Linux

Spaß mit der WPS-Schwachstelle

Ohboyohboyohboyohboy – 2012 wird großartig. Zumindest wenn es so weitergeht, wie es gestartet hat. Was ich meine? Die WPS-Lücke, die Stefan Viehböck zwischen den Jahren in diesem Blogeintrag dokumentiert hat. Wer es noch nicht gelesen hat: WPS steht für Wi-Fi Protected Setup, eine Technik, die das Wi-Fi-Konsortium nachträglich eingeführt hat. Mit Hilfe von WPS kann man Geräte mit einem Knopfdruck oder einer PIN zu einem sicheren WLAN hinzufügen. Das ist beispielsweise dann praktisch, wenn der Admin einen richtig langen Schlüssel für die WPA/WPA2-Verschlüsselung vergibt – der Nutzer muss nur einen Knopf drücken oder eine PIN eingeben.

Insgesamt gibt es drei verschiedene Implementierungen von WPS:

  1. Push-Button – dabei wird am Gerät ein Knopf gedrückt, anschließend kann sich der Client durch die Eingabe der PIN verbinden.
  2. Internal Registrar – der Admin gibt die PINs des Zielgerätes im Webinterface des Routers/Access Points ein
  3. External Registrar – der Router/Access Point lauscht ständig in einem unverschlüsseltem Seitenkanal auf die richtige PIN – wird sie eingegeben, hat der Angreifer Zugriff auf das WLAN

Wie die meisten schon erkannt haben dürften, die anfällige Variante ist Nummer 3. Das nette gefährliche daran ist, dass fast alle Routerhersteller die External Registrar PIN Version verwenden (Ausnahme ist AVM, die haben laut eigener Angaben nur WPS Nummer 1). Die meisten anderen dagegen setzen fröhlich die externe PIN-Methode ein. Ein Hinweis ist beispielsweise, wenn auf der Rückseite ein PIN aufgedruckt ist.

Inzwischen gibt es drei verschiedene Tools, mit denen man die WPS-Lücke selbst austesten kann. Da wäre zum einen WPScrack, ein Proof-of-Concept-Tool von Stefan Viehböck; Reaver, ein Tool von Craig Heffner und Theiver, ein Fork von Reaver.

Ich spiel seit einigen Tagen mit der Sicherheitslücke rum, die Kombination BackTrack-Linux 5 R1, ein Alfa AWUS036H und die Tools hat sich als ziemlich perfekt erwiesen. Natürlich nutze ich für den Test nur eigene Router, wer mit den Tools auf fremde Geräte losgeht, der macht sich definitiv strafbar – nur so als Hinweis. Gottseidank hab ich genügend Geräte hier, mit denen ich das ausprobieren kann. Grundsätzlich dauert es von ein paar Minuten bis hin zu mehreren Stunden, meist finden die Tools aber den passenden Schlüssel.

Ziemlich früh dachte ich, dass es sehr cool wäre, wenn es eine zentrale Liste mit angreifbaren Geräten ziemlich cool wäre. Und, es gab noch keine. What? Sehr cool. Also hab ich flugs ein öffentliches Google Doc erstellt und über die üblichen Wege – Twitter, Hacker News und Reddit, verbreitet. Nach er ersten Troll-Attacke hab ich das Ding dann geschlossen und ein Formular erstellt, über das man neue Geräte einreichen kann. Das läuft inzwischen relativ gut – inzwischen sind 36 Geräte in der Liste. Klar, das reicht noch nicht für eine Studie, es gibt aber schon einen sehr netten Überblick. Besonders schlecht scheint die Implementierung in Geräten von Linksys zu sein – einzelne Nutzer melden, dass der Router sogar noch anfällig ist, wenn die WPS-Funktion im Webinterface abgeschalten wurde – das ist wirklich nachlässig. Wer übrigens eigene Geräte ausprobiert, der kann gerne melden, wie sich sein Router verhält – der Link zum Formular ist im Google Doc.

Wer mehr über die Lücke lernen möchte, dem empfehle ich meinen Artikel auf der PC-Welt, oder die Linksammlung, die im Google Doc mit drinhängt.


Und zum Thema WPS und eigenes Netz sichern: Da hat Peter Lustig vom Löwenzahn die richtige Idee

Über den Autor

Moritz Jaeger

Mo steht für Moritz Jaeger. Ich bin freier Journalist aus München und schreibe unter anderem für den TecChannel, ComputerWoche, GameStar, PC-Welt, CIO, ZDNet oder Security-Insider. Dieses Blog ist privat, hier geht es vor allem um Themen rund um IT, Geek-Kultur oder Comics. Außerdem probiere ich hier immer wieder neue Möglichkeiten aus, es kann also sein, dass ein paar Dinge nicht so hipp/schön/ausgereift sind – aber dafür sind Blogs ja da.

4 Kommentare

Hier klicken um zu kommentieren

Werbung

Archive

banner