Sicherheitslücke in Ciscos WLAN-Schutz LEAP
Ein Programm, das eine seit einiger Zeit bekannte Sicherheitslücke in Ciscos Protokoll LEAP zum Schutz von Funknetzen ausnutzt, wurde jetzt erstmals öffentlich gezeigt.
Vom Aufzeigen einer Sicherheitslücke bis zum Ausnutzen derselben dauert es meist ein bisschen. Im Fall von Ciscos Lightweight Extensible Authentication Protocol (LEAP), ein Protokoll zum Schutz von WLANs, war es vor einigen Tagen soweit: Auf einer von der Wireless-Web-Site Unstrung gesponserten Konferenz hat Joshua Wright Software vorgeführt, die binnen Minuten die für LEAP benutzten Passwörter ausgespuckt hat.
Die Software namens Asleep soll die Passwörter auf Basis einer Wörterbuchattacke herausfinden; nähere Details sind bisher nicht bekannt. So bleibt fraglich, ob Asleep auch bei den von Cisco geforderten sicheren Passwörtern Erfolge erzielt: Verwende man ausreichend komplexe Passwörter, sei LEAP auch ausreichend sicher, meint der Router-Marktführer. Der Autor von Asleep will die Software in den nächsten Monaten veröffentlichen. Er ist offenbar verärgert über die Politik von Cisco, die erst Anfang August eine Warnung über die LEAP-Schwäche veröffentlich haben, obwohl die Nachteile der Technik schon lange bekannt sind. (ps)
