zu erreichen, siehe Bilder 3 und 4[29]. Die von Beck und Tews ausgearbeitete WPA-Attacke ist nicht dazu geeignet, dass sich jemand mit einem WLAN-Laptop in ein WPA-geschütztes Netz einklinkt, um von dort illegale Aktivitäten zu betreiben, etwa Filesharing.
Dennoch ist sie ausreichend, um beispielsweise den gesamten Datenverkehr ins Internet mittels gefälschter ARP-Requests über einen angreifenden WLAN-Laptop zu leiten. Die Internetverbindung realisiert der Laptop über einen zweiten Zugang, zum Beispiel über UMTS.
Durch Man-in-the-middle-Attacken kann dann mit einem transparenten Proxy auch HTTPS-Verkehr abgehört werden. So lassen sich etwa PINs von Bankkonten ausspionieren. Für ein solches Szenario benötigt man neben der modifizierten Chopchop-Software nur noch Standard-Komponenten.
Die Standard-Empfehlung, einfach auf WPA2 mit AES-CCMP zu wechseln, hört sich zunächst gut an, hat aber andere Nachteile. Nutzer von Breitbandanschlüssen mit mehr als 5000 KBit/s wird der Zugang über ein WPA2-verschlüsseltes WLAN wegen der Performanceeinbußen nicht gerade begeistern.
Erheblich erschweren kann man eine Chopchop-Attacke sowohl bei WPA als auch WEP, indem man nicht gerade den Standard-Adressraum 192.168.0.0/24 verwendet. Dann muss der Angreifer mehr Bytes des Klartextes durch Ausprobieren erraten.
Auch wenn man so eine Attacke nicht gänzlich verhindern kann, so wird sie sicherlich länger dauern, als der Akku hält. Ein schlauer Angreifer wird möglicherweise gar zu der Erkenntnis kommen, dass das WLAN des Nachbarn wesentlich einfacher zu hacken ist.
URLs in diesem Artikel:
[1] = http:/
[2] = http:/
[3] = http:/
[4] = http:/
[5] = http:/
[6] = http:/
[7] = http:/
[8] = http:/
[9] = http:/
[10] = http:/
[11] = http:/
[12] = http:/
[13] = http:/
[14] = http:/
[15] = http:/
[16] = http:/
[17] = http:/
[18] = http:/
[19] = http:/
[20] = http:/
[21] = http:/
[22] = http:/
[23] = http:/
[24] = http:/
[25] = http:/
[26] = http:/
[27] = http:/
[28] = http:/
[29] = http:/