# WPA2 nicht mehr sicher -> KRACK



## TheJudge (16. Oktober 2017)

Bin eben über die Meldung gestoßen das es nun leider so weit ist, WPA2 lässt sich mittels Key Reinstallation Attack (KRACK) Methode unterwandern.

Damitist es Möglich den Datenverkehr entsprechend mitzuscheiden wenn man nicht über Https oder VPN geschützt ist.

weitere Details unter folgenden Links

KRACK: WPA2 nicht mehr sicher >> ADMIN-Magazin

Severe flaw in WPA2 protocol leaves Wi-Fi traffic open to eavesdropping | Ars Technica


----------



## taks (16. Oktober 2017)

> The vast majority of existing access points aren't likely to be patched quickly, and some may not be patched at all.



Ich freu mich schon mühsam nach Geräten zu suchen welche ein Patch bekommen ^^


----------



## Laudian (16. Oktober 2017)

Ich habe mir das Paper zur Sicherheitslücke gerade mal durchgelesen (interessierte finden es hier)

Soweit ich das verstanden habe, müssen nicht die Access Points, sondern in der Regel nur die Clients gepatcht werden.

Hier btw die Seite des Entdeckers: KRACK Attacks: Breaking WPA2


----------



## taks (16. Oktober 2017)

Jup, beim dritten Teil des Handshakes, also vom Client aus.

Aber "nur" die Clients patchen ist glaub ein bisschen falsch formuliert ^^
Da wären: Alle PCs, Smartphones, Fernseher, Accesspoints, WLAN-Glühbirnen uvm.


----------



## airXgamer (16. Oktober 2017)

Das gibt ein Chaos^^
Viel Spaß wünsche ich da insbesondere bei IOT Devices und alten Android Smartphones.


----------



## Laudian (16. Oktober 2017)

Access Points müssen eben dann gepatcht werden, wenn sie als Clients auftreten, also wenn man sie als Wlan Bridge benutzt etc.

Aber klar, das sind dennoch unzählige Geräte, die gepatcht werden müssten...


----------



## Taskmaster (16. Oktober 2017)

Hier noch für Laien:

Alle WLAN-Router betroffen: WPA2-Protokoll hat gefahrliche Lucken - n-tv.de

WPA2: Forscher entdecken Schwachstelle in WLAN-Verschlusselung |                heise Security


----------



## Rotkaeppchen (16. Oktober 2017)

Ich mache mir das inzwischen ganz einfach. Alles was man mit dem Rechner oder Smartphones macht ist in totaler Öffentlichkeit. Ich gehe ja auch raus und unterhalte mich im Restaurant oder Cafe mit Menschen, da hören auch genug Fremde zu, entsprechend wählt man Themen. Und in Bibliothek ist auch einsehbar, wonach in suche und was ich ausleihe und lese.

Private Daten haben  weder im Internet noch auf einem Rechner mit Internetanschluss etwas zu suchen. Meine Fotos, Steuererklärungen, Bombenbauanleitungen  etc. sind natürlich gut geschützt auf einem separatem Rechner. Ärgerlich wird es mit Onlinebestellungen, aber da wähle ich immer Nachnahme. Geht am schnellsten und die Päckchen verschwinden nicht in den Wohnungen von Nachbarn. Die bösen Hacker haben damit wenig Information, meine Adresse steht im Telefonbuch immer schon öffentlich drin.

Ansonsten ist das alles extrem ärgerlich, denn wie schützen Banken, Versicherungen und Behörden ihre Daten. Genau da graut es mir vor. Und wenn ich dann den Ausbau der EE sehe, der Smart Grids benötigt, wird das für zukünftige Cyberangriffe alle Optionen der Zerstörung bieten. Alles nicht schön und an guter Verschlüsselung zu arbeiten und diese umzusetzen wird immer wichtiger.


----------



## DKK007 (16. Oktober 2017)

Wobei du die Adresse auch sperren kannst.


----------



## Bumblebee (17. Oktober 2017)

interessierterUser schrieb:


> Ich mache mir das inzwischen ganz einfach....



Wohl gesprochen 
Wenn jeder es so machen würde gäbe es wesentlich weniger Probleme mit Viren etc.


----------



## HardlineAMD (17. Oktober 2017)

Panikmacherei. So wie die ständigen Meldungen, das sich wegen eines festsitzenden Furzes bei Erdogan der Ölpreis (und dadurch auch Benzin/Diesel) steigt. Kauft die neueste Routerhardware, denn wir können die alten Geräte nicht mehr mit Updates versorgen.


----------



## big-maec (18. Oktober 2017)

Hi,
betrifft aber nicht alle siehe Link.
WPA2-Lucke - FRITZ!Box am Breitbandanschluss ist sicher | AVM Deutschland


----------



## taks (18. Oktober 2017)

big-maec schrieb:


> Hi,
> betrifft aber nicht alle siehe Link.
> WPA2-Lucke - FRITZ!Box am Breitbandanschluss ist sicher | AVM Deutschland



Wie schon oben geschrieben wurde geht das Problem grundsätzlich von Clients aus welche sich in das Netz verbinden, nicht von den Routern, Accesspoints etc. welche das Netzwerk bereitstellen.


----------



## big-maec (18. Oktober 2017)

taks schrieb:


> Wie schon oben geschrieben wurde geht das Problem grundsätzlich von Clients aus welche sich in das Netz verbinden, nicht von den Routern, Accesspoints etc. welche das Netzwerk bereitstellen.



Mit hohem Aufwand und Bedingungen die nicht gegeben sind. Also erstmal sicher.


----------



## mrmurphy007 (18. Oktober 2017)

Spannende Sache und im Grunde einfach zu fixen.


----------



## taks (18. Oktober 2017)

big-maec schrieb:


> Mit hohem Aufwand und Bedingungen die nicht gegeben sind. Also erstmal sicher.



Welche Bedingungen sind nicht gegeben?


----------



## VollgasPilot (18. Oktober 2017)

Tja da sind die Android und insbesondere Samsung-User mal wieder die gelackmeierten.

Ohne regelmäßige und mehrjährige Sicherheitsupdates geht heute nunmal nichts mehr. 

Apple hat in iOS 11.1 schon einen Fix am Start bis runter zum alten 5s

Ich sehe das wie die Leute bei heise.de, hier muss endlich der Gesetzgeber handeln.

Es kann nicht sein dass viele Hersteller den Markt mit billigen Geräten fluten, der dann aber nach 1-2 Jahren Elektroschrott ist weil es keinen SW-Support und nichts gibt.

Kommentar: KRACK knackt WPA2 – und wir stehen im Regen |
    heise online


----------



## razzor1984 (18. Oktober 2017)

Schreib ich glaubich ich schon zum 4ten male, die Spielregeln bezüglich Produkte gibt der Staat vor (wie bei fast allem !)
Mein Konzept sieht eine 2 bis 3 jährige Garantie von Updates vor, wenn diese abläuft müssen die Hersteller den ganze Quellcode für Produkt X der öffentlich zugänglich machen.
Platformen dazu gibts zuhauf! Nur wenn bei den Geräten die Treiber zugänglich sind, kann man alternative FW/roms entwickeln.
Nur das wollen die Hersteller nicht, da Sie den Nutzer indirekt zwingen wollen nach ablauf der updates auf ein neues Gerät umzusteigen (Bei vielen ist das alles nicht nötig)
Die Problematik der seltenen Erden, der durch den Elektromüll entsteht wird ja auch wieder auf die Allgemeinheit abgewälzt.Wie hoch ist die Recylingquote bei den Smartphones? Sehr miserabel!!!! 

Den Supergau sehe ich im IOT bereich auf uns zukommen !
Da wird die Politik zum handeln gezwungen, nur die frage wird sein wie stark die Gesetze verwässert werden wenn wieder das geziehlte Lobbing der Interessentsvertreter einsetzt.............


----------



## big-maec (19. Oktober 2017)

taks schrieb:


> Welche Bedingungen sind nicht gegeben?



Steht doch in dem AVM Link. 
-> WPA2-Lucke - FRITZ!Box am Breitbandanschluss ist sicher | AVM Deutschland

Zumal man den WLAN CLienten mit einer zusätzlich Verschlüsselung Schützen kann: 
-> https://www.kaspersky.de/blog/krackattack/14970/
-> https://support.kaspersky.com/de/13454


----------



## DKK007 (19. Oktober 2017)

Es würde reichen, wenn Google endlich mal Updates rausbringt. Kann doch nicht so schwer sein. Bekommen die anderen Entwickler wie Microsoft und Cannonical auch hin.


----------



## BosnaMaster (19. Oktober 2017)

Du hast es gut, Google verteilt wenigstens die Updates monatlich. 

Ich bin noch auf Samy angewiesen. Wo das S7 edge das TOP Modell war, kamen die Security Patches aber sowas von pünktlich jeden Monat.

Kaum S8 draussen, gibt's dann im 3/4 Monaten Zyklus ein Update für das S7 edge. :mad:  

Gesendet von meinem SM-G935F mit Tapatalk


----------



## DKK007 (20. Oktober 2017)

Ich meine das Sicherheitsupdates unabhängig von der Hardware verteilt werden müssen.

Ich hab TrekStor mal wegen dem Update angeschrieben.


----------



## 45thFuchs (21. Oktober 2017)

Einfach alles mit MAC-Adresse im Modem speichern und sorglos bleiben.


----------



## Laudian (21. Oktober 2017)

Jeder kann seine gesendete MAC-Adresse beliebig ändern, von daher bringt das rein garnichts.


----------



## razzor1984 (22. Oktober 2017)

Generell ist es mehr als fragwürdig, weil viele Webseiten schreiben, es reicht den Client zu patchen. Ich möchte einen Testaufbau sehe, wo man den Angriff abändert und  ob es wirklich reicht nur den Client zu patchen. Das Beste ist Client und Router/Hotspot sind gepatched. Nur vom Router patching kann man sich leider verabschieden, insofern das Gerät nicht noch sehr neue ist.Selbe gilt leider auch für Smartphones. Crack wird ein sehr sehr langlebiger Bug werden.
Bei WPA3 - bitte mit forward secrecy, dann kann man auch den Schlüssel kennen 



Laudian schrieb:


> Jeder kann seine gesendete MAC-Adresse beliebig ändern, von daher bringt das rein garnichts.



Immerhin müsste ein Potenzieller Angreifer mal auf die freigegeben Macs kommen. Aber wenn er gewillt ist und WPA2 per Crack knackt, dann könnte er den user per MIM auf eine andere webseite lenken und so die MAC auslesen. Ist alles ein frage von Zeit/können wollen


----------



## Laudian (23. Oktober 2017)

razzor1984 schrieb:


> Immerhin müsste ein Potenzieller Angreifer mal auf die freigegeben Macs kommen.



MAC-Adressen werden in jedem Wlan Paket unverschlüsselt gesendet. Ein Mac-Filter funktioniert also exakt so lange, wie dein Wlan von niemandem genutzt wird. In dem Fall empfehle ich dir aber, es auszuschalten.


----------



## razzor1984 (23. Oktober 2017)

Laudian schrieb:


> MAC-Adressen werden in jedem Wlan Paket unverschlüsselt gesendet. Ein Mac-Filter funktioniert also exakt so lange, wie dein Wlan von niemandem genutzt wird. In dem Fall empfehle ich dir aber, es auszuschalten.



Geb ich dir vollens recht:
zb 





> airodump-ng wlan0


 gibt mir ne knappe A4 seiten an Station macs aus(ich bin von Wlans in der Wohnhausanlage nur so umzingelt). Viel spaß bis man alle durch hat 
Mac filtering ist kein "Schutz" aber es ist ein weiterer Schritt um nach Crack vollen Zugriff aufs wlan zu erlangen!
Weiter Probleme bei WPA2:
Wenn man die Schlüssel zu klein wählt, kann man es knacken.(gibts genügend tools Dictory attacks usw) 
Nur was machen 99% der User, das standart PW wir genommen und dies ist meinst 10 stellen lang (manchmal auch>10 stellen)und nutzt Buchstaben und zahlen...........
Ein Wpa2 PW sollte mindesten 20 stellen haben und aus Buchstaben(klein/groß)Zahlen, Sonderzeichen bestehen


----------



## Gast20180319 (27. Oktober 2017)

Was wäre wenn man z.B nur bekannte Geräte erlaubt sich mit dem Wlan Netz zu verbinden ?
Kann man dies auch einfach umgehen oder wäre das eine simple Lösung ?.


----------



## razzor1984 (27. Oktober 2017)

Addi schrieb:


> Was wäre wenn man z.B nur bekannte Geräte erlaubt sich mit dem Wlan Netz zu verbinden ?
> Kann man dies auch einfach umgehen oder wäre das eine simple Lösung ?.



Bitte lies das Zitat:


Laudian schrieb:


> MAC-Adressen werden in jedem Wlan Paket  unverschlüsselt gesendet. Ein Mac-Filter funktioniert also exakt so  lange, wie dein Wlan von niemandem genutzt wird. In dem Fall empfehle  ich dir aber, es auszuschalten.



Wenn ich mit 





> airodump-ng wlan0


 mir von allen wlans (in der Umgebung) die Macs holen kann (in meiner Umgebung) dann ist es nur mehr ein Zeitfaktor bis ich die durch habe.Ich wette das Problem hatten motivierte "Angreifer" schon und haben sich ein Pyhtonscript gebastelt, welches das faken der Macs übernimmt und diese  durchprobiert!

Wie schon Laudian es sagte, ein Macfiltering ist kein Schutz, nur ein Weiterer Schritt(der bisschen Zeit kostet, wenn man scripts verwendet ist es minimal "zeitaufwendiger") wenn man eben dass Wlan PW kennt, mehr aber auch nicht.


----------

