Montag, November 10, 2008

Sicherheitsexperten geben Details zum WPA-Hack bekannt

Martin Beck und Erik Tews haben in ihrem Paper "Practical Attacks against WEP und WPA" Details zu ihrem Angriff auf WPA-gesicherte Funknetze veröffentlicht. Im Wesentlichen handelt es sich um eine Variante der seit Anfang 2005 bekannten chopchop-Attacke auf WEP-gesicherte Netze. Der Name geht auf das von KoreK entwickelte Tool chopchop zurück, mit dem man ein beliebiges verschlüsseltes Datenpaket ohne Kenntnis des WEP-Schlüssels entschlüsseln kann.

Das Programm schneidet das letzte Byte eines WEP-Paketes ab. Unter der Annahme, dass das Byte 0 war, versucht es, durch eine XOR-Verknüpfung der letzten vier Bytes mit einem bestimmten Wert wieder eine gültige Checksumme zu rekonstruieren. Dann sendet es das Paket an einen Access Point und beobachtet, ob dieser es akzeptiert. Wenn nicht, nimmt es an, dass das abgeschnittene Byte eine 1 war – im ungünstigsten Fall probiert es das bis 256 durch. Dieses Spiel wiederholt sich dann für jedes weitere Byte des Paketes. Am Ende hat der Angreifer das Paket im Klartext.

Das in der Regel unter WPA eingesetzte Temporal Key Integrity Protocol (TKIP) verwendet zwar wie WEP den RC4-Algorithmus, hat allerdings einige Sicherheitsmaßnahmen implementiert, wozu unter anderem Anti-chopchop-Funktionen gehören. So werden die Verbindungen im WLAN beendet, wenn mehr als zwei Pakete mit falschen Message Integrity Check (MIC) innerhalb von 60 Sekunden von einem Client empfangen wurden. Zudem erschwert der TKIP Sequence Counter (TSC) das Wiedereinspielen abgefangener Pakete, wodurch die chopchop-Attacke und andere Replay-Attacken erheblich schwerer funktionieren. Liegt der TSC des empfangenen Paketes unter der des aktuellen Zählers, wird es einfach verworfen.

Die Limitierungen lassen sich laut Beck und Tews aber relativ leicht umgehen, indem man einfach beim Senden die 60-Sekunden-Zeitspanne einhält und sich die Quality-of-Service-Funktionen von WPA-Access-Points zunutze macht. Die unterstützen nämlich 8 Kanäle, sodass man das "gechopte" Paket statt an den Senderkanal einfach an einen anderen Kanal zurückspielt, um den TKIP Sequence Counter auszutricksen. Üblicherweise findet der Verkehr hauptsächlich auf Kanal 0 statt, während der TSC auf den anderen Kanälen so gut wie nie erhöht wird und ein zurückgespieltes Paket mit seinem TSC immer über der des empfangenen liegt.

Wird die vorgestellte WPA-Attacke auf ein verschlüsseltes ARP-Paket angewendet, dessen Aufbau im Klartext ja in wesentlichen Teilen immer der selbe ist, so muss man zum Entschlüsseln nur die IP-Adressen sowie die MIC und den noch aus WEP-Zeiten stammenden Integrity Check Value (ICV) erraten. Für die insgesamt 12 Bytes von MIC und ICV tut das chopchop, die IP-Adressen muss der Angreifer selbst raten. Mit dem gesamten Paket im Klartext und dem Wissen über den MIC ist es nun laut Beck und Tews möglich, den Schlüsselstrom für die Kommunikation vom Access Point zum Client ermitteln – ohne den ursprünglichen Schlüssel zu kennen. Im Anschluss lassen sich zudem weitere Pakete vom AP an den Client mit weniger Aufwand entschlüsseln. Mit dem Schlüsselstromn lassen sich eigene Pakete verschlüsseln und an einen Client versenden, etwa um den weiteren Verkehr mittels gefälschter ARP- oder ICMP-Pakete umzuleiten.

Der WPA-Angriff ist in der beschriebenen Weise allerdings erheblich limitiert: Für einen erfolgreichen Angriff muss die Zeit bis zum Erzeugen eines neuen TKIP-Schlüssels (Rekeying) relativ groß sein, Beck und Tews gehen von 3600 Sekunden aus. Zudem muss die Wireless Multimedia Extension (WMM) aktiviert sein, damit mehrere QoS-Kanäle verfügbar sind. Nach dem Entschlüsseln eines Paketes (sofern der Verkehr nur über Kanal 0 geht) kann der Angreifer jeweils nur ein Paket an die Kanäle 1 bis 7 senden. Anschließend liegt der TSC seiner Pakete unter dem der Kanäle.

Darüber hinaus arbeitet der Angriff nur in eine Richtung: Vom Access Point zu einem Client. Angriffe auf den AP sind so nicht möglich. Zudem funktioniert er derzeit nur mit ARP-Paketen, um innerhalb von 12 bis 15 Minuten an einen Schlüsselstrom zu gelangen. Zwar lassen diese Einschränkungen den Angriff auf WPA weitaus weniger spektakulär erscheinen als seinerzeit die Angriffe auf WEP. Allerdings ist ein Anfang gemacht und die innovativen Ansätze zeigen, dass WPA nicht nur durch Brute-Force-Angriffe zu knacken ist. Ob der Angriff bereits die Sicherheit des eigenen WPA-gesicherten Netzes bedroht, hängt von der Verwendung ab. Möglicherweise lässt sich auf diese Weise bereits in Unternehmensnetzen genug Schindluder treiben. Die WLANs von Heimanwendern dürften jedoch erst einmal nicht bedroht sein, da der Angriff kaum Gelegenheit zum Schwarzsurfen bietet.

Tews und Beck schlagen in ihrer Untersuchung unter anderem vor, die Rekeying-Dauer von TKIP auf 120 Sekunden oder weniger herunterzusetzen, um den beschriebenen Angriff abzuwehren. Innerhalb dieses Zeitraums ließen sich nur Teile des Paketes berechnen. Besser wäre nach Meinung der Autoren, gleich AES-CCMP als Verschlüsselungsmethode einzusetzen, sofern der Access Point dies unterstütze. Dieser Algorithmus gilt derzeit als sicher.

Siehe dazu auch:

Labels:

0 Kommentare:

Kommentar veröffentlichen

Abonnieren Kommentare zum Post [Atom]

<< Startseite