Information: KRACK-Problem

Meldungsnummer: 201710171555
Zeitraum:
Betroffen: siehe unten
Auswirkungen: siehe unten

Liebe Kolleginnen und Kollegen,

es kam vermehrt die Frage auf, wie sich das KRACK-Problems genau für
das GÖNET und ggf. MPIs äußert.

Wer ist betroffen?
==================
* Praktisch alle WLAN Clients (Handys, Laptops, Fernseher, Kameras …
aller Hersteller)
* Die meisten Access-Points / WLAN-Controller, wenn sie 802.11r
(‚Fast-BSS Transition‘) unterstützen
* Sowohl zu Hause als auch im eduroam und anderen Firmennetzen.
(‚WPA2-PSK‘ und ‚WPA2-Enterprise‘)

*ES MÜSSEN ALLE CLIENTS AKTUALISIERT WERDEN!*

Es reicht nicht, die WLAN-Accesspoints zu aktualisieren! Die APs im
GÖNET sind nicht (mehr) betroffen.

Was passiert?
=============
* In letzter Instanz muss man davon ausgehen, *dass die im WLAN
übertragenen Daten mitgelesen werden können*. Damit ist die Situation
nicht anders, als bei offenen Hot-Spots wie dem GuestOnCampus,
in Kaffeehäusern, in der Bahn etc.
* HTTPS/ TLS und ssh/rdp-Verschlüsselte Verbindungen, also der
Zugriff auf Online-Banking, E-Mail und co. sowie Serverzugriffe sind
natürlich weiterhin in sich selbst abgesichert. Dann kann eine
Angreiferin zwar fleißig mitlauschen, ggf. auch Daten einfügen, aber
durch die eingesetzten Protokolle ist es trotzdem sicher
verschlüsselt; der Inhalt bleibt verborgen und die Veränderung
fällt auf. Selbiges gilt für VPN-Verbindungen.

Was kann ich als Anwender tun?
==============================
* Verwenden Sie nur verschlüsselte Verbindungen, erkennbar am
‚Schloss-Symbol‘ im Browser. Die Verbindung zu den wichtigen Uni-,
MPI-, und GWDG-Diensten wie Mail, eCampus, stud.IP…  wird
automatisch verschlüsselt und sollte das ‚Schloss‘ in der Adresszeile
zeigen.
* Achten Sie beim Zugriff auf Server darauf, dass der ‚Key‘ des Servers
sich nicht plötzlich ändert.
* Installieren Sie schnellstmöglich die zur Verfügung gestellten
Aktualisierungen der Herstellers Ihres Gerätes (vgl. unten).[1]

Was kann ich als Admin tun?
===========================
* Deaktivieren Sie die Funktion 802.11r (Fast BSS-Transition). Dies ist
der einzige Einfallspunkt für diese Art des Angriffs in Richtung des
APs. Alle anderen Angriffe sind in Client-Richtung und die
Infrastruktur damit außen vor.
* Informieren Sie Ihre Anwender über Aktualisierungen für deren Geräte.
* Mehr leider nicht.

Eine hübsche Tabelle bietet der Hersteller Meraki:

https://documentation.meraki.com/zGeneral_Administration/Support/802.11r_Vulnerability_(CVE%3A_2017-13082)_FAQ

 

Wo erhalte ich die angesprochenen Aktualisierungen?
===================================================
* Aktivieren Sie die automatischen Updates Ihres Betriebssystems!

* Microsoft: Das Update ist Bestandteil des Oktober-Patches vom letzten
Donnerstag. Sofern automatische Updates aktiviert sind, sollte er
schon installiert sein. Starten Sie ggf. Ihr Gerät einmalig neu.
* Apple: Es gibt eine Beta-Version des Updates. Mit einer Auslieferung
für iPhone und Laptops ist in den kommenden Wochen zu rechnen.
* Android: Google stellt ein Update zur Verfügung, jedoch brauchen die
meisten Hersteller Wochen bis Monate, um es auf die Geräte
anzupassen. Gerade Mobilgeräte, die nicht zu den Top-Geräten von
Google, Samsung, LG, BlackBerry und Nokia gehören, erhalten oft gar
keine Updates.

AnwenderInnen sollten fortan wohl jedes WLAN als ‚offen‘ betrachten
und ggf. dauerhaft auf VPN-Lösungen und verschlüsselte Websiten
auweichen. Erfahrene(!) AnwenderInnen können ggf. Community-gepflegte
Android-Versionen wie LineageOS einsetzen. Beachten Sie hierbei
jedoch auch die Garantiebedingungen des Herstellers.

* Linux: Alle größeren Distributionen stellen bereits aktualisierte
Pakete das ‚wpa_supplicant‘ zur Verfügung. Diese werden meist auch
automatisch eingespielt.
* ‚WLAN-Router‘ im Heimbereich: Die Verwundbare Technik 802.11r ist oft
nicht sinnvoll und daher deaktiviert. Viele Hersteller bieten trotzdem
bereits Patches an. Eine englische Auflistung findet sich hier:
https://github.com/kristate/krackinfo . Der Hersteller der beliebten
Fritz!Boxen untersucht das Problem noch:
https://en.avm.de/service/current-security-notifications/

Admins
======
* Cisco: Es gibt ein Update für die neuste Aironet Trunk-Version, jedoch
noch nicht die ‚älteren‘, ’stabilen‘ Versionen. Cisco fasst die Infos
hier zusammen:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171016-wpa
* Juniper:
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10827&cat=SIRT_1&actp=LIST
* Aruba:
http://www.arubanetworks.com/assets/alert/ARUBA-PSA-2017-007.txt
* Ubiquity:
https://help.amplifi.com/hc/en-us/articles/231456348-Firmware-Release-Notes
* HP MSM: Ist nicht betroffen, da er kein 802.11r unterstützt.
http://www.arubanetworks.com/assets/alert/ARUBA-PSA-2017-007_FAQ_Rev-1.pdf
* OpenWRT und Linux allgemein: Fast alle Distributionen stellen Updates
des hostapd bereit.

Einige News-Seiten pflegen aktuelle Listen aller
Hersteller-Veröffentlichungen:

* https://github.com/kristate/krackinfo
*https://www.golem.de/news/wlan-wpa-2-ist-kaputt-aber-nicht-gebrochen-1710-130636-3.html
*https://www.windowscentral.com/vendors-who-have-patched-krack-wpa2-wi-fi-vulnerability

Wo finde ich weitere Informationen?
===================================

* Auf der Homepage der Lücke: https://www.krackattacks.com/
* Einen Einblick in die Sachlage bieten auch die Patches des
wpa_supplicant/hostapd-Projektes:
https://w1.fi/security/2017-1/

Panik?
======

* Wir können die angeblich vom BSI geäußerte Empfehlung, bis auf
weiteres auf Online-Banking und co im WLAN zu verzichten, nicht
nachvollziehen. HTTPS/TLS-verschlüsselte Verbindungen sind weiterhin
absolut sicher. Behandeln Sie einfach jedes WLAN, als wäre es ein
offener HotSpot und achten Sie auf ‚das grüne Schloss‘ im Browser
und/oder setzen VPN-Lösungen ein.

 

[1] Es kam der Einwand, dass dies nicht über WLAN erfolgen sollte,
jedoch sind die Update-Mechanismen der allermeisten Geräte via TLS
gesichert, also auch über offene Netze sicher.