Für mich sieht es so aus, als seien solche Angriffe nur möglich, wenn der Angreifer bereits mit dem Netzwerk des Opfers verbunden ist
Das wirkt größtenteils ähnlich wie Angriffe, die in gemeinsam genutzten WLAN-Umgebungen wie Flughäfen oder Cafés schon lange bekannt sind
Neu ist, dass Implementierungsschwachstellen ausgenutzt werden, bei denen einige Router den Verkehr zwischen Gastnetz und regulärem Netzwerk nicht sauber trennen
Der Angreifer muss nicht mit dem Netzwerk des Opfers verbunden sein; es reicht, mit derselben Hardware verbunden zu sein
Wie im Fall von Eduroam kann ein Angreifer auch ohne Eduroam-Zugangsdaten über das Gastnetz auf demselben AP die Pakete eines Eduroam-Nutzers abfangen
Gäbe es nur ein einziges authentifiziertes Netzwerk, wäre dieser Verlust der Isolation bedeutungslos – ähnlich wie ein Browser-Sandbox-Escape belanglos ist, wenn man nur eine einzige vertrauenswürdige Website besucht
Als Mitautor der Arbeit halte ich die Formulierung „Wi‑Fi-Verschlüsselung knacken“ für irreführend
Tatsächlich wird damit die Umgehung der Client-Isolation ermöglicht
Es gab auch Fälle, in denen in offenem Uni-WLAN Verkehr anderer Netzwerke, einschließlich Enterprise-SSIDs, abgefangen wurde
Die Verschlüsselung wird nicht „geknackt“, sondern „umgangen“
Bei privaten Routern mit nur einer einzigen SSID ist man sicher
Ich frage mich, wie sich das bei XFinity verhält, wo WLAN, das mit Kundengeldern aufgebaut wurde, stadtweit geteilt wird
Ich sehe das ähnlich. Problematisch ist es in Umgebungen, die auf Client-Isolation angewiesen sind, für normale Nutzer hat es aber nur begrenzte Auswirkungen
Die meisten Authentifizierungs-Cookies sind durch TLS geschützt, daher ist das tatsächliche Risiko begrenzt
Ein AP hat beim gleichzeitigen Senden auf 2,4 GHz und 5 GHz mehrere BSSIDs, und wenn MAC-Duplikatsprüfungen oder das gemeinsame GTK bei WPA2-PSK schwach sind, wird der Angriff leicht
Alte Hardware, insbesondere Geräte vor 802.11w, dürfte wohl dauerhaft verwundbar bleiben
AirSnitch nutzt zentrale Layer-1- bis Layer-2-Funktionen von Wi‑Fi aus und missbraucht Synchronisationsfehler zwischen Clients
Der Angreifer kann bidirektionales MitM nicht nur innerhalb derselben SSID, sondern auch über andere SSIDs oder Netzwerksegmente hinweg durchführen
Ich habe so etwas schon seit den WEP-Zeiten Anfang der 2000er erlebt und nutze deshalb heute überhaupt kein WLAN mehr
Auf die Kamera kommt Klebeband, die Antenne wird entfernt, und E-Mail habe ich auch aufgegeben
Am Ende sind nur noch Kupferkabel oder Glasfaser echte Sicherheitsmittel
Jemand meinte, dir würde der Film The Conversation von 1974 gefallen
Ich gehe ähnlich vor. WLAN ist in ein separates Subnetz ausgelagert, ich nutze GrapheneOS und habe alle Hardware-Mikrofone entfernt, die ich entfernen konnte
Client-Isolation ist in der Praxis eine ziemlich unbequeme Funktion
Hersteller gehen davon aus, dass alle Geräte in einem großen Netzwerk miteinander kommunizieren, aber mit Isolation funktionieren Geräte wie Elgato-Lichter oder Chromecast nicht
Ich finde es trotzdem besser, als wenn jemand im Hotel meinen Chromecast steuert
Deshalb habe ich immer einen OpenWRT-basierten Reiserouter dabei, damit sich meine Geräte in jedem Netzwerk so verhalten wie zu Hause
Auch ohne Client-Isolation gab es Fälle, in denen die Broadcasts zwischen kabelgebundenem und drahtlosem Netz nicht gebridged wurden und deshalb keine Geräteerkennung funktionierte
Genau dafür ist Client-Isolation ursprünglich gedacht: um solchen Missbrauch von IoT zu verhindern
In Wohnheimen oder gemeinsam genutzten Netzen ist das unbequem, verhindert aber, dass andere meine Geräte steuern oder Malware verbreiten
Ausnahmen für bestimmte Protokolle oder IP-Bereiche wären praktisch, würden aber das Risiko von Datenabfluss entsprechend erhöhen
Der Titel des Artikels wirkt etwas übertrieben
Es wird nicht die Wi‑Fi-Verschlüsselung geknackt, sondern lediglich die Geräteisolation innerhalb desselben Netzwerks ausgehebelt
Viele Unternehmen, Universitäten und Behörden verlassen sich für die Netztrennung jedoch auf Client-Isolation, daher ist es für sie ein ernstes Problem
Ein Mitautor der Arbeit betont, dass „bypass“ treffender ist als „break“
Nachdem ich die Arbeit gelesen habe, scheint es, dass die meisten Heim-WLANs verwundbar sein könnten, weil sie dieselbe SSID auf 2,4 GHz und 5 GHz verwenden
Auch Radius-Authentifizierung könnte teilweise betroffen sein
Eine Gegenmaßnahme ist, nur APs mit einer einzigen MAC-Adresse zu verwenden
Mit EAP-TLS ist man sicher, dennoch braucht man weiterhin VLAN-Trennung
Es gibt auch die Ansicht, dass man zu Hause sicher ist, solange es kein Gastnetz gibt
Der Angreifer muss sich zumindest bei einem Netzwerk authentifizieren, ein völliger Außenstehender kann das also nicht
EAP-TLS ist stark, verhindert aber keine lateralen Angriffe von anderen bereits authentifizierten Geräten innerhalb desselben AP
Bei Supernetworks.org schlagen wir VLANs und Passwörter pro Gerät vor
Das ist wirklich ein großes Problem
Wenn auf einem AP verschiedene WLAN-Netzwerke existieren, kann ein Client aus dem einen Netzwerk den Verkehr des anderen per MITM angreifen
Die meisten Unternehmens-WLANs verlassen sich auf genau diese Isolation
Das heißt also, dass ich aus dem Gastnetz den Verkehr des Firmennetzes mitlesen kann
Das Problem ist in der Praxis, dass viele APs im Grunde nur mehrere SSIDs anbieten, ohne dass die Spezifikation ausdrücklich L2/L3-Isolation garantiert
Nachdem ich die Arbeit ganz gelesen habe, ist der Kernpunkt, dass AirSnitch bei einem einzigen Netzwerk mit starkem Passwortschutz keine große Bedrohung darstellt
Wenn sich aber ein sicheres Netzwerk und ein Gastnetz denselben AP teilen, kann man aus dem Gastnetz auf Clients des sicheren Netzwerks zugreifen
Es gibt auch Fälle wie das automatische Gastnetz von Xfinity, das sich nur schwer deaktivieren lässt
Dieser Angriff funktioniert im Wesentlichen nur innerhalb einer einzigen SSID
Mit Private-PSK/Dynamic-PSK oder EAP/Radius-VLAN-Attributen lässt er sich abschwächen
Unter WPA3/SAE ist es komplizierter, und die meisten Geräte unterstützen das noch nicht
Hostapd unterstützt inzwischen mehrere Passwörter für WPA3
Im Projekt spr-networks/super wird PSK+VLAN pro Gerät umgesetzt und verwendet
In der Praxis ist die Bereitstellung aber wegen der Keychain-Synchronisierung und MAC-Randomisierung bei Apple-Geräten schwierig, und wegen der Struktur von SAE ist es schwer, mehrere Passwörter gleichzeitig auszuprobieren
Ich suche eine Empfehlung für eine Firewall für macOS
Die integrierte Firewall ist kaum brauchbar, und wenn Client-Isolation umgangen werden kann, wird eine lokale Firewall noch wichtiger
Ich binde Entwicklungsserver an 0.0.0.0 und möchte sicherstellen, dass die Ports geschlossen sind, wenn ich in öffentlichem WLAN bin
Little Snitch ist am bekanntesten; es wird von Entwicklern gebaut, die die Architektur der macOS-Firewall tief verstehen Offizielle Website
1 Kommentare
Hacker-News-Kommentare
Für mich sieht es so aus, als seien solche Angriffe nur möglich, wenn der Angreifer bereits mit dem Netzwerk des Opfers verbunden ist
Das wirkt größtenteils ähnlich wie Angriffe, die in gemeinsam genutzten WLAN-Umgebungen wie Flughäfen oder Cafés schon lange bekannt sind
Neu ist, dass Implementierungsschwachstellen ausgenutzt werden, bei denen einige Router den Verkehr zwischen Gastnetz und regulärem Netzwerk nicht sauber trennen
Wie im Fall von Eduroam kann ein Angreifer auch ohne Eduroam-Zugangsdaten über das Gastnetz auf demselben AP die Pakete eines Eduroam-Nutzers abfangen
Gäbe es nur ein einziges authentifiziertes Netzwerk, wäre dieser Verlust der Isolation bedeutungslos – ähnlich wie ein Browser-Sandbox-Escape belanglos ist, wenn man nur eine einzige vertrauenswürdige Website besucht
Tatsächlich wird damit die Umgehung der Client-Isolation ermöglicht
Es gab auch Fälle, in denen in offenem Uni-WLAN Verkehr anderer Netzwerke, einschließlich Enterprise-SSIDs, abgefangen wurde
Die Verschlüsselung wird nicht „geknackt“, sondern „umgangen“
Bei privaten Routern mit nur einer einzigen SSID ist man sicher
Die meisten Authentifizierungs-Cookies sind durch TLS geschützt, daher ist das tatsächliche Risiko begrenzt
Alte Hardware, insbesondere Geräte vor 802.11w, dürfte wohl dauerhaft verwundbar bleiben
AirSnitch nutzt zentrale Layer-1- bis Layer-2-Funktionen von Wi‑Fi aus und missbraucht Synchronisationsfehler zwischen Clients
Der Angreifer kann bidirektionales MitM nicht nur innerhalb derselben SSID, sondern auch über andere SSIDs oder Netzwerksegmente hinweg durchführen
Ich habe so etwas schon seit den WEP-Zeiten Anfang der 2000er erlebt und nutze deshalb heute überhaupt kein WLAN mehr
Auf die Kamera kommt Klebeband, die Antenne wird entfernt, und E-Mail habe ich auch aufgegeben
Am Ende sind nur noch Kupferkabel oder Glasfaser echte Sicherheitsmittel
Client-Isolation ist in der Praxis eine ziemlich unbequeme Funktion
Hersteller gehen davon aus, dass alle Geräte in einem großen Netzwerk miteinander kommunizieren, aber mit Isolation funktionieren Geräte wie Elgato-Lichter oder Chromecast nicht
Deshalb habe ich immer einen OpenWRT-basierten Reiserouter dabei, damit sich meine Geräte in jedem Netzwerk so verhalten wie zu Hause
In Wohnheimen oder gemeinsam genutzten Netzen ist das unbequem, verhindert aber, dass andere meine Geräte steuern oder Malware verbreiten
Der Titel des Artikels wirkt etwas übertrieben
Es wird nicht die Wi‑Fi-Verschlüsselung geknackt, sondern lediglich die Geräteisolation innerhalb desselben Netzwerks ausgehebelt
Nachdem ich die Arbeit gelesen habe, scheint es, dass die meisten Heim-WLANs verwundbar sein könnten, weil sie dieselbe SSID auf 2,4 GHz und 5 GHz verwenden
Auch Radius-Authentifizierung könnte teilweise betroffen sein
Eine Gegenmaßnahme ist, nur APs mit einer einzigen MAC-Adresse zu verwenden
Mit EAP-TLS ist man sicher, dennoch braucht man weiterhin VLAN-Trennung
Bei Supernetworks.org schlagen wir VLANs und Passwörter pro Gerät vor
Das ist wirklich ein großes Problem
Wenn auf einem AP verschiedene WLAN-Netzwerke existieren, kann ein Client aus dem einen Netzwerk den Verkehr des anderen per MITM angreifen
Die meisten Unternehmens-WLANs verlassen sich auf genau diese Isolation
Die im Artikel erwähnte Arbeit ist AirSnitch: Demystifying and Breaking Client Isolation in Wi-Fi Networks
Nachdem ich die Arbeit ganz gelesen habe, ist der Kernpunkt, dass AirSnitch bei einem einzigen Netzwerk mit starkem Passwortschutz keine große Bedrohung darstellt
Es gibt auch Fälle wie das automatische Gastnetz von Xfinity, das sich nur schwer deaktivieren lässt
Dieser Angriff funktioniert im Wesentlichen nur innerhalb einer einzigen SSID
Mit Private-PSK/Dynamic-PSK oder EAP/Radius-VLAN-Attributen lässt er sich abschwächen
Unter WPA3/SAE ist es komplizierter, und die meisten Geräte unterstützen das noch nicht
Im Projekt spr-networks/super wird PSK+VLAN pro Gerät umgesetzt und verwendet
In der Praxis ist die Bereitstellung aber wegen der Keychain-Synchronisierung und MAC-Randomisierung bei Apple-Geräten schwierig, und wegen der Struktur von SAE ist es schwer, mehrere Passwörter gleichzeitig auszuprobieren
Ich suche eine Empfehlung für eine Firewall für macOS
Die integrierte Firewall ist kaum brauchbar, und wenn Client-Isolation umgangen werden kann, wird eine lokale Firewall noch wichtiger
Ich binde Entwicklungsserver an 0.0.0.0 und möchte sicherstellen, dass die Ports geschlossen sind, wenn ich in öffentlichem WLAN bin
Offizielle Website