Dipl.-Inform. Carsten Eilers

• Fehlendes Schlüsselmanagement: Der WEP-Key muss manuell verteilt werden. Dies führt dazu, dass er meist nur selten ausgetauscht wird. Dadurch hat ein Angreifer mehr Zeit für einen Angriff. Außerdem ist ein Austausch bei einer Kompromittierung, z.B. weil ein Angreifer den Schlüssel auf einem Client lesen konnte, nicht ohne weiteres möglich.
• Für die Berechnung der Integritäts-Prüfsumme ICV wird die streng lineare CRC32-Funktion verwendet. Es gilt daher
  CRC32(A XOR B) = CRC32(A) XOR CRC32(B)
  Dadurch ist es möglich, die Bits zu berechnen, die sich in der Prüfsumme ändern müssen, wenn der Schlüsseltext geändert wird. Dadurch kann die Payload eines WEP-Pakets nach Belieben geändert werden ohne dass es bemerkt wird, da der passende CRC32-Wert berechnet werden kann. Um eine Nachricht zu fälschen und erneut zu senden, müssen nur die Nachricht und Prüfsumme im original Datenpaket durch die neu errechneten Werte ersetzt werden. Das modifizierte Paket kann erneut versendet werden und wird vom Empfänger als korrekt akzeptiert.
• Im Rahmen der Shared Key Authentication wird der WEP-Key preisgegeben (siehe vorherige Folge).
• Der Initialisierungsvektor ist zu kurz und wird sowohl als Teil des Schlüssels benutzt als auch in Klartext übertragen. Sammelt ein Angreifer genug Pakete, die mit demselben Schlüssel, aber unterschiedlichen 'schwachen' Initialisierungsvektoren verschlüsselt wurden, kann er den WEP-Schlüssel berechnen.

Angriffe auf WEP

Der FMS-Angriff

2001 haben Scott Fluhrer, Itsik Mantin und Adi Shamir gezeigt, dass sich bestimmte Initialisierungsvektoren charakteristisch auf die ersten Bytes des Schlüsselstroms auswirken ("Weaknesses in the Key Scheduling Algorithm of RC4", PDF). Davon ausgehend können nach und nach alle Bytes des WEP-Key ermittelt werden. Die entsprechenden Angriffe werden nach den Autoren des Papers FMS-Angriffe genannt.

Im Laufe der Zeit wurden diese Angriffe verfeinert und immer weiter verbessert, z.B. Anfang April 2007 durch Erik Tews, Andrei Pychkine und Ralf-Philipp Weinmann ("Breaking 104 bit WEP in less than 60 seconds", Paper), die auch ein Tool zum Brechen der WEP-Verschlüsselung veröffentlicht haben: aircrack-ptw (Website auf archive.org). Damit konnte ein 128-Bit-WEP-Schlüssel in unter einer Minute gebrochen werden. 2007! Auf einem normalen PC! Mit der aktuellen Rechenleistung und vor allen Cloud-Diensten lässt sich das dann wohl in den Sekundenbereich drücken. Da dauert dann das Übertragen der gesammelten Daten länger als das Brechen des Schlüssels.

Der KoreK-Angriff

Einen anderen Weg gehen die sog. KoreK-Angriffe, die auf einen Forenbeitrag von 'KoreK' im NetStumbler-Forum zurückgehen (siehe archive.org):

• Das letzte Byte eines Datenpakets wird abgeschnitten.
• Dann wird angenommen, dass dessen Wert 0 war, und entsprechend durch eine XOR-Verknüpfung der letzten 4 Bytes mit einem bestimmten Wert versucht, eine gültige Prüfsumme ICV zu rekonstruieren.
• Akzeptiert ein Access Point das geänderte Paket, stimmt die Annahme.
• Wenn nicht, geht man davon aus, das abgeschnittene Byte war 1, usw., bis der richtige Wert gefunden wurde. Dazu sind maximal 256 Versuche nötig.
• So wird nach und nach das gesamte Paket entschlüsselt.
• Ist der Klartext des Pakets bekannt, lässt sich der verwendete Schlüsselstrom-Ausschnitt durch XOR-Verknüpfung von Klar- und Schlüsseltext ermitteln und es kann ein eigenes Paket eingeschleust werden.

Weitere Angriffe

Eine der Ursachen der folgenden Angriffsmöglichkeiten ist die Länge des Initialisierungsvektors von nur 24 Bit, die dazu führt, dass die IV häufig wieder verwendet werden.

Pakete entschlüsseln

Der Angreifer protokolliert den gesamten WLAN-Verkehr, bis er zwei Pakete mit identischem IV aufgefangen hat. Da der WEP-Key gleich bleibt, werden Pakete mit identischem IV auch mit dem gleichen Schlüsselstrom verschlüsselt. Durch eine XOR-Verknüpfung der beiden Pakete erhält er die XOR-Verknüpfung der beiden Klartexte.
Schlüsseltext1 und Schlüsseltext2 sind die Schlüsseltexte der Klartexte Klartext1 und Klartext2, Key ist der Schlüsselstrom. Dann gilt

Schlüsseltext1                    =  Klartext1 XOR Key
Schlüsseltext2                    =  Klartext2 XOR Key
Schlüsseltext1 XOR Schlüsseltext2 = (Klartext1 XOR Key) XOR (Klartext2 XOR Key)
                                  = (Klartext1 XOR Klartext2) XOR (Key XOR Key)
                                  =  Klartext1 XOR Klartext2

Da IP-Pakete vorhersagbare Felder und Redundanz enthalten, kann der Angreifer die möglichen Klartexte eingrenzen und danach über statistische Angriffe deren Inhalt ermitteln. Je mehr Pakete mit identischem IV er auffängt, desto schneller gelingt es ihm, für eines davon den Klartext zu ermitteln. Danach kann er durch einfache XOR-Verknüpfung des bekannten Klartexts mit jedem der anderen Pakete dessen Klartext ermitteln.
Noch einfacher wird der Angriff, wenn der Angreifer Daten in das WLAN schicken kann. Empfängt er ein verschlüsseltes Paket, dessen Klartext er kennt, kann er danach sofort alle anderen Pakete mit identischen IV entschlüsseln.

Gefälschte Pakete einschleusen

Kennt ein Angreifer den Klartext eines verschlüsselten Pakets, kann er dadurch gültige verschlüsselte Pakete bilden. Er erzeugt seine Nachricht, berechnet deren ICV und manipuliert das verschlüsselte Paket so, dass dessen Klartext und ICV durch seine ausgetauscht werden. Dies ist möglich, da
(Text1 XOR Key) XOR Text1 XOR Text2 = (Text2 XOR Key)
ist. Das so erzeugte Paket wird von den Kommunikationspartnern als gültig akzeptiert.
Ein ähnlicher Angriff ist auch ohne Kenntnis von Klartext möglich, indem die verschlüsselten Daten so manipuliert werden, dass manipulierter Klartext und manipulierter ICV zusammenpassen.

Verschlüsselte Pakete umleiten

Der Angreifer kann anstatt der Daten auch den Header eines Pakets manipulieren. Wenn er die Ziel-IP-Adresse eines Pakets so ändert, dass sie auf ein unter seiner Kontrolle stehendes System außerhalb des WLAN zeigt und das manipulierte Paket an den Access Point des WLAN schickt, wird dieser das Paket entschlüsseln und an das System des Angreifers schicken.

Aufbau einer Tabelle mit Schlüsseln

Der Angreifer kann für die Pakete, deren Klartext er kennt oder ermittelt, den Schlüsselstrom berechnen. Speichert er IV und zugehörigen Schlüsselstrom in einer Tabelle, kann er danach alle Pakete mit identischem IV entschlüsseln. Der IV ist 24 Bit lang, es gibt also nur 2²⁴ mögliche Schlüssel. Gelingt dem Angreifer der Aufbau einer Tabelle für alle IV-Werte, kann er den gesamten WLAN-Verkehr entschlüsseln, ohne den WEP-Key kennen zu müssen.

Theorie ist gut, Praxis bekanntlich besser. Für alle Angriffe gibt es Tools, mit denen sie durchgeführt werden können. Im besten (oder schlimmsten, je nach Gesichtspunkt) Fall lässt sich damit ein WEP-Schlüssel in unter einer Minute brechen. Diese Tools stelle ich in der nächsten Folge vor.

Carsten Eilers