News WPA2: Schwachstelle in WLAN-Verschlüsselung lässt mitlesen

Kazuja schrieb:
Guten Morgen,

was ist wenn ich jetzt vom IPhone mit aktuellen IOS über eine Bank App mit WLan zur Online Bank gehe.
Wie schaut es dann mit der Sicherheit aus?

Grüße Kazuja

Überhaupt was gelesen? Dann wüsstest du nämlich, dass sämtliche Hacker und Cracker und Nerds Zugang zu deinem Konto haben und dich um all dein Gespartes erleichtern.

Ich meine, im Artikel ist extra ein Abschnitt, der sich mit Online-Banking befasst.
 
Was machen denn Besitzer "älterer" Geräte oder eben nicht High-End der letzten zwei Jahre?
Ein ZTE L6 zum Beispiel ist keine zwei Jahre alt, aber irgendwie habe ich Angst, dass der Android Support nach 6 Monaten aufhört hat :eek:.
 
Klartext, HTTPS soll sicher sein vor dem Belauschen.
VPN zusätzlich geht immer! Vor allem im öffentlichen WLAN.

Aber, eine Gefahr besteht:
... Researchers have disclosed a serious weakness in the WPA2 protocol that allows attackers within range of vulnerable device or access point to intercept passwords, e-mails, and other data presumed to be encrypted, and in some cases, to inject ransomware or other malicious content into a website a client is visiting. ...

Ich muss halt alles nennen, ist wie ein Rundumschlag, alles kann unsicher sein.
Am besten auf gepatchte Systeme warten oder LAN verwenden.

Aber gehe davon aus, https (zur Bank-Seite), Windows und iOS10/11 sollen sicher sein, trotz der Sicherheitslücke.

... The researcher went on to say that the weakness allows attackers to target both vulnerable access points as well as vulnerable computers, smartphones and other types of connecting clients, albeit with differing levels of difficulty and effectiveness. Neither Windows nor iOS are believed to be vulnerable to the most severe attacks. Linux and Android appear to be more susceptible, because attackers can force network decryption on clients in seconds with little effort. ...

https://arstechnica.com/information...l-leaves-wi-fi-traffic-open-to-eavesdropping/
 
Zuletzt bearbeitet:
"Client und Access Point tauschen dabei einen Session-Key aus, den Forschern gelingt es jedoch, einen bereits benutzten Schlüssel erneut zum Einsatz kommen zu lassen, die sogenannte „Key Reinstallation“."

Und wie kommen sie am diesen Key? Müssen die mindestens einmal "legal" mit dem wlan verbunden gewesen sein? Wenn ja ist es doch mehr panikmache :)

Oder wird dieser Schlüssel per bruteforce ermittelt
 
Mitlesen und noch mal schicken. Der Handshake ist nicht verschlüsselt. Dann denkt der Client oder APn dass die Verbindung nicht zustande kam und sagt "jetzt fange ich noch mal bei 0 an und warte auf das erste Datenpaket". Stark vereinfacht.
 
ldasta schrieb:
Ich bin gespannt wann und und für welche Geräte AVM Updates bereitstellt.

Dazu AVM:
Seit heute wird über eine Lücke im WPA2-Protokoll von WLAN berichtet. WPA ist relevant für alle WLAN-Produkte vom Smartphone über Router bis zur IP-Kamera. Angriffe sind nicht bekannt und könnten auch nur im direkten WLAN-Umfeld erfolgen. Für eine genauere Einschätzung müssen noch weitere Details bekannt werden. Unabhängig von Krack findet bei der Internetverbindung über HTTPS-Seiten (Onlinebanking, Google, Facebook etc.) eine sichere Verschlüsselung statt.

Falls notwendig wird AVM wie gewohnt ein Update bereitstellen. Die Wifi Alliance fasst die Situation > hier zusammen.

https://avm.de/service/aktuelle-sicherheitshinweise/

Gruß
Sc0rc3d
 
florian. schrieb:
man kann nur mitlesen, also wirst noch wegen Verbreitung Urheberrechtlich geschütztem Material verknackt!

Im Bericht steht doch, dass die Daten auch manipuliert werden können.
 
@Photon

Solche Patches werden auch andere Distris schnell bekommen.
Dafür benötigt man kein Rolling Release Linux.

Sorgen machen mir nur Endgeräte die nie mehr Patches erhalten.
 
Als Arch Linux User habe ich bereits schon ein Update erhalten. :D Mit anderen Worten, der wpa_supplicant wurde in Arch Linux gepatched. Siehe hier.

Klar werden solche Dinge bei anderen GNU/Linux Distros auch schnell gepatched, trotzdem Rolling Release Distros wie Arch und Manjaro rollen und sind cool, hehe ;).
 
Zuletzt bearbeitet:
Hmm, Nur korrekt konfigurierte https Webseiten sind sicher, aber anscheinend sind nicht alle https Webseiten korrekt konfiguriert (Beispiel im Video).
 
Ihr seid in unserem Überwachungsstaat immer noch ohne VPN unterwegs?
Mit VPN ist die Lücke keine Thema.
 
Und ein Nachtrag zu AVM:

WPA2-Lücke - FRITZ!Box ist sicher

Eine FRITZ!Box am Breitbandanschlusss ist nach aktuellem Stand nicht von der "Krack" genannten WLAN-Sicherheitslücke betroffen, da sie als Access Point die betroffene Norm 802.11r nicht verwendet. Ein möglicher theoretischer Krack-Angriff richtet sich gegen die WLAN-Verbindung eines Klienten, der sich im WLAN anmeldet.

Um die WLAN-Kommunikation zwischen einem unsicheren Klienten (Laptop, Smartphone, TV mit WLAN) und einem Access Point anzugreifen sind umfangreiche Voraussetzungen notwendig. Ein Angreifer muss dazu in unmittelbarer physischer Nähe des Klienten sein. Und er muss sich in Form einer Man-in-the-Middle-Attacke zwischen Klient und Access Point setzen. Eine Voraussetzung für diesen schwer auszuführenden Angriff ist, dass der Klient sich freiwillig ummeldet. Dazu müsste der Angreifer näher am Klienten sein als der Access Point. Je nach Ausführung des Klienten können nach aktueller Einschätzung nur die Sendedaten des Klienten mitgelesen werden, die Empfangsrichtung kann nicht mitgelesen werden.

Unabhängig von WLAN sind relevante Verbindungen auf höheren Ebenen verschlüsselt. Dazu zählen HTTPS-Verbindungen (Suchanfragen, Online-Banking, Online-Einkauf, Facebook, WhatsApp etc.), die über das Schlosssymbol bzw. der grünen Anzeige bei der Browseradresse zu erkennen sind. Diese Verschlüsselung ist weiterhin sicher.
Zu keiner Zeit ist es mit der Krack-genannten Sicherheitslücke möglich, vollständiger Teilnehmer eines fremden WLANs zu werden.
Ausgehend von der Schwierigkeit des Angriffes, der zwingenden Notwendigkeit vor Ort zu sein und der weiterhin aktiven Verschlüsselung auf höheren Ebenen, erscheint die praktische Bedeutung der Krack-Lücke gering. Angriffe sind nicht bekannt.
AVM hat von Krack erst am 16. Oktober Kenntnis erlangt. Das für solche Fälle vorgesehene Responsive-Disclosure-Verfahren wurde von den Entdeckern der Lücke leider nicht angewandt. AVM wird nach weiteren Untersuchungen und Tests Updates für WLAN-Repeater zur Verfügung stellen.

Quelle

Gruß
Sc0rc3d
 
cbtestarossa schrieb:
Und mit den Quantenrechnern werden sie bald noch die letzten sicheren Verschlüsselungen knacken.

Weil die ja schon existieren mit der Leistung, um die asymmetrischen Verschlüsselungen zu knacken :rolleyes:
(PS: Jetzt komm bitte nicht mit diesen "Fake" -kommerziellen-Systemen)


Und für symmetrische Verschlüsselungen sind Quantencomputer sowieso 'unnütz'...
Ergänzung ()

feris schrieb:
Ihr seid in unserem Überwachungsstaat immer noch ohne VPN unterwegs?
Mit VPN ist die Lücke keine Thema.

Und du glaubst wenn alle VPNs benutzen seien die sicherer?!

...

In China schaffen sie es trotz VPN Leute zu verknacken.
 
Zuletzt bearbeitet:
Der Beitrag enthält ne Menge Sand in die Augen...
 
Symmetrische Verschlüsselung wie AES, wo mit dem gleichen Passwort sowohl ver- als auch entschlüsselt wird, werden in ihrer Sicherheit durch die Verfügbarkeit von Quantencomputern nur um ein Quadrat reduziert. Also AES mit 256-bit ist dann nur noch so sicher wie AES mit 128-bit jetzt ist. Und das ist immer noch ungeknackt.

Das Problem ist das wenn man AES übers Internet macht man ja das Passwort austauschen muss, und dazu nutzt man asymmetrische Verfahren wie RSA und (EC)DHE, die gehen mit Quantencomputern völlig kaputt. Heißt man müsste den Verschlüsselungskey im Vorraus über einen sicheren Kommunikationskanal austauschen, was das Internet selbst nicht hergibt.
Ein paar Post-Quanten-Verschlüsselungen sind aber auch schon in Entwicklung, ganz düster sieht es also nicht aus.
 
Nach Stagefright mal wieder ein wunderschönes Beispiel warum man endlich mal eine EU-Richtline bzw. verbindliche Verordnung benötigt, dass internetfähige Endanwendergeräte (Smartphones, Tablets, Notebooks, PCs etc.)über einen gewissen Zeitraum (6+ Jahre) mit Sicherheitsupdates versorgt werden müssen.
 
valnar77 schrieb:
Nach Stagefright mal wieder ein wunderschönes Beispiel warum man endlich mal eine EU-Richtline bzw. verbindliche Verordnung benötigt, dass internetfähige Endanwendergeräte (Smartphones, Tablets, Notebooks, PCs etc.)über einen gewissen Zeitraum (6+ Jahre) mit Sicherheitsupdates versorgt werden müssen.

Jup - 6 Jahr eist nen bisschen viel, aber vier sollten es schon sein... Vor allem ist es auch lächerlich: Die EU verbietet Glühbirnen aus Ökogründen, aber was die Leute neue Handys kaufen, und was das an Energie ksotet und nciht nachhaltig ist, das iinterssiert keinen...
 
Muss ich mich jetzt glücklich schätzen nie über Android 5.0 hinaus gekommen zu sein? #zynischfragenddreinblickend
 
Zurück
Oben