Thema: Angriff auf WPA verfeinert

[SiLæncer]

Japanische Forscher haben die im November 2008 vorgestellte Methode zum Knacken des Verschlüsselungsstandards WPA verbessert, sodass der Angriff nun ohne Einschränkungen auf bestimmte Betriebsmodi funktioniert und erheblich schneller zum Ziel kommt.

Ziel der Attacke ist es, den Schlüsselstrom für die Kommunikation vom Access Point zum Client zu ermitteln – ohne den ursprünglichen Schlüssel zu kennen. Im Anschluss lassen sich weitere Pakete vom AP an den Client mit weniger Aufwand entschlüsseln. Mit dem Schlüsselstrom kann ein Angreifer eigene Pakete verschlüsseln und an einen Client versenden, etwa um den weiteren Verkehr mittels gefälschter ARP- oder ICMP-Pakete umzuleiten.

Bei der ursprünglich von Martin Beck und Erik Tews entwickelten Methode geht es im wesentlichen darum, mittels der sogenannten chopchop-Attacke die Checksumme eines abgefangenes Paketes zu rekonstruieren, das Paket an einen Access Point zu senden und zu beobachten, ob dieser es akzeptiert. Das in der Regel unter WPA eingesetzte Temporal Key Integrity Protocol (TKIP) hat einige Sicherheitsmaßnahmen implementiert, wozu unter anderem Anti-chopchop-Funktionen gehören. So werden die Verbindungen im WLAN beendet, wenn mehr als zwei Pakete mit falschen Message Integrity Check (MIC) innerhalb von 60 Sekunden von einem Client empfangen wurden. Zudem erschwert der TKIP Sequence Counter (TSC) das Wiedereinspielen abgefangener Pakete, wodurch die chopchop-Attacke und andere Replay-Attacken erheblich schwerer funktionieren. Liegt der TSC des empfangenen Paketes unter der des aktuellen Zählers, wird es einfach verworfen.

Beck und Tews hatten die Limitierungen umgangen, indem sie beim Senden die 60-Sekunden-Zeitspanne einhielten und die Quality-of-Service-Funktionen von bestimmten WPA-Access-Points nutzten, bei denen acht Kanäle mit jeweils eigenen TSC zum Einsatz kommen. Ein Angriff war damit auf Access Points beschränkt, in denen QoS aktiviert ist. Zudem dauerte der Angriff zwischen 12 und 15 Minuten.

Die japanischen Forscher Toshihiro Ohigashi und Masakatu Morii erweitern den Beck-Tews-Hack um eine Man-in-the-Middle-Attacke, durch die ein Client gar keine direkte Verbindung mehr zum Access Point erhält. Vielmehr fungiert der PC des Angreifers als Repeater und leitet die Pakete gegebenenfalls weiter. Im Angriffsszenario hält der Angreifer aber einfach die Pakete des Clients zurück und "chopt" sie, bevor er sie an den AP weiterleitet. Da es sich nun um keine Replay-Attacke mehr handelt, greift auch die Schutzmaßnahme mit den TKIP Sequence Countern nicht mehr.

Bleibt noch die 60-Sekunden-Limitierung bei falschen Message Integrity Check: Durch Änderungen in der Rekonstruktion der Prüfsumme verursachen die japanischen Forscher keine MIC-Fehler und müssen so auch nicht den Timeout abwarten. Damit soll es im günstigsten Fall gelingen, einen erfolgreichen Angriff innerhalb einer Minute durchzuführen – im ungünstigsten Fall soll es vier Minuten dauern. Einen Haken hat die Sache jedoch: Durch das Zurückhalten der Pakete des Clients könnte der Anwender den Angriff bemerken und Gegenmaßnahmen ergreifen.

Weitere Details sind in der Zusammenfassung "A Practical Message Falsication Attack on WPA" (PDF-Datei) zu finden. Die Verbesserung ermöglicht einem Angreifer aber immer noch nicht, in das Funknetzwerk einzudringen, den gesamten Verkehr mitzulesen oder den AP zu manipulieren. Sie zeigt jedoch, dass nun auch für WPA die Einschläge näher kommen. Sicherheitsexperten empfehlen daher schon jetzt, auf WPA2 umzusteigen – die meisten modernen WLAN-Router unterstützen dies bereits.

Siehe dazu auch:

    * Sicherheitsexperten geben Details zum WPA-Hack bekannt

Quelle : www.heise.de

[SiLæncer]

Die Sicherheitsexperten von AirTight Networks haben eine Lücke im WLAN-Sicherheitsprotokoll WPA2 entdeckt. Benannt wurde das Sicherheitsloch nach der Seite im zugrundeliegenden Standard IEEE 802.11 (2007), die den Hinweis auf die Lücke gibt: Hole 196. Ganz unten auf der Seite werden die von WPA2 benutzten Schlüssel vorgestellt: der PTK (Pairwise Transient Key), der für jeden WLAN-Client einzigartig ist und der Verschlüsselung von Unicast-Verkehr dient, und der GTK (Group Temporal Key) für Broadcasts. Während man mit Hilfe des PTK MAC-Adressen- und Datenfälschungen erkennen kann, fehlt dem GTK diese Eigenschaft.

Und genau darin liegt AirTight zu Folge die Krux. Denn darüber könne ein Client eigene Broadcast-Pakete generieren und darauf reagierende Clients würden mit Informationen über ihren geheimen PTK antworten, die sich von einem Angreifer entschlüsseln ließen. Mit nur 10 Zeilen zusätzlichem Code im MadWiFi-Treiber soll es AirTight gelungen sein, dass sich ein mit einer handelsüblichen WLAN-Karte ausgestatter PC als Access Point ausgegeben hat. Ein Angreifer könne nun Schaden im Netzwerk etwa durch Denial-of-Service-Attacken anrichten. Abgemildert würden die Angriffsmöglichkeiten nur durch die Tatsache, dass der Angreifer als regulärer WLAN-Teilnehmer autorisiert sein muss. Einen Patch für die Lücke steht laut AirTight nicht zu erwarten, weil das "Hole 196" nunmal im Standard festgeschrieben sei.

Wie man die Sicherheitslücke ausnutzt, will AirTight auf der Black Hat Arsenal und der DEFCON18 in der kommenden Woche live vorführen.

Quelle : www.heise.de

[SiLæncer]

Ein Mitarbeiter der Firma Airtight hat gegenüber der US-Website Ars Technica weitere Details zur Hole196 genannten Lücke in WPA/WPA2 Enterprise (IEEE 802.11i) beschrieben. Im Kern handelt es sich um das bereits aus Kabel-Netzen bekannte ARP-Poisoning respektive ARP-Spoofing. Ein Angreifer verseucht dabei den ARP-Cache seiner Opfer mit gefälschten Angaben und leitet darüber Daten zu sich um. Die beschriebene Attacke zielt nicht auf die Verschlüsselung und die Authentifizierung von WPA/WPA2 Enterprise, das auf den IEEE-Standards 802.11i, 802.11x sowie EAP  (Extensible Authentication Protocol) beruht. Sie lässt sich zudem nur dann ausnutzen, wenn der Angreifer bereits Zugang zum Firmen-WLAN hat.

Während in einem WPA/WPA2-WLAN mit Pre-shared Key (PSK) alle Clients den gleichen Master-Key besitzen, steuert WPA/WPA2 Enterprise den Zugang der Clients mittels IEEE 802.1x. Jeder Client oder Nutzer muss sich dort mit einer eigenen Benutzernamen/Passwort-Kombination oder einem Zertifikat gegenüber der Basisstation ausweisen. Anschließend hat jeder angemeldete Benutzer dort einen eigenen Master-Key, über den wiederum weitere Schlüssel (Pairwise Temporal Keys, PTK) für die Datenübertragung erzeugt werden. Laut IEEE-Spezifikation können Basisstation und WLAN-Client über den PTK auch erkennen, ob Sender- und Empfängeradressen bei der Datenübertragung gefälscht wurden.

Dieses Verhalten gilt hingegen nicht für Schlüssel, die den Broad- und Multicast-Verkehr in solchen WLANs verschlüsseln. Diese Group Temporal Keys (GTK) sind für alle Clients eines WLANs (BSSID) identisch, sodass der Ursprung von Broadcast-Pakete nicht überprüft werden kann. Access Points ignorieren empfangene Broad- oder Multicast-Pakete. Laut Spezifikation dürfen nur Basisstationen solche Broadcasts senden. Clients können jedoch Broadcast-Pakete mit gefälschter Absenderadresse (etwa der des APs) erzeugen.

An dieser Stelle setzt das ARP-Spoofing an. Ein Angreifer flutet gefälschte ARP-Pakete zu den Clients, die deren ARP-Cache überschreiben und sie dazu veranlassen, eine andere als die vorgesehene Standard-Gateway für die Datenübertragung zu nutzen. Anschließend läuft der Verkehr weiterhin über den Access Point, der die empfangenen Pakete entschlüsselt und vor dem Senden an die Angreifer-Gateway mit dessen PTK neu verschlüsselt weiterleitet. Auf dem vorgetäuschten Gateway lassen sich nun alle Daten mitlesen.

Laut Airtight lässt sich der beschriebene Angriff aber nicht sehr einfach durchführen. Der Angreifer muss nicht nur Funkkontakt zur Basisstation haben und dort angemeldt sein, er muss sich auch in Reichweite der anderen WLAN-Clients befinden. Isoliert die Basisstation die Clients im WLAN, lassen sich damit nur One-Way-Exploits nutzen. Außerdem lässt sich die Attacke durch Einbruchserkennungssysteme (IDS/IPS) nachträglich aufspüren, da diese die Veränderung bei der Zuordnung zwischen Hardware- und IP-Adresse erkennen sowie die Verkehrsumleitung über andere Adressen registrieren können.

Quelle : www.heise.de

[SiLæncer]

Der deutsche Sicherheitsforscher Thomas Roth behauptet, das WLAN-Verschlüsselungsverfahren WPA-PSK mit Hilfe der Amazon-Cloud knacken zu können. Mit Hilfe eines selbst geschriebenen Scripts konnte er angeblich in nur 20 Minuten den Schlüssel einer derartig gesicherten WLAN-Verbindung herausbekommen. Die Aktion kostete nur umgerechnet gut drei Euro.

Die Amazon-Cloud stellt privaten Benutzern Rechenleistung zur Verfügung, wie sie normalerweise nur Unternehmen, Behörden oder Forschungseinrichtungen nutzen können. Dies könnte beispielsweise für Rendering-Aufgaben genutzt werden. Auch umfangreiche Web-Inhalte - darunter kurzzeitig auch das "Cablegate"-Archiv der Whistleblowing-Website WikiLeaks - werden teilweise in der Amazon-Cloud gehostet. Daneben bietet sich der Dienst auch für kryptographische Aufgaben an. Roth experimentiert bereits seit einer Weile mit derartigen Anwendungen. So gelang es ihm im vergangenen November, ein mit SHA-1 gehashtes Passwort mit Hilfe der GPU-Computing-Möglichkeiten der Amazon-Cloud zu bruteforcen.

Nun widmete sich Roth der WLAN-Verschlüsselung WPA-PSK. Sein Script probierte rund 400.000 mögliche Passwörter pro Sekunde durch. So konnte er das Passwort in rund 20 Minuten knacken. Angeblich ist ein noch schnelleres Script bereits in Arbeit.

"Leute sagen mir, es gibt keinen möglichen Weg, WPA zu knacken, oder, wenn es möglich wäre, würde es ein Vermögen kosten, es zu tun. Aber es ist einfach, es zu bruteforcen," erklärte Roth. Sein Vorgehen will er im kommenden Monat auf der IT-Sicherheitskonferenz "Black Hat" vorstellen.

Sicherheitsforscher vermuten schon seit einigen Jahren, dass WPA-PSK nicht mehr lange einen ausreichenden Sicherheitsstandard bieten wird. Nach Möglichkeit bietet sich daher der Umstieg auf den neueren "WPA2"-Standard an. Dieser basiert auf AES und gilt als deutlich sicherer.

Quelle : www.gulli.com