KRACK: Deutsche Telekom informiert über WPA2-Schwachstelle
Nachdem sich bereits der Berliner Hersteller AVM zur Angreifbarkeit seiner Router und Repeater äußerte, hat auch die Telekom via Twitter auf ihr Hilfe-Portal hingewiesen und beantwortet da die brennenden Fragen der Nutzer zum Thema der WPA2-Sicherheitslücke Krack (key reinstallation attacks). Persönlich finde ich, dass die Telekom recht gut aufklärt und auch über die eigenen Produkte informiert. Momentan weiss man da nämlich nichts. Man teilt mit, das die Lieferanten der Telekom-Produkte diese gerade analysieren.
Sollten Produkte betroffen sein, dann werden diese zeitnah – und wenn machbar auch automatisch – aktualisiert. Die Deutsche Telekom schätzt das Risiko, Opfer eines Krack-Angriffs zu werden, derzeit als gering ein. Zur absoluten Sicherheit müssten WLANs allerdings komplett abgeschaltet werden.
FAQ der Deutschen Telekom:
- Muss man wegen der WPA2-Sicherheitslücke sein WLAN-Passwort ändern?
Nein, die Änderung des WLAN-Passworts verhindert einen Krack-Angriff nicht. Und durch einen Krack-Angriff kann nach aktuellem Kenntnisstand ein WLAN-Passwort auch nicht kompromittiert werden. Zum Schließen der WPA2-Schwachstelle und damit dem Verhindern eines Krack-Angriffs müssen Software-Updates für betroffene WLAN-Geräte eingespielt werden. - Muss ich mein WLAN abschalten, weil nun alle meine privaten Daten mitgelesen werden können?
Auch wenn ein Krack-Angriff durch das Abschalten des WLANs zuverlässig verhindert werden kann, so schätzt die Deutsche Telekom das Risiko, Opfer eines Krack Angriffs zu werden, derzeit nicht als so hoch ein, dass diese Maßnahme gerechtfertigt wäre. Zusätzliche Sicherheitsprotokolle, wie beispielsweise das HTTPS Protokoll beim Surfen im Internet oder eine VPN-Verbindung sind von Krack nicht betroffen. Daher ist beispielsweise die Übertragung von vertraulichen Daten zu Telekomdiensten weiterhin geschützt. Wenn Sie beispielsweise ihre Emails von t-online.de abrufen, dann bleiben diese trotz der WPA2-Schwachstelle privat. - Sind Telekom Speedport Router von der WPA2-Schwachstelle betroffen?
Die WPA2-Schwachstelle betrifft primär Geräte, die sich in ein WLAN einbuchen. Dennoch überprüfen unsere Lieferanten gerade, welche Speedport Router von der WPA2-Schwachstelle betroffen sein könnten. Aktuell gehen wir von gar keiner oder von einer sehr eingeschränkten Betroffenheit unserer WLAN-Router aus, da unsere Geräte die bei einem Access Point betroffenen WLAN-Standards nicht implementieren.
Sobald wir betroffene Telekom Geräte identifiziert haben, werden wir darüber informieren. - Welche Geräte sind nach aktuellem Kenntnisstand von der WPA2-Schwachstelle betroffen?
Nach aktuellem Kenntnisstand sind Geräte mit dem Android Betriebssystem der Version 6 sowie bestimmte Linux Betriebssystemversionen besonders betroffen. Geräte mit dem Windows Betriebssystem, mit MacOS oder mit iOS sind eingeschränkt angreifbar. - Wann wird es Software-Updates für betroffene Telekomgeräte geben?
Sobald wir identifiziert haben, welche Telekomgeräte von der WPA2-Schwachstelle betroffen sind, werden wir darüber informieren. In diesem Zusammenhang werden wir auch kommunizieren, wann voraussichtlich ein Softwareupdates zur Verfügung gestellt wird.
Bei allen betroffenen Telekomgeräten, die eine automatische Aktualisierung der Software unterstützen, verteilen wir die Telekom Software-Updates zum Schließen der WPA2-Schwachstelle automatisch. Daher empfehlen wir beispielsweise, bei unseren Speedport Routern die Funktion „Easy Support“ zu aktivieren. - Was kann ich jetzt als Nutzer tun, um nicht Opfer eines Krack-Angriffs zu werden?
Auch wenn ein Krack-Angriff derzeit als sehr unwahrscheinlich angesehen werden muss: wenn Sie ganz sicher sein wollen, müssten Sie ihr WLAN deaktivieren. Allerdings gehen wir derzeit von einem geringen Risiko aus, angegriffen zu werden. Prüfen Sie regelmäßig, ob für Ihre WLAN-fähigen Geräte Softwareupdates zur Verfügung stehen und spielen sie verfügbare Updates zeitnah ein.
Es ist davon auszugehen, dass viele Hersteller in den nächsten Tagen und Wochen Updates bereitstellen werden, die die WPA2-Schwachstelle schließen und damit einen Krack-Angriff verhindern.
Deutsche Telekom erklärt KRACK:
Die Krack-Angriffe werden durch Ungenauigkeiten in den WLAN-Spezifikationen ermöglicht, und sie betreffen grundsätzlich alle Hersteller von Geräten mit einer WLAN-Funktion. Durch die möglichen Angriffe wird die Sicherheit des WPA2-Standards jedoch nicht vollständig gebrochen. Unter bestimmten Rahmenbedingungen ist es vielmehr möglich, einzelne Sicherheitsmechanismen eines WLAN auszuhebeln: Ein erfolgreicher Angreifer kann beispielsweise die Kommunikation eines Rechners oder Smartphones im WLAN mitlesen oder gar manipulieren; beides sollte eigentlich durch WPA2 und die WLAN-Verschlüsslung verhindert werden.
Ein erfolgreicher Krack Angriff ist allerdings nur dann möglich, wenn man sich in Reichweite eines WLAN mit verwundbaren Komponenten befindet. Eine generelle Angreifbarkeit über das Internet besteht wegen Krack also nicht. Ob ein Gerät mit WLAN-Funktion verwundbar ist, hängt von seinem Betriebsmodus, von den Einstellungen und implementierten WLAN-Funktionen ab.
Primär von Krack betroffen sind WLAN-fähige Geräte, die sich in ein bestehendes WLAN-Netzwerk einbuchen, also beispielsweise Smartphones, Tablets, PCs, Smart TVs oder auch WLAN-Repeater zur Verlängerung der Reichweite eines WLAN. WLAN-Access Points (z.B. WLAN-Router) sind nach aktuellem Kenntnisstand nur dann betroffen, wenn diese die WLAN-Funktionen „schnelles Roaming“ (Standard 802.11r) und „vermaschtes WLAN-Netz“ (WLAN-Mesh, Standard 802.11s) unterstützen.
[/color-box]
Das wird überbewertet da alle kritischen Dinge SSL verschlüsselt sind und alle relevanten Sachen wie PCs und Handys gefixt sind, zumindest hier^^
Doofe Frage: muss diese Sicherheitslücke auf meinem recht alten DELL Laptop via Betriebssystem, sprich Windows, geschlossen werden oder über ein bspw Treiberupdate der Hardwarekomponenten? Das habe ich leider noch nicht so ganz verstanden.
@Flo: Das ist kein Problem der Endgeräte wie z.B. dem Rechner, sondern der Wlan-Accesspoints (Router), daher müssen ggf. diese per Update abgesichert werden.
Also viele WLAN-APs können auch als WLAN-Client verwendet werden (die FRITZ!Boxen zum Beispiel). Solche APs sind dann mit sehr hoher Wahrscheinlichkeit auch vom Problem betroffen, auch wenn sich viele Hersteller da gerade versuchen herauszureden.
Aber wenn ich diese Passage korrekt interpretiere, betrifft es doch auch meinen Laptop, Handy, ggf. Playstation etc?!
„Nach aktuellem Kenntnisstand sind Geräte mit dem Android Betriebssystem der Version 6 sowie bestimmte Linux Betriebssystemversionen besonders betroffen. Geräte mit dem Windows Betriebssystem, mit MacOS oder mit iOS sind eingeschränkt angreifbar.“
@Fred: Gerade die Fritz!Boxen sind genau deshalb nicht betroffen, weil sie nicht das (potentiell angreifbare) IEEE 802.11r verwenden. In diesem Punkt redet sich AVM nicht heraus, sondern begründet das fundiert.
Anders verhält es sich möglicherweise bei den AVM-Repeatern, wird aber noch geklärt.
Nein, Chris R., genau das ist ein Trugschluss: der Angreifer dupliziert dein WLAN und leitet danach sämtlichen Verkehr über sich als „Man in the Middle“ weiter zum Server. Dadurch könnte er zB auch von https auf http umleiten und somit auch wieder Daten abgreifen. Also muss gerade der Client ein Update erhalten, denn dein Router ist dann mehr oder weniger raus aus der Kommunikationskette.
Das ist eine Falschaussage, es ist ein Problem der Endgeräte! Und zwar kann nur der Datenverkehr eines einzelnen Endgerätes abgehört werden, es kann nicht das wlan passwort heraus gefunden werden und auch nicht übergreifend andere Geräte abgehört werden! Windows ist inzwischen sicher, Linux dürfte inzwischen auch auf allen bekannten Distros ein Update haben, ebenso hat Android zumindest bei LineageOS ein Update! Hier im Haushalt z.b. bleiben nur ein paar Steckdosen und so weiter übrig, da wünsche ich dem Hacker viel Spaß den Datenverkehr abzuhören xD zumal die ganze Geschichte überbewertet wird, als wenn man jetzt zu Hause unsicher ist außer man hat gestörte Nachbarn die es drauf haben da reinzukommen!
@Chris R.:
Du irrst, genau andersrum ist es. In der Regel sind die WLAN-Clients das Hauptproblem!
Siehe auch:
http://stadt-bremerhaven.de/krack-wpa2-luecke-betrifft-keine-avm-fritzbox-wohl-aber-repeater/#comment-811779
Und Windows ist durch das (Windows-)Update per se noch nicht sicher. Es muss auch ein modifizierter Treiber (sofern vorhanden) der WLAN-Karte installiert/upgedatet werden. Intel z.B. bietet schon aktuelle WLAN-Treiber an. Intel PROSet/Wireless Software 20.0.2.
Lest mal bei Heise und Golem nach. Die Lücke, die genutzt wird, liegt im Protokoll. Und das wird von so ziemlich jedem Gerät genutzt, welches einen WLAN Chip mit WPA2 nutzt. Es sind also APs UND Clients betroffen, sofern sie eben dieses Protokoll nutzen.
AVM und einige andere sollen da wohl anders arbeiten, weshalb sie scheinbar tatsächlich nicht betroffen sind.
Übrigens habe ich das so verstanden, dass der Mitm Angreifer nur einmal ins Netz kommen muss, um dann anschließend den gesamten Traffic – auch von gepatchten Geräten – mitlesen kann. Er braucht also nach meinem Verständnis nur einmal eine unsichere Verbindung erwischen. Danach wird der Traffic über ihn geroutet. Was ja auch Sinn machen würde.
Da brauche ich weder bei heise, noch bei Golem nachlesen, denn da schreiben die genauso viel wirres Zeug wie auch Du geschrieben hast. Wenn Du Englisch kannst, lies bitte die verfügbaren Dokumente. Dort werden detailliert die Angriffsvektoren beschrieben und wo wann was passiert. Verkürzt habe ich es bereits beschrieben, was in meinen Augen immer noch so Gültigkeit hat, da es keine weiteren Erkenntnisse bisher gibt.
Auch hat die Telekom und auch Cisco mittlerweile leichter verständliche Seiten zu dem Thema an den Start gebracht. Schau Dir die ggf. nochmal an. Und nein, ich such die Links jetzt nicht raus, jetzt ist Fußball.
Ok, sorry, da war ich wohl in der Tat auf dem falschen Dampfer und habe das anfangs missverstanden. Ich habe mich da inzwischen auf den aktuellen Stand gebracht, soll nicht wieder vorkommen…
@Chris R.:
Kein Problem, schön, dass Du Dich nu schlau gemacht hast. Wenn ich so die Beiträge/Kommentare quer durch das Internet von heute zu dem Thema lese, da rollt es mir die Zehennägel auf 🙁
Aber good new!
AVM hat den ersten Repeater gepatcht:
FRITZ.Powerline 1260E – 06.92
Neu mit FRITZ!OS 6.92:
– Fehlerhaftes Scrolling der Benutzeroberfläche auf Mobilgeräten behoben
– Fehlerhafte Übersetzungen auf der Startseite behoben
– Schwäche der Schlüsselaushandlung bei WPA2 behoben <———
Lustig, dass der Punkt als letztes aufgeführt wird! 🙂
info.txt:
ftp://download.avm.de/fritz.box/fritz.powerline_1260E/deutsch/info.txt
Firmware:
ftp://download.avm.de/fritz.box/fritz.powerline_1260E/deutsch/FRITZ.Powerline_1260E.157.06.92.image