WPS-Schwachstelle gefährdet WLANs
Eine Design-Schwachstelle im Wi-Fi Protected Setup (WPS) gefährdet alle betroffenen Netze - auch wenn die die eigentlich sicheren WPA/WPA2-Standards zur Verschlüsselung und Authentifizierung einsetzen. Bildlich gesprochen, haben diese WLANs außer einer stabilen Tresortür am Haupteingang ein wackliges Scheunentor als Hintertür. Bevor Sie weiterlesen, sollten Sie daher prüfen, ob Ihr Access Point oder WLAN Router WPS mit PIN-Eingabe unterstützt und diese Funktion ggf. ausschalten. Warum, können Sie danach in Ruhe nachlesen, ohne befürchten zu müssen, dass in der Zwischenzeit jemand in Ihr WLAN eindringt.
Wi-Fi Protected Setup (WPS) im Überblick
Das von der WiFi Alliance entwickelte Wi-Fi Protected Setup (WPS) dient dem einfachen Hinzufügen von Geräten zu einem WLAN. Primär gibt es dafür zwei Ansätze: "PIN entry" und "Push Button Configuration". Das "PIN entry"-Verfahren ist in allen Geräten, die WPS unterstützen und von der Wifi Alliance zertifiziert werden sollen, zwingend erforderlich, während die "Push Button Configuration" optional ist.
Beim "PIN entry"-Verfahren wird von einem Gerät, dass sich
dem WLAN anschließen möchte, eine eindeutige PIN benötigt.
Die PIN kann wahlweise fest vorgegeben und z.B. auf einem Aufkleber auf dem
Gerät angegeben oder dynamisch erzeugt und auf einem Display des
Geräts ausgegeben werden. Die PIN soll sicher stellen, dass nur das
gewünschte Gerät zum WLAN hinzugefügt wird.
Ein sog. "Registrar Device", z.B. ein Access Point oder
WLAN-Router, erkennt, wenn ein neues WLAN-Gerät in Reichweite kommt
und fordert den Benutzer zur Eingabe der PIN auf, wenn das Gerät zum
WLAN hinzugefügt werden soll. Daraufhin werden dem Gerät die
notwendigen Daten zur Konfiguration mitgeteilt.
Im einfachsten Fall ist die PIN auf einem Aufkleber auf dem "Registrar
Device" angebracht, sie muss dann beim neu hinzuzufügenden Gerät
eingegeben werden.
Bei der "Push Button Configuration" (PBC) werden die neuen Geräte nach Drücken eines Knopfs am "Registrar Device" zum WLAN hinzugefügt. Nach Drücken des Knopfs kann sich für die Dauer von 2 Minuten jedes Gerät in Reichweite mit dem WLAN verbinden - einschließlich evtl. vorhandener bösartiger Geräte, z.B. dem Notebook eines Angreifers (zu Ausnahmen siehe unten). Der Knopf kann sowohl als tatsächlicher Taster als auch als Softwarelösung realisiert werden.
Als weitere Konfigurationsmöglichkeit können die notwendigen Daten optional über "Near Field Communication" (NFC) ohne PIN-Eingabe auf neue Geräte übertragen werden. Die NFC-Methode ist für das folgende aber uninteressant.
Die Schwachstelle in WPS
Die von Stefan Viehböck gefundene Schwachstelle befindet sich in der "PIN entry"-Methode. Da es außer der auf dem neuen Gerät einzugebenden PIN keine Authentifizierung gibt, sind prinzipiell Brute-Force-Angriffe möglich. Zusätzlich erleichtert ein Design-Fehler in der WPS-Spezifikation den Angreifern die Arbeit.
Eine PIN besteht bei WPS üblicherweise aus acht Ziffern, es sind aber auch vierstellige PINs möglich. Daher prüft der für die Übermittlung der Konfigurationsdaten zuständige Registrar, i.A. der Access Point oder WLAN-Router, die ersten vier Ziffern direkt nach deren Empfang und sendet ggf. sofort eine Fehlermeldung. Das gleiche passiert, wenn die restlichen vier Ziffern empfangen wurden.
Je nachdem, wann der Angreifer die Fehlermeldung empfängt, weiß er also, ob schon die erste Hälfte der PIN falsch war oder erst die zweite. Damit reduziert sich die notwendige Anzahl an Versuchen von 108 (= 100.000.000) auf 104 + 104 (= 20.000).
Da die 8. Stelle der PIN eine Prüfsumme der ersten sieben Stellen ist, sind sogar nur maximal 104 + 103 (= 11.000) Versuche notwendig, um die korrekte PIN zu ermitteln.
Erschwerend kommt hinzu, dass viele Geräte keinerlei Schutz vor Brute-Force-Angriffen wie z.B. eine Beschränkung der Anzahl möglicher Fehlversuche, besitzt.
Wurde eine korrekte PIN gesendet, übermittelt der Registrar die notwendigen Konfigurationsinformationen samt des WPA/WPA2-Passworts. Damit hat der Angreifer Zugriff auf das WLAN.
Zwei Tools veröffentlicht
Stefan Viehböck hat das Toolwpscrack
zur Demonstration
des Angriffs veröffentlicht (Download als
ZIP-Archiv,
Anforderungen: Python mit dem Cryptography-Toolkit PyCrypto
und dem Paketmanipulator Scapy 2.2.0
).
Unabhängig von Stefan Viehböck wurde die Schwachstelle bereits
vor einiger Zeit von Craig Heffner
entdeckt
(aber nicht veröffentlicht), der sein eigenes Tool
Reaver
als
Kommandozeilentool
veröffentlicht hat (Anforderungen: Linux mit
libpcap
-Library). Reaver kann die PIN in ca. 4-10 Stunden
ermitteln. Außer der Open-Source-Version gab es anfangs auch eine
kommerzielle Variante
mit
zusätzlichen Funktionen,
die inzwischen in der Open-Source-Version
aufgegangen ist.
Welche Geräte sind betroffen?
Betroffen sind alle Access Points, WLAN-Router und anderen Geräte mit WPS-Registrar-Funktion, die die PIN-Methode einsetzen und dabei eine vorgegebene PIN verwenden. Da die PIN-Methode obligatorisch ist, wenn das Gerät von der WiFi Alliance zertifiziert werden soll, sind die meisten zertifizierten Geräte betroffen. Oder, wie es ein Mitarbeiter des Router-Herstellers Buffalo gegenüber der taz formuliert hat:
"Generell ist es so, dass dieser Standard eine Schwäche hat. Aber wenn man als Hersteller kompatibel sein will, dann muss man diese Schwächen in Kauf nehmen"
Dan Kaminsky hat bei einem Test in Berlin festgestellt, dass ein großer Teil der geschützten Access Points sehr wahrscheinlich über die WPS-Schwachstelle angreifbar ist.
Ob Ihr Gerät theoretisch betroffen ist, können Sie z.B. an einer auf dem Gerät angebrachten PIN erkennen. Wo eine PIN drauf steht, ist i.A. auch die PIN-Methode drin (sonst wäre die PIN ja nicht nötig). Ob WPS per default ein- oder ausgeschaltet ist, verrät Ihnen dann (hoffentlich) das Handbuch.
Ob Angriffe wirklich möglich sind, lässt sich nur durch einen Test mit einem der Tools prüfen, sofern nicht schon jemand anders Testergebnisse für genau dieses Gerät (d.h. auch mit identischer Hard- und Firmwareversion) veröffentlich hat.
Übersicht betroffener Geräte
Laut Stefan Viehböcks Paper sind folgende Geräte betroffen:
- D-Link DIR-655
- Netgear WGR614v10
- TP-Link TL-WR1043ND
Beim Linksys WRT320 konnte zwar nicht die WPS-PIN ermittelt, aber ein DoS ausgelöst werden.
Das US-CERT hat die Vulnerability Note VU#723755 zur Schwachstelle veröffentlicht, die einige Hersteller sowie den Status ihrer Geräte aufführt. Diese Liste ist aber zumindest zur Zeit noch sehr beschränkt, z.B. AVM ist dort bisher nicht enthalten.
Moritz Jaeger (@jagermo) hat auf Google Docs eine Tabelle zum Sammeln der Ergebnisse von wpscrack und Reaver veröffentlicht, die aber erst langsam zu wachsen beginnt. Neue Ergebnisse können über ein Formular gemeldet werden. Dieser Umweg war nach einigem Vandalismus an der zuerst von jedem beschreibbaren Tabelle nötig geworden.
Falls Ihr Gerät auf einer dieser Listen auftaucht, vergleichen Sie auf jeden Fall Hardware- und Firmware-Version, vor allem, wenn es als "nicht betroffen" gilt. Es ist durchaus möglich, dass manche Baureihen oder Firmwareversionen betroffen sind, während andere die Schwachstelle nicht enthalten.
Welche Geräte sind nicht betroffen?
Nicht betroffen sind Geräte, die ausschließlich die "Push Button Configuration" einsetzen. Dafür besteht bei denen formal die Gefahr, dass sich während der 2 Minuten, in denen sich Geräte nach dem Druck auf den WPS-Knopf mit den WLAN verbinden können, bösartige Geräte ins WLAN einschleichen. Aber wie gross ist die Wahrscheinlichkeit dafür, dass in genau diesem Zeitfenster von nur 2 Minuten ein Angriff stattfindet? Wie oft fügen Sie denn Geräte über WPS zu Ihrem WLAN hinzu? Genau dann müsste der Angriff stattfinden, und das ist doch wohl sehr unwahrscheinlich.
Falls Ihnen die Gefahr trotzdem zu hoch erscheint, können Sie zu einem Gerät mit weiterreichenden Schutzmaßnahmen greifen. So hat AVM erklärt, dass die WPS-Funktion der FRITZ!Box sicher ist: WPS wird über die "Push Button Configuration" aktiviert, danach kann sich ein neues Gerät innerhalb von 2 Minuten mit dem WLAN verbinden. Nach Ablauf der 2 Minuten wird die WPS-Funktion deaktiviert. Soweit ist es in der WPS-Spezifikation auch vorgesehen. AVM geht aber noch weiter: Die Funktion wird auch deaktiviert, nachdem sich ein Gerät erfolgreich mit dem WLAN verbunden hat. Versuchen mehrere Geräte gleichzeitig, eine WPS-Verbindung aufzubauen, wird WPS sofort deaktiviert.
Als Advocatus Diaboli könnte man jetzt sagen "Wenn der Angreifer es schafft, sich mit dem WLAN zu verbinden, bevor der Benutzer sein Gerät hinzufügt, ist WPS bereits wieder deaktiviert und der doppelte Verbindungsversuch wird gar nicht erkannt" - aber die Wahrscheinlichkeit dafür dürfte irgendwo zwischen "Nullkommanichts" und "nicht messbar" liegen.
Gegenmaßnahmen
Da sich die Schwachstelle in der Erweiterung WPS befindet, reicht es aus, diese Funktion abzuschalten. Sofern das möglich ist: Bei einigen Access Points und WLAN Routern scheint es diese Möglichkeit nicht zu geben.
Lässt sich WPS nicht ausschalten, haben Sie ein Problem: Jeder, der Lust dazu hat, kann sich innerhalb einiger Stunden Zugriff zu Ihrem WLAN verschaffen. Im Grunde haben Sie dann nur die Möglichkeit, einen anderen Access Point oder WLAN-Router anzuschaffen, der die Schwachstelle nicht aufweist oder der das Abschalten von WPS erlaubt. Sie können natürlich auch das Risiko eingehen und auf die Veröffentlichung eines Firmware-Updates zur Korrektur der Schwachstelle warten, aber ob es das jemals geben wird, steht i.A. in den Sternen.
Fazit
Die Schwachstelle befindet sich "nur" in WPS, erlaubt aber indirekt das Ermitteln des WPA/WPA2-Schlüssels. In sofern gibt es eine gute und eine schlechte Nachricht: WPA/WPA2 ist nicht gebrochen - aber wenn sich WPS mit PIN-Abfrage nicht abschalten lässt, kann sich ein Angreifer den nötigen WPA/WPA2-Schlüssel einfach darüber holen.
Diese Schwachstelle ist also in der Tat sehr gefährlich, hebelt sie doch eine eigentlich als sicher bekannte Schutzmaßnahme aus.
Übersicht über alle Artikel zum Thema
- WEP, WPA, WPA2 - WLAN-Schutz, aber richtig!
- "Hole196" - Eine neue Schwachstelle in WPA2
- DNS-Rebinding - Ein altbekannter Angriff kompromittiert Router
- Von außen durch den Client in den Router
- Ciscos "WPA Migration Mode" öffnet den Weg ins WLAN
- NAT-Pinning, Angriffe auf Cisco-WLANs und ein Tool
- Angriffe auf den WLAN-Client
- BEAST - Ein neuer Angriff auf SSL und TLS 1.0
- Konfigurationsänderungen am Router per UPnP - aus dem Internet
- WLAN-Sicherheit - Stand der Dinge
- WPS-Schwachstelle gefährdet WLANs
Trackbacks
Dipl.-Inform. Carsten Eilers am : Jede Menge Neues zu Routern - und nichts Erfreuliches
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Unsichere Router, unsichere Cloud, unsichere Werbung, unsicheres FBI... ja, ist denn gar nichts mehr sicher?
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Mal wieder nichts Gutes zu Routern...
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : WLAN-Sicherheit 15 - Angriffe aufs WLAN, Teil 2
Vorschau anzeigen