Was ist KRACK?
KRACK steht für Key Reinstallation Attack und beschreibt einen Angriff auf das WPA2-Protokoll mit dem alle halbwegs modernen Wi-Fi-Netze arbeiten. Dieser Angriff basiert dabei auf dem Protokoll selbst und nicht auf einzelnen Implementierungen oder anders gesagt: Es sind grundsätzlich erstmal alle WLAN-fähigen Geräte betroffen, bis sie ein Update bekommen. Windows-Nutzer sind hier mal auf der Sonnenseite, denn hier gab es einen Patch bereits am 10. Oktober.
Bei diesem Angriff wird nicht das Passwort des Netzwerkes geknackt, sondern der Angreifer klinkt sich in die Aushandlung von Session-Keys ein, manipuliert diese und ist dann so in der Lage, die Kommunikation mitzulesen. Damit erhält der Angreifer also Zugriff auf jede nicht zusätzlich verschlüsselte Kommunikation. Nicht schön.
Wer sich für die technischen Details interessiert, der wird auf der Website zum Angriff fündig: krackattacks.com. Dort findet sich auch ein Demo-Video, das den Ablauf des Angriffs zeigt.
Wie gefährlich ist der Angriff?
Aktuell ist die Gefahr eher gering, es sind bislang keine echten Angriffe bekannt, fertige Angriffstools sind wohl derzeit auch noch nicht im Umlauf. Das wird sich aber natürlich nun relativ schnell ändern, der Vorsprung für die Hersteller entsprechender Hard- und Software schrumpft also beständig.
Aber selbst bei einem erfolgreichen Angriff kann der Angreifer „nur“ mitlesen, was ohne zusätzliche Verschlüsselung über die Leitung geht – soweit die zusätzliche Verschlüsselung sauber arbeitet zumindest. In einer perfekten Welt würden wir alle nur noch über verschlüsselte Verbindungen kommunizieren, also alle Websites https in einer aktuellen Variante verwenden und wir könnten recht entspannt sein. Wir leben jedoch nicht in einer perfekten Welt, daher sollte man direkt anfangen über zusätzliche Maßnahmen nachzudenken.
Was kann man tun, um sich zu schützen?
Gleich zu Beginn: Es bringt genau gar nichts, das Passwort des eigenen WLANs zu ändern. So was kann man durchaus dann und wann mal machen, aber gegen KRACK hilft es nicht. Es ist aber auch nicht nötig, das WLAN direkt abzuschalten.
Ein Wechsel auf kabelgebundene Verbindungen ergibt durchaus Sinn, wo dieser Wechsel möglich ist. Wenn ein Drucker sowieso neben dem Switch steht, dann muss man ihn ja nicht zwingend ins WLAN hängen, um zu drucken. Das ist aber natürlich keine Lösung für jeden Fall – auch wenn es wohl Möglichkeiten geben soll, einem iPhone über Lightning-USB- und USB-Ethernet-Adapter an ein Kabelnetz zu hängen.
Verschlüsseln, verschlüsseln und verschlüsseln!
„Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät dazu, WLAN-Netzwerke bis zur Verfügbarkeit von Sicherheits-Updates nicht für Online-Transaktionen wie Online Banking und Online Shopping oder zur Übertragung anderer sensitiver Daten zu nutzen.“
Das kann man natürlich machen, anderseits sollten doch eigentlich gerade Online-Banking-Sites saubere Verschlüsselung anbieten und nutzen, selbst in einer Welt, die so wenig perfekt ist wie unsere. Aber wer wirklich sicher gehen will, der sollte diesem Rat folgen. Zumindest aber sollte man verstärkt darauf achten, dass man Websites immer in der verschlüsselten Variante aufruft – so es eine gibt. Für Firefox, Android, Chrome und Opera gibt es die Erweiterung HTTPS Everywhere, die das automatisiert. Alle anderen müssen ihre Augen aufhalten.
Vielleicht auch ein guter Anlass noch einmal die Konfiguration des eigenen Mailaccounts zu checken, es soll ja tatsächlich noch Anbieter geben, die einen POP3- oder IMAP-Zugriff ohne Verschlüsselung ermöglichen. Einfach mal darauf achten, dass man hier auch wirklich die Verschlüsselung aktiviert hat.
Bei Geräten im internen Netz, zum Beispiel Drucker oder die Unmenge an IoT-Geräten, die unsere Häuser kontrollieren, Daten bereit halten und Musik spielen, sollte man – je nach eigenen Möglichkeiten – prüfen, dass diese auf verschlüsselte Verbindungen auch im internen Netz setzen oder eben einfach mal den Hersteller fragen. Gerne auch hartnäckig und öffentlich nachfragen.
Behandle dein WLAN wie ein öffentliches WLAN!
Der effektivste Schutz ist es, einfach das eigene WLAN so zu behandeln, wie ein öffentliches WLAN. Zumindest sehr viele agieren in einem öffentlichen WLAN anders, nutzen dort VPN-Dienste, um eine zusätzliche Verschlüsselung zu bekommen. Genau dies sollte man einfach auch im eigenen WLAN machen. Entsprechende Dienste gibt es reichlich, teilweise auch schon kostenlos. Natürlich garantiert auch das keine 100%ige Sicherheit, aber man macht es einem Angreifer damit auch nicht leichter. Leider wirkt sich das aber eben nur auf Verbindungen aus, die aus dem eigenen Netz raus gehen.
Hersteller sind gefragt!
Wie so oft sind mal wieder die Hersteller gefordert, entsprechende Updates zu liefern. Die gute Nachricht hier ist, dass die Änderungen am Protokoll so gemacht werden, dass gepatchte Geräte weiterhin mit Geräten kommunizieren können, die noch auf ein Update warten.
Die schlechte Nachricht: Der Angriff zielt in erster Linie mal auf Clients im Netz, es ist also nicht damit getan, dem Router ein Update zu verpassen. Um wirklich sicher zu sein, müsste jedes Gerät im Netz ein Update bekommen. Und da kommen wir dann in eine Situation, die mit folgendem Zitat leider viel zu gut beschrieben ist:
The S in IoT is for security, and the U is for Update Policy. Kristian Köhntopp
Es gibt dazu auch eine grafische Darstellung bei CommiStrip.
Wie bereits erwähnt: Man muss bei den Herstellern nachfragen und Druck machen, dies im Zweifel eben auch öffentlich. Aber es bleibt zu befürchten, dass es trotzdem Hersteller gibt, die darauf nicht reagieren oder nicht mehr reagieren können, weil es die Hersteller nicht mehr gibt. An dieser Stelle folgt nun der unvermeidliche Hinweis darauf, dass solche Probleme mit Open Source Software deutlich besser zu beseitigen wären, weil sie eben auch unabhängig vom Hersteller behoben werden könnten. Aber im Prinzip wissen das ja auch längst alle und auch Forderungen nach gesetzlich garantierten Mindeststandards in Sachen Sicherheit und Updates wurden ja schon öfter laut. Möglicherweise funktioniert KRACK ja als Megaphon für solche Forderungen?
Vorsicht ja, Panik nein
Um es kurz zu machen: Ja, man sollte vorsichtig sein, aber das unabhängig vom Bekanntwerden solcher Schwachstellen. Es war schon immer eine gute Idee, ein WLAN, auch das eigene, als potentiell „feindliches Gebiet“ zu behandeln und auch intern alles an Verschlüsselung zu verwenden, was möglich ist. In Panik muss aber keiner ausbrechen. Aber sterben werden wir ganz sicher alle. Früher oder später. Aber nicht an KRACK…
Beitragsfoto: rawpixel via Pixabay