Sicherheitslücke in WLAN Routern: WPS Pin lässt sich berechnen

Besitzer eines WLAN-Routers mit WPS-Funktion sollten diesen Text ruhig einmal lesen. Solltet ihr einen WPS-fähigen Router haben, empfiehlt es sich vielleicht, die WPS-Funktion auszuschalten, sofern nicht genutzt. WPS ist ein Standard, welcher euch die Verbindung zwischen Endgerät und eurem Router erleichtert. Auf Knopfdruck oder per Eingabe einer vierstelligen Pin verbindet sich euer Endgerät mit dem Router. Ihr müsst euch also keine WLAN-Passwörter mehr merken.

Bildschirmfoto 2014-08-31 um 13.48.01

Eigentlich eine ganz praktische Funktion, wenn sie nicht schon mehrmals Angreifern zum Opfer gefallen wäre. Bereits 2011 ist es Angreifern gelungen, die lediglich vierstelligen Pins mit einer Bruteforce-Attacke anzugreifen.

Eine vierstellige Zahlenkombination zu erraten ist mit heutigen Computern kein Problem mehr und passiert in Windeseile. Natürlich sollte ein Router solch eine Attacke nach mehreren Fehlversuchen unterbinden, leider war dem nicht so.

Betroffene Router boten schier unendliche Versuche, nur einige wenige Modelle hatten einen Schutz gegen Bruteforce-Attacken integriert und unterbunden die unzähligen Anfragen.

Mittlerweile sind drei Jahre vergangen und WPS steht wieder im Fokus von Angreifern, diesmal allerdings hat man sich den Algorithmus vorgenommen, mit welchem der WPS-Pin berechnet wird.

Die Kollegen von Arstechnica haben eine Präsentation der Firma 0xcite Sàrl gefunden. In der Präsentation beschreiben die Entdecker der Sicherheitslücke, dass viele WLAN-Geräte über einen schlechten Zufallszahlengenerator (PRNG) verfügen. Bei einigen Herstellern, welche mit Schieberegistern (LFSR) arbeiten, ist ihm aufgefallen, dass diese nicht einmal funktionieren und immer „NULL“ als Zufallszahl herausgeben.

Mit diesem Ansatz war es für 0xcite Sàrl ein Leichtes, den WPS-Pin eines WLAN-Routers nur anhand der Informationen zu knacken, welche ein WLAN Router immer mitsendet. Wer sich genauer mit dem Thema befassen möchte, der sollte sich die verlinkte Präsentation anschauen. In der Präsentation wird auch der Angriff von 2011 genauer beschrieben.

Welche Router genau betroffen sind, verrät 0xcite Sàrl übrigens nicht, um den Herstellern Zeit zum Beheben der Sicherheitslücken zu geben. Um so wichtiger ist es also, die WPS-Funktion eures Routers präventiv schonmal abzuschalten. Hier im Artikel einmal die Oberfläche der FRITZ!Box 7490. Auch hier lässt sich WPS deaktivieren. Die Visualisierung hat nichts damit zu tun, ob bei AVM diese Lücke ausgenutzt werden kann.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Der Gastautor ist ein toller Autor. Denn er ist das Alter Ego derjenigen, die hier ab und zu für frischen Wind sorgen. Unregelmäßig, oftmals nur 1x. Der Gastautor eben.

36 Kommentare

  1. Das ist doch nach WPA2 anschalten der zweite Schritt, also WPS deaktivieren.

  2. Herr Hauser says:

    Und deswegen stehen böse Menschen vor meinem Haus und machen da was.

    Wie groß sind da wohl die Chancen das so etwas passiert?

  3. Schalte ich sowieso immer aus. Das mit dem vierstelligen Code war mir unter Sicherheitsgesichtspunkten schon immer suspekt.

  4. @Hauser
    Kommt immer darauf an wo man wohnt. Ich kenne schon ein paar Leute die zB ne App zum knacken der EasyBox PWs auf ihrem Smartphone haben und damit erstmal scannen, wenn sie sich irgendwo länger aufhalten (Bahnhof, Cafe, Bushaltestelle usw.) … wenn man auf einem Bauernhof wohnt, dann ist man wohl weniger in Gefahr, aber in einer Stadt in Gegenden wo viele Menschen unterwegs sind, hat das durchaus Relevanz.

  5. WPS brauch kein Mensch says:

    Habe ich abgeschaltet, weil ich es noch nie für besonders sicher hielt. Und mal ehrlich, wie oft fügt man neue Geräte seinem WLAN hinzu? Außerdem habe ich meinen Schlüssel als Textdatei auf einem USB-Stick. Oder man erzeugt sich einen QR-Code und druckt diesen aus. Mit Bar- oder QR-Code Apps kann man Smartphones so problemlos und schnell verbinden.

  6. Evtl. nur meine bescheidene – und nicht relevante Meinung – aber ist es nicht etwas unnglücklich wenn es heißt „keine Hersteller genannt“ (bekannt), aber das Menü einer Fritzbox zu zeigen, welches auch als Beitragsbild „agiert“?

    Es könnte leicht ein (unter Umständen) falscher Eindruck erweckt werden!

  7. @WPS brauch kein Mensch

    Ich installiere öfters Laptops und Smartphones neu. (nicht nur eigene)
    Da ist die WPS Funktion schon was schönes.

    Und schon mal versucht ein neu installiertes Smartphone ein Bar- oder QR Code abzuscannen? Ich hab noch nie ein Smartphone gehabt, wo ein Scanner schon von Anfang an integriert ist, aber vielleicht hab ich nur die falschen Smartphones. 😉

  8. Bedarf es denn nicht dennoch einen physischen Zugriff auf den Router? Also muss die WPS-Taste am Router nicht gedrückt werden damit dieser empfänglich für den WPS-PIN wird?

  9. @Rippchen Windows Phone kann sowas normalerweise…

  10. @rippchen, wie michael schon sagte, windows phone kann dass out of the box! ergo -> falsche smartphones 😀

  11. Na Prost Mahlzeit…solche Unerfahrenen sogenannten FACHLEUTE „basteln“ an solchen sensiblen Dingen! Kein Wunder, das wir von Trojaner, Spam und Co. zugemüllt werden.
    Ein Glück, das hier bei mir nie einer diesen vielen Rippchen war. 😉

  12. Es ist nicht bekannt, welche Router betroffen sind.
    Warum wird dann die 7490 per Screenshot als betroffen dargestellt?
    Sag nix von Symbolbild….

  13. Aber ich muss doch am Gerät stehen und den Knopf drücken um Geräte überhaupt via WPS anzunehmen, nicht?
    Während dieser WPS Annahmephase nimmt der Router doch nur exakt 1 Gerät an. Danach wird wieder dicht gemacht und fertig ist’s?

  14. Noch nie benutzt und daher auch deaktiviert. Falls ich es doch mal benutzen sollte, dann über WPS-PBC (Push Button Configuration) über die Taste an der Fritz!Box. Die Wahrscheinlichkeit, dass gerade in diesem Moment jemand WPS hacken will ist wohl < 0.

  15. Zumindest bei der FritzBox müsste es ausreichen, WPS aktiv zu lassen und die Push-Button-Methode zu aktivieren bzw. das WLAN-Gerät gibt die PIN vor, weil jeweils noch eine Aktion im Menu der FB erforderlich ist.

  16. Etwas rufschädigend für AVM wenn hier eine Fritzbox Oberfläche abgebildet ist, obwohl noch keine Hersteller genannt wurden oder?

  17. @Bindi: für dich dürfte dann der letzte Absatz passen, oder?

  18. 2 Anmerkungen:

    1.Wäre mal interessant welche Hersteller / Modelle betroffen sind (Der Kommentar von Bindi geht ja in eine ähnliche Richtung).

    2. Das Problem sollte sich „umgehen“ lassen, wenn die Option „WLAN-Zugang auf die bekannten WLAN-Geräte beschränken“ aktiviert ist.
    Diese Option ist bei AVM / Fritzbox unter „Erweiterte Einstellungen / WLAN“ zu finden.

  19. @ Tricks: MAC-Adressen filtern ist kein Sicherheitsfeature! Erlaubte MAC-Adressen lassen sich leicht herausfinden, wenn die Verschlüsselung geknackt ist.

  20. @rippchen, Michael: das Galaxy S4 hat einen „Text & Bildscanner“ vorinstalliert, der schluckt auch QR-Code.

  21. @ Alexander: Das wird so sein. Aber die Verschlüsselung muss ja erst mal geknackt werden. Und das scheint erheblich aufwändiger, als einen 4 stelligen PIN Code zu knacken?

  22. Laut AVM ist die Fritzbox von den Problemen nicht betroffen, da der Zugang über WPS automatisch wieder deaktiviert wird. Der Artikel ist zwar von 2011 aber ich denke, dass auch mit der neuen Methode, den Pin zu berechnen, die Chancen ziemlich gering sind, zum richtigen Zeitpunkt und noch vor dem anzumeldenden Gerät dort reinzukommen:
    http://bingo.avm.de/de/News/artikel/2011/FRITZBox_WPS.html

  23. @Alexander
    Um zu sehen welche MAC-Adressen erlaubt sind, brauchste nicht mal die Verschlüsselung knacken. Echter Traffic sieht auch verschlüsselt nach echtem Traffic aus.

    @Tricks
    MAC-Adressenfilter und ihre funktionsgleichen Namensvettern mögen zwar irgendwann in der (IT-)Steinzeit mal vor unberechtigten Zugriffen geschützt haben, aber mittlerweile brennt niemand mehr MAC-Adressen in die Hardware.

    @Valle
    WPS gibts mit und ohne Hardwareknopf, wobei PBC (mit Knopf) meist der Standard ist.

    @Justus
    Die Passwörter von Easyboxen sind ja schon mehr als fragwürdig. Security-by-obscurity ist ohnehin keine sonderlich gute Idee – wenn der Hersteller das entsprechende Verfahren dann auch noch selbst patentieren lässt (und somit für jeden einsehbar macht) wirds schon verboten dämlich. Erst recht wenn ESSID und BSSID alle nötigen Informationen frei Haus liefern.

    @Rippchen
    Wenn du wirklich derart häufig Geräte aus deinem Umfeld neuinstallierst, bau doch das Passwort gleich ins OS-Image ein.

  24. @ shx: Danke für das Wissens-Update! Ich war mir nicht mehr sicher, ob man die MAC-Adressen auch bei verschlüsselten Traffic sehen kann.

  25. @Justus: Vier Stellen sind hier völlig ausreichend, weil es hier um eine Authentifizierung per Live Challenge geht und nicht die Verschlüsselung an sich selbst. Da sollte Brute Force nicht möglich sein. Bei einer Bluetooth-Kopplung wird dir auch nur ein vierstelliger Code angezeigt, auch hier geht es nur um eine Verifikation einer deutlich komplizierter abgesicherten Verbindung. Das ist aber auch zeitlich abhängig und mehrere Verbindungsversuche gleichzeitig würden auffallen.

    @shx: „Echter Traffic sieht auch verschlüsselt nach echtem Traffic aus.“ ist eine relativ sinnfreie Aussage. Richtig ist, dass auch bei Verschlüsselung die MAC-Adressen der Teilnehmer erkennbar sind. Außerdem bemängelst du korrekterweise Security-by-obscurity, wobei du dann selbst drauf reinfällst „und somit für jeden einsehbar macht“. Sofern das Verfahren, sondern die Benutzereingabe oder Zufall der Schlüssel ist, passt doch alles. Was allerdings deiner Aussage nach bei Easybox nicht so ist, weil der „zufällige“ Schlüssel berechenbar ist. 😉

  26. @Alexander: Klar. MAC-Adressen (im Gegensatz zu IP-Adressen) werden benötigt, um überhaupt eindeutig eine physikalische (wenn auch drahtlose) Verbindung aufbauen zu können. Sie sind sozusagen der Rufnahme der WLAN-Karte, die muss ja erstmal den Router und dieser die WLAN-Karte anfunken können um überhaupt eine Kommunikation zu betreiben.

  27. @ qwodi: Einmal Facepalm für mich! Eigentlich sollte ich die OSI-Layer rauf- und runterbeten können, so oft hatte ich dieses Thema schon. 🙁

    Daher habe ich mal gesucht nach einer Seite, wo es technisch exakt ausgedrückt wird. Hier z.B. http://technet.microsoft.com/en-us/library/cc757419%28v=ws.10%29.aspx
    „Setting a WEP flag in the MAC header of the 802.11 frame indicates that the frame is encrypted with WEP encryption.“

    Zum Thema „Live Challenge“ hat die Wikipedia einen interessanten Artikel:
    http://de.wikipedia.org/wiki/Challenge-Response-Authentifizierung

    Wenn die Wikipedia nicht gelogen hat, hat das Verfahren aber auch grundsätzliche Schwachstellen:
    „Je nach Hash-Verfahren kann mittlerweile das Geheimnis auch durch Brute-Force in ein bis zwei Tagen errechnet werden. Deswegen sollen solche Authentifizierungen nur noch innerhalb sicherer Verbindungen durchgeführt werden.“

    Kann das jemand technisch beurteilen, ob das in der Praxis ein großes Problem darstellt? So genau kenne ich mich in diesem Bereich der Kryptografie nämlich nicht aus, um das beurteilen zu können.

  28. @ shx: Danke für die Antwort!

    1. Und ja, ich habe auch mal gelernt das die MAC Adressen an der Hardware hängen und mich immer gefragt wie genau das funktioniert wenn einzelne Komponenten (z.B. bei einem PC der Prozessor) ausgetauscht werden?

    2. Unabhängig davon, sehe ich in meiner WLAN Administration die zugelassen / aktiven Geräte und deren MAC, z.B. 00:2A:99:01:2B:1B (ist natürlich nicht die echte). Bedeutet das nun, das die Endgeräte die MAC Adresse per Software ermitteln? Und wenn ja, wie funktioniert das (Stichwort: eindeutige Adressen)?

  29. @Alexander
    Davon abgesehen, dass Challenge-Response sicherlich nicht die höchste theoretische Sicherheit bietet, fährt man damit eigentlich ganz gut (sofern das Design ordentlich ist und die Hashfunktion sicher). Vor einem Nachrichtendienst der sich ganz spezifisch für dich interessiert, schützt dich Challenge-Response nicht, schon allein weil Waterboarding ziemlich schnell dazu führt, dass du dein Geheimnis selber ausplauderst.

    @qwodi
    Wenn Security-by-obscurity im klassischen Sinne verwendet wird, sprechen wir von einem Algorithmus der nur deshalb sicher ist, weil niemand weiß wie’s funktioniert. Die Pseudo-Zufalls-Passwörter (älterer) Easyboxen fallen definitiv in diese Kategorie.
    Neuerdings sieht man den Begriff allerdings immer häufiger zusammen mit der Debatte über freie/unfreie Software. Ein Algorithmus dessen Funktionsweise offen liegt ist nicht per definitionem sicherer als einer mit geheimer – lediglich die Wahrscheinlichkeit ist höher (auch weil es Nachrichtendienste deutlich schwerer haben dauerhaft unbemerkt Hintertüren einzubauen – die irgendwann auch einem kommerziellen Spion auffallen).

  30. @ Tricks: Sobald dein Rechner Daten über ein Netzwerk austauschen möchte, bekommt der Prozessor die Daten und schaut ob er alle zum Versand nötigen Angaben besitzt. Ist von dem Ziel nur der Hostname bekannt z.B. PC01.fritz.box wird dieser in eine IP-Adresse übersetzt. Dafür gibt es diverse Verfahren. Das Domain Name System ist dabei das bekannteste Protokoll.
    Ist die Ziel-IP bekannt, kommt das Adress Resolution Protocoll (ARP) zum Einsatz. Dazu wird eine ARP-Anfrage mit der IP-Adresse an alle lokal angeschlossenen Geräte gesendet. (Der „lokale“ Netz-Bereich endet immer an einem Router.) Der „Inhaber“ der abgefragten IP-Adresse antwortet mit seiner MAC-Adresse. Diese wird danach zum Versenden verwendet.

    An dieser Stelle kann natürlich auch ein Hacker antworten und seine eigene MAC-Adresse als MAC-Adresse des Routers ausgeben. Wenn dieser den Datenverkehr bekommt, leiter der Hacker den Datenverkehr einfach an die „richtige“ MAC-Adresse des Routers weiter und keiner merkt es. Das wäre dann eine klassische Man-in-the-Middle-Attacke. 😉

    Welche Absender-MAC-Adresse du verwendest, hängt von deinem PC ab. Ist dieser standardkonform, schaut die Software, die das Paket zusammenbaut, in der Netzwerkkarte nach. Dort hinterlegt der Netzwerkkarten-Hersteller eine weltweit eindeutige MAC-Adresse. Da dieser Prozess komplett von Software durchgeführt wird, kann man natürlich die Software abändern. Hacker verwenden natürlich Software, die ein Abändern der Absender-MAC-Adresse erlaubt.

    Wenn du eine Windows-Kiste hast, kannst du mit „arp -a“ den ARP-Cache anzeigen lassen. Da siehst du zu welcher MAC-Adresse welche IP-Adresse zugeordnet ist. Mit „ipconfig /displaydns“ zeigt dir Windows an, welche Hostname/Domainname mit welcher IP-Adresse aufgelöst wurde. Der letzte Befehl führt dazu, dass deine Kommandozeile (cmd) eine Weile Text herunterrattert. Das kann ein paar Sekunden dauern. 🙂

    Die ganze Erklärung war ein einfaches Durchwandern der verschiedenen Netzwerk-Schichten des TCP/IP-Modells. Die einzige Schicht, die in dieser Erklärung nicht aufgetreten ist, ist die Transport-Schicht. Hier nochmal der Überblick: http://de.wikipedia.org/wiki/Internetprotokollfamilie#TCP.2FIP-Referenzmodell

    Wenn jemand Fehler findet, einfach melden. Ist deine Frage damit beantwortet, Tricks?

  31. @Tricks
    Streng genommen gibt es zwei Typen von MAC(48)-Adressen:
    (1) Universally Administered Address, eindeutig und heute meist in der Firmware des Netzwerkchips wohnhaft, beginnt mit 00
    (2) Locally Administered Address, nicht eindeutig und nur in der Praxis nur im Treiber wohnhaft, beginnt mit 06
    Wenn sich jetzt alle Netzwerkchips/-treiber daran halten würden, dass eine vom Treiber bestimmte MAC-Adresse immer eine LAA ist (und deshalb mit 06 beginnt) wären entsprechende Filter eine exzellente Methode mit wenig Aufwand viel Sicherheit zu gewinnen. Die reale Welt hält sich meist nicht perfekt an Spezifikationen, in diesem speziellen Fall sind Netzwerkchips mit spezifikationskonformem Verhalten die absolute Ausnahme.

    Die UAA wirst du nirgendwo ausserhalb des Netzwerkchips finden, deswegen kannst du auch deine (x86-)CPU tauschen ohne ebendiese zu ändern. GUID/UUID funktionieren anders und sind auch nicht per definitionem eindeutig – nur selten genug um ihr doppeltes Vorkommen im selben System in der Praxis auszuschließen.

  32. Und dann bekommste von Unitymedia einen Router mit WPA2-PSK aktiviert, bei dem du den Key (bei allen Geräten 8 Großbuchstaben) nicht ändern kannst/darfst und schon bist du in 2014 genauso sicher wie mit WPS 2011. Dass der Key schon mit B anfängt tut dann auch nichts mehr zur Sache.

    WPS sollte einfach prinzipiell deaktiviert werden. 8 Zahlen sind einfach nicht sicher genug…

  33. Zum Glück nie benutzt, dieses Feature.

  34. @ Alexander & @ shx

    Danke!!