BSI warnt vor kritischer WLAN-Lücke

[secureIT]

Diese Info sollte für viele hier auch interessant sein :

https://www.n-tv.de/technik/BSI-warnt-v ... 61468.html

[ehtron]

Hi
da sollte man doch besser profis für die materie ran lassen
https://www.heise.de/news/FragAttack-Ne ... 44590.html

[secureIT]

Hi

danke für den Link !

schaun wir mal wie das Thema Linux-betreffend gelöst werden wird ...........

[ehtron]

Hi
es geht ja um reaktionen des routers... da wird das cliend OS nix mit zu tun haben..
da helfen nur router OS firmware updates.

[secureIT]

Hi
Die OS z.B. der Fritz-Box basiert doch auf Linux ......
Und was die Clients betrifft, bin ich mir nicht ganz sicher, ob da nicht auch Handlungsbedarf besteht.
Ist bestimmt nicht verkehrt, wenn man das mal weiter im Auge behält ..........

[secureIT]

Und gehen wir mal eins weiter, dann sehen wir, das auch die Clients ggf. betroffen sein können :

https://www.fragattacks.com/

Zitat :

"A tool was made that can test if clients or APs are affected by the discovered design and implementations flaws"

https://github.com/vanhoefm/fragattacks

Und im link unten lese ich nur : "Needed" >

https://ubuntu.com/security/CVE-2020-24587

und hier noch dieses : >

https://lore.kernel.org/linux-wireless/ ... tions.net/
Zitat :

"In addition, driver and/or firmware updates may be necessary, as well
as potentially more fixes to mac80211, depending on how drivers are
using it.

Specifically, for Intel devices, firmware needs to be updated to the
most recently released versions (which was done without any reference
to the security issues) to address some of the vulnerabilities."

Da die Original-Firmware selten unter Linux genutzt wird, weil proprietär, stellt sich mir nun doch die Frage,
wie und wann das Alles auch unter Linux gepatcht werden wird.

Wenn eine solche Angriffs-Möglichkeit erst einmal publik geworden ist, dauert es in der Regel nicht lange, bis Diese
auch genutzt wird.

Daher mein Hinweis hier im Forum.

P.S. nach MITM 2018 habe ich mir für derartige Fälle für mein Netzwerk eine vollständige Verkabelung gegönnt (als Reserve)
und die nutze ich jetzt.
Man will ja seine Daten nicht unbedingt dem Darknet zur Verfügung stellen.

[ehtron]

Hi
naja ..ubuntu stuft das ganze als medium ein, und alle relevanten disti kernel linien zeigen... no exist

m.e. nur für jemanden interessant der eine wlan thetering verbindung aufspannen möchte.

warten wir ab was noch kommt.

[markus-1969]

ich verstehe nur rudimentär, worum es da geht.

I.

1) Es gibt ein WLAN.

2) Eine nicht berechtigte Person kann von außen das WLAN angreifen.

3) Das Problem ist schon länger bekannt und wurde von vielen Herstellern mit updates behoben. Man lade die updates herunter.

II.

1) Was ist ein Iot - device ?

2) man arbeite mit neuen Routern - alte WLAN Router, insbeondere Uralt - Router, sind zu eliminieren, vor allem, wenn es keine updates mehr gibt


Was noch ?

[ehtron]

Hi
IOT (iot) = internet of things

also der toaster oder kühlschrank, sowie die webcam und alles andere was man sich so ins interne netz, meistens ohne zu wissen was man tut, knallt
die telefonieren meist plaudertaschenmässig nach hause... da war ET nen weisenknabe *lach*

was noch? nicht jeder panik folgen

[secureIT]

was noch? nicht jeder panik folgen

Panik ist die eine Sache - Vorsicht eine Andere ....
Das muss jeder selbst bewerten, was er davon hält.
Eine gewisse Unsicherheit bleibt allemal, bis das Ganze geklärt ist .........
Bei MITM und anderen Sicherheitsrelevanten Vorkommnissen gab es ja auch immer User, die es nicht wahrhaben wollten .....
Ich könnte da Einiges aus den letzten Jahren nennen, aber ich erspare Euch die Aufzählung.
Es hat sich jedenfalls bei den Warnungen immer herausgestellt, das Diese auch sicherheitsrelevant waren - also nicht auf schierer "Panik" beruhten.

[ehtron]

Hi
den normalen user interessiert das nicht die bohne... so er überhaupt davon erfährt.

sofern er ubuntu oder win$ nutzt, von der OS seite da überhautpt was zu flicken ist, bekommt er ein update.

genau wie bei einigen routern, besonders fritzboxen, die dann bald automatisch updates bekommen, sobald verfügbar.

mehr kann der user eh nicht machen... warten auf updates.
wie die vorsicht in der sache gelebt werden soll, interessiert mich schon sehr.

nun sag nicht.. kein wlan mehr nutzten

[secureIT]

wie die vorsicht in der sache gelebt werden soll, interessiert mich schon sehr.

nun sag nicht.. kein wlan mehr nutzten

Hi

bei Deiner Erfahrung wundert es mich schon sehr, dass Dir dazu nichts einfällt ......
mit jeder "Fritte" und jedem anderen Router kann man sicher auch sein Endgerät via LAN-Kabel verbinden ....
zumindest wenn man relevante Daten wie z.B. ein banking-login nicht übers WIFI schicken will.
Was ist daran so kompliziert ? Das sollte doch jedem User möglich sein.

[rincewind256]

FragAttacks sind natürlich ein Problem. Das bestreitet niemand.

Aber wenn ein User in der heutigen Zeit eine Bank findet, die für Netbanking kein https und weitere Sicherheitsmaßnahmen verwendet, dies negiert und sich dennoch auf das Abenteuer einläßt - Ja für diesen User werden "FragAttacks" die geringste Gefahr darstellen. (So eine Art User, der heutzutage noch als Faulheit Windows 7 benutzt, zum Beispiel...)

Ich will dieses Problem aber nicht schönreden, da es vielleicht jemanden gibt, der eine weitere Möglichkeit entdeckt diese Sicherheitslücke ordentlich auszunutzen. Dennoch sind Daten laut derzeitigem Wissensstand über https vor FragAttacks geschützt.

[secureIT]

Hi

Übersetzung von :

https://www.fragattacks.com/

Zitat :

"If updates for your device are not yet available, you can mitigate some attacks (but not all) by assuring that websites use HTTPS and by assuring that your devices received all other available updates."

Übersetzung :

"Wenn noch keine Updates für Ihr Gerät verfügbar sind, können Sie einige Angriffe (aber nicht alle) abwehren, indem Sie sicherstellen, dass Websites HTTPS verwenden, und indem Sie sicherstellen, dass Ihre Geräte alle anderen verfügbaren Updates erhalten haben."

Und dann stellt sich die Frage, wann die Updates für die WIFI-Clients unter Linux zur Verfügung stehen werden.
Unter Win mag das schnell gehen ....... aber unter Linux ?

Und das gibt mir schon zu denken :

CVE-2020-26145 – Accepting plaintext broadcast fragments as full frames (in an encrypted network)

Übersetzung:

Akzeptieren von Klartext-Broadcast-Fragmenten als Vollbild (in einem verschlüsselten Netzwerk

nur eines von :

https://www.icasi.org/aggregation-fragm ... inst-wifi/

.... und dann schaut mal auf diese Seite :

https://www.heise.de/news/WLAN-Sicherhe ... 5116.html

und auf den Link von der Seite Ubuntu-betreffend :

https://ubuntu.com/security/cve

dämmerts ......... ?

edit :

Nur ums mal klar zu stellen :

Mir geht es bei der Sache nicht um Eure WIFI - Toaster - Kaffemaschinen - Saugroboter - Röllden und Lichtsteuerung - oder was auch immer,
sondern um die Clients, die in Euren PCs und Laptops verbaut sind.
Das Update des Routers allein nutzt bei dem Thema nicht viel.
Wichtig sind auch die Updates für die Treiber Eurer WIFI-Karten ...... und da lese z.Zt. bei z.B. Ubuntu nur "Needed" also : erforderlich

[rincewind256]

Ich habe auch nur geschrieben, dass Daten über HTTPS gegen fragattacks sicher sind. Das bestätigt sich auch durch dein Zitat.
Dein Bankaccount sollte also sicher sein (Noch dazu wo moderne Banken zusätzliche Sicherheiten, wie z.b. den elektronischen Fingerabdruck verwenden)

Es wird bei dieser Sicherheitslücke auch von möglichen DNS-Manipulationen berichtet. Das ist z.b. mit "(but not all)" gemeint.

Auch dir muss es dämmern, dass man generell in Punkto Sicherheit vor allem einen klaren Kopf braucht und sich klar überlegt, wie man mit seinen Daten im Netz umgeht. Der Privatmann wird von fragattacks eher nichts mitbekommen. In der Wirtschaft sieht die Sache natürlich anders aus.

Trotzdem wird es uns alle beruhigen, wenn das Problem durch diverse Patches aus der Welt geschafft wurde.

[secureIT]

Ich habe auch nur geschrieben, dass Daten über HTTPS gegen fragattacks sicher sind. Das bestätigt sich auch durch dein Zitat.
Dein Bankaccount sollte also sicher sein (Noch dazu wo moderne Banken zusätzliche Sicherheiten, wie z.b. den elektronischen Fingerabdruck verwenden)

Es wird bei dieser Sicherheitslücke auch von möglichen DNS-Manipulationen berichtet. Das ist z.b. mit "(but not all)" gemeint.

Auch dir muss es dämmern, dass man generell in Punkto Sicherheit vor allem einen klaren Kopf braucht und sich klar überlegt, wie man mit seinen Daten im Netz umgeht. Der Privatmann wird von fragattacks eher nichts mitbekommen. In der Wirtschaft sieht die Sache natürlich anders aus.

Trotzdem wird es uns alle beruhigen, wenn das Problem durch diverse Patches aus der Welt geschafft wurde.

Das Zitat bestätigt nicht, das Daten über https gegen fragattacks sicher sind.
Es wird nur empfohlen, das https verwendet werden soll.
Woher nimmst Du die Info, dass nur die DNS-Manipulationen gemeint sind ? Quelle ?

Zitat :

"Der Privatmann wird von fragattacks eher nichts mitbekommen."

Darum geht es ja, sonst bräuchte man die Problematik ja nicht zu veröffentlichen -
oder meinst Du etwa, das man als "privater" eher weniger zu befürchten hätte
Für den Datenhändler im Darknet ist auch der Datensatz Deines Kontos oder sonstigen Accounts Geld wert .........

[rincewind256]

"z.b"= Zum Beispiel. Ich habe nicht geschrieben, dass nur DNS-Manipulationen gemeint sind, es ist nur eine einfache Variante diese Sicherheitslücke auszunutzen.

Man muss aber versuchen das Opfer dadurch auf eine Phishing-Seite zu lotsen, um theoretisch Passwörter abzugreifen. Dann gehts auch über HTTPS, wenn man es schafft den User auszutricksen. Den Datenstrom von HTTPS einfach auf einem anderen Server "mitzuschneiden" wird nicht ausreichen.

Das ist aber der springende Punkt. Den moderne Banken haben zusätzliche Sicherheitsvorkehrungen, die Phishing so gut wie unmöglich machen. Man benötigt zusätzlich Handyapps und bestätigt von der Bank generierte Codes, die nur wenige Minuten gültig sind.

Aber auch viele Seiten, wie "ZUM BEISPIEL" Google schlagen Alarm, wenn jemand über ein unbekanntes Gerät auf deinen Account zugreifen will und fordern eine Bestätigung über dein Smartphone oder wenigstens per Mail.

Heutzutage hat man es schwer als Datendieb, ob mit FragAttacks oder ohne.

[secureIT]

Heutzutage hat man es schwer als Datendieb, ob mit FragAttacks oder ohne.

Wenn ich das lese komm ich mir vor wie in einer anderen Welt !

Was meinst Du, woher die Account-Daten sind, die im Darknet massenhaft käuflich zu erwerben sind ?

Aber egal kommen wir mal zum eigentlichen Bug und der Behebung unter Linux zurück :

Zitat :

"Trotzdem wird es uns alle beruhigen, wenn das Problem durch diverse Patches aus der Welt geschafft wurde."

Natürlich würde uns das beruhigen, aber Fakt ist nun mal :

Es existieren Kernel-Patches, die sind aber noch nicht im Ubuntu-Upstream.

https://lore.kernel.org/linux-wireless/ ... tions.net/

Und bei der Kernel-Politik, wie sie Linux-Mint betreibt (nie die neueren Kernel-Versionen) , müssen wir wahrscheinlich noch länger warten, als es uns lieb ist.

Für meine Intel Clients habe ich nach Updates gesucht.

Erst mal Infos über den verwendeten Treiber / Firmware gesucht mit :

Code: Select all

sudo lshw -C network

und dann nach Patches für die Firmware gesucht .......

Resultat :

Für Linux bei Intel momentan nicht vorhanden.
Bei Intel findet sich die gleiche Firmware-Version wie bei mir seit langem installiert.

Das meinte ich mit Zitat:

"Und dann stellt sich die Frage, wann die Updates für die WIFI-Clients unter Linux zur Verfügung stehen werden.
Unter Win mag das schnell gehen ....... aber unter Linux ?"

[rincewind256]

Wir sind wirklich aus verschiedenen Welten.

Ein Großteil der Account-Daten aus dem Darknet kommt von stinknormalem Phishing über Email und sicher nicht von Fragattacks. Wir hatten mal einen Fall auf der Uni wo Mitarbeiter-Daten durch so eine Email in falsche Hände geraten sind. Ist doch auch viel einfacher für den Datendieb. So braucht er nicht umständlich Funknetzwerke abklappern.

Man kann dieses Risiko aber minimieren, wenn man auf sein natürliches Misstrauen und auf moderne Sicherheitsmaßnahmen setzt.

Wenn dir die Kernel zu unsicher sind die Linux Mint bereitstellt, kannst du ohne großen Aufwand einen alternativen Kernel installieren. Ich verwende gerade 5.11 - keine große Sache.

Eigeninitiative ergreifen ist ohnehin sehr vorteilhaft. Dadurch macht man es einem möglichen Angreifer viel schwerer. Es macht für mich auch wenig Sinn, sich darüber zu ärgern, dass es noch keine Patches für die diskutiere Sicherheitslücke gibt. Die Updates werden deshalb nicht schneller kommen.

[secureIT]

Es macht für mich auch wenig Sinn, sich darüber zu ärgern, dass es noch keine Patches für die diskutiere Sicherheitslücke gibt. Die Updates werden deshalb nicht schneller kommen.

Auch das klingt für mich zum Teil wie aus einer anderen Welt.

Die ganze Sache betrifft alle WLAN-Geräte rückwirkend, und ist daher grundlegend.

Da es sich letzlich um MITM-Angriffe handelt, ist es mit einem Router-Update allein nicht getan.

Es muss also das BS, sowie die Firmware der Clients gepatcht werden.

Dir ist schon bewusst, das es um drei CVEs geht, die bei Linux unmittelbar den Kernel betreffen.

Das mag mit Kernel-Patches behoben werden.

Aber selbst wenn man dann den neuesten Mainline-Kernel installiert ist man nicht auf der sicheren Seite.

Die anderen CVEs betreffen in der Hauptsache die Clients.

Und ohne die Glaskugel bemühen zu müssen, steht zu erwarten : es wird nicht für jede ältere Hardware auch entsprechende Firmware-Updates geben.

Das mag in Deiner Beurteilung vielleicht kein Grund zum Ärgern sein - für viele Andere aber schon ........

Dann ist es vorbei mit dem Recycling von älteren Notebooks die nicht mehr unter Win laufen, aber mit Linux noch länger Ihren Dienst tun könnten.

Wer will denn schon ein Gerät mit derartigen Sicherheitslücken betreiben ?

Denke mal an eine Verbindung zu Access-Points im Burger-Restaurant Deiner Wahl oder am Flughafen oder im Hotel e.t.c.

P.S. : Und das gehört nicht unbedingt hier hin, bestätigt aber obige Aussage : Man liest, das auch Android-Geräte, welche älter als 2-3 Jahre sind, keine Updates erhalten werden, die nicht unmittelbar das BS als solches betreffen (den Kernel) ....... also die Clients werden auch - je nach Hersteller - bei manchem Androiden Teil des Problems sein .......

Also könnte es Jeden betreffen, der nicht die neueste Hardware besitzt - ob Handy, Tablet, Linux-Netbook- oder Notebook e.t.c ........