WLAN-Router: Gravierende WPS-Schwachstelle entdeckt
Der österreichische Student Stefan Viehböck hat eine gravierende Sicherheitslücke entdeckt, die sehr viele Nutzer von WLAN-Routern betreffen könnte. Der Fehler befindet sich in der Funktion Wi-Fi-Protected-Setup (WPS), das für die Aufnahme eines bisher unbekannten Gerätes in ein WLAN-Netzwerk verwendet wird.
Das Brute-Force-Vorgehen
Die Lücke basiert auf einer Schwachstelle im Authentifizierungsprozess, den das WPS-Protokoll festlegt. Die PIN besteht aus acht Ziffern. Da die letzte Ziffer nur eine Prüfzahl ist, werden effektiv nur sieben Zahlen verwendet. Router und Gerät tauschen im Verlauf der Anmeldung mehrfach Daten aus. Das Gerät schickt die PIN an den Router. An einer bestimmten Stelle des Anmeldeprozesses gibt der Router zu erkennen, ob die ersten vier Stellen der PIN stimmen oder nicht. Somit ist es unerheblich, ob die restlichen vier Stellen mit der PIN übereinstimmen oder nicht.
Stimmt nach vielen Versuchen der erste Teil der PIN, müssen nur noch die restlichen drei Stellen erraten werden, da die achte und letzte Stelle immer eine Prüfziffer ist.
Rechnerisch reduziert diese Lücke die verschiedenen PIN-Möglichkeiten, die ein Angreifer ausprobieren müsste um ein Vielfaches: Könnte der Angreifer die Antwort des Routers nicht interpretieren, so müsste er 108 verschiedene Kombinationen ausprobieren. Die von Viehböck entdeckte Schwachstelle reduziert die Kombinationsmöglichkeiten auf 104 + 103, also 11 000 verschiedene Kombinationen, die probiert werden müssen.
Lösung: Verzögern oder abschalten
Wer 11 000 Versuche benötigt, um Zugang zum WLAN-Netz zu erlangen und je Versuch 1,3 Sekunden benötigt, wird laut Viehböck innerhalb von maximal vier Stunden den WPS-Prozess erfolgreich durchlaufen haben. Dagegen helfen nur zwei Gegenmassnahmen: Entweder WPS wird ausgeschaltet oder der Router verzögert nach einer gewissen Anzahl an Fehlversuchen weitere WPS-Anfragen. Würde ein Router nach 15 Fehlversuchen WPS für eine Stunde deaktivieren, so müsste ein fremder Angreifer bis zu 31 Tage einplanen, bis er das WPS-Verfahren komplett durchlaufen hat und dann auf das WLAN-Netz zugreifen kann. Da aber Router oft monatelang ununterbrochen laufen, könnte selbst dieser Zeitraum nicht für ausreichend Sicherheit sorgen. Letztlich müsste das gesamte Verfahren verbessert werden. Auch eine deutliche Verzögerung nach einigen erfolglosen Versuchen kann für etwas mehr Sicherheit sorgen.
Leider bieten marktübliche Router keine Verzögerungsmassnahmen. Damit sind betroffene WLAN-Netze binnen vier Stunden 'knackbar'. Vorerst muss jedoch die betroffene WPS-Methode deaktiviert werden. Manche Router erlauben, einzelne Methoden zu aktivieren oder zu deaktivieren. Falls dies nicht geht, sollte das WPS-Verfahren komplett deaktiviert werden.
Die Schwachstelle wurde mittlerweile vom US-CERT als Vulnerability Note VU#723755 anerkannt und veröffentlicht. Wer sich über die genauen Details informieren will, kann ein von Viehböck auf englisch verfasstes Dokument studieren.
Nicht verzögern, sondern schnell handeln!
Da im Internet schon entsprechende Programme kursieren, die diese Schwachstelle ausnutzen, ist Eile geboten, die Konfiguration des heimischen Routers zu prüfen und abzusichern. Wer die betroffene WPS-Methode deaktiviert hat, kann sie dennoch vorübergehend aktivieren, wenn ein Gerät ins heimische WLAN-Netz integriert werden soll. Wichtig ist dann aber, die Methode wieder zu deaktivieren.
-
15:59
Spannende Einblicke in die Welt der Berufsbildung -
23:12
Im Notfall helfen können − Deswegen ist der Nothelferkurs so wichtig -
14:52
CBD in Mahlzeiten und Getränken: Worauf sollte man achten? -
14:43
Die Kunst des Loslassens: Leben im Einklang mit dem Wenigen -
00:00
Wie Themenhotels in der Schweiz Ihre Reise unvergesslich gestalten -
22:54
Adaptogene Pflanzen: Natürliche Helfer für Balance und Wohlbefinden -
16:40
Montreux-Festival: Musik wird mit Röntgenlicht gerettet -
20:47
KI in der Kriegsplanung getestet -
19:46
Schweizerische Exportrisikoversicherung erreicht solides Ergebnis im 2023 -
18:06
Konkurse auf Dreijahreshoch - Letzte Meldungen
- Freie Stellen aus den Berufsgruppen Informatik, Telekommunikation, Software Programmierung, Web Publishing, Design
- IT System Engineer (m/f/d)
Kriens - IHRE HERAUSFORDERUNG Im operativen Tagesgeschäft unterstützen Sie unsere Kunden telefonisch oder... Weiter - IT-Allrounder/in 80-100 %
Uetendorf - Dein Aufgabenbereich Als IT-Allrounder/in auf unserem Werkhof übernimmst du eine Vielzahl von... Weiter - Projektleiter*in Demand Planning
Mägenwil - Das erwartet dich Du optimierst unsere Demand Planning-Prozesse und -Systeme, um die... Weiter - Java Software Engineer
Mägenwil - Das erwartet dich Im Fokus steht die kontinuierliche Weiterentwicklung von unseren komplett inhouse... Weiter - System Engineer
Mägenwil - Das erwartet dich Du bist verantwortlich für Weiterentwicklung, Installation, Betrieb, Wartung und... Weiter - System Engineer Messaging Microsoft Operations 80-100 % (w/m)
Dietikon - Deine Aufgaben Als Microsoft Systems Engineer übernimmst du in einem erfolgreichen und motivierten... Weiter - Senior Systems Engineer Platform 80-100 % (w/m)
Dietikon - Deine Aufgaben Als Senior Systems Engineer übernimmst du im Platform-Team primär die Verantwortung... Weiter - IT Security Officer
Mägenwil - Das erwartet dich Du wirst für die Planung und das Management des Rollouts von Security Hardware... Weiter - Frontend Software Engineer
Mägenwil - Das erwartet dich Das selbständige Umsetzen von Frontend-Applikationen für unseren komplett inhouse... Weiter - ICT SupporterIn (m/w/d) 80-100%
Steffisburg - Deine Aufgaben Lösung von IT-Anfragen und Störungen im 1st und 2nd Level, sowohl remote als auch... Weiter - Über 20'000 weitere freie Stellen aus allen Berufsgruppen und Fachbereichen.
Internetpräsenz aufbauen?
www.kombinationsmoeglichkeiten.ch www.kombinationen.swiss www.authentifizierungsprozess.com www.verzoegerungsmassnahmen.net www.vielfaches.org www.sicherheit.shop www.pruefziffer.blog www.verzoegern.eu www.fehlversuchen.li www.konfiguration.de www.gravierende.at
Registrieren Sie jetzt komfortabel attraktive Domainnamen!
Heute | Fr | Sa | |||
Zürich | 2°C | 7°C | |||
Basel | 3°C | 9°C | |||
St. Gallen | 0°C | 3°C | |||
Bern | 1°C | 6°C | |||
Luzern | 1°C | 7°C | |||
Genf | 4°C | 11°C | |||
Lugano | 7°C | 14°C | |||
mehr Wetter von über 8 Millionen Orten |
- Die Wertvollsten Spieler im Fussball: Aktuelle Top-Stars
- Die verborgenen Taktiken der Fussballmannschaften
- Superfoods für Fussballer: Welche Nahrungsmittel steigern die Ausdauer und Leistung auf dem Feld?
- Jenseits der Top-Clubs: Die Seele des Fussballs in kleinen Vereinen
- So gestalten Sie eine unvergessliche Fussballparty
- Der emotionale Aufstieg: Wie Fans die Siege ihres Teams hautnah erleben
- Lost in Translation: Herausforderungen bei der Übertragung von Fussballbegriffen ins Schweizerdeutsche
- Mehr Fussball-Meldungen
- Spannende Einblicke in die Welt der Berufsbildung
- Firmenwebsite professionell gestalten
- Adaptogene Pflanzen: Natürliche Helfer für Balance und Wohlbefinden
- KI in der Kriegsplanung getestet
- Schweizerische Exportrisikoversicherung erreicht solides Ergebnis im 2023
- Konkurse auf Dreijahreshoch
- Windows 10 vs Windows 11 - diese Features sorgen für echten Mehrwert
- Weitere Wirtschaftsmeldungen
- Montreux-Festival: Musik wird mit Röntgenlicht gerettet
- Reparieren statt wegwerfen: So funktioniert die Reparatur von Elektrogeräten
- BMW Vision Neue Klasse X: So sieht der iX3-Nachfolger aus
- Die Kopfhörer für erholsamen Schlaf
- Der Renault 5 kommt zurück - diesmal elektrisch
- Makerspaces: Orte der Kreativität und Innovation
- 13,3% der Erwerbstätigen verwenden bei ihrer Arbeit nie digitale Geräte
- Letzte Meldungen
- BMW Vision Neue Klasse X: So sieht der iX3-Nachfolger aus
- Durchbruch bei der Wasserstoffproduktion
- Uhren für Klimaaktivisten: ID Genève setzt voll auf Nachhaltigkeit
- Revolutionäre Energiespeicher: Superkondensator aus Zement, Wasser und Russ
- «co-operate»: Modell für klimagerechtes Bauen
- Schweizer Finanzplatzakteure entwickeln gemeinsam die Net-Zero Data Public Utility
- Tesla baut neue Mega-Factory in Shanghai
- Letzte Meldungen