heise online · c't · iX · Technology Review · Telepolis · mobil · Security · heise open · c't-TV · Jobs · Kiosk · IFA special
Zum Inhalt
heise Security

Dammbruch bei WEP

[02.05.2005 13:00]

Michael Schmidt

Der WEP-Wall bricht

Moderne Tools knacken WLANs in Minuten

Noch immer bieten viele aktuelle WLAN-Komponenten nur den seit längerem geknackten Verschlüsselungsstandard WEP zum Schutz der Funkverbindung an. Neue Tools knacken ihn mittlerweile in wenigen Minuten.

Eigentlich sollte das WLAN-Verschlüsselungssystem Wired Equivalent Privacy (WEP) aus Sicherheitsgründen längst durch die als sicher erachteten Nachfolgestandards WPA und WPA2 (auch bekannt als IEEE 802.11i) ersetzt worden sein [1]. Doch viele auf dem Markt angebotene WLAN-Adapter bieten immer noch nur WEP zum Schutz der Funkverbindung an. Als Begründung hört man oft, dass es doch für geringere Sicherheitsanforderungen -- etwa das heimische WLAN -- ausreichend sei. Für einen erfolgreichen Angriff zum Knacken des Schlüssels müsse man mehrere hundert Megabyte, wenn nicht gar einige Gigabyte an Daten mitschneiden -- so was könne Wochen dauern. Doch diese Ansicht ist längst veraltet, eine neue Generation von Tools nutzt verfeinerte Ansätze und Methoden, um erheblich schneller zum Ziel zu kommen.

Statistik

Eines der populärsten Tools zum passiven Angriff auf WEP ist Airsnort (http://airsnort.shmoo.com). Es beruht auf der bahnbrechenden Attacke von Fluhrer, Mantin und Shamir und erfordert das Abhören von fünf bis zehn Millionen Datenpaketen, um den geheimen WEP-Schlüssel in rund einer Sekunde zu brechen [2]. Da sich die FMS-Attacke die Verwendung schwacher RC4-Schlüssel in WEP zu Nutze macht, sind die Hersteller von WLAN-Komponenten dazu übergegangen, diese Schlüssel soweit wie möglich zu vermeiden, etwa bei WEPplus [3]. Für einen erfolgreichen Angriff auf WEPplus-Systeme stellt die Zahl von zehn Millionen abgehörten Paketen sicherlich das Minimum dar.

Im August letzten Jahres kam es jedoch zu einem Quantensprung in der Effizienz der Werkzeuge zum Cracken von WEP. Ein Programmierer mit dem Pseudonym KoreK veröffentlichte im Netstumbler-Forum ein Code-Beispiel, das als Grundlage für eine neue Art von Attacken dient [4]. Diese so genannte Korek-Attacke ist nicht mehr auf eine ausreichenden Anzahl von schwachen RC4-Schlüsseln angewiesen, sondern konsumiert dankbar jedes Datenpaket mit eindeutigem RC4-Initialisierungsvektor (IV). Der Angriff basiert auf statistischer Kryptanalyse: Je mehr Pakete mit einmaligen IVs man auffängt, desto wahrscheinlicher kann der Schlüssel gebrochen werden.

Airodump
Das zu aircrack gehörende airodump schreibt alle abgehörten Pakete zum späteren Knacken in eine Datei

Kurz nach der Veröffentlichung erschienen erste Implementierungen der Korek-Attacke in Tools wie aircrack, WepLab und schließlich auch in Airsnort [5,6]. Der US-Sicherheitsanalyst Michael Ossmann hat eine Übersicht über die Anzahl abgehörter Pakete und Zeiten veröffentlicht, die gemäß seinen Tests erforderlich sind, um einen 104-Bit-WEP-Schlüssel mit diesen Tools zu brechen [7]. Demzufolge erlauben die KoreK-basierten Tools, den Schlüssel ab 500.000 aufgefangenen Paketen mit einem 1,6-GHz-Pentium in einer Rechenzeit von 5 bis 25 Sekunden mit einer Erfolgswahrscheinlichkeit von über achtzig Prozent zu knacken. Ab fünf Millionen Paketen nähert man sich an hundert Prozent an -- die Rechenzeit stieg bei Ossmann auf 50 Sekunden und mehr an. Die klassische AirSnort-Variante erreicht eine Erfolgswahrscheinlichkeit von 100 Prozent erst ab rund 15 Millionen Paketen. Um rund 800.000 Pakete zu sammeln, benötigt ein Angreifer in einem halbwegs ausgelasteten 11MBit/S-WLAN unter zwei Stunden.


Für Ungeduldige

Nun ist selbst das Einsammeln von nur 500.000 geeigneten Datenpaketen nicht immer trivial, wenn im angegriffenen Funknetz einfach zu wenig über den Äther geht. Um solche Systeme zu brechen, erzeugt der Angreifer selbst den erforderlichen Verkehr. Dabei kommt eine neuartige, aktive Attacke zum Einsatz: Der Angreifer schleust ein abgefangenes, korrekt verschlüsseltes Datenpaket in das WLAN ein, um ein Antwortpaket zu provozieren. WEP ist nämlich nicht gegen Replay-Attacken, also das Wiedereinspielen abgefangener Pakete, immun und stört sich auch nicht am immer gleichen IV dieser Pakete.

Damit ist man sogar in der Lage, in neuere WLAN-Systeme einzubrechen, die den WEP-Schlüssel periodisch oder pro Sitzung wechseln, sodass möglicherweise keine 500.000 Pakete mit demselben Schlüssel und eindeutigen IVs zu Stande kommen.

aircrack
Bei zu wenigen eindeutigen IVs beißt sich auch aircrack die Zähne aus

Der Eindringling versucht dazu einen verschlüsselten ARP-Request abzufangen und mit dem in aircrack enthaltenen Werkzeug aireplay tausendfach wieder einzuschleusen [5]. Üblicherweise erkennt man ein solches Paket an der geringen Größe und der Hardware-Broadcast-Adresse (FF:FF:FF:FF:FF:FF). Die vielen Antworten besitzen alle für eine erfolgreiche Korek-Attacke benötigten eindeutigen IVs. Durch das künstliche Erzeugen von viel Verkehr in einem Funknetzwerk soll es beispielsweise dem US-amerikanischen FBI auf einer Vorführung gelungen sein, den WEP-Schlüssel in einem 54MBit/s schnellen Funknetz in drei Minuten zu knacken.

Allerdings führt der Einsatz des Tools nicht immer zum Ziel. Bei Tests gelang es uns nicht, damit gültige WLAN-Pakete zu erzeugen. Auch mit der neuesten aireplay-Version 2.3, wie sie etwa in der Knoppix-basierenden Tool-Sammlung Auditor Security Collection[1] enthalten ist, registrierten wir kein einziges Paket. Schaut man sich die Mailing-Listen und Foren zu dem Tool an, so berichten viele Anwender ebenfalls von erfolglosen Versuchen. Einige Postings deuten darauf hin, dass der Angriff offenbar nur mit einigen Kombinationen von WLAN-Karten, Treibern und Access Points funktioniert.


Eigenbau

KoreK hat ein weiteres Tool vorgestellt, mit dem man ein beliebiges verschlüsseltes Datenpaket ohne Kenntnis des WEP-Schlüssels entschlüsseln kann. Das Programm chopchop schneidet das letzte Byte eines WEP-Paketes ab [8]. Unter der Annahme, dass das Byte 0 war, versucht es nun, durch eine XOR-Verknüpfung der letzten vier Bytes mit einem bestimmten Wert wieder eine gültige Checksumme zu rekonstruieren. Dann sendet es das Paket an einen AP und beobachet, ob dieser es akzeptiert. Wenn nicht, nimmt es an, dass das abgeschnittene Byte eine 1 war -- im ungünstigsten Fall probiert es das bis 256 durch. Das wiederholt sich dann für jedes weitere Byte des Paketes.

aireplay
aireplay liest aus Dump-Files geeignete Pakete und spielt sie wieder in WLAN ein

Einige Sekunden und tausende derart manipulierte und versandte Pakete später hat chopchop das unverschlüsselte Paket rekonstruiert. So erhält man das erforderliche Paar von Schlüsselstrom und IV, um ein eigenes, gültiges WEP-Paket konstruieren und absenden zu können, um etwa künstlich Verkehr zu erzeugen -- und das alles ohne Kenntnis des eingesetzten WEP-Keys. Seit Version 2.2 verfügt auch aireplay über eine eingebaute chopchop-Funktion.

Abwehr

Auch das Filtern von MAC-Adressen oder das Unterdrücken der SSID auf dem Access Point hilft nicht vor einem Angriff. Anwender sollten WEP ohne zusätzliche Schutzmaßnahmen wie IPsec oder SSL nicht mehr einsetzen. WPA ist aufgrund des individuellen Schlüssels pro Paket immun gegen alle hier vorgestellten Attacken (siehe auch [9]). Das Gleiche gilt bei Einsatz von AES im CCM-Modus (WPA2) statt RC4. Derzeit ist als ernsthafter Angriff auf WPA nur die Wörterbuchattacke[2] bei Pre-Shared Keys (Passwort) bekannt. Diese Attacke lässt sich jedoch leicht abwehren, indem Anwender nur nicht-triviale Passwörter verwenden, was eigentlich nicht nur bei der Konfiguration eines WLAN eine Selbstverständlichkeit sein sollte. (dab)[3]

Literatur & Links

[1] Michael Schmidt, Luft-Löcher, Sicherheitslücken bei Funk-LANs stopfen, c't 15/01, S.186.

[2] S. Fluhrer, I. Mantin, A. Shamir, Weaknesses in the Key Scheduling Algorithm of RC4[4]

[3] Michael Schmidt, Datenpanzer, Alternativen zur Funknetz-Verschlüsselung WEP, c't 4/02, S.178

[4] Korek-Attacke[5]

[5] aircrack[6]

[6] Weplab[7]

[7] Michael Ossmann, WEP Dead Again, Teil 1[8], WEP Dead Again, Teil 2[9]

[8] chopchop[10]

[9] Dr. Alfred Arnold, Jenseits von WEP, WLAN-Verschlüsselung durchleuchtet, c't 21/04, S.214

URL dieses Artikels:
  http://www.heise.de/security/artikel/59098

Links in diesem Artikel:
  [1] http://new.remote-exploit.org/index.php/Auditor_main
  [2] http://www.heise.de/security/artikel/53014
  [3] mailto:dab@heisec.de
  [4] http://www.wisdom.weizmann.ac.il/~itsik/RC4/Papers/Rc4_ksa.ps
  [5] http://www.netstumbler.org/showthread.php?t=11869
  [6] http://www.cr0.net:8040/code/network/aircrack/
  [7] http://weplab.sourceforge.net
  [8] http://www.securityfocus.com/infocus/1814
  [9] http://www.securityfocus.com/infocus/1824
  [10] http://www.netstumbler.org/showthread.php?t=12489


Copyright © 2006 Heise Zeitschriften Verlag