the-buccaneer
Goto Top

WPA-2 hat erste Risse: KRACK

Finde ich nur den Beitrag nicht, oder hat hier wirklich noch niemand was zu KRACK geposted?

https://www.heise.de/meldung/WPA2-Forscher-entdecken-Schwachstelle-in-WL ...

https://www.heise.de/meldung/Details-zur-KRACK-Attacke-WPA2-ist-angeschl ...

https://www.heise.de/meldung/Die-KRACK-Attacke-Gefahr-und-Schutz-eine-Ei ...

Und die ersten Reaktionen der Hersteller: https://www.heise.de/meldung/KRACK-Hersteller-Updates-und-Stellungnahmen ...

Die WIFI-Alliance hält den Ball eher flach und will noch ausgiebig testen.

AVM wartet auch noch ab, https://avm.de/service/aktuelle-sicherheitshinweise/ einige Hersteller, z:B. Ubiquity patchen schon...

FreeBSD arbeitet noch dran, die aktuelle PfSense wird wohl einen einfach zu installierenden Patch bekommen. Ob das mit älteren Versionen auch geht?

Mal sehen, was das wird.

e mare libertas
Buc

Sollte der Thread zum Thema bereits existieren freue ich mich über den Link. Dann darf das hier auch gerne gelöscht werden. face-wink

Content-Key: 351999

Url: https://administrator.de/contentid/351999

Ausgedruckt am: 19.03.2024 um 02:03 Uhr

Mitglied: chgorges
chgorges 17.10.2017 um 23:28:34 Uhr
Goto Top
Geh ins Bett, schlaf dich aus ;)

Schwachstelle im WPA2 Protokoll veröffentlicht
Mitglied: the-buccaneer
the-buccaneer 17.10.2017 um 23:36:23 Uhr
Goto Top
Den hatte ich wirklich übersehen.
Hatte sogar die Suche bemüht mit "KRACK" und "WPA-2". Da kam nix. Glaub ich. face-wink

Naja, irgendwie ergänzen sich die Beiträge ja...

Bett ist leider noch nix.

Muss noch ne sterbende Platte klonen, wenn ich gleich heimkomm...

Buc
Mitglied: 108012
108012 18.10.2017 um 00:56:26 Uhr
Goto Top
Hallo,

Finde ich nur den Beitrag nicht, oder hat hier wirklich noch niemand was zu KRACK geposted?
Schwachstelle im WPA2 Protokoll veröffentlicht
Meldung von @colinardo, am 16.10.2017

Die WIFI-Alliance hält den Ball eher flach und will noch ausgiebig testen.
Klar die wollen den großen drei noch nicht das Spielzeug wegnehmen bevor das nächste "Ding"
zieht! War doch klar, oder?

AVM wartet auch noch ab, https://avm.de/service/aktuelle-sicherheitshinweise/ einige Hersteller, z:B. Ubiquity patchen schon...
MikroTik war der schnellste in Punkte Krack, dann müssen die anderen eben auch mitziehen sonst wird das alles nichts.

FreeBSD arbeitet noch dran, die aktuelle PfSense wird wohl einen einfach zu installierenden Patch bekommen.
Ob das mit älteren Versionen auch geht?
Du hast dort aber die Möglichkeiten, mittels der RadiusServers zusammen mit Zertifikaten die Sache besser abzusichern
und mittels VLANs und Snort oder Suricata ist man da noch einmal besser mit aufgestellt ein Eindringen besser abzuschotten
und/oder ausfindig zu machen.

Mal sehen, was das wird.
Ich denke die Verschlüsselung war wohl so oder mal überfällig, denn seitdem es andere Sachen gibt wie AES-512 und
AES-GCM als Modus kann man da auch mal etwas neueres und sicheres mit ins Spiel bringen, oder?

Gruß
Dobby
Mitglied: Sheogorath
Sheogorath 18.10.2017 aktualisiert um 01:59:47 Uhr
Goto Top
Moin,

Ich denke die Verschlüsselung war wohl so oder mal überfällig, denn seitdem es andere Sachen gibt wie AES-512 und
AES-GCM als Modus kann man da auch mal etwas neueres und sicheres mit ins Spiel bringen, oder?

Das wird bei der erwähnen Attacke gar nichts ändern. Denn es wird der Schlüsselaustausch angegriffen, genauer gesagt der Austausch des Sessionschlüssels, nicht die Verschlüsselung selbst.

Fakt ist im Moment: Jedes Endgerät welches die WPA2 Spezifikation vollständig und richtig implementiert hat, ist angreifbar.

Was übrigens dann so ziemlich alle auf Linux basierenden Systeme sind. Und während man bei Desktop-PC, Notebooks und freier IoT Software mit 1-2 Zeilen aus dem Schneider ist, sobald die eigene Distro den patch freigegeben hat , wird überall wo eine Firmware neugebaut werden muss wohl noch eine Zeit verstreichen bis ein Update kommt, wenn überhaupt. Es freut sich jeder Android-User…

Interessant wird es bei all dem IoT-Schrott, der überall rumsteht und rumfunkt. Viellecht ist das ein erster Schritt in die richtige Richtung um Updatebereitstellungspflichten einzuführen. Quasi Updates als Teil der Gewährleistung (was übrigens auch heißt: 2 Jahre) zu verstehen, was Sicherheitsupdates einschließt.

Ich träume schon wieder von einer besseren Welt.

Schauen wir mal…

Gruß
Chris
Mitglied: sabines
sabines 18.10.2017 um 06:44:41 Uhr
Goto Top
Moin,

ich find' grad den Link nicht mehr, aber AVM hat gestern Entwarung gegeben und gleichzeitig darauf hingewiesen, dass sie nicht vorab über die Lücke informiert wurden. Sie stehen auch nicht auf der Liste https://www.kb.cert.org/vuls/byvendor?searchview&Query=FIELD+Referen ...

Gruss
Mitglied: chgorges
chgorges 18.10.2017 um 09:19:11 Uhr
Goto Top
Zitat von @108012:
AVM wartet auch noch ab, https://avm.de/service/aktuelle-sicherheitshinweise/ einige Hersteller, z:B. Ubiquity patchen schon...
MikroTik war der schnellste in Punkte Krack, dann müssen die anderen eben auch mitziehen sonst wird das alles nichts.

Das ist immer noch nicht richtig, KRACK ist eine Client-Side-Attack, das Patchen von Routern/AccessPoints in sekundär, viel wichtiger ist das Installieren der neuesten OS-Updates.
Siehe Microsoft, haben ohne es groß zu publizieren, mit dem Oktober 17 Patchday die Lücke geschlossen...
Mitglied: keine-ahnung
keine-ahnung 18.10.2017 um 11:04:44 Uhr
Goto Top
Moin,
LANCOM hat dazu ein statement abgegeben:
Der Angriff zielt auf die WPA-Anmeldung und betrifft konkret 802.11r (Roaming-Beschleunigung), den Station-Mode (WLAN-Client-Modus, AutoWDS) sowie den Standard 802.11s. Er nutzt Ungenauigkeiten in der Protokollspezifikation aus und betrifft grundsätzlich alle Hersteller, die die entsprechenden Protokolle bzw. Betriebsarten unterstützen.
802.11s wird von LANCOM WLAN-Produkten nicht unterstützt. 802.11r sowie der Station-Mode sind in unseren Produkten standardmäßig > deaktiviert. Alle LANCOM Produkte, bei denen diese Parameter bzw. Betriebsarten nicht explizit aktiviert wurden, sind von Krack nicht betroffen.
Interne Tests haben jedoch ergeben, dass LANCOM WLAN-Geräte mit manuell bzw. nachträglich aktiviertem 802.11r potentiell anfällig für Krack sind. Ob die Schwachstelle auch im Station-Mode besteht, befindet sich derzeit noch in Prüfung.
Wir werden kurzfristig ein LCOS Sicherheitsupdate für alle WLAN-Geräte herausbringen, bei dem der dokumentierte Angriff auch bei aktiviertem 802.11r bzw. Station-Mode sicher verhindert wird.
Bis dahin empfehlen wir allen Kunden, 802.11r sowie den Station-Mode bei sicherheitskritischen Anwendungen nicht zu nutzen. Über ein Tool kann festgestellt werden, ob diese kundenseitig aktiviert wurden. Eine genaue Anleitung steht Ihnen im folgendem KnowledgeBase-Artikel zur Verfügung. Über die Verfügbarkeit des LCOS Updates informieren wir umgehend.
Bitte informieren Sie sich zudem beim jeweiligen Hersteller über die Verfügbarkeit von Updates für Ihre WLAN-Clients. Auch diese Geräte müssen aktualisiert werden.

LG, Thomas
Mitglied: GrueneSosseMitSpeck
GrueneSosseMitSpeck 18.10.2017 um 12:52:10 Uhr
Goto Top
TP-Link arbeitet auch noch an einem Patch... unser Ipad2 kann ich wohl wegwerfen, dazu ein halbes Dutzend Wifi Sticks und ältere Wifi Hotspots und mein Windows XP Netbook wird auch kein Update von MS mehr kriegen...

Ansonsten sind aktuell nur unverschlüsselte bzw. ungetunnelte Verbindungen angreifbar. Wer einen VPN Tunnel mit entsprechender End-to-End Verschlüsselung hat, oder per HTTPS auf eine Website zugreift, muß sich aktuell eher geringe Sorgen machen.

Vermutlich wurde die Tatsache von Geheimdiensten schon länger ausgenutzt, denn ein angreifbarer Standard ist für die immer noch das Beste was denen passieren kann. Wäre mal interessant, ob von der NSA oder sonstigen Geheimdiensten gesponsorte Mitarbeiter da einen bewußt nicht ganz abgesicherten Standard gepuscht hatten... wäre nicht das erste Mal.
Mitglied: the-buccaneer
the-buccaneer 19.10.2017 um 04:02:56 Uhr
Goto Top
Interessant ist der deutsche Wikipedia Artikel: Als ob es noch im Entwurfsstadium wäre:
https://de.wikipedia.org/wiki/IEEE_802.11s

Ich bin mir SEHR sicher, dass ich beide Standards an keinem Standort bewusst im Einsatz habe. Weder wird sich schnell bewegt, noch benötige ich ein Netzwerk auf MAC-Ebene. (Warum routen wir IP's und nicht MACs?) Welche Firmware das implementiert hat? Keine Ahnung.
Aber da bin ich auch abgehängt. Mich interessiert das nicht. Ich arbeite lieber auf Schicht 8. ("Human Integration Layer")

Und der Gap wird immer größer zwischen denen die milliardenschwer profitieren und das durchpowern und denen, die das am Ende bezahlen und installieren, ohne zu wissen, was sie sich einhandeln.

Minimum wären stärkere Haftungsregeln. (Du hast das gebaut und verkauft und kein Update geliefert: DU BIST SCHULD UND DU BEZAHLST!)

Und das schlimmste ist: All das Gedöns macht uns nicht glücklicher. Da gibt es viele Studien. Aber gläserner. Der sich freiwillig im Schlafzimmer eine öffentliche IP-Kamera installiert ist der einzig konsequente.
Eigentlich wundert es mich manchmal, dass wir noch verschlüsseln können oder dürfen. Wären wir nicht viel sicherer und viel gleicher, wenn wir alle Alles für alle öffentlich machen würden? Ach ne, dann wüssten wir ja, dass der Kollege doppelt soviel verdient...

Eisenhower hat vor dem militärisch-industriellen Komplex gewarnt, nun kommt der finanz-it-technologische Komplex dazu...

Nachtgedanken...

Buc
Mitglied: chgorges
chgorges 19.10.2017 aktualisiert um 10:20:43 Uhr
Goto Top
Zitat von @the-buccaneer:

Interessant ist der deutsche Wikipedia Artikel: Als ob es noch im Entwurfsstadium wäre:
https://de.wikipedia.org/wiki/IEEE_802.11s

Wobei Wikipedia dahingehend noch nie ein zuverlässiges Medium war/ist, weil Hinz und Kunz die Einträge beeinflussen können...
Mitglied: the-buccaneer
the-buccaneer 27.10.2017 um 01:06:38 Uhr
Goto Top
Leider ist Wikipedia bei einigen kritischen Inhalten mittlerweile hochkontrolliert und nicht mehr beeinflussbar. (siehe z.B. den Fall Daniele Ganser)

Sollte man die Energien lieber auf solche schlechten Einträge verwenden...