Montag, 10. September 2012


Topthema

Donnerstag, 24. Mai 2007 | Topthema

About Security #106: Mobile Security – WEP-(Un)Sicherheit

(Link zum Artikel: http://www.entwickler.de/php/kolumnen/035890)
  • Teilen
  • kommentieren
  • empfehlen
  • Bookmark and Share

Die Unsicherheit des WEP-Algorithmus hat mehrere Ursachen. Wie in About Security #105 erw�hnt, kann ein Angreifer, der genug passende Pakete gesammelt hat, den WEP-Key berechnen. 2001 wurde im Paper 'Weaknesses in the Key Scheduling Algorithm of RC4' (PS) von Scott Fluhrer, Itsik Mantin und Adi Shamir gezeigt, dass sich bestimmte Initialisierungsvektoren charakteristisch auf die ersten Bytes des Schl�sselstroms auswirken. Davon ausgehend k�nnen nach und nach alle Bytes des WEP-Key ermittelt werden. Die entsprechenden Angriffe werden nach den Autoren des Papers FMS-Angriffe genannt. Inzwischen wurden diese Angriffe verfeinert und immer weiter verbessert, zuletzt Anfang April 2007 durch das Paper 'Breaking 104 bit WEP in less than 60 seconds' (Paper, Homepage) von Erik Tews, Andrei Pychkine und Ralf-Philipp Weinmann.

N E U ! Security aktuell
T�glich aktuelle Security-Infos!

KoreK-Angriffe

Einen anderen Weg gehen die so genannten KoreK-Angriffe, die auf einen Forenbeitrag von 'KoreK' im NetStumbler-Forum zur�ckgehen: Das letzte Byte eines Datenpakets wird abgeschnitten. Dann wird angenommen, dass dessen Wert 0 war, und entsprechend durch eine XOR-Verkn�pfung der letzten 4 Bytes mit einem bestimmten Wert versucht, einen g�ltigen ICV zu rekonstruieren. Akzeptiert ein Access Point das ge�nderte Paket, stimmt die Annahme. Wenn nicht, geht man davon aus, das abgeschnittene Byte war 1, usw., bis der richtige Wert gefunden wurde. Dazu sind maximal 256 Versuche n�tig. So wird nach und nach das gesamte Paket entschl�sselt. Ist der Klartext des Pakets bekannt, l�sst sich der verwendete Schl�sselstrom-Ausschnitt durch XOR-Verkn�pfung von Klar- und Schl�sseltext ermitteln und es kann ein eigenes Paket eingeschleust werden.

Weitere Angriffe

Eine der Ursachen der folgenden Angriffsm�glichkeiten ist die L�nge des Initialisierungsvektors von nur 24 Bit, die dazu f�hrt, dass die IV h�ufig wieder verwendet werden.

About Security: Die komplette Serie
  • Pakete entschl�sseln
    Der Angreifer protokolliert den gesamten WLAN-Verkehr, bis er zwei Pakete mit identischem IV aufgefangen hat. Da der WEP-Key gleich bleibt, werden Pakete mit identischem IV auch mit dem gleichen Schl�sselstrom verschl�sselt. Durch eine XOR-Verkn�pfung der beiden Pakete erh�lt er die XOR-Verkn�pfung der beiden Klartexte.
    Schl�sseltext1 und Schl�sseltext2 sind die Schl�sseltexte der Klartexte Klartext1 und Klartext2, Key der Schl�sselstrom. Dann gilt

    Schl�sseltext1 = Klartext1 XOR Key
    Schl�sseltext2 = Klartext2 XOR Key
    Schl�sseltext1 XOR Schl�sseltext2 = (Klartext1 XOR Key) XOR (Klartext2 XOR Key)
    = (Klartext1 XOR Klartext2) XOR (Key XOR Key)
    = Klartext1 XOR Klartext2
    Da IP-Pakete vorhersagbare Felder und Redundanz enthalten, kann der Angreifer die m�glichen Klartexte eingrenzen und danach �ber statistische Angriffe deren Inhalt ermitteln. Je mehr Pakete mit identischem IV er auff�ngt, desto schneller gelingt es ihm, f�r eines davon den Klartext zu ermitteln. Danach kann er durch einfache XOR-Verkn�pfung des bekannten Klartexts mit jedem der anderen Pakete dessen Klartext ermitteln.
    Noch einfacher wird der Angriff, wenn der Angreifer Daten aus dem Internet in das WLAN schicken kann. Empf�ngt er ein verschl�sseltes Paket, dessen Klartext er kennt, kann er danach sofort alle anderen Pakete mit identischen IV entschl�sseln.
  • Gef�lschte Pakete einschleusen
    Kennt ein Angreifer den Klartext eines verschl�sselten Pakets, kann er dadurch g�ltige verschl�sselte Pakete bilden. Er erzeugt seine Nachricht, berechnet deren ICV und manipuliert das verschl�sselte Paket so, dass dessen Klartext und ICV durch seine ausgetauscht werden. Dies ist m�glich, da
    (Text1 XOR Key) XOR Text1 XOR Text2 = (Text2 XOR Key)
    ist. Das so erzeugte Paket wird von den Kommunikationspartnern als g�ltig akzeptiert.
    Ein �hnlicher Angriff ist auch ohne Kenntnis von Klartext m�glich, indem die verschl�sselten Daten so manipuliert werden, dass manipulierter Klartext und manipulierter ICV zusammenpassen (siehe About Security #105).
  • Verschl�sselte Pakete umleiten
    Der Angreifer kann anstatt der Daten auch den Header eines Pakets manipulieren. Wenn er die Ziel-IP-Adresse eines Pakets so �ndert, dass sie auf ein unter seiner Kontrolle stehendes System au�erhalb des WLAN zeigt und das manipulierte Paket an den Access Point des WLAN schickt, wird dieser das Paket entschl�sseln und an das System des Angreifers schicken.
  • Aufbau einer Tabelle mit Schl�sseln
    Der Angreifer kann f�r die Pakete, deren Klartext er kennt oder ermittelt, den Schl�sselstrom berechnen. Speichert er IV und zugeh�rigen Schl�sselstrom in einer Tabelle, kann er danach alle Pakete mit identischem IV entschl�sseln. Der IV ist 24 Bit lang, es gibt also nur 2^24 m�gliche Schl�ssel. Gelingt dem Angreifer der Aufbau einer Tabelle f�r alle IV-Werte, kann er den gesamten WLAN-Verkehr entschl�sseln, ohne den WEP-Key kennen zu m�ssen.

In der n�chsten Folge geht es weiter um die Sicherheit von WEP sowie seinen Ersatz WPA.

Wenn Sie Fragen oder Themenvorschl�ge haben, k�nnen Sie diese gerne an die angegebene E-Mail-Adresse senden oder im Security-Forum einbringen!

Carsten Eilers

About Security � �bersicht zum aktuellen Thema "Mobile Security � WEP"

Kommentare