Seit mehr als 10 Jahren gelten WLAN-Router mit WPA2-Verschlüsselung als das Maß aller Dinge, wenn es um die Sicherheit im Kabellosen Netzwerken geht. Mittlerweile haben belgische Sicherheitsforscher mit dem Angriffs-Szenario namens Key Reinstallation Attacks (KRACK) eine Möglichkeit gefunden das vermeintlich sichere "Wi-Fi Protected Access II" (WAP2) umgehen, sich in einem WLAN-Netzwerk anmelden und unverschlüsselte Datenübertragungen (HTTP) mitschneiden und dokumentieren zu können
UPDATE vom 26.10.2017 - 15:08 Uhr
Um die durch KRACK hervorgerufene WPA2-Sicherheitslücke auch bei den fehlenden WLAN-Repeatern schließen zu können, hat der Berliner Routerhersteller AVM das FRITZ!OS 6.92 veröffentlicht. Laut Hersteller können nun alle Repeater, Powerline-Geräte sowie DVB-C-Repeater der Serien 1759E, 1160, 450E, 310 und 1260E, 1240E, 546E und 540E mit dem entsprechenden Update versorgt werden.
UPDATE vom 18.10.2017 - 15:56 Uhr
Laut Aussage mehrerer Webseiten (via deskmodder) sollen nun auch die Hersteller Aruba, Cisco, Intel, Netgear sowie MikroTik entsprechende Patches für einen Großteil ihrer Router zur Verfügung gestellt haben. Wer noch einen WLAN-Router älterer Bauart hat oder keine Patches für sein Modell finden sollte, dem wird empfohlen, sich direkt mit dem entsprechenden Hersteller in Verbindung zu setzen. Die entsprechenden Herstellerprofile bei Facebook, Twitter & Co. dürften ebenfalls Informationen zu Updates und Patches bereit halten.
Wer eine Fritzbox des Herstellers AVM sein Eigen nennt, befindet sich auf der sicheren Seite, da diese vom Hersteller selbst als sicher und nicht angreifbar deklariert worden sind. Einzig die WLAN-Repeater sollen eine Schwachstelle aufweisen, für die noch entsprechende Updates zur Verfügung gestellt werden sollen.
Nachdem Microsoft schon gestern (vorgestern) über entsprechende Sicherheitsupdates für seine Windows-Versionen berichtet hat, soll Apple seine iOS-Varianten mit den kommenden Versions-Updates patchen. Nutzt man schon die aktuelle Beta, darf man sich schon über ein entsprechend gepatchtes System freuen. Auch Google plant die Lücke bis spätestens zum November Security Patch zu schließen. Da die WPA2-Sicherheitslücke allerdings ein hohes Risiko darstellt, kann ein entsprechendes Update natürlich auch außerhalb der Reihe angeboten werden. Wann das der Fall sein wird, verrät Google genauso wenig wie Microsoft, da man es möglichen Angreifern nun nicht noch einfacher machen möchte.
Update vom 17.10.2017 - 10:50 Uhr
Neuesten Informationen zufolge, soll Microsoft seinen aktuell unterstützten Windows-Versionen 7, 8.1 und 10 ein entsprechendes Sicherheitsupdate spendiert haben. Dies hat Redmond in einem Statement gegenüber von TheVerge geäußert. Das bedeutet, dass jeder Windows-Nutzer (des jeweils unterstützten Betriebssystems), der die Updates nicht deaktiviert hat, sich keine Sorgen über KRACK machen sollte.
In einem gesondertem Artikel hat Microsoft aufgeschlüsselt, welche Windows-Updates zur Behebung der Sicherheitslücke notwendig sind. Für die Windows-10-Betriebssysteme sind es die nachfolgend aufgelisteten:
Auch Google arbeitet bereits eifrig an einem entsprechenden Sicherheits-Patch für Android, welcher in den kommenden Wochen ausgerollt werden soll. Erste Schätzungen gehen davon aus, dass gut 41 Prozent der im Umlauf befindlichen Android-Smartphones für KRACK anfällig sind. Große Besorgnis sollte aber auch hier nicht angebracht sein, da detailliertere Informationen über das Ausmaß der Gefährdung zum aktuellen Zeitpunkt noch nicht vorliegen. Wer sich bezüglich der WAP2-Anfälligkeit seines Smartphones nicht sicher ist, sollte seine WLAN-Aktivitäten (in öffentlichen, frei zugänglichen Netzen) bis zum kommenden Update auf ein Minimum herunter fahren oder bestenfalls ganz einstellen.
Original-Artikel vom 16.10.2017 - 14:57 Uhr
Wer einen WLAN-Router nutzt, sollte auch den Verschlüsselungs-Standard WAP2 (Wi-Fi Protect Access II) kennen, der seit über 10 Jahren als das Maß aller Dinge für die Verschlüsselung der drahtlosen Datenübertragung und bislang als unknackbar gilt. Seit mehreren Wochen arbeiteten belgische Forscher an einer Möglichkeit namens KRACK (Key Reinstallation Attacks), welche es nicht nur erlaubt, die vermeintlich sichere WLAN-Verschlüsselung zu durchbrechen um sich im Netzwerk anmelden und unverschlüsselte Datenübertragungen (via htto) mitschneiden und dokumentieren zu können, sondern möglicherweise über eine aktive Verbindung auch noch Malware einschleusen zu können.
Die Nachrichtensperre über diese Möglichkeit ist allerdings erst mit dem heutigen Tag gefallen, wie das United States Computer Emergency Readiness Team (US CERT) via arstechnica.com berichtet:
Die besagte Schwachstelle tritt beim dritten Schritt des vierstufigen Handshake-Prozesses auf, mit welchem ein Schlüssel zur Verschlüsselung des Datenverkehrs generiert wird. Diese Generierung kann im dritten Schritt allerdings mehrfach wiederholt werden und auf eine bestimmte Weise erneut und erneut gesendet werden. Dadurch wird wiederum die kryptographische Reihenfolge beibehalten womit der eigentliche Sinn einer Verschlüsselung ad absurdum geführt wird.
Bis durch die kommerziellen Anbieter und Netzwerkausrüster entsprechende Updates und Patches ausgerollt werden, empfiehlt es sich unsichere http-Seiten zu meiden und nur noch https-Seiten für private Dateneingaben zu verwenden. Bei älteren WLAN-Routern ist es allerdings fraglich ob überhaupt entsprechende Patches zur Verfügung gestellt werden, so dass sich hier die Überlegung zu einem Neukauf anbietet. Da seit August vergangenen Jahres der Routerzwang aufgehoben ist, dürfte es kein Problem mehr darstellen, auch sein Wunsch-Gerät anschließen und nutzen zu können.
Meinung des Autors: Das über "Funk" übermittelte Daten irgendwo "abgehört" werden können, ist nur eine Frage der Zeit. Kaum ein Computer ist zu jedem Zeitpunkt zu 100% als sicher zu bezeichnen, das beginnt mit einem immer aktuellen Virenscanner und endet irgendwo bei der Hardware-Firewall sowie der WPA2-Verschlüsselung bei WLAN-Routern. Meine Empfehlung ist es immer, sein Surf-Verhalten entsprechend anzupassen und dass man sich so gut absichert, wie man eben kann. Dazu gehört es dann auch, stets über die entsprechenden Risiken informiert zu sein. Persönlich gehe ich an diesen hier beschriebenen Fall recht gelassen heran da ich seit 2 Wochen stolzer Besitzer einer Fritzbox 6590 Cable bin und ich weiß, dass AVM einer der Hersteller ist, welcher am schnellsten entsprechende Updates ausrollt. Viel mehr kann ich als Privatperson nicht unternehmen.
UPDATE vom 26.10.2017 - 15:08 Uhr
Um die durch KRACK hervorgerufene WPA2-Sicherheitslücke auch bei den fehlenden WLAN-Repeatern schließen zu können, hat der Berliner Routerhersteller AVM das FRITZ!OS 6.92 veröffentlicht. Laut Hersteller können nun alle Repeater, Powerline-Geräte sowie DVB-C-Repeater der Serien 1759E, 1160, 450E, 310 und 1260E, 1240E, 546E und 540E mit dem entsprechenden Update versorgt werden.
Sicher: Alle FRITZ!WLAN Repeater und FRITZ!WLAN/Powerline haben Update erhalten: Downloads #avm #fritzwlan #WPA2-Lücke
— AVM Presse (@avm_presse) 26. Oktober 2017
UPDATE vom 18.10.2017 - 15:56 Uhr
Laut Aussage mehrerer Webseiten (via deskmodder) sollen nun auch die Hersteller Aruba, Cisco, Intel, Netgear sowie MikroTik entsprechende Patches für einen Großteil ihrer Router zur Verfügung gestellt haben. Wer noch einen WLAN-Router älterer Bauart hat oder keine Patches für sein Modell finden sollte, dem wird empfohlen, sich direkt mit dem entsprechenden Hersteller in Verbindung zu setzen. Die entsprechenden Herstellerprofile bei Facebook, Twitter & Co. dürften ebenfalls Informationen zu Updates und Patches bereit halten.
Wer eine Fritzbox des Herstellers AVM sein Eigen nennt, befindet sich auf der sicheren Seite, da diese vom Hersteller selbst als sicher und nicht angreifbar deklariert worden sind. Einzig die WLAN-Repeater sollen eine Schwachstelle aufweisen, für die noch entsprechende Updates zur Verfügung gestellt werden sollen.
Nachdem Microsoft schon gestern (vorgestern) über entsprechende Sicherheitsupdates für seine Windows-Versionen berichtet hat, soll Apple seine iOS-Varianten mit den kommenden Versions-Updates patchen. Nutzt man schon die aktuelle Beta, darf man sich schon über ein entsprechend gepatchtes System freuen. Auch Google plant die Lücke bis spätestens zum November Security Patch zu schließen. Da die WPA2-Sicherheitslücke allerdings ein hohes Risiko darstellt, kann ein entsprechendes Update natürlich auch außerhalb der Reihe angeboten werden. Wann das der Fall sein wird, verrät Google genauso wenig wie Microsoft, da man es möglichen Angreifern nun nicht noch einfacher machen möchte.
Update vom 17.10.2017 - 10:50 Uhr
Neuesten Informationen zufolge, soll Microsoft seinen aktuell unterstützten Windows-Versionen 7, 8.1 und 10 ein entsprechendes Sicherheitsupdate spendiert haben. Dies hat Redmond in einem Statement gegenüber von TheVerge geäußert. Das bedeutet, dass jeder Windows-Nutzer (des jeweils unterstützten Betriebssystems), der die Updates nicht deaktiviert hat, sich keine Sorgen über KRACK machen sollte.
"We have released a security update to address this issue. Customers who apply the update, or have automatic updates enabled, will be protected. We continue to encourage customers to turn on automatic updates to help ensure they are protected."
In einem gesondertem Artikel hat Microsoft aufgeschlüsselt, welche Windows-Updates zur Behebung der Sicherheitslücke notwendig sind. Für die Windows-10-Betriebssysteme sind es die nachfolgend aufgelisteten:
- Windows 10: KB4042895
- Windows 10 Version 1511: KB4041689
- Windows 10 Version 1607: KB4041691
- Windows Server 2016: KB4041691
- Windows 10 Version 1703: KB4041676
Auch Google arbeitet bereits eifrig an einem entsprechenden Sicherheits-Patch für Android, welcher in den kommenden Wochen ausgerollt werden soll. Erste Schätzungen gehen davon aus, dass gut 41 Prozent der im Umlauf befindlichen Android-Smartphones für KRACK anfällig sind. Große Besorgnis sollte aber auch hier nicht angebracht sein, da detailliertere Informationen über das Ausmaß der Gefährdung zum aktuellen Zeitpunkt noch nicht vorliegen. Wer sich bezüglich der WAP2-Anfälligkeit seines Smartphones nicht sicher ist, sollte seine WLAN-Aktivitäten (in öffentlichen, frei zugänglichen Netzen) bis zum kommenden Update auf ein Minimum herunter fahren oder bestenfalls ganz einstellen.
Original-Artikel vom 16.10.2017 - 14:57 Uhr
Wer einen WLAN-Router nutzt, sollte auch den Verschlüsselungs-Standard WAP2 (Wi-Fi Protect Access II) kennen, der seit über 10 Jahren als das Maß aller Dinge für die Verschlüsselung der drahtlosen Datenübertragung und bislang als unknackbar gilt. Seit mehreren Wochen arbeiteten belgische Forscher an einer Möglichkeit namens KRACK (Key Reinstallation Attacks), welche es nicht nur erlaubt, die vermeintlich sichere WLAN-Verschlüsselung zu durchbrechen um sich im Netzwerk anmelden und unverschlüsselte Datenübertragungen (via htto) mitschneiden und dokumentieren zu können, sondern möglicherweise über eine aktive Verbindung auch noch Malware einschleusen zu können.
Die Nachrichtensperre über diese Möglichkeit ist allerdings erst mit dem heutigen Tag gefallen, wie das United States Computer Emergency Readiness Team (US CERT) via arstechnica.com berichtet:
Das US-CERT ist auf einige wichtige Schwachstellen des 4-Wege-Handshake im Sicherheitsprotokoll von „Wi-Fi Protected Access II (WPA2)“ aufmerksam gemacht geworden. Die Ausnutzung dieser Schwachstellen ermöglicht Angreifern unter anderem die Entschlüsselung, das Wiederholen von Datenpaketen sowie Kapern der TCP-Verbindung und auch „HTTP content injection“. Beachten sie, dass die Probleme auf Protokollebene der meisten korrekten Implementierungen des Standards betroffen sind.
Die besagte Schwachstelle tritt beim dritten Schritt des vierstufigen Handshake-Prozesses auf, mit welchem ein Schlüssel zur Verschlüsselung des Datenverkehrs generiert wird. Diese Generierung kann im dritten Schritt allerdings mehrfach wiederholt werden und auf eine bestimmte Weise erneut und erneut gesendet werden. Dadurch wird wiederum die kryptographische Reihenfolge beibehalten womit der eigentliche Sinn einer Verschlüsselung ad absurdum geführt wird.
Bis durch die kommerziellen Anbieter und Netzwerkausrüster entsprechende Updates und Patches ausgerollt werden, empfiehlt es sich unsichere http-Seiten zu meiden und nur noch https-Seiten für private Dateneingaben zu verwenden. Bei älteren WLAN-Routern ist es allerdings fraglich ob überhaupt entsprechende Patches zur Verfügung gestellt werden, so dass sich hier die Überlegung zu einem Neukauf anbietet. Da seit August vergangenen Jahres der Routerzwang aufgehoben ist, dürfte es kein Problem mehr darstellen, auch sein Wunsch-Gerät anschließen und nutzen zu können.
Quellen: diverse
Meinung des Autors: Das über "Funk" übermittelte Daten irgendwo "abgehört" werden können, ist nur eine Frage der Zeit. Kaum ein Computer ist zu jedem Zeitpunkt zu 100% als sicher zu bezeichnen, das beginnt mit einem immer aktuellen Virenscanner und endet irgendwo bei der Hardware-Firewall sowie der WPA2-Verschlüsselung bei WLAN-Routern. Meine Empfehlung ist es immer, sein Surf-Verhalten entsprechend anzupassen und dass man sich so gut absichert, wie man eben kann. Dazu gehört es dann auch, stets über die entsprechenden Risiken informiert zu sein. Persönlich gehe ich an diesen hier beschriebenen Fall recht gelassen heran da ich seit 2 Wochen stolzer Besitzer einer Fritzbox 6590 Cable bin und ich weiß, dass AVM einer der Hersteller ist, welcher am schnellsten entsprechende Updates ausrollt. Viel mehr kann ich als Privatperson nicht unternehmen.
