News WPA3-Schwachstellen: WLAN-Passwort ist auch mit neuem Standard unsicher

[Heinzelwaffel]

@Heinzelwaffel Und gerade deshalb sollte man seinen geistigen Unfug nicht sofort als final 1.0 veröffentlichen, wenn man "denkt", dass er fertig ist. Nur weil da gerade eine Hand voll bezahlter Firmen mal drüber gekuckt hat. Solche Standards sollte man generell ein Jahr "liegen" lassen, mit dem Hinweis, dass der Kram in einem Jahr genau so als final veröffentlicht wird, wenn keiner was einzuwenden hat.
Mir ist bewusst, dass danach immer noch Sachen gefunden werden können. Aber die Wahrscheinlichkeit ist deutlich geringer.
Ich finde den Standardisierungsprozess bei WPA nicht gut. Zumindest finde ich keine Drafts, keine Paper aus der Entwicklung. Aber das liegt wohl an IEEE. Den Prozess der IETF finde ich da deutlich offener.

Ich glaube ich habe mich missverständlich ausgedrückt, ich sage nämlich das Gegenteil aus, von dem, dem du zustimmst.
Sowas ist einfach unvermeidbar. Es können niemals auch nur verhältnismäßig viele Leute zeitlich begrenzt an einem ganzen Standard brauchen, wie unendlich mehr Leute zeitlich unbegrenzt kleine Lücken finden können.
Des Weiteren sind Standards nicht dazu da um perfekt zu sein, sondern nur, damit alle dieselbe Scheiße machen.

Das Beispiel mit dem liegen lassen halte ich für praxisfern. Einmal besteht ja Zeitdruck. Dann kann man genauso gut hingehen und ein Jahr länger daran arbeiten. Und außerdem, und ich denke ich spreche für alle, weil jeder diese Erfahrung gemacht hat. Du kannst dir die Klausur noch so lange angucken und kreus und quer und rückwärts lesen, aber dir fällt erst 5 Minuten nach der Abgabe ein, dass du Kacke gebaut hast.

Man könnte den ganzen Prozess quelloffener gestalten, so könnte man argumentieren. Aber das widerspricht sich mit dem wirtschaftlichen Interesse. Man möchte ja Kontrolle und einen gewissen Marktvorsprung haben.

 

[borizb]

Kann man froh sein, dass nicht so viele Spezis unterwegs sind.

Wem sein Wifi daheim wurde denn schon mal "gehackt"? Also nicht durch 5x probieren
von nem Gast daheim rausgefunden, sondern im klassischen Sinne gehackt und misbraucht?

 

[benneq]

@Heinzelwaffel Dann hast du wohl nicht verstanden, was ich damit aussagen wollte
Ganz kurz und knapp zusammengefasst: Sie sollten solche Standards "öffentlich" entwickeln. Und nicht in ihrem kleinen Kämmerlein, wo nur bezahlte "Experten" drüber kucken. Oder zumindest alle paar Monate einen öffentlichen Draft rausgeben. All das passiert dort ja überhaupt nicht. Der Großteil der kompetenten Forscher darf sich den Standard erst ankucken, wenn er final veröffentlicht wurde.
Natürlich bedeutet das einen erhöhten Aufwand, weil man irgendwelche Fragen und Anmerkungen von außenstehenden beantworten muss. Und natürlich dauert dann alles länger.

 

[Heinzelwaffel]

Jo, eben das halte ich wie ich an dem Post editiert habe (ich glaube ich war da langsam dran) für praxisfern, weil nicht wirtschaftlich.

 

[GregoryH]

"in dem wissenschaftlichen Paper"???

Das ist ganz normales Jargon im Forschungsumfeld.

 

[boncha]

Vielleicht erfindet jemand mal ein WLAN, dass nicht über die eigenen vier Wände hinausgeht.

60 GHz WLAN anyone?!
Extrem schnelle Datenraten, jedoch geht die Funkelistung nicht über eine Wand hinaus.
Sprich man braucht in jedem Raum einen Router.

Das ist aber extrem sinnvoll.
1. Problem gelöst, dass sich jemand von außen mit dem Netzwerk verbindet
2. Weniger Sendeleistung notwendig, da das Signal sowieso nicht den Raum verlässt.
3. Höhere Frequenz, höhere Geschwindigkeit, weniger Endringtiefe in Gewebe

 

[Helge01]

Wem sein Wifi daheim wurde denn schon mal "gehackt"? Also nicht durch 5x probieren
von nem Gast daheim rausgefunden, sondern im klassischen Sinne gehackt und misbraucht?

Gegenfrage, wieviel haben jemals bemerkt, dass sie gehackt wurden?

 

[benneq]

@Heinzelwaffel Genau das ist das Problem: "wirtschaftlichkeit".
Diese Technologie wird weltweit eingesetzt, in vielen Milliarden Geräten. Warum sollte man sowas dann nicht auch quasi öffentlich entwickeln lassen? Ist ja nicht so, dass das irgendwas ist, was am Ende in 2-3 Unternehmen genutzt wird.

Bei vielen anderen Dingen, die die ganze Welt interessieren, funktioniert das doch auch. Z.B. Web Standards oder Fusionsreaktorforschung.
Dann wird der Kram halt von den Steuern finanziert, aber dafür erhält jeder Einblick in die Machenschaften. Es gibt bei WPA ja auch keine Konkurrenz, die Ideen klauen könnte oder einem zuvorkommen will.

Die aktuelle Standardisierungsprozess von WPA entspricht da eher der Ausarbeitung von Artikel 13 (oder wie auch immer er jetzt heißt). Man weiß, dass da was gemacht wird, aber Einsicht erhält man erst, wenn die Herren sagen "wir sind fertig". Und danach muss man dann feststellen, dass es total undurchdacht ist. Und hier war es sogar steuerfinanziert. Traurig.

 

[gerzerk]

Man bräuchte entsprechende Farbe/Putz/Dämmung.

.... oder Alu-Hüte

 

[Oceanhog]

Sicherer als die stärkste Verschlüsselung ist ein kleiner Schalter im Router-Setting mit dem Namen "Sendeleistung". Man muss nicht bis auf die Strasse senden, wenn der Laptop und der Fernseher nur 3 Meter vom Router entfernt stehen. Leider scheint sich dass noch nicht herumgesprochen zu haben.

Gegenfrage, wieviel haben jemals bemerkt, dass sie gehackt wurden?

Einfach mal im Router die zuletzt verbundenen Geräte anzeigen lassen!

 

[Helge01]

Und du meinst das macht die Mehrheit der WLAN Nutzer???

Die Logfiles der Standard Consumer Büchsen sind sowieso verbesserungswürdig. Aber selbst diese werden vom Otto normalo nicht ausgewertet.

 

[benneq]

Einfach mal im Router die zuletzt verbundenen Geräte anzeigen lassen!

Als ob der versierte Hacker diese Liste nicht einfach löschen würde nach seiner Tat.
Bei den Fritzboxen reicht dafür ja schon ein Neustart des Routers, um sämtliche Log Einträge zu vernichten.

 

[testwurst200]

Das ist ganz normales Jargon im Forschungsumfeld.

Wissenschaftliche Publikation oder einfach nur Paper?

Der Bottleneck ist auch schon normal geworden...

 

[new Account()]

Wissenschaftliche Publikation

Noch nie jemanden das sagen hören...

Und wo bleibt WPA4?

 

[(-_-)]

Wem sein Wifi daheim wurde denn schon mal "gehackt"? Also nicht durch 5x probieren
von nem Gast daheim rausgefunden, sondern im klassischen Sinne gehackt und misbraucht?

Bei mir hat mal ein Mietnomade WEP gebruteforced.
Ist schon ewig her und war ne uralte Fritte die als Repeater diente.
Fiel mir erst auf als mehrere unbekannte Geräte im Heimnetz auftauchten.

Naja, da er schon eine dickere Akte hatte gab es dafür 1 Jahr auf Bewährung. Ob er die absitzen musste, keine Ahnung.

 

[iGameKudan]

Vielleicht erfindet jemand mal ein WLAN, dass nicht über die eigenen vier Wände hinausgeht.

Nennt sich 802.11ad. Da bräuchte es halt nur in jedem Raum einen Access Point, idealerweise an der Zimmerdecke.

 

[g0dy]

Gegenfrage, wieviel haben jemals bemerkt, dass sie gehackt wurden?

Hier
Wpa2 mit lauter, meiner Meinung nach, unfähigen Nachbarn. So kann man sich täuschen...
Es kam nur ein Nachbar in Frage, und dem hätte ich es technisch sicher nicht zugetraut.

 

[WinnieW2]

Oder nur einen Faradayischer Käfig

Jepp, hat aber den kleinen Nachteil dass dann der Empfang von Radio oder TV mit Zimmerantenne ebenfalls nicht mehr funktionieren würde, und auch kein Mobilfunkempfang mehr in der Bude vorhanden wäre.
Möglich ist das schon mit einem Gitter aus dünnen Drähten zwischen Wand und Tapete.

Und zum Thema WPA3. Ich bezweifle ernsthaft dass irgendein Hersteller bereits eine signifikante Anzahl an WLAN-Router an Kunden verkauft hat welche bereits die WPA3 Verschlüsselung unterstützen.
Die Sache wird ganz einfach mit einer neuen Revision von WPA3 behoben werden... notfalls tauschen die Hersteller die paar tausend Router aus oder spielen im Idealfall eine neue Firmware auf.

Welche Betriebssysteme unterstützen denn derzeit bereits WPA3? Solange es keine WLAN-Clientgeräte gibt welche WPA3 unterstützen dann nutzen auch WLAN-Router mit WPA3 nicht viel.

 

[eSportWarrior]

Ist doch besser wenn die Lücke direkt da ist statt 1 Jahr ausgenutzt zu werden? Verstehe das Problem nicht

 

[benneq]

@WinnieW2 Es geht ja nicht nur um Router. Das wäre ja einfach. Jeder WPA3 fähige Chipsatz ist erstmal betroffen. Das fängt bei Routern an, aber auch Handys, Access Points, Smart TVs, Notebooks, und halt im Prinzip jedes WLAN-fähige Gerät ist dann betroffen.
Bereits letztes Jahr im Oktober haben quasi alle großen Hersteller ihre Unterstützung für WPA3 zugesagt. Und zu diesem Zeitpunkt hat Qualcomm bereits mit der Produktion neuer Chips mit WPA3 Unterstützung gestartet. Die anderen Hersteller haben inzwischen bestimmt auch schon große Stückzahlen gefertigt.

@eSportWarrior So kann man das natürlich auch sehen Man weiß nun, dass es diese Lücken gibt. Aber das heißt nicht, dass man sie einfach so beheben kann. Weil die Lücke nunmal in der Spezifikation steckt. Und wenn man die Lücke in der Spezifikation behebt, dann hat man gleich eine neue Spezifikation, die nicht mehr kompatibel zur alten ist. D.h. alle Geräte, die über WPA3 miteinander kommunizieren wollen, müssen sich dann an die neue Spezifikation halten. Allerdings ist das Erstellen, Anpassen und Absegnen so einer Spezifikation ein langer Prozess. Es kann also Monate dauern, bis es eine neue gibt.
Und dann kann es gut sein, dass sämtliche WPA3 fähige Hardware plötzlich nicht mehr WPA3 fähig ist. Dann müssten die neu angepassten Teile von WPA3 in Software umgesetzt werden, wodurch der Energieverbrauch der Geräte ansteigt. Und vielleicht sind manche Geräte auch so schwach auf der Brust, dass dann gar keine brauchbaren Transferraten mehr erreicht werden können.
Wenn's gut läuft, braucht es nur ein Firmware Update. Aber auch das muss dann erstmal alle Geräte erreichen. Aber da sind sich die Leute ja noch uneinig. Wobei ich Lancom da mehr traue als der Wifi Alliance. Schließlich geht es da um deren Reputation.