WPA2 geknackt: Wie der neue WLAN-Hack funktioniert

Eine peinliche Lücke im WPS-Protokoll erlaubt einen Brute-Force-Angriff, der nach spätestens 11.000 Versuchen zum Erfolg führt. WLAN-Router von Belkin, Buffalo, D-Link, Linksys (Cisco), Netgear, Technicolor, TP-Link und Zyxel lassen sich in vier Stunden knacken.

WLAN Access Points, die mit WPA oder WPA2 geschützt sind, können ab sofort gehackt werden – jedenfalls die meisten. Denn Sicherheitsexperte Stefan Viehböck fand heraus, dass man in maximal vier Stunden die Geräte dazu überreden kann, das WPA-Passwort freiwillig mitzuteilen.

Schuld daran ist WPS. Das ist eine Technologie, die man in neueren WLAN-Routern findet. Sie soll dazu dienen, dass User mit weniger Erfahrung ihren Computer leichter ins WLAN bringen können. Anstelle eines selbstgewählten Passworts gibt man eine achtstellige PIN ein, die man sich garantiert nicht merken kann – also eine wahnsinnige Erleichterung.

Technisch gesehen teilt der Access Point dem Client das eigentliche WLAN-Passwort mit, wenn er die korrekte PIN eingibt. Problematisch ist aber, was passiert, wenn eine falsche PIN übermittelt wird. Eigentlich würde es ausreichen, wenn der Access Point einfach sein Passwort nicht herausgibt.

Das macht er auch nicht, aber er teilt dem Client freundlicherweise vorher mit, ob die ersten vier Stellen der PIN korrekt waren. Aus nicht nachvollziehbaren Gründen werden die vier ersten und vier letzten Stellen der PIN mit getrennten Nonces und Hashes validiert.

Ferner läuft der gesamte Authentifizierungsprozess in acht Schritten ab. In Schritt vier übermittelt der Client beide Hashes (R-Hash1 und R-Hash2), aber nur eine Nonce (R-S1). Falls der Hash nicht zur Nonce passt, schickt der Access Point eine Fehlermeldung. Da der Client bisher nur die erste Nonce übermittelt hat, weiß er, dass mit den ersten vier Stellen der PIN etwas nicht stimmt.

Erst in Schritt sechs übermittelt der Client die zweite Nonce (R-S2), die am Access Point überprüft und gegebenenfalls mit einem Fehler quittiert wird.

Mit einer simplen Brute-Force-Attacke braucht ein Hacker nur maximal 10.000 Versuche, um die ersten vier Stellen der PIN zu ermitteln. Theoretisch wären noch einmal bis zu 10.000 Versuche erforderlich, um die zweiten vier Stellen zu ermitteln. Da die letze Stelle der PIN eine Prüfziffer ist, reichen jedoch 1000. Das heißt nach spätestens 11.000 Versuchen, bekommt der Hacker das WLAN-Passwort.

Obwohl das Protokoll natürlich sicherheitstechnisch höchst problematisch ist, könnten Routerhersteller ihre Firmware besser gestalten. So sollte sich WPS grundsätzlich abschalten lassen. Der User kann es nur bei Bedarf aktivieren, um einen neuen Client einzubuchen, etwa ein Internet-Radio oder einen DLNA-Medienplayer, bei dem die Eingabe des alphanumerischen WLAN-Passworts mangels Tastatur umständlich ist. Aber bei einigen Access Points und WLAN-Routern geht nicht einmal das.

Auch nicht ganz neu ist der Trick, einen User nach fünf falschen PIN-Eingaben für 15 Minuten auszusperren. Die meisten Hersteller von Access Points kennen ihn aber noch nicht. Einige Modelle stürzen allerdings ab, wenn man viele falsche PINs übermittelt, und müssen rebootet werden. So kann man etwa den Router des Nachbarn leicht lahmlegen.

Zu guter Letzt sollten die Access Points nach Schritt vier einfach weitermachen und keine Fehlermeldung schicken, auch wenn eine falsche PIN eingegeben wurde, und erst nach Schritt sechs dem Client mitteilen, dass er das Passwort nicht bekommt. Dann wären immerhin bis zu zehn Millionen Versuche erforderlich, um das Gerät zu knacken.

Laut US-CERT sind Modelle der Hersteller Belkin, Buffalo, D-Link, Linksys (Cisco), Netgear, Technicolor, TP-Link und Zyxel betroffen. Von den Herstellern liegt dem CERT bis jetzt keine Stellungnahme vor.

Eine Fritzbox 7390 von AVM ist relativ sicher vor WPS-Attacken. Eine Brute-Force-Attacke ist nach spätestens zwei Minuten beendet.
Eine Fritzbox 7390 von AVM ist relativ sicher vor WPS-Attacken. Eine Brute-Force-Attacke ist nach spätestens zwei Minuten beendet.

Dass man es auch besser machen kann, zeigt AVM mit der Fritzbox. Auch wenn man nicht das Push-Button-Connect-Verfahren ohne PIN verwendet, nimmt die Fritzbox nach zwei Minuten keine Requests mehr an, bis der User es über das Webinterface wieder gestattet. Bei einer angenommenen Zeit von einer Sekunde pro Versuch, kann ein Hacker maximal 120 PINs ausprobieren.

Außerdem generiert die Fritzbox bei jeder Anmeldung eine neue Zufalls-PIN. Viele andere Router haben die PIN auf der Geräteunterseite aufgedruckt. Der neugierige Nachbar, der zu Besuch ist, wird sie sich möglicherweise in einem unbeobachteten Moment aufschreiben.

Nutzer sollten zur Sicherheit WPS an allen Access Points abschalten. Wenn das Gerät das nicht erlaubt, sollte man es sofort außer Betrieb setzen und durch ein anderes ersetzen. Ansonsten kann es passieren, dass bald eine Filesharing-Abmahnung ins Haus flattert. Bei der derzeitigen Rechtslage muss man faktisch seine Unschuld zweifelsfrei beweisen, selbst wenn man weder WLAN-Router noch Computer besitzt.

Themenseiten: Analysen & Kommentare, Hacker, WLAN

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

15 Kommentare zu WPA2 geknackt: Wie der neue WLAN-Hack funktioniert

Kommentar hinzufügen
  • Am 2. August 2012 um 23:38 von Christoph

    Sorry, aber das ist ein WPS und kein WPA2 Hack!

  • Am 16. September 2012 um 18:23 von ................

    Die Überschrift ist irreführend unvollkommend disqualifizierend. WPA2 wurde nicht genackt.

  • Am 28. November 2012 um 13:12 von GM

    was stimmt jetzt????????????
    bitte antworten,
    brauch es für nen schulprojekt.
    DANKE

  • Am 14. Juli 2013 um 2:20 von Aircrack-NG

    Das ist definitiv kein WPA/WPA2 Hack, sondern ein Fehler in der Firmware, und außerdem noch abhängig davon das WPS vorhanden ist!!!!

  • Am 20. Juli 2013 um 9:22 von Jürgen

    Gute News allerdings ist die Überschrift irreführend.
    Hier wurde WPA2 nicht gehackt sondern WPS dazu benutzt
    um Zugriff zu erhalten.

    • Am 7. März 2014 um 22:13 von jak lol

      Wie geht das ich checks nich

  • Am 3. Februar 2014 um 11:43 von Marcus

    Ein bisschen weniger „Blöd-Zeitung-Stil“ im Titel hätts auch getan, oder habt Ihr Angst das keiner den Artikel liest?

  • Am 4. Januar 2015 um 0:19 von Frank

    Sorry,
    ihr macht euch lächerlich – erspart uns in Zukunft so einen Blödsinn.

    • Am 4. Januar 2015 um 18:38 von Oh

      Schon mal einen Blick aufs Datum des Artikels geworfen? ;-)

  • Am 10. Mai 2015 um 22:38 von Bennile

    Es gibt auch schon Möglichkeiten WPA2 in wenigen Minuten zu knacken.

    • Am 31. Mai 2016 um 13:01 von Alex Maier

      Wie denn?

      • Am 31. Mai 2016 um 13:47 von PeerH

        Indem man in ein Paralleluniversum wechselt, in dem WPA2 = WEP ist. ;-)

  • Am 18. Juli 2015 um 12:01 von maeffel

    Wie denn?

  • Am 20. Mai 2016 um 14:34 von Paspadu

    ICH höre immer nur wie dann usw.
    Damit der Kindergarten hier wohl
    Netzwerke hackt ? Ich gebe mal nen
    Tip, für die Möchtegern Hacker und
    die es werden möchten.
    1 Schaffe Dir ein ordentliches Linus an
    Lass den Windows Quatsch weg.
    2 Wenn Du nicht schon die Wpa SsID hast
    Und das dazugehörige Passwort Frage doch
    Deinen netten Nachbarn von neben an, den
    Du Ärgern,ausspionieren, oder gar schaden
    Willst.
    3 Primäre Absicherung ist prinzipiell
    Hackbar!
    4 Ein guter Computer Freack hat seinen
    Router prinzipiell wie folgt abgesichert
    1. SSID Ändern, damit der Router nicht
    identifiert werden kann.
    2. WPA Abschalten.
    4. Standart Router Passwort ändern.
    5. wlan Passwort sicher machen.
    6. SSID rundstrahlen deaktivierem
    Sprich Router unsichtbar machen.
    7. MAC Adress Kontrolle Aktivieren,
    Heist, es kommen nur Geräte ans
    NETZWERK, die mit Ihrer MAC Adresse
    Registriert sind.Diese MAC ist nur
    Einmalig.
    5 Alle diese Naßnahmen sind Hackbar
    Als Wichtige Regel gilt.. Das Passwort
    Splte nindesten 16 Zeichen lang sein und
    Nicht im Duden steheN UND VOR ALLEM
    keinen Sinn ergeben. Sonderzeichen usw
    Enthalten Ideal sind 30 Zeichen.
    7 Einige Netzwerkkarten lassen sich in den
    Sog. SNIF Modus schalten. Mit
    einschlägiger Software ist es angeblich
    Unter linus Wlan Netzwerke zu hacken,
    Die Oben genanten Methoden nicht
    eingesetzt werden.
    8 Das fubktioniert bis jetzt nur unter Laborbedingungen. Mann solte prinzipiell seinen heimichen Router, sieh oben, entsprechend absichern und die Protokolieren, für den fall dann man in den verdacht gerät Filme oder Igele Software heruntergeladen, oder gar gestreamt hat.
    9 Eine Mac Adresse ist Klonbar — Kennst Du eine von einen Gerät bei deinen Nachbarn? EHER UNWARSCHEINLICH ODER ?
    10 Seit bei euren Angriffen vorsichtig und deckt euch mit genug Batterien und Futter ein, könnte lange dauern. Einige Router unterstützen mit der WPA2 Verschlüsselung AEs und das macht alles noch viel schwerer.
    Und vor allen, lass euch nicht erwischen.
    ES IST SEHR SCHWER GUT GESICHERTE WLAN NETZWERKE ZU HACKEN, ALLERDINGS WER MACHT SICH SCHON DIE ARBEIT?
    soll nicht heißen, das es unmöglich ist.

    • Am 25. Oktober 2016 um 5:36 von Sepp

      Ad

      1) ssid ändern hilft nicht.
      Ich werde deinen Router an der MAC erkennen, sofern die nicht geändert wurde, was normalerweise (keine Custom Firmware) nicht geht.

      2) ok

      4) ok (absolut wichtig)

      5) ok (lang genug und keine reinen Wörter)

      6) ok (wenn die Geräte aber Funken sind sie nicht mehr unsichtbar)

      7) ich kann deinen Funkverkehr belauschen und im Anschluss die Mac deines Notebooks klonen. Dann bin ich schon in deinem Netz.
      (das hab ich schon mal getestet, geht wunderbar einfach, danach am Router die eigene Mac freischalten, damit ich und dein Notebook auch gleichzeitig an den Router kommen können. Ein Router Passwort hilft zumindest dagegen)

      Das Problem mit der geklonten MAC ist, das auch in den Router Logs kein weiterer Rechner aufscheint. Ist fur den Router ja das selbe Gerät.

      Also: WLAN ist nie so sicher wie ein reines Lan.

      Mann sollte also auf jeden Fall auch im eigenen Netz seine Shares (auf PCs, auf der NAS, etc..) mit Passwörtern schützen, damit der Schaden bei einem Hack klein bleibt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *