WLAN / WPA2 auch nicht mehr sicher?

Viele von uns betreiben schon seit längerer Zeit WLAN-Netzwerke. Ob zu Hause, oder in der Firma, die Sicherheitsanforderungen an ein WLAN sind hoch, denn niemand möchte, dass sich Fremde in sein Netzwerk Zugang verschaffen können. Dazu bieten moderne WLAN-Geräte verschiedene Verschlüsselungsmechanismen, die ein Eindringen in ein Wireless LAN verhindern sollen. Man kennt hier also WEP, WPA und WPA2.
WEP wurde bereits vor längerer Zeit gehackt und WPA gilt auch schon länger als nicht mehr ganz sicher. An WPA2 hatten sich Spezialisten bis jetzt die Zähne ausgebissen, doch mit der steigernder Rechenpower der PCs und leistungsfähigen Grafikkarten mit nVidias CUDA-Unterstützung und ATIs Stream-Technik wendet sich das Blatt nun. Was bisher nur mit Superrechnern möglich war, findet mittlerweile fast schon zu Hause statt.

WPA2 soll nun von ein paar Wissenschaftlern gehackt worden sein, weil es ihnen gelungen ist, die Decodiergeschwindichkeit mittels CUDA-Grafikkarte um das 100-fache zu steigern.

Mehr dazu hier:
WiFi is no longer a viable secure connection - SC Magazine UK
WPA2 erfolgreich gehackt - ist WLAN noch sicher? - Digital - Österreich / oe24.at

Was wohl die Abmahner dazu sagen?

Zitat:

Falschmeldung

Lediglich Brute Force Attacken auf schwache Passwörter sind jetzt um einen Faktor x schneller.
Niemand hat bislang AES-CCMP erfolgreich "gehackt". Dieses Verfahren gilt noch immer als sicher.

Quelle: WPA2 erfolgreich gehackt - ist WLAN noch sicher? - Digital - Österreich / oe24.at

Unten als Kommentar

WLAN-Sicherheit bald auch für Otto Normalanwender

HardwareWLAN-Router werden heute oft wegen mangelhafter Sicherheitsmaßnahmen als Risiko eingestuft. Dies könnte sich in naher Zukunft ändern, denn ab November sollen Geräte auf den Markt kommen, bei denen die Sicherheitseinstellungen automatisch vorgenommen werden.

Mit dem sogenannten Wi-Fi Protected Setup (WPS) will die Wi-Fi Alliance, ein Zusammenschluß von Herstellern aus diesem Bereich, eine Technologie einführen, mit deren Hilfe die Absicherung eines Routers stark vereinfacht werden soll. Microsoft integriert das System auch in seinem neuen Betriebssystem Windows Vista.

WPS soll bei Computern, Zusatzgeräten und anderer Unterhaltungselektronik zum Einsatz kommen. Der Anwender muss lediglich einen Schalter drücken, oder einen PIN in einem einfachen Dialog eingeben, um zwei Geräte sicher miteinander zu verbinden, so die Ankündigung der Wi-Fi Alliance.

Die neue Spezifikation führt keine neue Verschlüsselungstechnologie ein. Stattdessen wird weiterhin die WPA-Verschlüsselung genutzt, man bietet lediglich eine sehr einfache Möglichkeit, geschützte Netzwerke aufzubauen. Hinter dem Projekt steckt also der Versuch, mehr Kunden dazu zu bewegen, ihre Netze besser abzusichern.

Bisher empfinden vor allem unerfahrene Anwender die Einrichtung wirksam verschlüsselter Netzwerke vielfach als lästig. Mit der Einführung von WPS will die Industrie dies nun ändern. Um den Käufern die Nutzung so einfach wie nur möglich zu machen, werden WPS-zertifizierte Produkte automatisch erkannt.

Quelle: Roland Quandt

Was nützt aber das Ganze, wenn die Technik weiterhin auf WPA beruht, welches ja als nicht mehr sicher einzustufen ist?

Wenn schon eine Brut-Force-Attacke möglich ist, würde ich WPA2 nicht als sicher betrachten, somit kann ich kaum von einer Falschmeldung sprechen.

Das kommt auf das Passwort an - nimmt man einfache geht das sicher, bei aufwändigeren PW ist nicht so einfach

Zitat:

Zitat von N-Traxx

Was nützt aber das Ganze, wenn die Technik weiterhin auf WPA beruht, welches ja als nicht mehr sicher einzustufen ist?

Dazu kann ich nicht viel sagen, da ich kein IT Fachmann bin !

Bei einer um den Faktor 100 gestiegenen Berechnungsgeschwindigkeit sieht die Sache bei etwas komplexeren Passwörtern anders aus.
Bei einem Zusammenschluss von mehreren CUDA/Stream-Grafikkarten wird dieser Faktor nochmals gesteigert.

Ein Verschlüsselungsalgorithmus sollte eigentlich keine Mehrfachpassworteingaben akzeptieren, um Brute Force Angriffe zu vermeiden, gar unmöglich zu machen.

Ich sehe hauptsächlich darin das Problem, dass WPA Mehrfacheingaben von Passwörtern erlaubt, was dazu führt, dass man immer wieder ein neues Passwort ausprobieren kann. Mit einem Leistungsfähigen Rechner kann man so mehrere zigtausend Passwörter binnen Sekunden durchprobieren. Hier wäre meines Erachtens sinnvoller, dass z.B. nach 10 Falscheingaben die Passworteingabe gesperrt wird, damit ein sog. Brute Force Angriff nicht möglich wird.

Viele User machen es den Angreifen aber auch selbst leicht, weil sie ihre Passwörter nicht mit Bedacht wählen. Kurze und leicht zu merkende Passwörter kann man binnen einiger Minuten knacken.

Zitat:

Zitat von N-Traxx

Viele User machen es den Angreifen aber auch selbst leicht, weil sie ihre Passwörter nicht mit Bedacht wählen. Kurze und leicht zu merkende Passwörter kann man binnen einiger Minuten knacken.

Es gibt ja in der Netzwelt einige Anleitungen, wie ein sicheres Passwort auszusehen hat. Und bei einem 30-stelligen Password bestehend aus sinnlosen Kombinationen von Buchstaben, Zahlen und Sonderzeichen verliert auch der agribischste Hacker schnell die Lust......

Aber, Traxx hat natürlich recht - das normale Passwort heisst, der Faulheit der User sei Dank, "paul22", "Daisy08" oder gar nur "pauline"

-----Doppelpost zusammengeführt am 16.10.2009 um 22:54:02-----

Nachtrag:

Und legt das Passwort nicht in einem beliebigen File ab das möglicherweise auch noch password.txt heisst. Gebt euch etwas Mühe - es gibt eine Reihe an Tools :liebegru:

es gibt auf jedes konventionelle kryptographische verfahren bruteforce-attacken. allerdings ist es bei längeren und gut gewählten passwörtern seeeeeeeehr unwahrscheinlich das sie in einer vernünftigen zeitspanne geknackt werden. ich habe mich vor kurzem an einem 8 zeichen pgp passwort probiert (mit cuda). vorgeschlagen wurden an die 100.000 tage bis er alle kombinationen durchhat.

übrigens werden bruteforce attacken natürlich nicht direkt am system durchgeführt. es wird der entsprechende algorithmus kopiert und lokal getestet. würde keinen sinn machen cuda zu benützen und trotzdem daten über das (im vergleich) ultralahme wlan zu schicken.

es ist auch nicht der eigentlich verschlüsselungsalgo der irgendwelche eingaben annimmt, sondern dessen implementation. das ganze sagt rein gar nichts über die verschlüsselung aus.

Hat man empfindliche Daten ist und bleibt eine drahtlose Verbindung egal in welcher Form immer ein gewisses Risiko.

Kabel ist schnell, zuverlässig und funktioniert so gut wie immer.

Bevor jemand sich an ein WPA2 gesichertes Netzwerk macht, knackt derjenige aber immer zuerst die schlecht gesicherten Netzwerke.

Muss das gleiche Thema in zwei Threads diskutiert werden? @N-Traxx hat dieses Thema doch als Verweis auf ein anderes (WPA2 auch nicht mehr sicher? / WPA2-Hack mit CUDA-Grafikkarte) angefangen, wäre das nicht der Ort?

@N-Traxx, solche Querverweise vielleicht sofort abschließen?

Zitat:

Zitat von burnout150

Hat man empfindliche Daten ist und bleibt eine drahtlose Verbindung egal in welcher Form immer ein gewisses Risiko.
Kabel ist schnell, zuverlässig und funktioniert so gut wie immer.
Bevor jemand sich an ein WPA2 gesichertes Netzwerk macht, knackt derjenige aber immer zuerst die schlecht gesicherten Netzwerke.

Genauso sehe ich das auch. Wer auf Sicherheit äußersten Wert legt, der greift zum altbewährten Netzwerkkabel. Manchmal kann das Verlegen der Leitungen zwar recht stressig werden, dafür wird man aber mit einer stabilen und sehr schnellen Netzwerkleitung belohnt, die zudem nicht an WLAN-Inkompatibilitäten und Empfangstörungen kränkt und zudem nicht einfach so abgehört werden kann.

Zitat:

Zitat von FreewareGuide

Muss das gleiche Thema in zwei Threads diskutiert werden? @N-Traxx hat dieses Thema doch als Verweis auf ein anderes (WPA2 auch nicht mehr sicher? / WPA2-Hack mit CUDA-Grafikkarte) angefangen, wäre das nicht der Ort?
@N-Traxx, solche Querverweise vielleicht sofort abschließen?

Sorry, hab vergessen den Thread im Filesharingforum zu schliessen. Hab die Beiträge nun herhier verschoben.

Gruß, Sebastian.

Zitat:

Zitat von N-Traxx

Bei einer um den Faktor 100 gestiegenen Berechnungsgeschwindigkeit sieht die Sache bei etwas komplexeren Passwörtern anders aus.
Bei einem Zusammenschluss von mehreren CUDA/Stream-Grafikkarten wird dieser Faktor nochmals gesteigert.

Ein Verschlüsselungsalgorithmus sollte eigentlich keine Mehrfachpassworteingaben akzeptieren, um Brute Force Angriffe zu vermeiden, gar unmöglich zu machen.

Vollkommen richtig, allerdings fehlt ein wenig die Relation bei der Angelegenheit. Ein gewisser Prozentsatz der Privatanwender wird immer schwache Passwörter haben - jedenfalls solange die Router-Hersteller nicht eine "Zwangspflicht" für sichere Passwörter einführen. In wie fern ein WLAN von einem Privatanwender für einen "Hacker" interessant ist möchte ich ein bisschen anzweifeln.

Unternehmen arbeiten schon lange nicht mit WPA-Verschlüsselungen sondern benutzen die (einigermaßen) sicheren VPN-Verbindungen. D.h. die Leute die wirklich sicher gehen wollen nutzen VPN zur Netzwekrauthentifizierung.

Ach so, ein 30-stelliges Passwort mit allen möglichen Sonderzeichen und Formen ist selbst für Brute-Force-Angriffe fast unschaffbar. Alleine der Zeitaufwand ist so enorm, dass der Privatanwender mit einem starken Passwort sich keine Gedanken machen muss.

Der überparanoide Anwender wird Kabel oder VPN nutzen. Ganz einfach.

Gruß
striz

Zitat:

Zitat von striz

... In wie fern ein WLAN von einem Privatanwender für einen "Hacker" interessant ist möchte ich ein bisschen anzweifeln....

Na ja, das sehe ich etwas anders. Zumal es Nutzer gibt, die nicht wissen das sie über eine Lan Verbindung Online sind.

Beispiel: Ich hatte vor ca. 2Jahren das Call und Com. Paket der T.Com
dazu gab es das Speedport aus der 3 Serie (303 oder 350?). Habe mein I-Net immer mit Kabel, also auch den Kabel in das Modem rein und los gehts. Nach 2 Tagen fragte mein Nachbar, warum ich nicht mein Lan verschlüssel. Darauf entgegnete ich, das ich kein Lan habe. Er zeigte es mir dann. In der Anleitung war nicht darüber zu Lesen. Das geheimniss war, mann konnte das Lan nur über die Browsereinstellung abschalten.
Ich hin zum T-Punkt Laden und den das Problem geschildert. Die Antwort:
Wir setzten voraus, das die Kunden Lan Wünschen und sich selber Schützen müssen. Das gild auch,wenn man das mit einem Kabel nutzt.
Ab der 5 und 7 Reihe, war plötzlich ein Schalter zum abstellen des Lan Betriebs angebracht.

Viele Leute die sowas nicht wissen, senden Bankdaten über lan und ich denke schon, das diese Daten schon reizvoll sind.

Zitat:

Zitat von NeeBee44

Viele Leute die sowas nicht wissen, senden Bankdaten über lan und ich denke schon, das diese Daten schon reizvoll sind.

Möchte das nicht zu weit abschweifen lassen aber der Weg an Bankdaten ist um einiges einfacher. Phishing, Botnetze etc.
Vor allem sehe ich die Wahrscheinlichkeit, dass sich einer die Mühe macht ein WLAN zu Sniffen nur um an Daten von einer oder zwei Person zu kommen für sehr gering. Zudem kommt, dass Bank-Daten per SSL übertragen werden und insofern relativ sicher gegen Sniffing sind.

Ich sehe den Missbrauch von fremden Netzen für kriminelle Handlungen als das weitaus größere Problem. Vor Gericht wurden zwar Urteile gefällt die den WLAN-Betreiber entlasten würden in so einem Fall, aber bei schwerwiegenden Aktionen könnte das schon anders aussehen.

Gruß
striz

Jemand der WPA2 verwendet sollte jetzt nicht in Panik verfallen, nur weil WPA2 geknackt wurde.
Dieses ist im Augenblick wohl nur mit Hilfe der GPUs auf mehreren Grafikkarten möglich. Diese kochen
aber richtig Energie ab und lassen sich wohl nur sehr schwer mobil einsetzen. Bedingt durch die begrenzte
Reichweite von WLAN, muss sich erst mal keiner Sorgen machen, dass sein "WPA2" jetzt geknackt
werden könnte. Am Besten erst mal ein richtig langes Passwort verwenden und abwarten. Da wird es bald
bestimmt etwas Neues geben, woran sich dann auch die GPUs die Zähne ausbeissen.

Man sollte hierbei allerdings eben auch an die Leute denken, die sich mit der Materie nicht so auskennen. Persönlich sehe ich das weiterhin als eine Schwachstelle an, wenn WPA2 Mehrfacheingaben von Passwörtern erlaubt. Grundsätzlich sollten die Hersteller hier durch Firmware- und Softwareupdates gängiger WLAN-Geräte dafür sorgen, dass WPA2 nach mehreren Falscheingaben dicht macht und nur verifizierte Geräte in der Grundeinstellung zulässt. Solche Optionen gehören meiner Meinung schon seit langer Zeit durchgesetzt.

Zitat:

Zitat von striz

Ich sehe den Missbrauch von fremden Netzen für kriminelle Handlungen als das weitaus größere Problem. Vor Gericht wurden zwar Urteile gefällt die den WLAN-Betreiber entlasten würden in so einem Fall, aber bei schwerwiegenden Aktionen könnte das schon anders aussehen.

Da bin ich ganz Deiner Meinung. Wenn man sich die letzten Abmahnwellen ansieht, sollte man schon darüber nachdenken, die WLAN-Kofiguration zu überprüfen und vielleicht zu rekonfigurieren, wobei die Achtsamkeit hier besonders bei einer vernüftigen Passwortwahl liegen sollte.

Bei älteren WLAN-Geräten, die noch kein WPA/WPA2 können (und diese gibt es noch reichlich in den Haushalten), sollte man über eine Investition in neue WLAN-Hardware nachdenken.

Und wenn man sich halt eben nicht auskennt, hat man immer noch die Möglichkeit in seinem Umkreis nachzufragen, ob vielleicht jemand dabei ist, der sich mit PCs und Netzwerken auskennt. Ansonsten kommt ein EDV-Dienstleister immer noch günstiger, als eine Abmahnung wegen einer Urheberrechtsverletzung, weil irgendjemand über mein WLAN kräftig mit eMule & Co. Filme und Musik gesaugt hat.

Grundsätzlich rate ich immer wieder dazu, dass man die internen LOG-Funktionen der Router nutzt und sich z.B. wöchentlich per intergrierten Mailserver im Router die Verbindungsdaten sendet, welche dann z.B. mit Outlook in einem Extra-Ordner abgespeichert werden.
Flattert irgendwann eine Abmahnung ins Haus, kann man zumindest überprüfen, ob die IP-Adresse, über die abgemahnt wird, auch tatsächlich zum angegebenen Zeitpunkt an den eigenen Internetanschluss zugewiesen wurde. Um hier möglichst Zeitfehler auszuschliessen, sollte man zudem den Router via Zeitsynchronisierung mit einem Internetzeitserver synchronisieren. Daher prüft nach, ob Eure Router diese Funktionen anbieten (mein DLink DGL-4100 tuts) und aktiviert sie.

Gruß, Sebastian.

Zitat:

Zitat von N-Traxx

Bei älteren WLAN-Geräten, die noch kein WPA/WPA2 können (und diese gibt es noch reichlich in den Haushalten), sollte man über eine Investition in neue WLAN-Hardware nachdenken.

Das ist das eigentliche Problem. Natürlich sollte man auch darüber berichten, dass WPA2 geknackt wurde,
aber das ist eher das kleinste Problem. Jeder der versucht in ein WLAN einzudringen, wird nicht versuchen
ein mit WPA2 gesichertes WLAN einzudringen. Der versucht einfach ein anderes offenes oder WPE-WLAN
zu finden. Wenn einer WPA2 knacken will, muss der schon mal mit einem Kleintransporter vorfahren.

Man muss hier und eigentlich überall immer darauf hinweisen, das man sein WLAN mindestens mit WPA absichern
muss. Damit ist man wohl nicht 100% abgesichert, aber schon WPA stellt auch schon eine relativ hohe Hürde da.