Mathy Vanhoef starrt einige Sekunden lang ungläubig auf den Code. Gerade hat sich der 28-Jährige Postdoc noch einmal an seinen Rechner gehockt, er will die letzten Ergebnisse seiner neuen Studie für die KU Leuven überprüfen. Dann aber bleibt sein Blick hängen. „Da gibt es diese Funktion innerhalb des Verschlüsselungsprozesses von WiFi-Signalen“, erinnert er sich. „Ich fragte mich, was passiert, wenn ich ihr zweimal hintereinander dieselbe Anfrage schicke.“ Der Belgier liebt solche einfachen Gedankengänge. Für Programmierer wie ihn ist das Eindringen in fremde Systeme und Lücken ein lang erlerntes Spiel. Vanhoef begann damit in der Schulzeit und hörte nie wieder auf – dass er mit seiner Idee gerade einer der gravierendsten Sicherheitslücken der vergangenen Jahre auf die Spur gekommen ist, weiß er zu diesem Zeitpunkt noch nicht.
Es ist der 25. Februar 2017. Nach kurzem Überlegen fängt der Sicherheitsforscher mit seinen Tests an. Es simuliert ein WLAN-Netzwerk und steuert die Funktion darin mehrmals an. Später wird er den Vorgang Key Reinstallation Attack taufen, oder kurz KRACK. Medien auf der ganzen Welt werden Ende Oktober darüber berichten, KRACK stellt einen Jahrzehnte anhaltenden Glauben an die Sicherheit von WPA2-Protokollen für WLAN in Frage. Der Hack macht klar: Die vertraulichen Daten in privaten Netzwerken, in Unternehmen, Botschaften und Ministerien sowie bei deren Mitarbeitern waren in den vergangenen Jahren in Wahrheit ein offenes Buch.
An jenem Tag im Februar stellt Vanhoef aber erst einmal fest: Tatsächlich, ich kann Linux-Systeme austricksen und eigentlich verschlüsselte Daten wieder öffnen. Sein Trick unterwandert den so genannten Vier-Wege-Handshake, der die Verbindung zwischen Geräten absichert und authentifiziert. „Es war eine schöne Entdeckung, sie schien Potential für ein neues Forschungs-Paper zu haben“, erinnert sich Vanhoef.
Während er seinen Fund für eine Konferenz zwei Wochen später vorbereitet, wird dann aber die Tragweite der Lücke klar. Vanhoef hat sich die Hilfe von einigen Kollegen geholt, zusammen erkennen sie: Nicht nur Linux ist betroffen, auch Windows, Mac und Android. „An diesem Punkt war klar, es könnte sich um ein grundlegendes Problem mit WPA2 handeln“, erzählt Vanhoef.
Er fängt an, die ersten Mails an Unternehmen zu schicken. Er richtet sich auch an große Konzerne. Etwa an Cisco schreibt Vanhoef: „Ich kann Ihre Systeme nicht selbst prüfen, aber Sie sollten es dringend tun!“ Er wendet sich auch an das CERT US, das wiederum Hunderte von Firmen informiert. Es ist dieser Moment im Juli, ab dem die Telefone bei den Forschern der KU Leuven nicht mehr stillstehen und die Mail-Ordner überlaufen mit Anfragen. Firmen auf der ganzen Welt wollen von Vanhoef wissen: Wie soll es denn jetzt weitergehen? Lässt sich der Fehler noch einmal richten? Wie konnte das passieren?
Finde die Lücke. Lerne alles über sie. Nutze sie aus.
Sein erstes Programm hackte Mathy Vanhoef, weil er spielen wollte. Damals, als er noch zur Schule ging, war gerade der erste Teil des Xbox-Titels Halo auf den Markt gekommen. Auch Vanhoef verbrachte Stunden damit, sich Weltraumkämpfe mit seinen Freunden zu liefern. Aber er hatte ein Problem mit Halo: Die nächste Arena legte das Spiel online immer automatisch fest. Das wollte Vanhoef ändern, aber den Code des Spiels rückte dessen Entwickler Microsoft natürlich nicht heraus. „Ich entschied mich deshalb, die .exe-Datei zu reverse engineeren“, erzählt Vanhoef. Im Internet besorgt er sich die Einführung für die Computer-Sprache Assembly, und mit der Unterstützung seines Bruders bekommt er tatsächlich Zugang zur Datei. Er findet heraus, wie sie aufgebaut ist und verändert den Prozess.
An der Uni angekommen, bleibt er ein Spieler. Vanhoef beteiligt sich an so genannten War-Games und hackt auch regelmäßig bei Capture-The-Flag-Veranstaltungen mit. Dabei versuchen zwei Teams, in die Computer-Systeme ihres Gegners einzudringen und eine bestimmte Datei, die Flagge, zu stehlen. Immer geht es dabei um einen Dreiklang, der auch jetzt noch entscheidend ist für Vanhoef: „Finde die Lücke. Lerne alles über sie. Nutze sie aus.“
Auch seine Arbeit an der WPA2-Sicherheitslücke betrachtet Vanhoef deshalb als Sport. „Es ist ein Wettrennen“, sagt er. Und in der Tat, in vielen Gesprächen mit Experten aus der Sicherheitsbranche über die Lücke heißt es gegenüber WIRED: Der Fund aus Belgien hat einen schlimmen Fehler gerade noch rechtzeitig entdeckt. Wäre er erst in einigen Jahren aufgefallen, wenn bereits Millionen von Geräten über das WPA2-Protokoll im Internet-of-Things hängen, der Schaden wäre ungleich größer ausgefallen.
Vanhoef selbst will jetzt weitere Details von KRACK veröffentlichen. Dazu gehören auch neue Angriffstechniken. „Zur Zeit ist es noch schwierig, macOS zu attackieren“, erklärt er. Es gehe auch wesentlich einfacher.
Viele große Anbieter haben bereits Updates für den Fehler herausgegeben. Viele Router und Geräte werden aber auch in Zukunft angreifbar bleiben, weil ihre Hersteller die Lücke nicht schließen, oder die Kunden das Update schlicht nicht herunterladen.
„Wir müssen möglichst große Aufmerksamkeit für den Fehler schaffen, um im Rennen gleichauf zu bleiben“, sagt Vanhoef. Immerhin könne sich jeder mit einer selbstgebauten Antenne aus rund zwei Kilometern Entfernung in Reichweite eines WiFi-Signals bringen. Vor allem für Unternehmen und Institutionen ist jedes Gerät ohne Update ein Sicherheitsrisiko – und nicht jeder Mitarbeiter ist sich der Gefahr bewusst. „Wir müssen da dringend aufholen“, sagt Vanhoef.
