Abo
  • IT-Karriere:

Wi-Fi Protected Setup: Sicherheitsproblem in Millionen WLAN-Routern

Designfehler in Wi-Fi Protected Setup (WPS) machen effiziente Brute-Force-Angriffe möglich, so dass die Verschlüsselung praktisch aller WPS-fähigen Router vergleichsweise leicht ausgehebelt werden kann, warnt das US-Cert. Entdeckt hat die Sicherheitslücke der Student Stefan Viehböck aus Österreich.

Artikel veröffentlicht am ,
Betroffen: D-Links Router DR-655
Betroffen: D-Links Router DR-655 (Bild: D-Link)

Wi-Fi Protected Setup (WPS) soll die Einrichtung verschlüsselter WLANs vereinfachen. Das Programm wurde 2007 von der Wi-Fi Alliance eingeführt. Doch das System biete aufgrund einiger schlechter Designentscheidungen Angriffspunkte, die effiziente Brute-Force-Angriffe ermöglichten, sagt Stefan Viehböck, der das Fach Sichere Informationssysteme an der FH-Hagenberg studiert und zusammen mit Manuel Müller im August 2011 bereits auf unsichere WLAN-Passwörter in Routern von T-Online und Vodafone hingewiesen hatte.

Stellenmarkt
  1. Evangelische Landeskirche in Württemberg, Stuttgart
  2. NOVENTI HealthCare GmbH, München

Laut Viehböck betreffen die von ihm entdeckten Sicherheitslücken fast alle aktuellen Router, da seit geraumer Zeit praktisch alle Geräte standardmäßig mit aktiviertem WPS ausgeliefert werden.

Einfache Verschlüsselung mit WPS

Um mit WPS ein verschlüsseltes WLAN einzurichten, gibt es drei Varianten: Bei "Push-Button-Connect" muss am Access Point und am WLAN-Client ein Knopf gedrückt werden, was auch ein virtueller Schalter sein kann. Anschließend ist "Push-Button-Connect" auf dem Access Point für maximal zwei Minuten aktiv.

Die zwei weiteren Varianten sehen die Eingabe einer PIN vor. Entweder wird eine auf dem Client aufgedruckte PIN im Webinterface des WLAN-Routers eingegeben (Internal Registrar) oder der Nutzer gibt eine vom Router generierte oder auf dem Router aufgedruckte PIN am Client ein (External Registrar). Gegen die letztgenannte Variante richtet sich der Angriff von Viehböck, da hier nur eine PIN benötigt wird, aber weder physischer Zugriff auf den Router noch Zugriff auf dessen Webinterface.

Access Point gibt Hinweise auf Korrektheit der PIN

Schlägt die WPS-Authentifizierung fehl, so sendet der Access Point eine EAP-NACK-Nachricht. Je nachdem, wann der Router diese EAP-NACK-Nachricht sendet, ist erkennbar, ob die erste oder zweite Hälfte der PIN falsch ist. Dies verringert die Zahl der notwendigen Versuche zum Erraten der PIN von 10^8 auf 10^4 + 10^4, also rund 20.000. Da zudem die achte Ziffer der PIN immer eine Prüfsumme der ersten sieben Ziffern ist, werden in aller Regel maximal 10^4 + 10^3, also rund 11.000 Versuche benötigt, um eine PIN zu finden.

Brute-Force-Tool entwickelt

Viehböck hat auf Basis dieser Erkenntnis ein Brute-Force-Werkzeug in Python entwickelt. Es nutzt die Bibliothek Scapy zur Decodierung, Generierung sowie dem Senden und Empfangen von Paketen. Sein Tool hat er mit verschiedenen Routern getestet.

Je nach Router dauert ein Authentifizierungsvorgang zwischen 0,5 und 3 Sekunden, so dass für 11.000 Versuche zwischen 90 Minuten und 10 Stunden eingeplant werden müssen. Im Durchschnitt sollten die PINs schon nach der Hälfte, also nach rund 5.500 Sekunden, gefunden sein.

Laut Viehböck haben einige Routerhersteller keine Maßnahmen gegen solche Brute-Force-Angriffe umgesetzt, so dass ein Angreifer alle PIN-Kombinationen ohne Unterbrechung durchprobieren kann.

WPS abschalten

Nutzern rät Viehböck daher, WPS abzuschalten, sofern dies möglich ist. Gerätehersteller sollten nach mehreren Fehlversuchen WPS blockieren, so dass ein Angriff deutlich länger dauert. Das Knacken einer WPA-/WPA2-PSK-Verschlüsselung sei im Vergleich zu diesem Brute-Force-Angriff deutlich aufwendiger, so Viehböck.

US-Cert veröffentlicht Warnung

Viehböck hat seine Erkenntnisse an das US-Cert übergeben, das eine entsprechende Warnung veröffentlicht hat. Viehböck beschreibt die Probleme in seinem Aufsatz Brute forcing Wi-Fi Protected Setup - When poor design meets poor implementati. Sein Brute-Force-Tool will er in Kürze veröffentlichen, will den Code aber zuvor noch aufräumen.



Anzeige
Spiele-Angebote
  1. (-78%) 7,77€
  2. 3,99€
  3. 39,99€
  4. 7,99€

essenz IT 04. Jan 2012

...den bei AVM Routern besteht dieses Problem nicht. WPS ist nur auf Knopfdruck aktiv...

Durango95 04. Jan 2012

Findest Du im "AirPort Utility" unter "Base Station", "Add Wireless Clients". Unterstützt...

Der Kaiser! 30. Dez 2011

Wenn sie mehr Interesse daran hätten wärst du arbeitslos.

DancingBallmer 29. Dez 2011

Soweit ich verstanden habe ist er Student und kein wissenschaftlicher Mitarbeiter, ich...

mike-zed 29. Dez 2011

Bei meinem Netgear kann mans zumindest abstellen, die 8 stellige PIN scheint aber nicht...


Folgen Sie uns
       


Asrock DeskMini A300 - Test

Der DeskMini A300 von Asrock ist ein Mini-PC mit weniger als zwei Litern Volumen. Der kleine Rechner basiert auf einer Platine mit Sockel AM4 und eignet sich daher für Raven-Ridge-Chips wie den Athlon 200GE oder den Ryzen 5 2400G.

Asrock DeskMini A300 - Test Video aufrufen
Bethesda: Ich habe TES Blades für 5,50 Euro durchgespielt
Bethesda
Ich habe TES Blades für 5,50 Euro durchgespielt

Rund sechs Wochen lang hatte ich täglich viele spaßige und auch einige frustrierende Erlebnisse in Tamriel: Mittlerweile habe ich den Hexenkönig in TES Blades besiegt - ohne dafür teuer bezahlen zu müssen.
Ein Bericht von Marc Sauter

  1. Bethesda TES Blades erhält mehr Story-Inhalte und besseres Balancing
  2. Bethesda TES Blades ist für alle verfügbar
  3. TES Blades im Test Tolles Tamriel trollt

Motorola One Vision im Hands on: Smartphone mit 48-Megapixel-Kamera für 300 Euro
Motorola One Vision im Hands on
Smartphone mit 48-Megapixel-Kamera für 300 Euro

Motorola bringt ein weiteres Android-One-Smartphone auf den Markt. Die Neuvorstellung verwendet viel Samsung-Technik und hat ein sehr schmales Display. Die technischen Daten sind für diese Preisklasse vielversprechend.
Ein Hands on von Ingo Pakalski

  1. Moto G7 Power Lenovos neues Motorola-Smartphone hat einen großen Akku
  2. Smartphones Lenovo leakt neue Moto-G7-Serie

Katamaran Energy Observer: Kaffee zu kochen heißt, zwei Minuten später anzukommen
Katamaran Energy Observer
Kaffee zu kochen heißt, zwei Minuten später anzukommen

Schiffe müssen keine Dreckschleudern sein: Victorien Erussard und Jérôme Delafosse haben ein Boot konstruiert, das ohne fossilen Treibstoff auskommt. Es kann sogar auf hoher See selbst Treibstoff aus Meerwasser gewinnen. Auf ihrer Tour um die Welt wirbt die Energy Observer für erneuerbare Energien.
Ein Bericht von Werner Pluta

  1. Umweltschutz Kanäle in NRW bekommen Ladesäulen für Binnenschiffe
  2. Transport DLR plant Testfeld für autonome Schiffe in Brandenburg
  3. C-Enduro Britische Marine testet autonomes Wasserfahrzeug

    •  /