Skip to content

WLAN-Sicherheit 6 - Angriffe auf die WPA-Verschlüsselung, Teil 1

Der ursprüngliche Standard-Verschlüsselungsalgorithmus für drahtlose Netze nach dem Standard IEEE 802.11 (WLAN), Wired Equivalent Privacy (WEP) enthält einige Schwachstellen und kann kinderleicht geknackt werden. Aber auch das als vorübergehender Ersatz entwickelte Wi-Fi Protected Access (WPA) ist nicht absolut sicher. Zum einen besteht die Gefahr von DoS-Angriffen (auch wenn sich anscheinend niemand die Mühe gemacht hat, die wirklich zu starten), zum anderen ist auch das

Brechen der Verschlüsselung

möglich. Und zwar wenn ein unsicherer Schlüssel für das Pre-Shared-Key-Verfahren verwendet wird. Der Enterprise Mode mit seinem Authentifizierungsserver ist von diesen Angriffen nicht betroffen.

Bereits 2004 wurde mit dem "WPA Cracker" ein Tool zum Knacken schwacher WPA-Schlüssel veröffentlicht.

Für den Angriff werden einige Pakete aus der WPA-Authentifizierungsphase benötigt, aus denen dann über einen Brute-Force- oder Wörterbuchangriff der Pairwise Master Key (PMK) ermittelt werden kann. Der Entwickler des Angriffs, Takehiro Takahashi, hat ihn in einem Whitepaper beschrieben: "WPA Passive Dictionary Attack Overview" (PDF).

Brute-Force- und Wörterbuchangriffe sind natürlich stark von der verfügbaren Rechenleistung abhängig. Je leistungsstärker der Rechner, desto erfolgreicher und schneller der Angriff.

2008 hat Elcomsoft die Angriffe stark beschleunigt, indem man Grafikkartenchips für die Berechnungen verwendete. Damals konnte das nur Elcomsofts Software, inzwischen gibt es viele weitere Tools, die die GPU für Berechnungen nutzen. Ein Tool zum Brechen des WPA-PSK ist z.B. der Passwortkacker John the Ripper, der 2012 um das Brechen von WPA-PSKs und eine GPU-Unterstützung erweitert wurde.

2011 hat Thomas Roth die Knacken in die Cloud verlagert und dadurch noch mal extrem beschleunigt.

Statt GPUs oder die Cloud kann man auch Cluster von Rechnern für das Brechen der WPA-Schlüssel verwenden. Z.B. mit der 2013 vorgestellten Perl-Anwendung Moscrack (Multifarious On-demand Systems Cracker).

Gegen diese Angriffe gibt es ein einfaches Gegenmittel: Kein schwachen PSKs verwenden. Wenn der Schlüssel lang und zufällig ausgebaut ist scheitern Brute-Force- und Wörterbuchangriffe. Aber auch davor sichere Schlüssel sind nicht mehr zwingend sicher.

Brechen der Verschlüsselung unabhängig vom Schlüssel

Bisher gibt es zwei Angriffe auf WPA, die nicht auf schwache PSK-Schlüssel angewiesen sind. Oder sogar drei, je nachdem wie man zählt.

2008 haben Martin Beck und Erik Tews einen Angriff auf WPA vorgestellt (PDF), der auf den KoreK-Angriff auf WEP zurück geht. WPA wurde gegen derartige Angriffe gehärtet. Zum einen durch den bereits erwähnten Abbruch der Verbindung nach dem Empfang zweier manipulierter Pakete innerhalb von 60 Sekunden. Zum anderen durch den TKIP Sequence Counter (TSC), der das Wiedereinspielen abgefangener Pakete deutlich erschwert.

Der erste Schutz lässt sich umgehen, indem beim Senden der gefälschten Pakete zwischen den Paketen die 60 Sekunden gewartet wird. Der zweite greift nicht, wenn die oft vorhandenen Quality-of-Service-Funktionen der Access Points missbraucht werden. Die APs unterstützen 8 Kanäle, und die präparierten Pakete werden statt an den Senderkanal einfach an einen anderen Kanal gesendet. I.A. findet der meiste Verkehr auf Kanal 0 statt, während die anderen Kanäle kaum genutzt werden. Dadurch wird deren TSC nur sehr selten erhöht und der TSC des auf Kanal 0 empfangenen und nun wieder eingespielten Pakets ist i.A. höher als der aktuelle TSC des "falschen" Kanals.

Der Angriff richtet sich insbesondere gegen ARP-Pakete, deren Aufbau im Klartext zu großen Teilen immer identisch ist. Zum Entschlüsseln müssen nur die IP-Adresse, die MIC und der ICV (aus WEP übernommen) geraten werden. Danach lässt sich der Schlüsselstrom für die Kommunikation vom AP zum Client ermitteln, ohne dass der ursprüngliche Schlüssel bekannt ist. Dadurch können sowohl die Pakete vom AP an den Client entschlüsselt als auch eigene Pakete an den Client gesendet werden.

Das klingt aber schlimmer als es ist:

  • Der Angriff gelingt nur, wenn die Zeit bis zum Wechsel des TKIP-Schlüssels ("Rekeying") groß ist, z.B. 3.600 Sekunden.
  • Die Quality-of-Service-Funktion des AP muss eingeschaltet sein, damit mehrere Kanäle zur Verfügung stehen.
  • Nach dem Entschlüsseln eines Pakets kann der Angreifer jeweils genau 1 Paket über die anderen 7 Kanäle senden, danach ist der TSC seiner Pakete kleiner als der der Kanäle.
  • Der Angriff arbeitet nur in eine Richtung: Vom AP zum Client. Angriffe auf den AP sind nicht möglich. Der Angreifer kann also nicht über den AP ins lokale Netz eindringen und darin sein Unwesen treiben oder dessen Internetzugang missbrauchen. Er kann nur vom AP an den Client geschickte Daten ausspähen bzw. eigene Daten an den Client einschleusen.

Trotz all dieser Einschränkungen zeigte der Angriff aber, dass auch Angriffe über Brute-Force-Angriff auf schwache PSK-Schlüssel hinaus möglich sind. Und dieser Angriff lässt sich noch verbessern. Wie, erfahren Sie in der nächsten Folge. In der geht es dann auch um den zweiten vom Schlüssel unabhängigen Angriff auf WPA.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : WLAN-Sicherheit 7 - Angriffe auf die WPA-Verschlüsselung, Teil 2

Vorschau anzeigen
Der ursprüngliche Standard-Verschlüsselungsalgorithmus für drahtlose Netze nach dem Standard IEEE 802.11 (WLAN), Wired Equivalent Privacy (WEP) enthält einige Schwachstellen und kann kinderleicht geknackt werden. Aber auch d

Dipl.-Inform. Carsten Eilers am : WLAN-Sicherheit 8 - Der aktuelle Standard-Verschlüsselungsalgorithmus: WPA2

Vorschau anzeigen
Wi-Fi Protected Access 2 (WPA2) implementiert die grundlegenden Funktionen des aktuellen Sicherheitsstandards IEEE 802.11i für drahtlose Netze nach dem IEEE 802.11 Standard (WLAN). Im Gegensatz zum ursprünglichen Verschlüs

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Formular-Optionen

Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!