Fazit Krack-AngriffNach der WLAN-Lücke: Update-Zombies und Kommunikationsfrust
Zusammenfassende Einschätzung zur Krack-Attacke
Bild: teltarif.de
Der Sicherheitsforscher Mathy Vanhoef von der Katholischen Universität Löwen (KU Leuven) hatte einen Weg gefunden, in den Anmeldeprozess eines Clients an eine Basisstation einzudringen und dort den Austausch des geheimen Schlüssels zu manipulieren. Ergebnis: Eine für den Angreifer offene Verbindung mindestens zum Endgerät, möglicherweise auch ins Netzwerk.
Das hätte nicht passieren dürfen. Ist es aber doch und das, obwohl es sogar einen formalen mathematischen Beweis gab. Grundsätzlich habe dieser Beweis auch weiter Bestand, betonte der Forscher auf der extra eingerichteten Website Krackattacks.com. Denn der Beweis sage aus, dass wenn das Verfahren korrekt umgesetzt wird, es sicher ist. Genau dort liegt der Knackpunkt: Es wurde nicht korrekt umgesetzt.
Streit um die Schuldfrage
Zusammenfassende Einschätzung zur Krack-Attacke
Bild: teltarif.de
Nun ist eine Diskussion in Fachkreisen entbrannt, wer die Schuld an den Sicherheitslücken trage. Derzeitige Tendenz: Die Geräte- und Software-Hersteller treffe wenig bis keine Schuld. Vielmehr müsse die IEEE, das Gremium, unter dessen Regie der Standard entwickelt wurde, Verantwortung übernehmen. Vor allem wird Kritik daran laut, dass WPA2 für interessierte Forscher und IT-ler wohl nur schwer zugänglich gewesen sei, berichtet Heise Security.
Doch nicht nur beim Standard war nicht alles korrekt. Kritik gibt es auch darum, wie die Sicherheitslücken veröffentlicht wurden und wer was wusste. So scheint sicher, dass der Belgier ein "Responsible Disclosure"-Verfahren startete, bei dem betroffene Stellen und Unternehmen von der Lücke erfahren und sie vor Veröffentlichung schließen können. Nachdem Vanhoef erste Unternehmen kontaktiert hatte, soll sich dann das US-amerikanische Computer-Notfall-Reaktionszentrum (CERT) eingeschaltet haben und wiederum einige wohl vor allem US-amerikanischen Unternehmen der IT-Industrie gewarnt haben. So waren diese in der Lage, die Lücken bereits eine Woche vor ihrem Bekanntwerden zu schließen – wie beispielsweise der Software-Riese Microsoft, der die Lücken im Rahmen seines Patchdays schloss.
Außerhalb der USA jedoch sei die Warnung nicht groß herumgereicht worden. So ergab eine kurze telefonische Nachfrage von teltarif.de bei ausgesuchten Unternehmen in Deutschland, dass sie genau wie die Öffentlichkeit erst am Montag, den 16. Oktober aus Social Media und anderen Medien von Krack erfahren haben. Auch das Bundesamt für die Sicherheit in der Informationstechnik (BSI) bestätigte nach Angaben des Deutschlandfunks, dass man erst am Montag von Krack erfahren habe.
Das Bundesamt selbst stand kurz nach Veröffentlichung der Lücken in der Kritik, man habe überzogen vor KRACK gewarnt. So riet die Behörde Anwendern, zunächst auf Online-Banking in einem mit WPA2 gesicherten Netzwerk zu verzichten ebenso wie auf Einkaufen im Netz via WLAN. Nur das kabelgebundene Surfen oder Mobilfunkverbindungen seien derzeit sicher: "Nutzen Sie Ihr WLAN-Netzwerk so, als würden Sie sich in ein öffentliches WLAN-Netz einwählen, etwa in Ihrem Lieblings-Café oder am Bahnhof", heißt es beim BSI.
Hysterie und Beschwichtigung
Diese Warnung wurde von vielen Akteueren der Branche heftig kritisiert. So relativierte beispielsweise der Branchenverband Bitkom die BSI-Warnmeldung: "Man kann das Internet (über WLAN) schon noch nutzen, auch für sensible Transaktionen", so Marc Bachmann, IT-Sicherheitsexperte beim Bitkom. Man müsse allerdings darauf achten, dass die Verbindung dabei durch eine zusätzliche Verschlüsselungssicht geschützt sei. Es gebe keinen Anlass für eine "Hysterie".
Die Beschwichtigungen steigerten sich zum Teil dermaßen, dass es schien, die Bedeutung der Sicherheitslücken sei überhöht worden und alles ja gar nicht so schlimm. Zwar stimmt es, wie einige Experten und Unternehmen auch betonten, dass ganz bestimmte Bedingungen erfüllt sein müssen, um mit Krack WLAN-Endgeräte anzugreifen. Doch halten nicht wenige Experten das Szenario durchaus für realistisch. So müsse man dicht am Zielgerät sein und dieses dazu bewegen, die Verbindung zum WLAN neu aufzubauen. Doch für entsprechend motivierte Angreifer sollte das keine Herausforderung sein.
Darauf ging der Entdecker der Lücke, Mathy Vanhoef, in einem Gespräch mit dem Podcast "Tech News Weekly" ein. Darin wies der belgische Forscher darauf hin, dass Angreifer eine Attacke auch aus größerer Entfernung ausüben könnten: "Man muss sich zwar in der Reichweite des Netzwerks aufhalten. Es gibt allerdings Spezial-Antennen, mit denen man sich aus größerer Entfernung mit einem WiFi-Netzwerk verbinden kann." Damit wäre es möglich, die Attacke auch aus einer Distanz von zwei oder sogar drei Kilometer zu starten.
Als Gründe, warum Krack nicht so schlimm sei, wurde auch angeführt, dass sensible Aktionen wie Online-Banking zum Beispiel zusätzlich mit der Verschlüsselungstechnik SSL gesichert seien oder man virtuelle private Netzwerke (VPN) nutzen könne. Doch auch bei diesen Techniken ist nicht 100-prozentig sicher, dass sie fehlerfrei sind. Bereits mehrfach hatte sich in der Vergangenheit gezeigt, dass sie es nicht sind. So führt der Krack-Entdecker auf seiner Website einige Beispiele auf, in denen SSL und VPN kompromittiert wurden. Zudem ist es für mäßig erfahrene Anwender nicht ganz einfach zu erkennen, ob eine SSL- oder VPN-Verbindung auch korrekt aufgebaut wurde. Darauf wies der Chaos Computer Club (CCC) hin. Denn Laien wüssten oft nicht: "was alles zu beachten ist, um eine SSL-Verbindung korrekt zu überprüfen", so Linus Neumann, einer der Sprecher des CCC gegenüber der Deutschen Presseagentur.
Global verteilte Backdoor
Fraglich ist, ob Krack jemals ganz verschwinden wird. Zwar haben mehrere Hersteller von Soft- und Hardware bereits Updates veröffentlicht beziehungsweise angekündigt, entsprechenden Aktualisierungen zu liefern. Jedoch befürchten zahlreiche Experten, es würden Tausende wenn nicht gar Millionen Geräte ohne Update bleiben. Dazu zählen vor allem ältere Smartphones mit Android-Betriebssystem, die schon in der Vergangenheit durch langsame oder ausbleibende Update-Zyklen aufgefallen waren. Auch Geräte des Smart Homes und solche aus dem Internet der Dinge, so Experten, werden wohl nicht aktualisiert. Beispielsweise sei es wenig wahrscheinlich, dass der Hersteller einer Billig-WLAN-Kamera aus dem Discounter den Aufwand treiben werde, Aktualisierungen zu schreiben und zu verteilen, hieß es im Deutschlandfunk.
Smarte Fernsehgeräte, vernetzte DVD-Player, Set-Top-Boxen, Küchenmaschinen oder Putzroboter werden ungepatcht zu Hintertüren ins eigene Netzwerk. Fernab heimischer Netzwerke könnten auch geschäftliche Netze und solche in Firmen ins Visier von Geheimdiensten und Kriminellen geraten. Bereits ein ungepatchtes Gerät reicht, um zum idealen Angriffsvektor zu werden.
Auch Mathy Vanhoef geht davon aus, dass etliche betroffene Geräte niemals ein Update bekommen werden. Im Podcast "Tech News Weekly" forderte der Informatiker die Besitzer dieser Geräte auf, sich bei den Herstellern zu melden und Sicherheitsupdates einzufordern. "Wenn viele User sich beschweren, tut sich vielleicht etwas." Außerdem kündigte Vanhoef an, er wolle ein Werkzeug programmieren, mit dem Anwender prüfen könnten, ob das eigene Smartphone von der Sicherheitslücke betroffen ist oder der Fehler bereits durch ein Update der Systemsoftware geschlossen wurde. Er suche mit seinen Kollegen aber auch noch nach Wegen, die möglichen Auswirkungen einer Krack-Attacke zu vermindern, sagte Vanhoef. Dabei gehe es um den Schutz von Geräten, die nicht mit einem Update versorgt werden. "Daran arbeiten wir allerdings noch."
Zu den möglichen Auswirkungen sagte Mathy Vanhoef, ihm sei nicht bekannt, dass irgendwelche Hacker bereits über Tools verfügen, um die Krack-Attacke auszuführen. "Es könnte aber sein, dass jemand schon so ein Programm geschrieben und noch nicht veröffentlicht hat.2 Die Programmierung einer Software, mit der man die Attacke ausführen kann, setze einige technische Expertise voraus. "Daher könnte es noch einige Zeit dauern, bis so ein Tool programmiert wird. Es bleibt dann aber auch offen, ob so ein Tool dann auch publik wird. Wenn so ein Tool verfügbar wäre, könnten viele Leute eine Krack-Attacke ausführen."
In einem separaten Artikel beantworten wir wichtige Fragen zu Krack.