Cisco LEAP nicht mehr sicher?

Internet Internet Sicherheit
1

Hallo zusammen,

Automated LEAP attack tool available: A network engineer last year 
reported a major hole in Lightweight EAP, Cisco's previously preferred 
method of authentication a user across a wireless network to gain 
access to a network. He held off on releasing an automated tool until now, IDG News Service reports.

Asleap finds LEAP-protected networks, forces users off their 
connections (deauthenticates them) to force a new authentication, grabs that transaction, and starts a massive dictionary attack on the password. 
Cisco's replacement for LEAP, EAP-FAST, will stop dictionary-based cracking from working, Cisco says, but the products aren't yet available.

Deauthentication is an important part of the wireless cracker's arsenal because it forces a new authentication right when the cracker is watching. This reduces waiting time, and allows a cracker to monitor traffic for under a minute in some cases. (Deassociation forces a client off a Wi-Fi network, and can be used to force re-authentication or for denial of service attacks -- or, as Airespace uses it, to deny connections to rogue access points.)

URLs referenced:
[1]

Muss man(n) sich nun so langsam auch bei Cisco Sorgen machen…?

Gruß
h.

2

Hallo,

> Asleap finds LEAP-protected networks, forces users off their  
> connections (deauthenticates them) to force a new  
> authentication, grabs that transaction, and starts a massive  
> dictionary attack on the password.

Wozu soll man erst nach einem Passwort suchen, wenn diese schon fest eingebaut sind?

A default username/password pair is present in all releases of the Wireless LAN Solution Engine (WLSE) and Hosting Solution Engine (HSE) software. A user who logs in using this username has complete control of the device. This username cannot be disabled. There is no workaround. [Quelle: http://www.cisco.com/warp/public/707/cisco-sa-200404… ]

Muss man(n) sich nun so langsam auch bei Cisco Sorgen
machen…?

Wenn Sicherheit gefragt ist, ist es eine gute Idee, auf offene Quelltexte zurückgreifen zu können. Die Fälle, in denen in Closed Source irgendwelche sem User unbekannte Zugangsmechanismen „eingebaut“ wurden, häufen sich.

Open Source bedeutet nicht automatisch Sicherheit, aber Sicherheit bedeutet automatisch Open Source.

Gruß,

Sebastian

3
  1. Lese den Artikel bis zum Ende. -> Fix runterladen.
  2. Seit dem berühmten 11. September gibt es in den USA ein
    Gesetz, welches den Amerikanischen Herstellen von
    IT-Sicherheit verbietet diese Produkte zu exportieren, wenn
    die Regierung der USA nicht ein „Hintertürchen“ hat
    (Anti-Terror Gesetz der USA).

Ich wünsche euch viel Spaß mit Sicherheitstechnik aus der USA
!!!

Hallo,

Asleap finds LEAP-protected networks, forces users off their
connections (deauthenticates them) to force a new
authentication, grabs that transaction, and starts a massive
dictionary attack on the password.

Wozu soll man erst nach einem Passwort suchen, wenn diese
schon fest eingebaut sind?

A default username/password pair is present in all

releases

of the Wireless LAN Solution Engine (WLSE) and Hosting
Solution Engine (HSE) software. A user who logs in using this
username has complete control of the device. This username
cannot be disabled. There is no workaround. [Quelle:
http://www.cisco.com/warp/public/707/cisco-sa-200404…
]

Muss man(n) sich nun so langsam auch bei Cisco Sorgen
machen…?

Wenn Sicherheit gefragt ist, ist es eine gute Idee, auf

offene

Quelltexte zurückgreifen zu können. Die Fälle, in denen in
Closed Source irgendwelche sem User unbekannte
Zugangsmechanismen „eingebaut“ wurden, häufen sich.

Open Source bedeutet nicht automatisch Sicherheit, aber
Sicherheit bedeutet automatisch Open Source.

Gruß,

Sebastian

4

Hy,

Open Source bedeutet nicht automatisch Sicherheit, aber
Sicherheit bedeutet automatisch Open Source.

Hugh, Woz hat gesprochen :wink:
Fakt bleibt halt nur, das Cisco eben schon seit dem Anfang des Internets DRIN steckt … im wahrsten Sinne des Wortes. Und das es nun mal (bisher) als sicher galt ist klar.
Gibt es ausser ein paar Worthülsen noch etwas sachlich interressantes von Dir hierzu?

Gruß
h.

1 „Gefällt mir“
5

Hy,

Open Source bedeutet nicht automatisch Sicherheit, aber
Sicherheit bedeutet automatisch Open Source.

Hugh, Woz hat gesprochen :wink:
Fakt bleibt halt nur, das Cisco eben schon seit dem Anfang

des

Internets DRIN steckt … im wahrsten Sinne des Wortes. Und
das es nun mal (bisher) als sicher galt ist klar.

Da muss ich Dir voll zustimmen !!!

Gibt es ausser ein paar Worthülsen noch etwas sachlich
interressantes von Dir hierzu?

Ich hoffe ! Ich habe hierüber eine Ausführung in einer
Fachzeitschrift gelesen. Ich werde mal schaun, dass ich diesen
Artikel wieder finde.

Gruß
h.

6

den gesuchten Artikel habe ich leider noch nicht zur Hand.
Aber:

Bereits 1997 ein Thema :
http://www.linux-magazin.de/Artikel/ausgabe/1997/04/…

Ich denke dieser Bericht aus dem Jahr 2003 lässt Fakten
erahnen :

http://cryptome.org/bis-crypto.htm

Gruß Martin

7

Hallo,

Open Source bedeutet nicht automatisch Sicherheit, aber
Sicherheit bedeutet automatisch Open Source.

Fakt bleibt halt nur, das Cisco eben schon seit dem Anfang des
Internets DRIN steckt … im wahrsten Sinne des Wortes. Und
das es nun mal (bisher) als sicher galt ist klar.

Nun ja. So klar würde ich das nichteinmal nennen. Cisco galt als sicherer, immerhin.

Gibt es ausser ein paar Worthülsen noch etwas sachlich
interressantes von Dir hierzu?

Firmen, die sicherheitstechnisch relevante Komponenten mit Festeingestellten User/Passwort-Kombinationen einrichten, machen Werbung für Open Source. Mehr fällt mir dazu wirklich nicht ein.

  • Es ist offensichtlich intern keine hinreichende Qualitätssicherung des Codes durchgeführt worden.

  • Es ist offensichtlich irgendwann herausgekommen.

  • Vor Bekanntwerden der Lücke hat eine Anzahl Menschen > 1 von der Schwäche gewußt und sie nicht beseitigt.

Was folgt daraus? Glaube nur Programmen, die von unabhängiger Stelle genau untersucht werden konnten. Daß Software abrabnzelt, weil sie einen Bug beinhaltet ist ärgerlich, kommt aber vor und kann gefixt werden. Offensichtliche Dinge wie festeingestellte Passwörter sind unverzeihlich.

Wir könnten jetzt spekulieren, welche Software sowas auch hat. Ich habe dazu keine Lust, würde Dir aber gegebenenfalls Programme nennen, die sowas garantiert nicht haben.

Gruß,

Sebastian

8

Hallo,

  1. Lese den Artikel bis zum Ende. -> Fix runterladen.

Ja. Warum sollte ich einer Firma trauen, die Default-Passwörter einbaut? Die Firmas ist für mich nahezu tot. YMMV

  1. Seit dem berühmten 11. September gibt es in den USA ein
    Gesetz, welches den Amerikanischen Herstellen von
    IT-Sicherheit verbietet diese Produkte zu exportieren, wenn
    die Regierung der USA nicht ein „Hintertürchen“ hat
    (Anti-Terror Gesetz der USA).
    Ich wünsche euch viel Spaß mit Sicherheitstechnik aus der USA
    !!!

Okay. Diskutieren wir „zur Abwechselung“ mal über Betriebssysteme. Ist es nach deutschem rech legal, Hintertüren einzubauen? Sollte Windows nach deutschem Recht verboten werden, so es mit dem von Dir angedeuteten amerikanischen gesetz konform geht?

Sicherheit? Nur mit Open Source. Punkt.

Gruß,

Sebastian

9

Nabend,

Gibt es ausser ein paar Worthülsen noch etwas sachlich
interressantes von Dir hierzu?

Firmen, die sicherheitstechnisch relevante Komponenten mit
Festeingestellten User/Passwort-Kombinationen einrichten,
machen Werbung für Open Source. Mehr fällt mir dazu wirklich
nicht ein.

Schade. Ehrlich. Ich hatte mir etwas mehr erhofft.

  • Es ist offensichtlich intern keine hinreichende
    Qualitätssicherung des Codes durchgeführt worden.

  • Es ist offensichtlich irgendwann herausgekommen.

  • Vor Bekanntwerden der Lücke hat eine Anzahl Menschen > 1
    von der Schwäche gewußt und sie nicht beseitigt.

Was folgt daraus? Glaube nur Programmen, die von unabhängiger
Stelle genau untersucht werden konnten.

Naja, es gab wohl auch schon oft genug Situationen wo auch DAS nicht zureichend war. DAS ist an und für Sich kein Sicherungsmerkmal.

Wir könnten jetzt spekulieren, welche Software sowas auch hat.
Ich habe dazu keine Lust, würde Dir aber gegebenenfalls
Programme nennen, die sowas garantiert nicht haben.

Danke. Ich kenne auch genügend davon.

Gruß
h.

1 „Gefällt mir“
10

Muss man(n) sich nun so langsam auch bei Cisco Sorgen
machen…?

Nun so langsam?

08.04.2004 http://www.heise.de/security/news/meldung/46388
29.03.2004 http://www.heise.de/security/news/meldung/46082
18.03.2004 http://www.heise.de/security/news/meldung/45700
04.02.2004 http://www.heise.de/security/news/meldung/44316
22.01.2004 http://www.heise.de/security/news/meldung/43876
14.01.2004 http://www.heise.de/security/news/meldung/43604
09.01.2004 http://www.heise.de/security/news/meldung/43472
16.12.2003 http://www.heise.de/security/news/meldung/42958
11.12.2003 http://www.heise.de/security/news/meldung/42826
03.12.2003 http://www.heise.de/security/news/meldung/42580
06.10.2003 http://www.heise.de/security/news/meldung/40835
03.10.2003…
14.08.2003…
10.08.2003…
01.08.2003…
31.07.2003…

undundund…

Aber immerhin. Fast alle Meldungen weisen auf Patches oder Workarounds hin. Die Vielzahl der Meldungen kann also durchaus auch dahingehend gewertet werden, dass man sich bei Cisco der Problematik bewusst und security by obscurity dort kein Thema ist.

Gruss,
Schorsch

11

Ist Cisco jetzt wieder sicher ???
Cisco releases EAP-FAST to customers, IETF, to fix dictionary
attack weakness: In response to the release of a tool designed to crack weak
Cisco LEAP authentication-based networks, asleap, Cisco has made its
EAP-FAST patch available, which they say fixes the problem. The
third-party engineer who reported LEAP’s weakness and six months later released
the cracking tool recommends PEAP, a standard that solves the problem
in a similar manner, and which is supported by Microsoft and Cisco, and
is available from third parties like Funk and Meetinghouse as well.

URLs referenced:

Gruß
h.