WPA-2 hat erste Risse: KRACK

Mitglied: the-buccaneer

the-buccaneer (Level 2) - Jetzt verbinden

17.10.2017 um 23:06 Uhr, 1370 Aufrufe, 11 Kommentare, 1 Danke

Finde ich nur den Beitrag nicht, oder hat hier wirklich noch niemand was zu KRACK geposted?

https://www.heise.de/meldung/WPA2-Forscher-entdecken-Schwachstelle-in-WL ...

https://www.heise.de/meldung/Details-zur-KRACK-Attacke-WPA2-ist-angeschl ...

https://www.heise.de/meldung/Die-KRACK-Attacke-Gefahr-und-Schutz-eine-Ei ...

Und die ersten Reaktionen der Hersteller: https://www.heise.de/meldung/KRACK-Hersteller-Updates-und-Stellungnahmen ...

Die WIFI-Alliance hält den Ball eher flach und will noch ausgiebig testen.

AVM wartet auch noch ab, https://avm.de/service/aktuelle-sicherheitshinweise/ einige Hersteller, z:B. Ubiquity patchen schon...

FreeBSD arbeitet noch dran, die aktuelle PfSense wird wohl einen einfach zu installierenden Patch bekommen. Ob das mit älteren Versionen auch geht?

Mal sehen, was das wird.

e mare libertas
Buc

Sollte der Thread zum Thema bereits existieren freue ich mich über den Link. Dann darf das hier auch gerne gelöscht werden.
Mitglied: the-buccaneer
17.10.2017 um 23:36 Uhr
Den hatte ich wirklich übersehen.
Hatte sogar die Suche bemüht mit "KRACK" und "WPA-2". Da kam nix. Glaub ich.

Naja, irgendwie ergänzen sich die Beiträge ja...

Bett ist leider noch nix.

Muss noch ne sterbende Platte klonen, wenn ich gleich heimkomm...

Buc
Bitte warten ..
Mitglied: 108012
18.10.2017 um 00:56 Uhr
Hallo,

Finde ich nur den Beitrag nicht, oder hat hier wirklich noch niemand was zu KRACK geposted?
Schwachstelle im WPA2 Protokoll veröffentlicht
Meldung von @colinardo, am 16.10.2017

Die WIFI-Alliance hält den Ball eher flach und will noch ausgiebig testen.
Klar die wollen den großen drei noch nicht das Spielzeug wegnehmen bevor das nächste "Ding"
zieht! War doch klar, oder?

AVM wartet auch noch ab, https://avm.de/service/aktuelle-sicherheitshinweise/ einige Hersteller, z:B. Ubiquity patchen schon...
MikroTik war der schnellste in Punkte Krack, dann müssen die anderen eben auch mitziehen sonst wird das alles nichts.

FreeBSD arbeitet noch dran, die aktuelle PfSense wird wohl einen einfach zu installierenden Patch bekommen.
Ob das mit älteren Versionen auch geht?
Du hast dort aber die Möglichkeiten, mittels der RadiusServers zusammen mit Zertifikaten die Sache besser abzusichern
und mittels VLANs und Snort oder Suricata ist man da noch einmal besser mit aufgestellt ein Eindringen besser abzuschotten
und/oder ausfindig zu machen.

Mal sehen, was das wird.
Ich denke die Verschlüsselung war wohl so oder mal überfällig, denn seitdem es andere Sachen gibt wie AES-512 und
AES-GCM als Modus kann man da auch mal etwas neueres und sicheres mit ins Spiel bringen, oder?

Gruß
Dobby
Bitte warten ..
Mitglied: Sheogorath
18.10.2017, aktualisiert um 01:59 Uhr
Moin,

Ich denke die Verschlüsselung war wohl so oder mal überfällig, denn seitdem es andere Sachen gibt wie AES-512 und
AES-GCM als Modus kann man da auch mal etwas neueres und sicheres mit ins Spiel bringen, oder?

Das wird bei der erwähnen Attacke gar nichts ändern. Denn es wird der Schlüsselaustausch angegriffen, genauer gesagt der Austausch des Sessionschlüssels, nicht die Verschlüsselung selbst.

Fakt ist im Moment: Jedes Endgerät welches die WPA2 Spezifikation vollständig und richtig implementiert hat, ist angreifbar.

Was übrigens dann so ziemlich alle auf Linux basierenden Systeme sind. Und während man bei Desktop-PC, Notebooks und freier IoT Software mit 1-2 Zeilen aus dem Schneider ist, sobald die eigene Distro den patch freigegeben hat , wird überall wo eine Firmware neugebaut werden muss wohl noch eine Zeit verstreichen bis ein Update kommt, wenn überhaupt. Es freut sich jeder Android-User…

Interessant wird es bei all dem IoT-Schrott, der überall rumsteht und rumfunkt. Viellecht ist das ein erster Schritt in die richtige Richtung um Updatebereitstellungspflichten einzuführen. Quasi Updates als Teil der Gewährleistung (was übrigens auch heißt: 2 Jahre) zu verstehen, was Sicherheitsupdates einschließt.

Ich träume schon wieder von einer besseren Welt.

Schauen wir mal…

Gruß
Chris
Bitte warten ..
Mitglied: sabines
18.10.2017 um 06:44 Uhr
Moin,

ich find' grad den Link nicht mehr, aber AVM hat gestern Entwarung gegeben und gleichzeitig darauf hingewiesen, dass sie nicht vorab über die Lücke informiert wurden. Sie stehen auch nicht auf der Liste https://www.kb.cert.org/vuls/byvendor?searchview&Query=FIELD+Referen ...

Gruss
Bitte warten ..
Mitglied: chgorges
18.10.2017 um 09:19 Uhr
Zitat von 108012:
AVM wartet auch noch ab, https://avm.de/service/aktuelle-sicherheitshinweise/ einige Hersteller, z:B. Ubiquity patchen schon...
MikroTik war der schnellste in Punkte Krack, dann müssen die anderen eben auch mitziehen sonst wird das alles nichts.

Das ist immer noch nicht richtig, KRACK ist eine Client-Side-Attack, das Patchen von Routern/AccessPoints in sekundär, viel wichtiger ist das Installieren der neuesten OS-Updates.
Siehe Microsoft, haben ohne es groß zu publizieren, mit dem Oktober 17 Patchday die Lücke geschlossen...
Bitte warten ..
Mitglied: keine-ahnung
18.10.2017 um 11:04 Uhr
Moin,
LANCOM hat dazu ein statement abgegeben:
Der Angriff zielt auf die WPA-Anmeldung und betrifft konkret 802.11r (Roaming-Beschleunigung), den Station-Mode (WLAN-Client-Modus, AutoWDS) sowie den Standard 802.11s. Er nutzt Ungenauigkeiten in der Protokollspezifikation aus und betrifft grundsätzlich alle Hersteller, die die entsprechenden Protokolle bzw. Betriebsarten unterstützen.
802.11s wird von LANCOM WLAN-Produkten nicht unterstützt. 802.11r sowie der Station-Mode sind in unseren Produkten standardmäßig > deaktiviert. Alle LANCOM Produkte, bei denen diese Parameter bzw. Betriebsarten nicht explizit aktiviert wurden, sind von Krack nicht betroffen.
Interne Tests haben jedoch ergeben, dass LANCOM WLAN-Geräte mit manuell bzw. nachträglich aktiviertem 802.11r potentiell anfällig für Krack sind. Ob die Schwachstelle auch im Station-Mode besteht, befindet sich derzeit noch in Prüfung.
Wir werden kurzfristig ein LCOS Sicherheitsupdate für alle WLAN-Geräte herausbringen, bei dem der dokumentierte Angriff auch bei aktiviertem 802.11r bzw. Station-Mode sicher verhindert wird.
Bis dahin empfehlen wir allen Kunden, 802.11r sowie den Station-Mode bei sicherheitskritischen Anwendungen nicht zu nutzen. Über ein Tool kann festgestellt werden, ob diese kundenseitig aktiviert wurden. Eine genaue Anleitung steht Ihnen im folgendem KnowledgeBase-Artikel zur Verfügung. Über die Verfügbarkeit des LCOS Updates informieren wir umgehend.
Bitte informieren Sie sich zudem beim jeweiligen Hersteller über die Verfügbarkeit von Updates für Ihre WLAN-Clients. Auch diese Geräte müssen aktualisiert werden.

LG, Thomas
Bitte warten ..
Mitglied: GrueneSosseMitSpeck
18.10.2017 um 12:52 Uhr
TP-Link arbeitet auch noch an einem Patch... unser Ipad2 kann ich wohl wegwerfen, dazu ein halbes Dutzend Wifi Sticks und ältere Wifi Hotspots und mein Windows XP Netbook wird auch kein Update von MS mehr kriegen...

Ansonsten sind aktuell nur unverschlüsselte bzw. ungetunnelte Verbindungen angreifbar. Wer einen VPN Tunnel mit entsprechender End-to-End Verschlüsselung hat, oder per HTTPS auf eine Website zugreift, muß sich aktuell eher geringe Sorgen machen.

Vermutlich wurde die Tatsache von Geheimdiensten schon länger ausgenutzt, denn ein angreifbarer Standard ist für die immer noch das Beste was denen passieren kann. Wäre mal interessant, ob von der NSA oder sonstigen Geheimdiensten gesponsorte Mitarbeiter da einen bewußt nicht ganz abgesicherten Standard gepuscht hatten... wäre nicht das erste Mal.
Bitte warten ..
Mitglied: the-buccaneer
19.10.2017 um 04:02 Uhr
Interessant ist der deutsche Wikipedia Artikel: Als ob es noch im Entwurfsstadium wäre:
https://de.wikipedia.org/wiki/IEEE_802.11s

Ich bin mir SEHR sicher, dass ich beide Standards an keinem Standort bewusst im Einsatz habe. Weder wird sich schnell bewegt, noch benötige ich ein Netzwerk auf MAC-Ebene. (Warum routen wir IP's und nicht MACs?) Welche Firmware das implementiert hat? Keine Ahnung.
Aber da bin ich auch abgehängt. Mich interessiert das nicht. Ich arbeite lieber auf Schicht 8. ("Human Integration Layer")

Und der Gap wird immer größer zwischen denen die milliardenschwer profitieren und das durchpowern und denen, die das am Ende bezahlen und installieren, ohne zu wissen, was sie sich einhandeln.

Minimum wären stärkere Haftungsregeln. (Du hast das gebaut und verkauft und kein Update geliefert: DU BIST SCHULD UND DU BEZAHLST!)

Und das schlimmste ist: All das Gedöns macht uns nicht glücklicher. Da gibt es viele Studien. Aber gläserner. Der sich freiwillig im Schlafzimmer eine öffentliche IP-Kamera installiert ist der einzig konsequente.
Eigentlich wundert es mich manchmal, dass wir noch verschlüsseln können oder dürfen. Wären wir nicht viel sicherer und viel gleicher, wenn wir alle Alles für alle öffentlich machen würden? Ach ne, dann wüssten wir ja, dass der Kollege doppelt soviel verdient...

Eisenhower hat vor dem militärisch-industriellen Komplex gewarnt, nun kommt der finanz-it-technologische Komplex dazu...

Nachtgedanken...

Buc
Bitte warten ..
Mitglied: chgorges
19.10.2017, aktualisiert um 10:20 Uhr
Zitat von the-buccaneer:

Interessant ist der deutsche Wikipedia Artikel: Als ob es noch im Entwurfsstadium wäre:
https://de.wikipedia.org/wiki/IEEE_802.11s

Wobei Wikipedia dahingehend noch nie ein zuverlässiges Medium war/ist, weil Hinz und Kunz die Einträge beeinflussen können...
Bitte warten ..
Mitglied: the-buccaneer
27.10.2017 um 01:06 Uhr
Leider ist Wikipedia bei einigen kritischen Inhalten mittlerweile hochkontrolliert und nicht mehr beeinflussbar. (siehe z.B. den Fall Daniele Ganser)

Sollte man die Energien lieber auf solche schlechten Einträge verwenden...
Bitte warten ..
Heiß diskutierte Inhalte
Ubuntu
HAProxy-Wi: Installation des Pakets geht nicht - ich hätte keine enabled Repos
itnirvanaFrageUbuntu37 Kommentare

Hallo, von der Seite möchte ich gerne HAProxy-Wi installieren ich führe das hier aus Dann kommt -> There ar ...

LAN, WAN, Wireless
Wlan Messgerät
gelöst fizlibuzliFrageLAN, WAN, Wireless23 Kommentare

Hallo, gibt es erschwingliche Messgeräte um vorhanden W-Lan ausleuchtungen in ihrer Signalstärke und Bandbreite zu messen. Es sollen einfache ...

Microsoft
Failover Cluster Network
samreinFrageMicrosoft22 Kommentare

Hallo zusammen, toller Freitag heute vielleicht kann mir jemand unter die Arme greifen. Ich habe einen Failover Cluster gebaut. ...

Windows Server
PowerShell Script für MailVersand mit Anhang
gelöst klausk94FrageWindows Server20 Kommentare

Hallo Zusammen, ich bin aktuell etwas am verzweifeln an einem PS Script für den Emailversand Das Script funktioniert, jedoch ...

Router & Routing
Kaufempfehlung WLAN Router mit VLAN Unterstützung
ccreccFrageRouter & Routing20 Kommentare

Hallo zusammen, ich wollte mal nach einer Kaufempfehlung für einen WLAN Access Point mit halbwegs vernünftiger VLAN Unterstützung fragen. ...

Windows Installation
Einmaliger Betriebssystem Rollout
StUffzFrageWindows Installation15 Kommentare

Hallo liebes Forum, Baramundi, SCCM, ZENworks & Co sind Softwareverteilungssysteme für eher "größere" Unternehmen ich bin auf der Suche ...

Ähnliche Inhalte
Windows Update

Windows 10 1903 Updates über Wsus erst nach Auswahl weiterer Produktkategorie

Spirit-of-EliInformationWindows Update6 Kommentare

Moin, den Tipp habe ich hier noch nicht gesehen. Er adressiert all diejenigen, die Windows 10 1903 über einen ...

Google Android

Google stellt Pixel-Smartphones Pixel 2 und Pixel 2 XL vor

FrankInformationGoogle Android6 Kommentare

Heute Abend hat Google die zweiten Generation seiner Pixel-Smartphones vorgestellt: Pixel 2 und Pixel 2 XL. Das kleine Pixel ...

Humor (lol)

Telekom vs. O2 - 3:2

the-buccaneerErfahrungsberichtHumor (lol)5 Kommentare

Unglaublich aber wahr: Nachdem mein privater Anschluss am 19.04.18 auf VOIP und VDSL umgestellt wurde, hatte ich seitdem 1,5 ...

Weiterbildung

2. IT Pro Night Thema Sicherheit

1Werner1InformationWeiterbildung

Moin, nach dem im letzten Jahr die IT ProNight ein voller Erfolg war, haben wir diese dies Jahr ins ...

Windows Update

Microsoft deaktiviert Spectre-2-Patches für Windows

wuurianInformationWindows Update7 Kommentare

Alle Windows-Rechner mit noch unterstütztem Betriebssystem und einem Broadwell-, Haswell- oder Skylake-Chip bekommen ein außerplanmäßiges Update - das ein ...

Sicherheit

E-Mail-Sicherheitscheck speichert IP Adressen 2 Jahre

sabinesInformationSicherheit

Die EU Kommission bietet einen E-Mail-Sicherheitscheck an, hierbei wird eine Mail an die eigene Mailadresse gesendet, darau geantwortet und ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT