The WPA2 security issue: Time to un-KRACK your WIFI

KRACK-Schwachstellen im WPA2-Protokoll: Zeit, euer WLAN zu schützen – Update Nov. 2017

Update 10.11.2017

Inzwischen haben alle größeren Smartphone-Anbieter einen Patch für diese Schwachstelle geliefert. Bereits im Oktober hatten Microsoft und Apple die KRACK-Schwachstelle in ihrem System entfernt. Für Android folgte Google nun vor einigen Tagen. Das „2017-11-06“-Update könnt ihr unter „Stand der Sicherheitsupdates“ einsehen. Eine Übersicht der Anbieter, die für KRACK eine Lösung in ihren Systemen zur Verfügung gestellt haben, findet ihr auf Bleepingcomputer.com.

Original-Artikel

KRACK ist zurzeit allgegenwärtig: Nachdem Sicherheitsforscher die Lücke im WPA2-Protokoll, dem weltweit gängigsten Verschlüsselungsalgorithmus, entdeckten, sind alle WLAN-fähigen Geräte gefährdet.

Das Problem ist riesig – alle Geräte, die den sogenannten „Wi-Fi Protected Access 2“ (WPA2) verwenden, sind betroffen – im Klartext: PC, Apple-Geräte, Android-Smartphones, WLAN-Router und jene intelligenten, Linux-betriebenen Systeme. Im Grunde also alles, was ein WLAN verwendet.

KRACK (Key Reinstallation Attack) erlaubt es Hackern, Anwender aus einer verschlüsselten HTTPS-WLAN-Verbindung heraus und in ein schädliches, geklontes Netzwerk hinein zu schleusen. Einmal in diese neue, unverschlüsselte HTTP-Verbindung geraten, ist das grüne Vorhängeschloss in der Browser-Adressleiste verschwunden und der Man-in-the-Middle-Angreifer kann alle eure Online-Aktivitäten sehen, eure Zugangsdaten und Passwörter auslesen und sogar den Inhalt von Nachrichten manipulieren.

Ursache ist die Aushebelung des sogenannten 4-Wege-Handshakes zwischen eurem Gerät und dem WLAN Zugangspunkt. Anstatt dass beide Teilnehmer eine Bestätigung für ihre verschlüsselte Kommunikation erhalten, zwingt die Attacke sie zur unverschlüsselten Kommunikation – es folgt die Umleitung zur geklonten Verbindung, die Hackern freien Zugang zu eurer jetzt wieder unverschlüsselten Kommunikation gibt.

Wie gefährdet seid ihr?

Wenn ihr für die Verbindung ins Internet ein WLAN verwendet, seid ihr gefährdet. KRACK schleust Nullen in den WPA2-Verschlüsselungsalgorithmus ein – ausgerechnet in diese vermeintlich sicherste aller Verschlüsselungstechniken – die mit Sicherheit auch auf eurem Router zu Hause zu finden ist.

Das Ausmaß der Gefährdung ist unglaublich groß. Selbst wenn ihr bereits einen Patch für euren PC ausgeführt habt (Windows hat bereits einen Patch veröffentlicht), bleiben eure Apple- und Android-Geräte risikobehaftet – und ganz besonders dort, wo das WLAN noch nicht vollständig gepatcht ist. Falls ihr noch kein VPN nutzen – jetzt solltet ihr damit anfangen.

Was ist ein VPN?

VPN steht für Virtual Private Network und bietet die einzige Möglichkeit über ungesicherte Netzwerke, wie es gerade fast überall der Fall ist, sicher zu kommunizieren.

Ein VPN sorgt dafür, dass die Datenpakete ob sie nun verschlüsselt sind oder nicht, ähnlich wie bei einem Einschreiben per Post in einer Art sicher versiegeltem Umschlag übermittelt werden. Selbst wenn ein Man-in-the-Middle-Angreifer in einem öffentlichen Café versucht an eure Daten heran zu kommen, kann er diesen versiegelten Umschlag nicht öffnen, um die verschlüsselte Nachricht zu lesen.

Ein vollwertiges VPN, wie zum Beispiel der Avira Phantom VPN, verschlüsselt eure Datenpakete vollständig. Wohingegen einige Proxy-VPNs, vor allem die für Android-Geräte, die Datenpakete lediglich mit einer weiterleitenden Adresse versehen, um diesen dabei zu helfen, lokale Beschränkungen zu umgehen. Mit der tatsächlichen Funktion eines VPNs, der Verschlüsselung eurer Online-Aktivitäten, hat das nichts zu tun.

Behandelt euer WLAN zu Hause wie ein öffentliches WLAN

Ein VPN ist unentbehrlich, wenn ihr ein öffentliches WLAN-Netzwerk verwendet, wie z. B. in einem Café. Die Folge von KRACK: Ihr müsst jetzt euer Heimnetzwerk wie ein öffentliches Netzwerk behandeln und davon ausgehen, dass alle eure Verbindungen eingesehen werden können. Das Versenden sensibler Daten solltet ihr unbedingt vermeiden. Bis ihr euch sicher seid, dass euer Router und alle eure verbundenen Geräte gepatched wurden, solltet ihr ein VPN verwenden und es so konfigurieren, dass es sich immer automatisch verbindet, sobald ihr online geht.

Sind alle Patches ausgeführt?

Das einzig Gute an KRACK ist, dass alle Patches überarbeitet wurden und wahrscheinlich bereits verfügbar sind. Microsoft hat schon User-Patches in seine automatischen Updates integriert. Apple und Google arbeiten ebenfalls an Patches für ihre jeweiligen Betriebssysteme. Das Problem ist oftmals das Timing, denn das nächste Google-Update für Android ist für den 6. November festgelegt. Es könnte jedoch Monate dauern, bis individuelle Hersteller es veröffentlichen. Dies zeigt, wie wichtig es ist einen Software Updater zu haben, der automatisch Patches herunterlädt und dem Anwender zur Verfügung stellt – ein großartiges Tool.

Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.