2007 führte die Wi-Fi Alliance das Wi-Fi Protected  Setup (WPS) ein. Das Programm sollte die Einrichtung verschlüsselter WLANs vereinfachen. Der Student Stefan Viehböck entdeckte Designfehler, die Brute-Force-Angriffe auf das System ermöglichen. Da seit einiger Zeit beinahe alle Router mit aktiviertem WPS ausgeliefert werden, sind praktisch alle aktuellen Geräte von der Sicherheitslücke betroffen.

Drei Möglichkeiten

Es gibt drei Möglichkeiten, um mit Hilfe von WPS ein verschlüsseltes WLAN einzurichten. Entweder mit "Push-Button-Connect", dabei wird sowohl am Access Point als auch am WLAN-Client ein Knopf gedrückt, oder durch zwei Möglichkeiten der Eingabe einer PIN. 

External Registrar

Man gibt entweder in das Webinterface des WLAN-Routers einen PIN ein der auf dem WLAN-Client aufgedruckt ist (Internal Registrar) oder am Client wird eine vom Router erzeugte PIN eingegeben (External Registrar). Viehböck erkannte die Sicherheitslücke in der letzten Möglichkeit. Dafür wird außer der PIN keine andere Art der Authentifizierung benötigt.

Access Point hilft Angreifern

Unterstützung erhalten die Angreifer vom Access Point. Dieser schickt bei einer Fehlanmeldung eine EAP-NACK-Nachricht. Welche Hälfte der PIN falsch ist, erkennt der Angreifer daran, wann die Nachricht verschickt wird. Dadurch werden die Versuche zum Erraten der PIN auf 10⁴+10⁴ reduziert. Statt 100 Millionen benötigt man nur noch 20.000 Versuche. Da die achte Ziffer die Prüfsumme der ersten sieben Ziffern ist, reduziert sich die Zahl nochmals au 11.000.

Geknackt in 5.500 Sekunden

Um die Lücke zu testen, hat der Student der FH Hagenberg ein Brute-Force-Tool in Python entwickelt und mit verschiedenen Routern von unterschiedlichen Herstellern getestet. Ein Authentifizierungsvorgang dauerte je nach Router zwischen 0,5 und drei Sekunden. Damit würde es 90 Minuten bis zehn Stunden dauern, bis man Zugang zu den Routern erhält. Im Durchschnitt benötigte das Programm 5.500 Sekunden.

In einem Durchgang

Da einige Routerhersteller keine Sicherheitsmaßnahmen gegen Brute-Force-Angriffe eingebaut haben, können alle PIN-Kombinationen ohne Unterbrechung durchprobiert werden.

WPS abschalten

Nutzer sollen WPS abschalten, sofern es möglich ist, rät Viehböck. Die Hersteller fordert er auf WPS zu blockieren, wenn die Authentifizierung mehrmals fehlgeschlagen ist. Somit würde für Angriffe mehr Zeit benötigt.

Aufsatz

Der Student hat seine Entdeckung an das United States Computer Emergency Readiness Team (US-CERT) weitergeleitet. Dieses hat daraufhin eine Warnung veröffentlicht. Laut Viehböck hat aber kein Hersteller bisher ein Firmware-Update bereitgestellt. Der Aufsatz Brute forcing Wi-Fi Protected Setup - When poor design meets poor implementation, in dem Viehböck das Problem beschreibt, ist online abrufbar. (soc)