Hintergründe zur WLAN-Schwachstelle

WPS-Lücke: Betroffene DSL-Router und Schutzmaßnahmen

WPS sollte den Einsatz von WLAN-Komponenten sicherer machen - eine neu entdeckte Schwachstelle erlaubt es aber, den PIN-Schutz schnell und einfach auszuhebeln. Wir nennen die betroffenen Geräte und zeigen, was Sie dagegen tun können.

Der Jahreswechsel 2011/2012 wird den Herstellern von WLAN-Komponenten wahrscheinlich noch länger in Erinnerung bleiben. Grund dafür ist die Veröffentlichung der Forschungsergebnisse von Stefan Viehböck, einem Studenten aus Wien. Dieser hatte im Wi-Fi Protected Setup, kurz WPS, eine massive Sicherheitslücke nachgewiesen, über die Angreifer sich mit einem gesicherten WLAN verbinden können, ohne dass sie einen WPA/WPA2-Schlüssel benötigen. Kurz nach der Veröffentlichung meldete sich Craig Heffner, ein international anerkannter IT-Security-Experte, der ebenfalls an diesem Angriffsvektor arbeitet, und bestätigte die Sicherheitslücke von Viehböck. Um die Schwachstelle zu verstehen, benötigt man Hintergrundwissen zum Wi-Fi Protected Setup.

So arbeitet WPS - die Technik macht es einfacher, neue Geräte in ein geschütztes WLAN einzubringen. (Quelle: Wi-Fi Konsortium)
So arbeitet WPS - die Technik macht es einfacher, neue Geräte in ein geschütztes WLAN einzubringen. (Quelle: Wi-Fi Konsortium)
Foto:

Die Technik ist nicht Bestandteil des offiziellen WLAN-Standards, sondern wurde vom Wi-Fi-Konsortium nachträglich eingeführt. Die Idee hinter WPS war und ist, dass sich Nutzer einfacher mit einem gesicherten WLAN verbinden können. So können Admins beispielsweise lange und komplexe Passwörter für die Sicherung des WLANs verwenden, die von Angreifern nur mit enormem Zeitaufwand geknackt werden können. Legitime Nutzer müssen lediglich einen achtstelligen Code eingeben und erhalten damit Zugriff. So weit die Theorie, nun zur Praxis: WPS gibt es in drei Ausprägungen: Push Button, Internal Registrar und External Registrar.

Bei Push Button muss am Gerät ein Knopf gedrückt werden; anschließend hat man einige Minuten Zeit, um auf dem jeweiligen Endgerät, etwa einem VoIP-Telefon, einem Drucker oder einem Notebook, die zuvor definierte, achtstellige PIN einzugeben. Die Verbindung setzt also einen direkten, physikalischen Zugriff auf den Router voraus. Auch der Internal Registrar setzt einen Zugriff auf das Gerät voraus, allerdings läuft diese Art von WPS über das Web-Interface. Hier gibt der Administrator die PIN-Nummer des Client-Gerätes ein. Diese beiden Versionen von WPS sind aktuell nicht angreifbar, Viehböck erwähnt dies auch explizit in seiner Arbeit.

Anfällige Methode "External Registrar"

Die Probleme treten auf, wenn ein Hersteller die dritte WPS-Methode nutzt, den External Registrar. Dabei muss am Gerät weder eine Taste gedrückt noch eine Eintrag im Web-Interface vorgenommen werden. Stattdessen lauscht die Netzwerkkomponente ständig in einem unverschlüsselten Seitenkanal des (verschlüsselten) WLANs nach der passenden PIN. Die Router oder Access Points verfügen dabei normalerweise über keine Schutzmaßnahme, sondern beantworten jede PIN, die man ihnen schickt. Schickt der Angreifer dem Router die richtige PIN, so kann er sich nicht nur ohne Eingabe des WPA/WPA2-Schlüssels verbinden, er erhält den Key obendrein im Klartext.

Geknackt: Theiver hat den passenden PIN gefunden und zeigt dazu gleich den WPA-Key an. Zu Testzwecken haben wir dem Tool den PIN direkt mitgegeben.
Geknackt: Theiver hat den passenden PIN gefunden und zeigt dazu gleich den WPA-Key an. Zu Testzwecken haben wir dem Tool den PIN direkt mitgegeben.

Dazu kommt ein weiterer Fehler in der Implementierung: Laut Viehböck gibt es grundsätzlich 100 Millionen verschiedene Kombinationen, aus denen die richtige PIN gewählt werden muss. Allerdings kann man diese Summe dramatisch reduzieren: Die Gegenstelle, also der attackierte Router, sendet Antworten so, dass der Angreifer erkennen kann, ob die erste Hälfte oder die zweite Hälfte des übertragenen Codes falsch war - dadurch kann man die zu sendenden Zahlen gezielt weiter anpassen.