KRACK – WPA2 ist jetzt Panik richtig?

Sicherheitsforscher der belgischen KU Leuven veröffentlichten am Montag einen Beitrag über eine Schwachstelle in der WPA2 WLAN Verschlüsselung.
Leider führte die Veröffentlichung zu sehr starker Verunsicherung einiger, wobei die Panikmache einiger Medien einen großen Beitrag dazu lieferte.
Selbst im Radio war zu hören wie vom Onlinebanking per WLAN abgeraten, oder sogar der Verzicht von WLAN empfohlen wurde.

Wenn man einmal davon absieht, dass diese Empfehlungen von Menschen kommen die offensichtlich keine Ahnung haben was diese Lücke genau bedeutet, ist der Wortlaut beim BSI leider fast gleich.

Was ist KRACK?

Die Sicherheitsforscher tauften diese Lücke „KRACK“ ein Kürzel der eigentliche Methode „Key Reinstallation Attack“. Dadurch könnten Angreifer etwa persönliche Informationen mitschneiden oder eingegebene Daten manipulieren. „KRACK“ klinkt sich dazu in den Verbindungsaufbau zum Router ein.

Betroffen sind nahezu alle Systeme wie Linux basierende, Android, Windows und Mac.
Auch wenn Microsoft bereits meldete diese Lücke bereits am 10.Oktober geschlossen zu haben, ist es fragwürdig wie weit dieses Update bereits eingespielt wurde. Hersteller von Netzwerkgeräten sind aber bereits dran diese Lücke zu stopfen.

Ist alles wirklich so schlimm?

Technisch diese Lücke am einfachsten zu beschreiben ist vielleicht dieser Versuch ganz brauchbar:

  1. Ein Angreifer muss sich in der Nähe, also im Empfangsbereich Ihres WLAN Netzes befinden
  2. Theoretisch könnte er sich dann in den Prozess einklinken, in dem Ihr Computer/Telefon, etc sich mit dem Router verbindet.
  3. Sollte der Angriff funktioniert haben, steht der Angreifer praktisch als „man in the middle“ zwischen Ihrem Computer und dem Router.
  4. Zugriff auf das gesamte Netzwerk hat er nicht.
  5. Es wäre nun möglich den Datenverkehr zwischen Ihrem Gerät und dem Router mitzuschneiden oder zu manipulieren.

Nun wird hier vom BSI vor Onlinebanking im heimischen WLAN gewarnt. Deshalb möchte ich kurz einige wichtige Grundlagen erklären. Als Beispiel habe ich die Sparkasse gewählt. Natürlich wäre hier auch jede andere Bank möglich. Generell ist oder sollte die Verbindung zu jeder Bankwebseite heutzutage nur noch über das https Protokoll ablaufen.
Diese verschlüsselten Verbindungen werden vom Browser durch ein Schlosssymbol angezeigt. 

Jede Webseite, die irgendwelche Daten wie E-Mail, Kreditkartendaten, Namen und anderes abfragt, sollte nur über https aufgerufen werden. Des weiteren ist der Nutzer angehalten darauf zu achten, dass es bei der https Verbindung bleibt. Eine https Verbindung ist verschlüsselt und die Kommunikation kann, selbst wenn sie abgefangen wird, nur sehr schwer manipuliert werden.

https Verbindung zur Webseite sparkasse.de CRACK
https Verbindung zur Webseite sparkasse.de

Gerade in einer so online dominierten Zeit sollten Nutzer den Umgang mit dem Internet und notwendige Sicherheitsstandards beherrschen. So reicht es selbstverständlich nicht allein darauf zu schauen ob die Verbindung sicher (https) ist. Man sollte immer auch die gesamte url genauer betrachten.

https Verbindung zu einer subdomain die vortäuscht eine Sparkassen-Webseite zu sein

Eine Verbindung sicher zu machen ist dank „Let’s Encrypt“ heute einfach. Dieses führt aber auch zu Missbrauch, der von vielen Nutzern nicht erkannt wird.
Schaut man sich die url im zweiten Screenshot aber genau an, so sieht man die kleine Hilfe die der Browser gibt.  So wird die eigentliche Domain kräftiger dargestellt. https://www.sparkasse.buero16.de

So lässt sich eine der meistbenutzten Maschen von Fake-Webseiten erkennen. Oft wird einfach eine Subdomain angelegt die eine bekannte Webseite imitiert.
Des weiteren erkennt man im ersten Screenshot, dass Details zum Zertifikat angezeigt werden. Hier: auf wen wurde das Zertifikat ausgestellt. Es ist nicht möglich ein gültiges Zertifikat für die Sparkassen-Finanzpotal GmbH zu erstellen wenn man nicht dieses Unternehmen in aufwändigen Verfahren bestätigt.

Leider ist diese Darstellung in den einzelnen Browsern und Plattformen sehr unterschiedlich.

Die echte Sparkassenwebseite in Chrome auf Windows 10
Die echte Sparkassenwebseite in Chrome auf Windows 10

der Chrome Browser zeigt hier nur ein einfaches Symbol

Die falsche Sparkassenwebseite in Chrome auf Windows 10

Auf der nachgebauten Webseite sieht es in Chrome auf Windows ähnlich aus. Leider wird hier auch nicht die reale Domain hervorgehoben.

Fast vorbildliche Darstellung auf Mac OS in Safari

Safari zeigt hier schon fast vorbildlich nur die Zertifikatsinformationen.

Darstellung der Fake-Webseite in Safari

 

Auf mobilen Geräten lassen sich schon schwieriger echte Webseiten von realen unterscheiden.

gefälschte Subdomain via https gesichert

Auf diesem Android-Gerät wird zum Beispiel nur ein teil der url angezeigt, die auf den ersten Blick gar nicht so falsch aussieht.

Wozu das Ganze?

Der Grund für diese Exkursion in die verschieden Browser ist, dass es trotz „KRACK“ nach wie vor sicher sein kann im heimischen WLAN zu surfen. Auch wenn ein Angreifer als „man in the middle“ zwischen Ihnen und Ihrem Router sitzt, kann er aus der https Verbindung zwischen Ihrem Computer und der Bank nichts auslesen, da diese nach wie vor verschlüsselt ist. Vielmehr sollten Sie also einen Blick darauf haben, wirklich auf der richtigen Webseite zu sein.
Die richtige Wahl des Browsers hilft viellicht auch ein wenig immer etwas sicherer zu sein, die richtige Webseite zu besuchen.

Also kann ich jetzt Onlinebanking machen oder nicht?

tl;dr:

Ja können Sie, wenn Sie entweder:

1. Windows mit aktuellen Updates versorgt haben.

2. Auf eine https Verbindung achten UND die url genau beobachten. Achten Sie auf Fake Domains und verdächtige Subdomains.

3. Auf mobilen Geräten nur Banking-Apps verwenden die auch von der Bank signiert wurden. Apps von allen deutschen Banken kommunizieren per https.

Webseite der Sicherheitsforscher zur Lücke https://www.krackattacks.com

Hinweis des BSI https://www.bsi.bund.de/

 

Veröffentlicht in blog

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.