Gestern auf Heise: Eine unglaubliche Sensation! Voreingestellte WPA-Schlüssel in WLAN-Routern leicht erratbar
Sensationell, liebe Heiseredaktion. Machen wir uns dieses GENERELLE Problem doch mal klar. WPA-Keys sind eigenlich bis zu 64 Zeichen lang. Probiert man anhand einer mitgesnifften Probe auf einem Rechner jetzt herum, welcher Key denn passt – also ein normaler Brute-Force-Angriff – so ist man selbst bei 1.000.000 Keys pro Sekunde (die erreicht man aktuell nur durch Parallelisierung, beispielsweise mit einem Bot-Net) etwa eine Billiarde Jahre beschäftigt. Das ist sicher.
Aber: Man kann den zu durchsuchenden Raum sehr einfach einschränken:
- Kein Hardwarehersteller verwendet mehr als 10-12 Zeichen. Die haben nur wenig Platz auf den Typenschildern, und die Vertippwahrscheinlichkeit nimmt nun mal bei steigender Anzahl der Zeichen zu.
- Die Hersteller werden immer gleich lange Schlüssel verwenden. Sonst hätte man an der Hotline das Problem, den Leuten sagen zu müssen, dass der Schlüssel das unförmig lange Ding auf der Unterseite des Gerätes ist. Ebenso hat der Schlüssel vermutlich eine zweite Bedeutung und unterliegt beispielsweise den Regeln, nach denen eine Seriennummer vergeben wird.
- Kein Hersteller wird den vollständigen ASCII-Zeichensatz verwenden. Man wird sich auf die wenigen Zeichen beschränken, welche auf einer beliebigen Tastatur auf diesem Planeten immer zu finden sind. Groß- und Kleinschreibung werden viele Hersteller meiden.
- Auch werden die Hersteller nicht die Null und das große O gemeinsam nutzen. Noch ein Zeichen weniger.
- Einige Hersteller werden es sich bequem machen, und generell Buchstaben meiden.
Im schlimmsten Fall reduziert sich der Suchraum also auf alle Zahlen zwischen 0 und 9.999.999.999. Bei 1.000.000 Schlüssel pro Sekunde ist man also in 3 Stunden durch.
Gut, den voreingestellten WPA-Schlüssel auf Basis der MAC-Adresse zu vergeben, ist mehr als grob fahrlässig. Auch wenn man den Algorithmus nicht kennt, man könnte ihn, wenn man genug „Stützpunkte“ hat, mit einer entsprechenden Funktion oder einem neuronalen Netz annähern. Dann wären es nur noch Sekunden, nachdem man das erste Paket mitgesnifft hat.
Ein Vorschlag zur Lösung: Der voreingestellte Key sollte ruhig 64 Zeichen lang und per Zufallsgenerator erstellt worden sein. Den Key speichert man in einer Datei auf einem USB-Stick ab. Diesen Stick legt man dem Router bei, besser aber man macht eine Halterung im Router dafür. Jetzt kann man sich den Key bequem in seine Betriebssysteme kopieren.
Für Sicherheitsfanatiker noch einen Bonus: Der Stick sitzt im Router in einem Sockel. Man kann ihn zum Kopieren des Keys herausnehmen. Wenn der Stick aber 10 Minuten weg ist, schaltet sich der Router aus. So kann man auch das Entwenden des Sticks absichern.