RC-Map Login Suchen ||     zurück zur Portalseite

Du bist nicht eingeloggt!

Nur als registriertes Mitglied vom offroad-CULT Forum hast Du vollen Zugriff auf alle Funktionen unserer Community. Du kannst Mitglied werden, indem du dich hier registrierst!

Verschlüsselung

Schnellnavigation:
offroad-CULT Forum » Speakers' Corner » Verschlüsselung » Gehe zu Seite Zurück  1, 2

  • Dieses Thema bookmarken bei:  Bei Del.icio.us bookmarken Bei Mister Wong bookmarken Yigg It! Digg It!
  • Beiträge der letzten Zeit anzeigen:   

  • Neues Thema eröffnen   Neue Antwort erstellen   
    Autor Nachricht
    BeeBop
    Pisten-Papst
    Pisten-Papst



    Anmeldedatum: 06.06.2010
    Beiträge: 447

    BeitragVerfasst am: 07.05.2014, 12:12    Titel:
    Was soll ich genauer erklären? Das, was auf Wikipedia steht?

    Und überhaupt: Erst, wenn du mir das mit der erhöhten Komplexität erklärt hast Razz
    Nach oben
    Lizard
    Offroad-Guru
    Offroad-Guru



    Anmeldedatum: 06.06.2013
    Beiträge: 715

    BeitragVerfasst am: 07.05.2014, 14:16    Titel:
    Gegenfrage beantworten? Ich hab zuerst gefragt Smile

    Der Wikipedia Artikel listet zig Arten von Spoofing, welche kämen denn in Frage für Deinen Angriff und wo?
    Nach oben
    BeeBop
    Pisten-Papst
    Pisten-Papst



    Anmeldedatum: 06.06.2010
    Beiträge: 447

    BeitragVerfasst am: 07.05.2014, 14:28    Titel:
    Hahaha du willst mich trollen Smile

    Auch wann welche Formen des Spoofing angewandt werden steht übrigens in den verlinkten Wikipedia-Artikeln. Aber die weiterführenden Links beinhalten leider auch eine erhöhte Komplexität.
    Nach oben
    Lizard
    Offroad-Guru
    Offroad-Guru



    Anmeldedatum: 06.06.2013
    Beiträge: 715

    BeitragVerfasst am: 07.05.2014, 14:40    Titel:
    Kein Problem, bin vom Fach, Du kannst ruhig voll loslegen.
    Nach oben
    BeeBop
    Pisten-Papst
    Pisten-Papst



    Anmeldedatum: 06.06.2010
    Beiträge: 447

    BeitragVerfasst am: 07.05.2014, 15:00    Titel:
    Glückwunsch! Schade nur, dass sich dann die Diskussion in einem Frage-und-Antwort-Spiel erschöpft.

    Warum lässt du uns dann nicht am Fundus deines Wissens teilhaben und stellst deine Position etwas fundierter dar? Ich lerne gerne von Leuten, die mehr wissen als ich. U.a. deswegen bin ich hier Wink
    Nach oben
    Lizard
    Offroad-Guru
    Offroad-Guru



    Anmeldedatum: 06.06.2013
    Beiträge: 715

    BeitragVerfasst am: 07.05.2014, 15:35    Titel:
    Es geht mir schlicht um Deine Aussage, dass jeder dahergelaufene Hampel mal eben so einfach die Logindaten abgreifen kann.

    Ja, es gibt ein paar Szenarien in denen das geht, aber die sind nicht "mal eben so" auszunutzen, daher meine Frage welche das denn wären.

    Wenn Du diese Frage nicht beantworten kannst oder willst, worüber sollen wir dann diskutieren? Einen globalgalaktischen Wikipedia Artikel hinschmeissen ist keine Diskussion. Soll ich jetzt alle _nicht_ möglichen Angriffsszenarien auflisten und erklären?


    Abgesehen davon ist das einfach nicht der übliche Weg, wie ein Forum gehackt wird. Keine Sau interessiert sich für das Passwort eines einzelnen Users, was soll man denn damit schon anfangen?

    Foren werden meist über Sicherheitslücken in der Forensoftware gehackt um den Host als Spam Schleuder oder anderweitig zu nutzen und vielleicht noch die gesamte Userdatenbank mitgehen zu lassen (falls nicht gehasht).
    Nach oben
    BeeBop
    Pisten-Papst
    Pisten-Papst



    Anmeldedatum: 06.06.2010
    Beiträge: 447

    BeitragVerfasst am: 07.05.2014, 16:20    Titel:
    Ahh ok, jetzt ergibt sich zumindest eine Diskussionsgrundlage - auch, wenn ich nicht vom Fach bin...

    Im Kopf hatte ich beim Spoofing vor allem das ARP-Spoofing, eine Variante hatte amigaman bereits mit der MITM-Attacke z.B. bei ungesicherten WLAN-Hotspots oder ähnlichen Gegebenheiten genannt. Und die sind tatsächlich 'mal eben so' ausnutzbar, selbst mit simplen Apps auf einem (Android-)Smartphone oder gleich darauf ausgelegte Geräte wie dem just erschienenen PwnPhone, auf dem wohl eine Spielart von Tails auf Android-Kernel läuft.

    Aber generell bekommt jeder, der - aus welchen Gründen und wo auch immer - den Traffic (ganz oder teilweise) mitliest, die Daten im Klartext präsentiert. Und nein, natürlich geht es hier nicht um das gezielte Ausspähen des Passwortes eines einzelnen bestimmten Nutzers (zumindest ist die Wahrscheinlichkeit dafür ziemlich gering), aber in der Summe sind Login-Daten immer interessant, weil sie eben gerne recycled werden und man sich so bis hin zum digitalen Identitätsdiebstahl Zugriff auf u.U. privateste Lebensbereiche verschaffen kann.

    Es geht dabei nicht darum, dass das Forum gehackt werden könnte und eine Verschlüsselung des Traffics etwa davor schützen könnte (sieht man einmal davon ab, dass die unverschlüsselt übertragenen Login-Daten des Admins da natürlich Gold wert sind). Im Falle eines Hacks wäre es ohnehin einfacher, die Besucher mit entsprechender Malware zu infizieren und sich auf dem Wege Kontrolle über die Geräte und den darauf gespeicherten Daten zu verschaffen.

    Nein, das wäre auch im Hinblick auf meinen Vorschlag viel zu hoch gehängt. Der lautet im Grunde schlicht, doch statt Postkarten einfach Briefe zu verschicken. Die kann man natürlich immer noch aufreissen, aber nicht jeder, der sie zufällig in die Hände bekommt, kann sie gleich auch lesen.

    Ich will hier weder die Welt retten, noch will ich das sicherheitstechnische Seelenheil versprechen. Eigentlich wollte ich nur einen Verbesserungsvorschlag machen Wink

    Sollte dessen Umsetzung an der hohen Komplexität scheitern, so lasse ich mich hier gerne von dir aufklären, und dann hat sich das mit meinem Vorschlag eben erledigt, was ich jetzt auch nicht sonderlich schlimm fände.
    Nach oben
    Lizard
    Offroad-Guru
    Offroad-Guru



    Anmeldedatum: 06.06.2013
    Beiträge: 715

    BeitragVerfasst am: 07.05.2014, 20:35    Titel:
    klassisches ARP spoofing geht bei den meisten oeffentlichen access points nicht, weil die ein feature namens client isolation (oder aehnlich, je nach Hersteller) haben was dafür sorgt, dass jeder client nur mit dem AP sprechen kann.
    Be denen wo es geht ist es aber auch nicht leicht, je nach Entfernung und Funkverhältnissen sieht das Opfer deine gefakten ARP pakete nicht, weil sie von einem client mit meist nur max. 30mw sendeleistung und schlechter antenne kommen. Klar kann man sich auch ne 1w USB karte holen, braucht man aber wieder ein notebook und 'mal eben mit dem handy' scheidet aus. Auch kannst Du in einem vollen WLAN nicht mal eben fuer alle clients das Gateway spielen, dafür kommt einfach zuviel Traffic auf Deiner WLAN Karte an. Fuer dich verdoppelt sich der traffic, weil du ihn ja wieder weiter zum AP schicken musst. WLAN ist aber nur half duplex, gleichzeitig traffic empfangen und verschicken geht nicht.
    Gehen dir also jede Menge Pakete verloren und die ganzen sniffertools funzen nicht mehr, weil die meist nicht in der lage sind einen unvollständigen TCP strom zu dissecten. Auch funzt das Internet dann fuer die Opfer nicht mehr richtig und wenn das Opfer nicht auf die Seite kommt, gibts auch nix abzugreifen.

    Mit nem Rogue AP geht's aus diversen Gründen schon besser, aber ist auch wieder aufwendiger, brauchst schon irgendwas mit zwei netzwerk interfaces, musst ja irgendwie die verbindung zum internet herstellen. Ausserdem gibt's mittlerweile jede menge APs mit Rogue AP detection.


    Wenn das öffentliche WLAN nicht verschlüsselt ist, kann man sich das ganze Gedöns aber auch gleich sparen und einfach passiv alles mitschneiden. Nachteil ist da aber auch, dass du die Daten nicht auf dem Silbertablett bekommst, sondern incl. Paketverlusten.


    Aber: das ganze geht NUR in öffentlichen Netzen bzw. nur bei denen wo der Angreifer die Möglichkeit hat sich in die Mitte zu setzen. Zuhause hat man WLAN mit WPA und nur vertrauenswürdige andere clients. Beim Kabelgebunden LAN sowieso, müsste schon jemand bei dir einbrechen ...

    Ansonsten gibt's noch die Seite des ISP oder des Hosters. Aber wie willst Du da reinkommen? Und selbst wenn Du drin bist oder da arbeitest, ganz so leicht und unaufaellig geht das nicht. Und wenn du schon da einbrichst oder deinen Job aufs Spiel setzt, wirst Du Dich bestimmt nicht um irgendein forum kuemmern, sondern wirklich interessante Daten abgreifen.

    Und: Wenn jemand es einmal geschafft hat zwischen den client und das internet zu gelangen, kann er auch SSL MITM machen, da bringt SSL also nichts.

    Thema Komplexität: Ich schrieb höhere Komplexität, nicht 'hohe Komplexität' (im Sinne von 'is viel zu komliziert'). Klar ist es kein grosses Problem SSL zu implementieren, aber es ist nunmal technisch komplexer. Kann einfach mehr schiefgehen und man muss sich auch noch um Zertifikate kuemmern. Meiner Meinung zuviel Aufwand fuer ein Modellbauforum in dem keine persönlichen Daten gespeichert sind.
    Nach oben
    BeeBop
    Pisten-Papst
    Pisten-Papst



    Anmeldedatum: 06.06.2010
    Beiträge: 447

    BeitragVerfasst am: 09.05.2014, 21:08    Titel:
    Du magst da sicherlich (zumindest teilweise ;-P ) Recht haben, wie gesagt: ich bin nicht vom Fach.

    Dass aber die Gefahr des Mitlauschends derweil auf breiter Basis anerkannt und ernst genommen wird, zeigt nicht zuletzt die Zwangsumstellung der Mailzugänge namhafter Provider auf ausschließliche Verschlüsselung. Wäre es lediglich eine Nebelkerze, dann haben sie sich dafür aber reichlich Frust eingehandelt mit der Vielzahl der User, die mit den erforderlichen Einstellungen überfordert waren. Sowas macht man nicht mal so aus Jux. Auch z.B.Google und Wikipedia bieten seit Jahren verschlüsselte Kommunikation an - warum sollten sie das tun, wenn das Absaugen von Daten so abwegig wäre?

    Sicherlich spielen die beiden Beispiele in einer anderen Liga. Und auch die Frage nach dem Nutzen kann man bei sowas wie Google stellen. Aber sie zeigen, dass Verschlüsselung eben doch auch bei vermeintlich trivialen Dingen wie Suchanfragen eine Rolle zu spielen beginnt. Wie schon geschrieben halte ich verschlüsselte Kommunikation schon vom Prinzip her für erstrebenswert - auch, wenn ich damit hier etwas einsamen Posten zu stehen scheine Wink

    Es ist halt eine Anregung. Vielleicht wird sie ja aufgenommen - ich würde mich freuen Wink
    Nach oben
    amigaman
    CULT-Urgestein
    CULT-Urgestein



    Anmeldedatum: 22.10.2011
    Beiträge: 1669
    Wohnort: Nord-West-Deutschland

    BeitragVerfasst am: 09.05.2014, 21:25    Titel:
    Die drei großen Jungs haben das getan, damit "wir was getan haben", denn das Volk weiß "Verschlüsselung ist gegen die schnüffelnden Amerikaner".
    Das die eher direkt den Kram per Trojaner oder vom Server klauen, oder direkt ein geheimes Gateway auf die Server haben, wird aber nicht (so laut) gesagt.
    Und ein Schelm, wer denkt, das BND, MAD, Mossad, KGB, GCHQ und wie die ganzen alle heißen, nicht genau so alles mitnehmen was sie bekommen können.
    Und gerade Google ist sicherlich total verschlossen, was deine Infos angeht. Die würden niemals auf den Trichter kommen, Daten zu klauen... Rolling Eyes

    Du stehst nicht auf einsamem Posten, ich würde das auch befürworten.
    Nur glaube ich nicht, das der Nutzen in diesem Forum den Streß überwiegt.
    Dein Szenario ist sicherlich möglich, wird aber gerade hier sehr wenig genutzt.
    Du musst immer dran denken, wie viele Leute FaceApp und WhatsBook nutzen, und da jede Menge wichtige Daten veröffentlichen, ganz ohne wirksame Verschlüsselung, "ich hab ja nix zu verbergen".
    Da nutzt SSL auch nichts.
    _________________
    Gruß, Jens

    Meins: Traxxas Summit @ 2x 2S 7,6Ah LiPo | Vaterra Twin Hammers @ 2S 4,2Ah LiPo
    Sohn: Traxxas Stampede @ 2S 5,8Ah LiPo
    Nach oben
    Neues Thema eröffnen   Neue Antwort erstellen   

    Schnellnavigation:
    offroad-CULT Forum » Speakers' Corner » Verschlüsselung » Gehe zu Seite Zurück  1, 2



    Gehe zu:  



    » offroad-CULT:  Impressum