Kurz und Knapp
- Offizielle Bezeichnung des Angriffs: KRACK (Key Reinstallation AttaCKs)
(hier ein Link zur Dokumentation von KRACK)
- Verursacht wird diese Sicherheitslücke durch das sogenannte "4-way-handshake" Verfahren.
(hier ein video welches dies erklärt)
- Alle Betriebssysteme sind generell von diesem Problem betroffen. Jedoch sind besonders Android und Linux, durch ein Programm namens wpa_supplicant davon betroffen.
- Dadurch ist es möglich, dass Daten manipuliert werden können die z.B. in Form von Schadsoftware kommen könnte.
- Gute Nachricht: Durch ein Update lässt sich das beheben. Es muss kein neuer Verschlüsselungsstandard entwickelt werden.
- Hersteller müssen die entsprechenden Patches veröffentlichen. sowohl für Rechner als auch für Router. Es reicht vollkommen aus nur eines der Geräte updaten zu lassen.
(Billige oder ältere Geräte können leider nur kaum auf diese Updates hoffen)
- Die Sicherheitslücken von WPA2 sind bisher nur theoretisch belegt. Bisher gab es keine bekannten Vorfälle die diese Lücke ausnutzen.
Was man tun bzw. beachten sollte
- Immer darauf achten, ob HTTPS (erkennbar am grünen Schloss an der Adresszeile) bei der Website verfügbar ist, da man dank diesem Protokoll trotz Sicherheitslücke ungestört surfen kann. Viele Internetseiten bieten diese Möglichkeit schon an wie z.B. die JGU, verschiedene Suchmaschinen, E-Mail-Provider, usw.
- Man darf ruhig, wie oben erwähnt, weitersurfen oder E-Mails schreiben. Jedoch sollte man darauf achten KEINE sensiblen Daten unter HTTP zu nutzen oder zu senden. Anmeldedaten, Bankdaten, usw. sind besonders betroffen.
- Man sollte für eine Weile Kabelgebunden mit einem Ethernet Kabel surfen.
- Es bietet sich an eine VPN Verbindung zu nutzen. Jedoch aber keine kostenlosen, da die genauso gut an Daten rankommen.
- Man sollte gelegentlich darauf achten, ob Updates für das System verfügbar sind. In der kommenden Zeit sollte ein Update rauskommen, welches die Sicherheitslücke schließt. Windows Nutzer sollten dieses Update schon bekommen haben, in Form des Oktober Updates. Sowohl Apple Nutzer (Mac, IPhone, IPad, usw.) als auch Android Nutzer sollten dieses Update in den kommenden Wochen bekommen, wobei Apple selbst das Update in den Beta- und Developer-Versionen schon mit intigriert hat. Weitere Hersteller die Patches für Ihre Geräte anbieten sind Intel, Cisco, Netgear und Aruba.
- Temporär auf WEP zu wechseln hilft überhaupt nicht. Im Gegenteil. WEP ist sogar ein noch schlechterer Standard, der einfacher zu hacken ist.