WLAN-Sicherheit in Gefahr: So knacken deutsche Forscher WPA

Vor dem Hintergrund, dass eine AES-Verschlüsselung mittels WPA2 zwar sicher, aber nicht immer praktikabel ist, sind die Erkenntnisse von Beck und Tews durchaus ernst zu nehmen. Ihr Angriff beruht auf der Chopchop- oder KoreK-Attacke, die ein Hacker unter dem Namen KoreK im Jahr 2004 in ein Forum postete. Seine Software nannte er Chopchop. Damit ist es möglich, WEP innerhalb kürzester Zeit zu knacken.

Der Angriff nutzt zum einen die Tatsache aus, dass jedes WLAN-Paket zur Fehlerabsicherung mit einer CRC32-Prüfsumme ausgestattet wird. Da die CRC32-Funktion streng linear ist, lassen sich die Bits berechnen, die sich in der Prüfsumme ändern, wenn man das verschlüsselte Paket leicht abändert.

Zum anderen gibt es Pakete, die regelmäßig fast unverändert in WLAN-Netzen auftauchen. Da nur wenige Bytes variabel sind, ist der Großteil eines solchen Paketes im Klartext bekannt, so dass man unter Zuhilfenahme des CRC32 die restlichen Bytes durch Ausprobieren erraten kann.

Ein Beispiel für solche Pakete sind ARP-Requests. ARP dient in IPv4-Subnetzen dazu, die zu einer IP-Adresse gehörende MAC-Adresse zu finden. Dabei fragt ein Rechner per Broadcast beispielsweise "Wer hat die IP-Adresse 192.168.0.5?". Der Rechner, dem diese IP-Adresse gehört, antwortet daraufhin mit seiner MAC-Adresse.

Variabel sind in einem solchen Paket nur die MAC-Adresse des Absenders mit 6 Bytes und die angefragte IP-Adresse. MAC-Adressen werden allerdings nicht verschlüsselt, damit jedes Paket innerhalb des WLAN-Netzes auch dann ankommt, wenn es nicht im Klartext vorliegt. Bei der IP-Adresse kann man davon ausgehen, dass sie in fast allen Fällen mit 192.168.0 beginnt. Somit sind von der IP-Adresse in der Regel 3 von 4 Bytes bekannt. Insgesamt muss also nur 1 Byte des Paketes erraten werden.

Da man den CRC32-Wert neu berechnen kann, wenn sich der Geheimtext ändert, lässt sich durch Ausprobieren aller 256 Möglichkeiten des unbekannten Bytes herausfinden, wann der Access-Point ein Paket akzeptiert. Das dauert nur wenige Sekunden.

Im Gegensatz zu WEP hat WPA bereits eine ganze Reihe "Anti-Chopchop-Features" eingebaut. Zusätzlich zum CRC32 kommt ein 64-Bit-Message-Integrity-Check (MIC) mit dem Namen MICHAEL zum Einsatz, der nicht berechnet werden kann, wenn man ein verschlüsseltes Paket ändert. Darüber hinaus sperrt ein Access-Point einen Angreifer, der mehrfach versucht, Pakete mit korrektem CRC32, aber falsch erratenem MIC zu versenden.

Die Forscher konnten dennoch eine modifizierte Chopchop-Attacke gegen die meisten WLAN-Access-Points mit WPA ausführen. Sie entdeckten dabei zum einen eine Schwäche im MICHAEL-Algorithmus, die es erlaubt, aus einem einmal erratenen Plaintext mit dem zugehörigen verschlüsselten Text den Key zu berechnen.

Zum anderen stellten sie fest, dass moderne Access Points mit QoS-Funktion nach 802.11e ein Problem mit dem Time Sequence Counter (TSC) haben. Der wird nämlich nicht erhöht, wenn man die Antwort auf ein Paket auf einem anderen logischen QoS-Kanal sendet als das Paket selbst. Somit waren sie in der Lag, auf sieben von acht Kanälen zu antworten, ohne dass der Access-Point Verdacht schöpfte. Obwohl sie ihre Pakete zum Ausprobieren möglicher Antworten in großen Zeitabständen schicken mussten, damit die Access Points keine Gegenmaßnahmen ergriffen, gelang der Angriff in etwa 12 bis 15 Minuten.

Folgeangriffe, die jeweils wieder sieben Pakete erlauben, gelangen in nur vier bis fünf Minuten, da der MICHAEL-Key durch den ersten Angriff bekannt wurde. Solche Pakete können insbesondere für jede Art von Traffic-Umleitung verwendet werden. Neben gefälschten DNS-Antworten ist es insbesondere auch möglich, gefälschte ARP-Antworten zu senden.

So kann sich der Rechner des Angreifers als Default-Gateway zum Internet ausgeben, dessen IP-Adresse bei den meisten Routern 192.168.0.1 lautet. So wird jeglicher Traffic für das Internet über den fremden Rechner geroutet.

Themenseiten: Breitband, DSL, Hacker, Kommunikation, Security-Analysen, WLAN

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

5 Kommentare zu WLAN-Sicherheit in Gefahr: So knacken deutsche Forscher WPA

Kommentar hinzufügen
  • Am 28. November 2008 um 10:29 von Jan D

    Performance Problem
    Hab hier einen wircklich uralten Linksys WRT54G mit OpenWrt laufen.
    WPA2-AES und ne 16.000 leitung, gute werte beim online speedtest, bei nem Download von 1300kb/s eine Prozessorauslastung (auf dem Router)von 12%.

    Kann also keinerlei Performanceverlust verstellen – und der Router is ja wircklich kein neues Modell!

    gruß
    Jan

    • Am 25. Februar 2009 um 22:41 von Mat

      AW: Performance Problem
      dem kann ich nur zustimmen

      ich hab ebenfalls einen Linksys WRT54GL v1.1 mit dd-wrt v24sp1 und kann mit meiner 16.000 kabel-verbindung keinen einbruch spüren ;)

  • Am 20. November 2008 um 16:38 von Zeib

    WLAN-Sicherheit in Gefahr: So knacken deutsche Forscher WPA
    "In entsprechend ausgebauten Gebieten erfreuen sich jedoch Geschwindigkeiten von 16 KBit/s und mehr großer Beliebtheit."

    Hier meint man wohl 16 Mbit/s.

    • Am 20. November 2008 um 18:08 von Christoph H. Hochstätter

      AW: WLAN-Sicherheit in Gefahr: So knacken deutsche Forscher WPA
      Oh, da ist mir wohl ein kleiner Fehler unterlaufen. Mit 16 KBit/s wäre ja meine ganze Argumentation bezüglich mangelnder Performance auch nicht stichhaltig.

      Habe es auf 16.000 KBit/s geändert, da DSL16000 eine bekannte Größe ist.

  • Am 20. November 2008 um 15:38 von aussi

    Netzausbau
    "In entsprechend ausgebauten Gebieten erfreuen sich jedoch Geschwindigkeiten von 16 KBit/s und mehr großer Beliebtheit." Wow – die Deutschen haben anständig ausgebaut hm?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *