Diese Website verwendet Cookies, um Dein Surferlebnis zu verbessern. Durch die weitere Nutzung der Website stimmst Du der Verwendung von Cookies zu.   Erfahre mehr.
Zustimmen
paulkoenig

WPA2-Sicherheit: Unitymedia-Router von "KRACK Attack" betroffen?

Wenn ich den Artikel
https://github.com/vanhoefm/krackattacks https://heise.de/-3862379

richtig verstehe, dann muss ich davon ausgehen, dass meine WPA2-gesicherte Kommunikation für jedermann innerhalb der Reichweite des WLANs mitlesbar ist.

Der Artikel weist darauf hin, dass jeder Router und jedes Linux-Gerät betroffen sei. D.h. bezogen auf unsere Privatsphäre haben wir hier einen Supergau.

Meine Clients habe ich ja in eigener Verantwortung, aber der Router von Unitymedia müsste wohl zeitnah aktualisiert werden. Daher die Frage, ob das Thema beim Sicherheitsteam von Unitymedia schon aufgeschlagen ist, und in welchem Zeitraum mit einer Reaktion gerechnet werden kann ..
Speichern Abbrechen
Konnte dir geholfen werden?
  • Ja
12 Kommentare
2017-10-16T11:41:03Z
  • Montag, 16.10.2017 um 13:41 Uhr
Betroffen sind nach meinem Verständnis Linux-basierte Geräte und Android 6+.

https://avm.de/service/aktuelle-sicherheitshinweise/
Ob Fritz!OS also betroffen ist, steht noch nicht fest... das wird AVM hoffentlich bald analysiert haben.

Abwarten.. Tee trinken... es regnet bald Patches für die Smartphones und Tablets.
2017-10-16T22:10:48Z
  • Dienstag, 17.10.2017 um 00:10 Uhr
Hallo,

die meisten Router und Access Points dürften wohl intern wpa_supplicant und/oder hostapd einsetzen (da Linux- oder FreeBSD-basiert), und wären im Augenblick vulnerabel. Bis die nötigen Upstream-Patches von den Herstellern übernommen werden, um neue Firmwares zu kompilieren dürfte es trotz Vorwarnzeit mind. noch ein paar Tage dauern. Bis dann AVM bzw. Unitymedia diese Firmwares auf die Router bei den Kunden aufspielen, vergehen ebenfalls mehrere Tage. Ich gehe mal davon aus, daß router-seitig das Problem in ein paar Wochen behoben ist.

Client-seitig ist es genauso... mit einem Unterschied: die verwaisten Android-Geräte, Smart-TVs etc. werden wohl nie Patches bekommen. In einigen Fällen kann man sich mit Ersatz-ROMs (LineageOS) sicherheitstechnisch über Wasser halten nachdem diese gepatcht wurden, aber bei den Smart-TVs, Internet-Cams, etc. sehe ich schwarz. Man kann da nur hoffen, daß die Patches auf den Routern / APs ausreichen (?).

Anyway, da ist schon ein coole neue Angriffsmethode. Ich bin schwer beeindruckt.
2017-10-17T06:03:16Z
  • Dienstag, 17.10.2017 um 08:03 Uhr
Es war weniger die Frage nach dem allgemeinen technischen Stand und dem üblichen Vorgehen, Debian hatte Ubuntu konnte ich ja gestern schon fixen.

Mir ging es darum, dass mein Access-Point gerade offen zu sein scheint. Dadurch, dass ich das Gerät nicht warten kann/soll/darf, ist der Provider natürlich in der Pflicht ist, die Integrität meiner Privatsphäre auf dem (öffentlich bekannten ..) Stand der Technik sicher zu stellen.

Da das nicht nur mich betrifft, düfte das für alle Beeiligten eine sehr hohe Prio haben. Daher würde ich proaktive Transparenz, z.B. über die eingesetzte Software, deren Verwundbarkeit und die Roadmap zur Beseitigung des Flaws sehr begrüßen

Beste Grüße,
2017-10-17T08:12:19Z
  • Dienstag, 17.10.2017 um 10:12 Uhr
Unitymedia spielt seit über einem Jahr keine neuere Fritz OS auf die 6490 auf und soll nun angeblich innerhalb von "wenigen Tagen" mal eben nachbessern? 😃 daran glaube ich nicht
natürlich ist unbestritten, dass sie es müssten
2017-10-17T09:13:28Z
  • Dienstag, 17.10.2017 um 11:13 Uhr
Was passiert denn wenn mein Netz gehackt wird, weil der Router keine Updates von Unitymedia bekommen hat ?
2017-10-17T09:20:28Z
  • Gelöschter Nutzer
  • Dienstag, 17.10.2017 um 11:20 Uhr
Lt. den bisher vorliegenden Beschreibungen wird das Netz nicht ansich gehackt, sondern der Angreifer kann "nur" mitlesen.
https://www.heise.de/security/meldung/Details-zur-KRACK-Attacke-WPA2-ist-angeschlagen-aber-nicht-gaenzlich-geknackt-3862571.html
Zur Zeit wirst da da wohl die Rechtsschutzversicherung benötigen.
2017-10-17T09:42:53Z
  • Dienstag, 17.10.2017 um 11:42 Uhr
Wie man "das Internet hacken" will, ist mir bis heute nicht klar aber tatsächlich sind einfach ein Haufen Geräte bzw. Unitymedia-Kunden betroffe. Und nicht nur, dass viele nicht wissen, was vpn bedeutet, insbesondere in internen Umgebungen gibt es noch diverse ftp-, mail- und web-Server, die ohne Verschlüsselung arbeiten und wo die Zugangsdaten sehr leicht erspähbar sind.

Es gibt ja ein Urteil vom BVerfG, das die Integrität der IT-gestützten Geräte festschreiben sollte. Ich fände es interessant, ab welchem Status man sich darauf berufen kann.

So lange es öffentlich unbekannt ist, dass Hard- und Software konkrete Fehler haben, ist es höhere Gewalt (ggf. auch im äußerst irdischen Sinne ).

Sowie der Fehler öffentlich bekannt ist, aber noch kein Fix existiert, ist man in einer Grauzone - aber da die Integrität offenkundig nicht mehr vorhanden ist, müsste es für zahlende Kunden einer Dienstleistung so etwas wie eine aktive Warnung geben. Aufgrund der Bedeutung, die das BVerfG diesem Recht damals eingeräumt hat könnte sich daraus u.U. eine Verpflichtung der Provider ergeben.

Und wenn ein Fix für eine Hardware existiert, der aber aus nicht offen gelegten Gründen nicht ausgerollt wird, dann würde ich fast vermuten, dass das auch ohne Einbruch sanktionierbar sein müsste.

Disclaimer: Bin kein Anwalt
2017-10-17T14:36:20Z
  • Dienstag, 17.10.2017 um 16:36 Uhr
Um mal den Wind aus den Segeln zu nehmen:
https://avm.de/aktuelles/kurz-notiert/2017/wpa2-luecke-fritzbox-am-breitbandanschluss-ist-sicher/

Somit sind euere Fritz!Boxen sicher.
Da der Angriff stets auf den Client abzielt und nicht den Router, muss UM nichts nachbessern... auch nicht für andere Router-Modelle, die im Einsatz sind, wie Connect Box, Horizon, usw.

Lediglich Repeater sind noch angreifbar. Aber auch da gilt: der Angreifer muss näher am Client sin, als der AP, damit der Client überhaup drauf anspringt. Und selbst dann können nur vom Client ausgehende unverschlüsselte (damit ist nicht WPA2 gemeint) Pakete mitgelesen werden.
2017-10-17T15:09:24Z
  • Dienstag, 17.10.2017 um 17:09 Uhr
Ich verstehe technisch nicht genug von den Einwahl-Verfahren, insbesondere Server-seitig. Mit wpa_supplicant habe ich mich vor jahren mal herum geschlagen und war froh, als das vorbei war

Ich wundere mich aber, dass Heise & Co. schon immer davon reden, dass auch und gerade die Linuxe auf den Routern ein Update benötigen - und da kommt natürlich zum tragen, dass es für betagte und geschlossene Geräte keine Updates mehr geben wird. Dennoch bleibt hier der Widerspruch zwischen Pressemeldungen (aus IMO ernst zu nehmender Quelle) und dem hier genannten "werden eh nur die Clients angegriffen".

Und das wäre ja gerade für das "China-Plaste IoT" (IP-Kameras von Aldi ..) ein vollkommenes Desaster - denn die werden ja garantiert nicht mehr upgedatet und gleichzeitig werden die Eigentümer wohl auch nicht von sich aus sensibel für das Problem sein ..
2017-10-17T15:51:27Z
  • Dienstag, 17.10.2017 um 17:51 Uhr

Das ist richtig: alle Clients, die kein Update bekommen, sind angreifbar.
Da Repeater auch als Client arbeiten, sind diese ebenso betroffen.
Produkte mit Support werden sicher noch Patches erhalten. Für alle anderen: Pech!

Der Angreifer gaukelt dem Client vor, ein AP zu sein und kann dann alle vom Client gesendeten Daten lesen und wenn diese nicht verschlüsselt sind (z.B. SSL, TLS) auch entsprechend verarbeiten. Das ist möglich, weil der Client "grob gesagt" ein "ungültiges Handshake" akzeptiert.

Die Unsicherheit und Missverständnisse sind auch verständlich.
Überall steht was anderes.

Auch Router sind betroffen. Jedoch nur solche, die den 802.11r Standard unterstützen.
Dieser Standard erlaubt eine Übergabe der Datenverbindung zwischen verschiedenen APs ohne eine erneute Anmeldung. Somit geht auch der Router eine Datenverbindung mitdem Angreifer ein, ohne genau zu prüfen.

Da die Geräte von UM keinen r-Standard beherschen, gibt es auch kein Problem. Überhaupt gibt es davon nicht all-zu-viele im Heimgebrauch (meine persönliche Einschätzung).

Aber nochmal: das ist wie die Angst vor dem Sonnenbrand im Keller! Jeder hat nun Panik vor der Lavine und dabei ist es nur ein Schneeball.
Denn der Angreifer muss näher am Client sein, als der Router/AP und dann muss der Client auch noch beschließen die Verbindung auf dern Angreifer zu wechseln. Die meißten Clients sind da eher träge und wechseln erst, wenn der AP nicht mehr erreichbar ist.

Dateianhänge
    😄