Thema Sicherheit: Und dann macht es KRACK

Heute wird es ein wenig technisch auf diesem Blog, aber wirklich nur ein wenig, weil ich einfach schamlos die relevantesten Infos verlinken werden, sofern sie jetzt schon vorliegen. Es macht aus meiner Sicht keinen Sinn, wenn ich versuche, Sachverhalte in umschreibende Worte zu kleiden, für die Experten in diesen Dingen schon passende Worte gefunden haben.

Seit gestern geistert ein Begriff durch das Internet, der sich so liest, als sei er aus der Übersetzung eines Donald-Duck-Comics entsprungen: KRACK. Ich hatte das zuerst allerdings gar nicht mitbekommen, weil ich gestern direkt nach dem Job schon wieder unterwegs war, um mir mit den „Female Voices 2017“ ein Rock-/Metal-Minifestival in Bochum anzuhören. Deswegen trafen mich die alarmierenden Neuigkeiten unvorbereitet.

KRACK steht für „Key Reinstallation Attack“, also in etwa „Attacke durch Neuinstallation des Schlüssels“. Es bezieht sich auf das (bis jetzt?) sicherste Verfahren zur Verschlüsselung von WLAN-Funknetzen, den sogenannten WPA2-Standard, der in eigentlich allen moderneren Servern und Clients Verwendung findet, die drahtlos miteinander kommunizieren.

Bis jetzt hatte man geglaubt, dass WPA2 de facto nicht zu kompromittieren sei, auch wenn es immer mal wieder gegenläufige Aussagen gab. Jedenfalls galt das hinterlegte Passwort als sicher und aufgrund der Verschlüsselung für nicht knackbar.

Und das ist das „komische“ an dieser neuen Art der Attacke: Das Passwort ist wohl nach wie vor sicher, denn der potentielle Angreifer setzt an einer ganz anderen Stelle an. Dazu muss ich doch ein wenig technisch werden, fürchte ich.

Das WLAN-Signal wird durch einen Server, in den meisten Fällen einen Router (etwa die Speedport-Modelle der Telekom oder die Fritz!Boxen von AVM) ausgestrahlt. Der Client, also das Gerät, welches das Signal auffängt und sich gerne verbinden möchte, sendet nun seinerseits, dass er da ist und Kontakt haben will. In Folge beginnen die beiden Geräte eine Art Austausch miteinander darüber, ob sie kompatibel sind, ob der Client das Kennwort kennt, usw.

Unter anderem tauschen die beiden Geräte auch eine Session-ID miteinander aus, die nichts anderes bedeutet, als dass die Geräte für die Dauer dieser Sitzung miteinander verbunden bleiben können. Und hier setzt nun der Designfehler in WPA2 an, der es möglich macht, die weiteren sicherheitsrelevanten Schritte zu umgehen: Der Angreifer kann sich einklinken und kann die übermittelte Session-ID ein weiteres Mal verwenden. Dies öffnet ihm Tür und Tor auf den Datenaustausch zwischen dem Client und dem Server – ganz ohne Kenntnis des Passwortes.

Besonders betroffen von dem Problem sind, nach dem gegenwärtigen Stand der Dinge, Geräte, die auf Linux- oder Android-Basis arbeiten. Hier soll es teilweise sogar möglich sein, die Session-ID mit Nullwerten auszuhebeln.

Eine positive Nachricht gibt es allerdings auch: Verschlüsselter Datenaustausch, im Browser erkennbar an dem Präfix https:// bzw. auch, je nachdem, an einem geschlossenen Sicherheitsschloss, kann nicht mitgehört werden. Dementsprechend braucht sich also wohl niemand Sorgen um seine Geschäfte im Online-Banking zu machen.

Die negative Nachricht ist allerdings, dass durch die Art des Fehlers ein Update der Software des Servers, also des Routers, nicht ausreichen wird. Vielmehr müssen alle Clients einzeln versorgt werden. Und das ist Aufgabe des Herstellers.

Für die großen PC-Betriebssysteme liegen wohl bereits entsprechende Patches vor, wenn man den Meldungen Glauben schenken kann. Schwieriger wird die Lage bei den 1397 verschiedenen Smartphone-Varianten, die dort draußen im Umlauf sind. Viele werden von ihren Herstellern gar nicht mehr gepatcht oder wenn doch, dann vielleicht erst in Monaten.

Aber weswegen ich den Fall überhaupt hier, auf einer dem Schreiben und dem Lesen gewidmeten Seite, in epischer Breite auswalze, ist das: Denkt nur einmal an all die eReader, die ihr zum Lesen benutzt. Denkt an WLAN-Drucker, auf denen ihr eure Manuskripte ausdruckt. Denkt an das obskure China-Netbook, auf dem ihr eure Texte schreibt.

Ob alle diese Geräte ein Update erhalten werden? Ich fürchte, dass nicht. Zumindest kann ich es mir für mein China-Netbook nicht vorstellen (wobei, bevor das Argument wieder kommt, die Lage bei einem Aldi-Netbook wahrscheinlich nicht rosiger aussähe). Und auch Amazon wird mich wohl eher zum Kauf eines neuen Kindle-Fire auffordern, als noch einen Patch für mein Tablet der dritten Generation nachzuschieben. Wie sich Brother als Hersteller meines Druckers stellen wird, wage ich noch gar nicht einzuschätzen.

Und das sind nur die Geräte, die unmittelbar mit dem Schreiben zu tun haben! Was ist etwa mit dem Amazon-Fire-TV oder dem Smart-TV, auf dem ihr eure bevorzugte Serie schaut, um euch inspirieren zu lassen? Was ist mit der Spielkonsole, auf der ihr zur Entspannung ein wenig zockt? In einigen Ecken des Internets diskutieren sie bereits über die Folgen, die KRACK für die Steuerung eines Smart-Home, also etwa eure Heizung, haben könnte.

Bis jetzt ist das alles bewiesene Theorie, nur ein Proof of Concept in einem belgischen Labor. Und es ist ein es dieser typischen Probleme der Sorte „mit Geld kann man alles lösen“. Aber dennoch ist es alles andere als trivial. Nicht zuletzt für meinen Etat.

Jetzt habe ich doch versucht, in meinen Worten zu erklären, was da eigentlich passiert ist. Trotzdem verlinke ich euch noch die Übersichtsseite von Heise Security, die ich in den nächsten Tagen etwas intensiver im Auge behalten werde. Ebenso wie die Internetseiten des einen oder anderen Hardwareherstellers. Vielleicht überrascht mich ja eine Firma wie Amazon, eine wie Teclast oder eine wie Vernee doch noch positiv.

Wenn man eines als Autor frühzeitig lernt, dann ist es, dass man die Hoffnung niemals aufgeben sollte.

8 Gedanken zu “Thema Sicherheit: Und dann macht es KRACK

  1. Und schon bin ich wieder froh, ein Technik-Muffel zu sein.
    Außer meinem Laptop hat hier nix Wlan…
    Allen, die immer versuchten, mich von den Vorteilen eines Smartphones zu überzeugen, und jetzt hektische Flecken kriegen, kann ich nun noch fröhlicher ins Gesicht grinsen.
    Ich bin schon ne gehässige Alte.

    Gefällt 1 Person

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.