Der Jahreswechsel 2011/2012 wird den Herstellern von WLAN-Komponenten wahrscheinlich noch länger in Erinnerung bleiben. Grund dafür ist die Veröffentlichung der Forschungsergebnisse von Stefan Viehböck, einem Studenten aus Wien. Dieser hatte im Wi-Fi Protected Setup, kurz WPS, eine massive Sicherheitslücke nachgewiesen, über die Angreifer sich mit einem gesicherten WLAN verbinden können, ohne dass sie einen WPA/WPA2-Schlüssel benötigen. Kurz nach der Veröffentlichung meldete sich Craig Heffner, ein international anerkannter IT-Security-Experte, der ebenfalls an diesem Angriffsvektor arbeitet, und bestätigte die Sicherheitslücke von Viehböck. Um die Schwachstelle zu verstehen, benötigt man Hintergrundwissen zum Wi-Fi Protected Setup.
Foto:
Die Technik ist nicht Bestandteil des offiziellen WLAN-Standards, sondern wurde vom Wi-Fi-Konsortium nachträglich eingeführt. Die Idee hinter WPS war und ist, dass sich Nutzer einfacher mit einem gesicherten WLAN verbinden können. So können Admins beispielsweise lange und komplexe Passwörter für die Sicherung des WLANs verwenden, die von Angreifern nur mit enormem Zeitaufwand geknackt werden können. Legitime Nutzer müssen lediglich einen achtstelligen Code eingeben und erhalten damit Zugriff. So weit die Theorie, nun zur Praxis: WPS gibt es in drei Ausprägungen: Push Button, Internal Registrar und External Registrar.
Bei Push Button muss am Gerät ein Knopf gedrückt werden; anschließend hat man einige Minuten Zeit, um auf dem jeweiligen Endgerät, etwa einem VoIP-Telefon, einem Drucker oder einem Notebook, die zuvor definierte, achtstellige PIN einzugeben. Die Verbindung setzt also einen direkten, physikalischen Zugriff auf den Router voraus. Auch der Internal Registrar setzt einen Zugriff auf das Gerät voraus, allerdings läuft diese Art von WPS über das Web-Interface. Hier gibt der Administrator die PIN-Nummer des Client-Gerätes ein. Diese beiden Versionen von WPS sind aktuell nicht angreifbar, Viehböck erwähnt dies auch explizit in seiner Arbeit.
Anfällige Methode "External Registrar"
Die Probleme treten auf, wenn ein Hersteller die dritte WPS-Methode nutzt, den External Registrar. Dabei muss am Gerät weder eine Taste gedrückt noch eine Eintrag im Web-Interface vorgenommen werden. Stattdessen lauscht die Netzwerkkomponente ständig in einem unverschlüsselten Seitenkanal des (verschlüsselten) WLANs nach der passenden PIN. Die Router oder Access Points verfügen dabei normalerweise über keine Schutzmaßnahme, sondern beantworten jede PIN, die man ihnen schickt. Schickt der Angreifer dem Router die richtige PIN, so kann er sich nicht nur ohne Eingabe des WPA/WPA2-Schlüssels verbinden, er erhält den Key obendrein im Klartext.
Dazu kommt ein weiterer Fehler in der Implementierung: Laut Viehböck gibt es grundsätzlich 100 Millionen verschiedene Kombinationen, aus denen die richtige PIN gewählt werden muss. Allerdings kann man diese Summe dramatisch reduzieren: Die Gegenstelle, also der attackierte Router, sendet Antworten so, dass der Angreifer erkennen kann, ob die erste Hälfte oder die zweite Hälfte des übertragenen Codes falsch war - dadurch kann man die zu sendenden Zahlen gezielt weiter anpassen.
Nachdem Viehböck ein entsprechendes Proof-of-Concept-Programm ankündigte, veröffentlichte auch Heffner sein Kommandozeilen-Tool namens Reaver. Beide Tools nutzen die Tatsache aus, dass attackierte Router meist unbegrenzt Anfragen entgegennehmen. Dementsprechend senden die Tools so lange PINs, bis sie die passende gefunden und übertragen haben.
Reaver ist dabei ein wenig einfacher zu benutzen, was unter anderem daran liegen dürfte, dass das Tool laut Heffner bereits knapp seit einem Jahr in der Entwicklung ist. Von Viehböck kommt das Python-Script WPScrack, das zwar deutlich schneller ist als Reaver, aber mit weniger WLAN-Chipsätzen zusammenarbeitet und etwas schwieriger in Gang zu setzen ist.
Ein weiteres Tool ist Theiver, das auf Reaver basiert, dessen Entwickler jedoch auch eigene Funktionen eingebaut hat. Wer die Programme allerdings selbst ausprobieren will, der muss sich im Klaren sein, dass er sich in der rechtlichen Grauzone des "Hackerparagrafen" 202c Strafgesetzbuch (StGB) bewegt - alle drei sind klassische Dual-Use-Programme, können also sowohl einen legitimen Einsatzzweck besitzen als auch für kriminelle Handlungen verwendet werden. In jedem Fall sollte man den Einsatz zuvor vom Besitzer der Netzwerkhardware möglichst schriftlich absegnen lassen oder die Tools lediglich an eigenen Geräten in einer Laborumgebung ausprobieren.
Betroffene WLAN-Router
Das Problem an dieser Schwachstelle ist, dass es für Nutzer auf den ersten Blick nicht ersichtlich ist, ob ihre eigenen Geräte anfällig sind. Selbst wenn diese beispielsweise über einen Druckknopf für WPS verfügen, kann es durchaus sein, dass der Hersteller zusätzlich noch weitere WPS-Funktionen eingebaut hat. Ein Hinweis auf die Schwachstelle ist eine auf der Rückseite der Geräte aufgedruckte PIN-Nummer - dann ist meist immer WPS External Registrar möglich. Grundsätzlich verbaut nahezu jeder Hersteller von Wireless-Hardware die Funktion in einzelnen Geräten, lediglich AVM hat in einer Stellungnahme den Einsatz der externen PIN-Lösung in den eigenen Produkten verneint.
Das Problem an dieser Sicherheitslücke ist, dass sie sich nicht einfach so per Software-Update schließen lässt - immerhin ist die PIN-Methode eine offizielle Spezifikation der Wi-Fi-Allianz. Wenn ein Hersteller die entsprechende Zertifizierung haben möchte, so muss WPS mit an Bord sein. Allerdings können Hersteller zumindest Updates nachliefern, die die PIN-Funktion deaktivieren oder standardmäßig abschalten können.
Gegenmaßnahmen
Einige Geräte verfügen bereits über Gegenmaßnahmen: Im Test stellten wir fest, dass einzelne Geräte nach einer bestimmten Anzahl von gesendeten PINs einfach keine neuen Anfragen mehr entgegennehmen. Dieses Phänomen lässt sich etwa beim TP-Link TL-WR2543ND nachvollziehen: Nach zwölf Anfragen reagiert der Router nicht mehr auf WPS-Anfragen.
Erst ein kompletter Neustart öffnet das Gerät wieder. Diese Nummer variiert von Gerät zu Gerät, der E3000 von Linksys sperrt den Zugriff etwa nach 20 Anfragen. Allerdings lässt sich nicht nachvollziehen, ob die WPS-Implementation einfach abstürzt oder diese Reaktion vom Hersteller gewollt ist. Dennoch ist es natürlich auch hier möglich, dass ein Angreifer die richtige PIN überträgt - er hat dazu allerdings deutlich weniger Versuche.
Admins und Nutzer sollten WPS im Zweifel deaktivieren. Die entsprechende Option findet sich im Web-Interface, oftmals bei der WLAN-Konfiguration oder bei erweiterten Sicherheitseinstellungen. Auf gar keinen Fall sollte man auf WPA/WPA2 verzichten oder zur WEP-Verschlüsselung zurückkehren, denn WEP lässt sich mittlerweile innerhalb von wenigen Minuten knacken.
WPS ist gut gemeint, aber schlecht umgesetzt
WPS war eine nette Idee des Wi-Fi-Konsortiums: Selbst wenn der Administrator ein langes und komplexes Passwort vergibt, über eine achtstellige PIN kann sich jeder Nutzer einfach und schnell mit dem Netzwerk verbinden. Für die Push-Button-Methode gilt das sicher auch noch. Immerhin benötigt ein Angreifer dafür Zugriff auf das eigentliche Gerät - und wenn er vor dem Router steht, dann stehen ihm noch ganz andere Attacken offen als WPS. Die externe PIN-Funktion sollte das Wi-Fi Konsortium allerdings schnellstmöglich überarbeiten und standardmäßig abschalten. Die nächste Spezifikation des Standards sollte zudem eine Funktion beinhalten, die eine übermäßig hohe Anzahl an WPS-Verbindungen erkennen und die Funktion im Zweifel deaktivieren kann.
Leider gibt es keine komplette Übersicht über alle verwundbaren Geräte, im Internet sammeln verschiedene Nutzer die Informationen in einem Google Dokument, um eine entsprechende Liste zur Verfügung stellen zu können.
Stellungnahmen der Hersteller
Auf dieser Seite geben wir die Stellungnahmen der Hersteller und deren offiziellen Äußerungen zur WPS-Schwachstelle wieder. Die Kollegen der PC-Welt aktualisieren diese Liste hier fortlaufend:
AVM
Für den Verbindungsaufbau zu einem anderen WLAN-Gerät muss bei der FritzBox WPS (Wi-Fi Protected Setup) durch den Anwender temporär aktiviert werden. Dies ist entweder über die WPS-Taste oder über die Benutzeroberfläche der FritzBox möglich. Anschließend kann innerhalb von zwei Minuten eine sichere Verbindung aufgebaut werden. Nach einem erfolgreichen Verbindungsaufbau oder nach Ablauf der zwei Minuten wird die WPS-Funktion der FritzBox wieder automatisch deaktiviert. Versuchen mehrere Geräte gleichzeitig, eine WPS-Verbindung aufzubauen, wird WPS sofort deaktiviert. Damit ist ein Zugriff von außen auf die FritzBox nicht möglich.
Buffalo Technology
Bei Buffalo Technology ist WPS ebenfalls standardmäßig aktiviert, was auch unsere Router für diese Art von Attacken anfällig macht. Generell ist es so, dass dieser Standard eine Schwäche hat. Aber wenn man als Hersteller kompatibel sein will, dann muss man diese Schwächen in Kauf nehmen.
Buffalo Technology hat es so eingerichtet, dass sich WPS bei allen Routern komplett deaktivieren lässt. Schon vor WPS gab es bei Buffalo Technology AOSS, was am ehesten mit Push-Button-WPS" vergleichbar ist.
AOSS ist mit dieser Art von Attacke nicht angreifbar. Das Prinzip der Eingabe eines Keys wie bei WPS gibt es hier nicht. Buffalo Technology hat also eine Alternative für eine benutzerfreundliche Verbindung zu bieten. Auch AOSS lässt sich komplett deaktivieren.
D-Link
Leider sind auch einige unserer Router und Access Points von der Sicherheitslücke im WPS-Modul betroffen. Bei Wi-Fi Protected Setup (WPS) handelt es sich um einen von der WiFi Alliance entwickelten Standard zum einfachen Aufbau eines drahtlosen Heimnetzwerks mit Verschlüsselung, der im Jahr 2007 verabschiedet wurde.
Wir empfehlen unseren Kunden derzeit, WPS bis auf Weiteres abzuschalten und den WLAN-Schlüssel aufzuschreiben; die Anmeldung erfolgt dann abgesichert auf dem klassischen Weg über den WPA-Schlüssel. Wir stellen in Kürze ein Firmware-Update zur Verfügung, das WPS werkseitig deaktiviert. An einer langfristigen Lösung arbeiten wir gemeinsam mit der WiFi-Alliance.
Draytek
Bei DrayTek-Routern und WLAN-Access-Points wird die Verbindung per Wi-Fi Protected Setup (WPS) stets auf zwei Minuten nach Aktivierung begrenzt. Dies gilt sowohl für die Push-Button-Methode als auch für die Verbindung per WPS-PIN. Dadurch ist gewährleistet, dass potenziellen Angreifern diese Möglichkeit nicht dauerhaft zur Verfügung steht.
Um unberechtigten Nutzern den Zugriff auf das eigene Netzwerk zu erschweren, ist jedoch zu empfehlen, die Funktion im Konfigurationsmenü zu deaktivieren, soweit WPS nicht regelmäßig genutzt wird. Der WPS-Button an dem Gerät kann dann nicht mehr aktiviert werden, und WPS steht nur noch über das Webmenü des Gerätes zu Verfügung. Dabei ist zu beachten, dass der Zugriff auf relevante Netzwerkgeräte stets nur berechtigten Personen vorbehalten sein sollte, indem beispielsweise die Geräte in Bereichen mit Zutrittsbeschränkung betrieben werden.
Dennoch ist die von Stefan Viehböck vorgelegte Arbeit ein wichtiger Beitrag, die Sicherheit von Netzwerkprodukten nachhaltig zu verbessern. Die DrayTek GmbH hofft, dass weitere Hersteller den vorgelegten Vorschlägen zur Verbesserung der WPS-Funktion folgen werden.
Netgear
Netgear Router und Gateways können von der aktuell diskutierten Sicherheitslücke bei WPS potenziell betroffen sein. Netgear arbeitet mit der Wi-Fi Alliance und seinen Chipset-Partnern daran, Anwendern schnellstmöglich ein Firmware-Update zur Verfügung zu stellen, das die Sicherheitslücke schließt und den Wi-Fi-WPS-Zertifizierungsstandards entspricht. Durch eine integrierte automatische Lock-down-Funktion sind Netgear-Router und -Gateways aktuell überdurchschnittlich gut geschützt und entsprechen den Wi-Fi-WPS-Zertifizierungsstandards.
Netgear empfiehlt seinen Anwendern, bis zur Verfügbarkeit des Firmware-Updates WPS zu deaktivieren. Auf dieser Internetseite finden Nutzer eine Anleitung, wie sich WPS bei Netgear-Routern und -Gateways einfach deaktivieren lässt. (mec)
Dieser Beitrag basiert auf einem Artikel der PC-Welt.