{"id":8616,"date":"2017-10-17T15:54:59","date_gmt":"2017-10-17T13:54:59","guid":{"rendered":"https:\/\/info.gwdg.de\/news\/en\/?p=8616"},"modified":"2017-10-23T09:36:33","modified_gmt":"2017-10-23T07:36:33","slug":"information-krack-problem","status":"publish","type":"post","link":"https:\/\/info.gwdg.de\/news\/information-krack-problem\/","title":{"rendered":"Information: KRACK-Problem"},"content":{"rendered":"

Meldungsnummer:\u00a0<\/strong>201710171555
\nZeitraum:<\/strong> –
\nBetroffen: <\/strong>siehe unten
\nAuswirkungen:<\/strong> siehe unten<\/p>\n

Liebe Kolleginnen und Kollegen,<\/p>\n

es kam vermehrt die Frage auf, wie sich das KRACK-Problems genau f\u00fcr
\ndas G\u00d6NET und ggf. MPIs \u00e4u\u00dfert.<\/p>\n

Wer ist betroffen?
\n==================
\n* Praktisch alle WLAN Clients (Handys, Laptops, Fernseher, Kameras …
\naller Hersteller)
\n* Die meisten Access-Points \/ WLAN-Controller, wenn sie 802.11r
\n(‚Fast-BSS Transition‘) unterst\u00fctzen
\n* Sowohl zu Hause als auch im eduroam und anderen Firmennetzen.
\n(‚WPA2-PSK‘ und ‚WPA2-Enterprise‘)<\/p>\n

*ES M\u00dcSSEN ALLE CLIENTS AKTUALISIERT WERDEN!*<\/p>\n

Es reicht nicht, die WLAN-Accesspoints zu aktualisieren! Die APs im
\nG\u00d6NET sind nicht (mehr) betroffen.<\/p>\n

Was passiert?
\n=============
\n* In letzter Instanz muss man davon ausgehen, *dass die im WLAN
\n\u00fcbertragenen Daten mitgelesen werden k\u00f6nnen*. Damit ist die Situation
\nnicht anders, als bei offenen Hot-Spots wie dem GuestOnCampus,
\nin Kaffeeh\u00e4usern, in der Bahn etc.
\n* HTTPS\/ TLS und ssh\/rdp-Verschl\u00fcsselte Verbindungen, also der
\nZugriff auf Online-Banking, E-Mail und co. sowie Serverzugriffe sind
\nnat\u00fcrlich weiterhin in sich selbst abgesichert. Dann kann eine
\nAngreiferin zwar flei\u00dfig mitlauschen, ggf. auch Daten einf\u00fcgen, aber
\ndurch die eingesetzten Protokolle ist es trotzdem sicher
\nverschl\u00fcsselt; der Inhalt bleibt verborgen und die Ver\u00e4nderung
\nf\u00e4llt auf. Selbiges gilt f\u00fcr VPN-Verbindungen.<\/p>\n

Was kann ich als Anwender tun?
\n==============================
\n* Verwenden Sie nur verschl\u00fcsselte Verbindungen, erkennbar am
\n‚Schloss-Symbol‘ im Browser. Die Verbindung zu den wichtigen Uni-,
\nMPI-, und GWDG-Diensten wie Mail, eCampus, stud.IP…\u00a0\u00a0wird
\nautomatisch verschl\u00fcsselt und sollte das ‚Schloss‘ in der Adresszeile
\nzeigen.
\n* Achten Sie beim Zugriff auf Server darauf, dass der ‚Key‘ des Servers
\nsich nicht pl\u00f6tzlich \u00e4ndert.
\n* Installieren Sie schnellstm\u00f6glich die zur Verf\u00fcgung gestellten
\nAktualisierungen der Herstellers Ihres Ger\u00e4tes (vgl. unten).[1]<\/p>\n

Was kann ich als Admin tun?
\n===========================
\n* Deaktivieren Sie die Funktion 802.11r (Fast BSS-Transition). Dies ist
\nder einzige Einfallspunkt f\u00fcr diese Art des Angriffs in Richtung des
\nAPs. Alle anderen Angriffe sind in Client-Richtung und die
\nInfrastruktur damit au\u00dfen vor.
\n* Informieren Sie Ihre Anwender \u00fcber Aktualisierungen f\u00fcr deren Ger\u00e4te.
\n* Mehr leider nicht.<\/p>\n

Eine h\u00fcbsche Tabelle bietet der Hersteller Meraki:
\nhttps:\/\/documentation.meraki.com\/zGeneral_Administration\/Support\/802.11r_Vulnerability_(CVE%3A_2017-13082)_FAQ<\/a><\/p>\n

Wo erhalte ich die angesprochenen Aktualisierungen?
\n===================================================
\n* Aktivieren Sie die automatischen Updates Ihres Betriebssystems!<\/p>\n

* Microsoft: Das Update ist Bestandteil des Oktober-Patches vom letzten
\nDonnerstag. Sofern automatische Updates aktiviert sind, sollte er
\nschon installiert sein. Starten Sie ggf. Ihr Ger\u00e4t einmalig neu.
\n* Apple: Es gibt eine Beta-Version des Updates. Mit einer Auslieferung
\nf\u00fcr iPhone und Laptops ist in den kommenden Wochen zu rechnen.
\n* Android: Google stellt ein Update zur Verf\u00fcgung, jedoch brauchen die
\nmeisten Hersteller Wochen bis Monate, um es auf die Ger\u00e4te
\nanzupassen. Gerade Mobilger\u00e4te, die nicht zu den Top-Ger\u00e4ten von
\nGoogle, Samsung, LG, BlackBerry und Nokia geh\u00f6ren, erhalten oft gar
\nkeine Updates.<\/p>\n

AnwenderInnen sollten fortan wohl jedes WLAN als ‚offen‘ betrachten
\nund ggf. dauerhaft auf VPN-L\u00f6sungen und verschl\u00fcsselte Websiten
\nauweichen. Erfahrene(!) AnwenderInnen k\u00f6nnen ggf. Community-gepflegte
\nAndroid-Versionen wie LineageOS einsetzen. Beachten Sie hierbei
\njedoch auch die Garantiebedingungen des Herstellers.<\/p>\n

* Linux: Alle gr\u00f6\u00dferen Distributionen stellen bereits aktualisierte
\nPakete das ‚wpa_supplicant‘ zur Verf\u00fcgung. Diese werden meist auch
\nautomatisch eingespielt.
\n* ‚WLAN-Router‘ im Heimbereich: Die Verwundbare Technik 802.11r ist oft
\nnicht sinnvoll und daher deaktiviert. Viele Hersteller bieten trotzdem
\nbereits Patches an. Eine englische Auflistung findet sich hier:
\nhttps:\/\/github.com\/kristate\/krackinfo . Der Hersteller der beliebten
\nFritz!Boxen untersucht das Problem noch:
\nhttps:\/\/en.avm.de\/service\/current-security-notifications\/<\/p>\n

Admins
\n======
\n* Cisco: Es gibt ein Update f\u00fcr die neuste Aironet Trunk-Version, jedoch
\nnoch nicht die ‚\u00e4lteren‘, ’stabilen‘ Versionen. Cisco fasst die Infos
\nhier zusammen:<\/p>\n

https:\/\/tools.cisco.com\/security\/center\/content\/CiscoSecurityAdvisory\/cisco-sa-20171016-wpa
\n* Juniper:
\nhttps:\/\/kb.juniper.net\/InfoCenter\/index?page=content&id=JSA10827&cat=SIRT_1&actp=LIST
\n* Aruba:
\nhttp:\/\/www.arubanetworks.com\/assets\/alert\/ARUBA-PSA-2017-007.txt
\n* Ubiquity:
\nhttps:\/\/help.amplifi.com\/hc\/en-us\/articles\/231456348-Firmware-Release-Notes
\n* HP MSM: Hier konnte ich keine Infos finden. Wei\u00df jemand mehr?
\n* OpenWRT und Linux allgemein: Fast alle Distributionen stellen Updates
\ndes hostapd bereit.<\/p>\n

Einige News-Seiten pflegen aktuelle Listen aller
\nHersteller-Ver\u00f6ffentlichungen:<\/p>\n

* https:\/\/github.com\/kristate\/krackinfo
\n*<\/p>\n

https:\/\/www.golem.de\/news\/wlan-wpa-2-ist-kaputt-aber-nicht-gebrochen-1710-130636-3.html
\n*<\/p>\n

https:\/\/www.windowscentral.com\/vendors-who-have-patched-krack-wpa2-wi-fi-vulnerability<\/p>\n

Wo finde ich weitere Informationen?
\n===================================<\/p>\n

* Auf der Homepage der L\u00fccke: https:\/\/www.krackattacks.com\/
\n* Einen Einblick in die Sachlage bieten auch die Patches des
\nwpa_supplicant\/hostapd-Projektes:
\nhttps:\/\/w1.fi\/security\/2017-1\/<\/p>\n

Panik?
\n======<\/p>\n

* Wir k\u00f6nnen die angeblich vom BSI ge\u00e4u\u00dferte Empfehlung, bis auf
\nweiteres auf Online-Banking und co im WLAN zu verzichten, nicht
\nnachvollziehen. HTTPS\/TLS-verschl\u00fcsselte Verbindungen sind weiterhin
\nabsolut sicher. Behandeln Sie einfach jedes WLAN, als w\u00e4re es ein
\noffener HotSpot und achten Sie auf ‚das gr\u00fcne Schloss‘ im Browser
\nund\/oder setzen VPN-L\u00f6sungen ein.<\/p>\n","protected":false},"excerpt":{"rendered":"

Meldungsnummer:\u00a0201710171555 Zeitraum: – Betroffen: siehe unten Auswirkungen: siehe unten Liebe Kolleginnen und Kollegen, es kam vermehrt die Frage auf, wie sich das KRACK-Problems genau f\u00fcr das G\u00d6NET und ggf. MPIs \u00e4u\u00dfert. Wer ist betroffen? ================== * Praktisch alle WLAN Clients (Handys, Laptops, Fernseher, Kameras … aller Hersteller) * Die meisten Access-Points \/ WLAN-Controller, wenn sie … Weiterlesen<\/a><\/p>\n","protected":false},"author":11,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6,2,42,9,10],"tags":[],"class_list":["post-8616","post","type-post","status-publish","format-standard","hentry","category-all","category-betriebsmeldungen","category-network","category-operating-news","category-security"],"_links":{"self":[{"href":"https:\/\/info.gwdg.de\/news\/wp-json\/wp\/v2\/posts\/8616","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/info.gwdg.de\/news\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/info.gwdg.de\/news\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/info.gwdg.de\/news\/wp-json\/wp\/v2\/users\/11"}],"replies":[{"embeddable":true,"href":"https:\/\/info.gwdg.de\/news\/wp-json\/wp\/v2\/comments?post=8616"}],"version-history":[{"count":3,"href":"https:\/\/info.gwdg.de\/news\/wp-json\/wp\/v2\/posts\/8616\/revisions"}],"predecessor-version":[{"id":8633,"href":"https:\/\/info.gwdg.de\/news\/wp-json\/wp\/v2\/posts\/8616\/revisions\/8633"}],"wp:attachment":[{"href":"https:\/\/info.gwdg.de\/news\/wp-json\/wp\/v2\/media?parent=8616"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/info.gwdg.de\/news\/wp-json\/wp\/v2\/categories?post=8616"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/info.gwdg.de\/news\/wp-json\/wp\/v2\/tags?post=8616"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}