ComputerBase Menü
Aktuelles

WPA2-Verschlüsselung ist unsicher - KRACK

Status
Für weitere Antworten geschlossen.
Bolko

Bolko

Commander
Registriert
Sep. 2012
Beiträge
2.082
WPA2-Verschlüsselung ist unsicher - KRACK

Die WPA2-WLAN-Verschlüsselung lässt sich aushebeln, indem man bei Stufe 3 des Handshake einen anderen Schlüssel einfügt.
Man kann dann die Verbindung abhören oder aber auch Daten auf den Router oder den Computer schmuggeln und beide damit übernehmen. Das Problem liegt am WPA2-Protokoll und nicht an einer fehlerhaften Programmierung. Offenbar fällt WPA2 auf RC4 zurück, falls AES nicht klappt. Da der WPA2-Schlüssel in Stufe 3 des Handshakes mehrfach hin- und her geschickt wird, lässt sich dabei der Schlüssel ändern, ohne dass der User das merkt.. Linux und Android 6 haben obendrein noch die negative Eigenart auf den Standardschlüssel 00000000 zurückzufallen.

Quellen:
https://www.krackattacks.com/
http://papers.mathyvanhoef.com/ccs2017.pdf
https://arstechnica.com/information...l-leaves-wi-fi-traffic-open-to-eavesdropping/
http://blog.fefe.de/?ts=a71aa4a6
http://winfuture.de/news,100117.html
https://twitter.com/kennwhite/status/919522184384729089
https://www.reddit.com/r/PFSENSE/comments/76ksdi/core_protocollevel_flaw_in_wpa2_possible_impact/
https://www.reddit.com/r/KRaCK/comments/76pjf8/krack_megathread_check_back_often_for_updated/
 
Zuletzt bearbeitet:
Ahahaha, und da denkt man ernsthaft es hätte sich jemand Gedanken um die Implementierung gemacht :lol:

Also dass man einen anderen Schlüssel einscdhmuggelt, ok, aber 00000000 als Standarschlüssel?! O.o

Immerhin haben manche Anbieter ihre Geräte schon gefixt.

@Bolko
Ignorier doch den Miesepeter einfach :D
 
Wird viel zu heiß gekocht das Thema... Klar unschön aber solange man https nutzt ist alles ok.

Müsste mal schauen ob dd-wrt auch davon betroffen ist aber ich denke mal wenn wird das schon bald gefixed sein.
 
Cool Master schrieb:
aber solange man https nutzt ist alles ok.
Zum Vergrößern anklicken....
Wie gut, dass das Internet nur aus https besteht ach nein warte... smtp, dns, p2p, streaming und dann noch die Dienste die du so in deinem privaten Netzwerk betreibst... Inhouse-Streaming vom NAS, Backups aufs NAS, Chromecast/Streaming/whatever.

Immerhin muss ein Angreifer in Reichweite von AP und Client sein was das Ganze ein klein wenig relativiert.

Linux bzw die div. Distributionen haben bereits einen Patch ausgerollt, sodass die größeren Distris abgesichert sind, BSD ebenso bzw. die haben schon einen silent patch vor kurzem veröffentlicht. Android unsicher bzw ein Patch-Flickenteppich wie eh und je, Windows musst auf den nächsten (außerplanmäßigen?) Patchday warten und OSX/iOS unbekannter Patchstatus...

Aruba hat nen Patch angekündigt, AVM ebenso und Ubiquiti hat einen bereits in deren Beta-Channel. Die ganzen oder ein nicht gerade kleiner Anteil der Plasterouter, die ein Großteil der Nutzer zuhause stehen haben wird, werden wohl ungepatcht bleiben entweder weil der Hersteller keine Updates raus bringt oder es gar keinen Update-Mechanismus gibt oder der durchschnittliche User es nicht macht bzw. mitbekommt.
Von den ganzen Internet-of-Shit-Devices, Tablets, "Smart"-TVs, Steckdosen, Lampen, Thermostaten, Kameras, Überwachungsanlagen usw. usf brauchen wir ja gar nicht erst anfangen zu reden.
 
Zuletzt bearbeitet:
Danke für den Hinweis Bolko! Hab mich grad schon gefragt warum CB darüber noch nicht berichtet hat...

Cool Master schrieb:
Klar unschön aber solange man https nutzt ist alles ok.
Zum Vergrößern anklicken....

krackattacks.com schrieb:
Although websites or apps may use HTTPS as an additional layer of protection, we warn that this extra protection can (still) be bypassed in a worrying number of situations. For example, HTTPS was previously bypassed in non-browser software, in Apple's iOS and OS X, in Android apps, in Android apps again, in banking apps, and even in VPN apps.
Zum Vergrößern anklicken....

so viel dazu...
 
ihr habt schon das Video dazu gesehen, es geht sich eben darum, dass ein MitM gefahren wird. Dadurch werden HTTPS Verschlüsselte Seiten "aufgebrochen" und der User surft dadurch nur noch über http.
Deshalb kann man dann durch sniffen die Daten abgreifen.

Wenn der User nicht drauf achtet, dass er Daten auf eine Seite eingibt, die NICHT mehr SSL verschlüsselt ist.... :)
 
snaxilian schrieb:
Wie gut, dass das Internet nur aus https besteht ach nein warte... smtp, dns, p2p, streaming und dann noch die Dienste die du so in deinem privaten Netzwerk betreibst... Inhouse-Streaming vom NAS, Backups aufs NAS, Chromecast/Streaming/whatever.
Zum Vergrößern anklicken....

IMAP: SSL oder TLS
SMTP: SSL oder TLS
DNS: wayne DNS Anfragen...
P2P: VPN
Streaming: HTTPS oder VPN
Plutos schrieb:
Und was macht man bei Traffic, der nicht über HTTP(S) läuft? Z.B. im LAN? :confused_alt:
Zum Vergrößern anklicken....

Über HTTPS oder VPN Routen. Wo ist das Problem?

Gerade im LAN ist das doch super einfach weil man auch selbstsignierte Zertifikate nutzen kann.

autoshot schrieb:
so viel dazu...
Zum Vergrößern anklicken....

Innerhalb von Apps... Deswegen nutzen man z.B. auch keine VPN Apps sondern gibt sie direkt im OS ein...
 
Microsoft hat bereits gepacht: https://www.theverge.com/2017/10/16/16481818/wi-fi-attack-response-security-patches

Ich frag mich hier eher, wie das so in den Standard gelangt ist... Gucken da nicht drölf Leute drüber?!
razzy schrieb:
ihr habt schon das Video dazu gesehen, es geht sich eben darum, dass ein MitM gefahren wird. Dadurch werden HTTPS Verschlüsselte Seiten "aufgebrochen" und der User surft dadurch nur noch über http.
Zum Vergrößern anklicken....
In dem Video wird sslstrip ausgeführt... Durch KRACK selbst wird gar nichts aufgebrochen.
 
Zuletzt bearbeitet:
Und was soll der Aufschrei ?
Hast nun Angst das heute Nacht 100 Leute dein WLAN hacken ?
Vermutlich verstehst auch nicht die technischen Details ?
Ohje... :rolleyes:
 
Keep calm
Die Vuln ist nicht schön aber auch keine Katastrophe, einfach Updates in den üblichen Wartungsintervallen einspielen sollte reichen
 
Also Microsoft soll bereits gepatcht haben. Wann soll das Patch den verteilt werden? Bei mir ist nix verfügbar (Win10).
 
C&P-News sind bei uns nicht gewünscht.
 
Status
Für weitere Antworten geschlossen.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz