Ein Student hat eine Lücke in heute gängigen WLAN-Routern entdeckt und bekannt gemacht. Inzwischen hat das US-Cert in seiner Vulnerability Note VU#723755 die Lücke bestätigt. Stefan Viehböck dokumentiert in seinem Blog detailliert (PDF), was er bei der Analyse des "Wi-Fi Protected Setup" (WPS) herausgefunden hat.
Das Verfahren dient eigentlich zur vereinfachten sicheren Konfiguration von Funknetzen. Über einen Knopfdruck am Router oder eine vorgegebene PIN lässt sich das als sicher erachtete Verschlüsselungsverfahren WPA/WPA2 einrichten. Das Hantieren mit den Schlüsseln und Detaileinstellungen ist dazu nicht notwendig.
Die einfachste Form der Konfiguration, eine dem Gerät beigefügte (oft aufgeklebte) PIN, die im Client einzugeben ist, lässt sich als Einfallstor nutzen. Aufgrund einer Verfahrensschwäche genügen maximal 11000 Versuche, um eine vorgegebene PIN zu ermitteln.
Mit der PIN findet man dann die WPA-Schlüssel heraus. Laut Entdecker ergreift keines der marktgängigen Geräte Gegenmaßnahmen gegen einen solchen Brute-Force-Angriff. Einige Geräte stürzen indes ab, wenn man sie auf diese Weise malträtiert.
Schützen kann man ein Funknetz vor solchen Angriffen vorerst, indem man in der Konfigurationsoberfläche WPS abschaltet. Bei den meisten Geräten klappt das, aber – so Viehböck – nicht bei allen. Nötig ist das nur, wenn sich WLAN-Clients ausschließlich über die dem WLAN-Router beiliegende PIN einrichten lassen.
Bekannt ist die Schwäche des Verfahrens wohl schon länger: Nachdem Viehböck seine Entdeckung publik gemacht hatte, meldete sich auch die US-Firma Tactical Network Solutions zu Wort. Dort hatte man bereits Software entwickelt und perfektioniert, die binnen zehn Stunden WPA/WPA2-Schlüssel liefert. Eine Version von Reaver ist als Open Source zugänglich.
(ps)