Verschlüsselung Schnellnavigation: offroad-CULT Forum » Speakers' Corner » Verschlüsselung » Gehe zu Seite Zurück  1, 2 Dieses Thema bookmarken bei:  Beiträge der letzten Zeit anzeigen: Alle Beiträge1 Tag7 Tage2 Wochen1 Monat3 Monate6 Monate1 Jahr Die ältesten zuerstDie neusten zuerst

Autor	Nachricht
BeeBop Pisten-Papst Anmeldedatum: 06.06.2010 Beiträge: 453	Verfasst am: 07.05.2014, 13:12 •   Titel: Was soll ich genauer erklären? Das, was auf Wikipedia steht? Und überhaupt: Erst, wenn du mir das mit der erhöhten Komplexität erklärt hast
Nach oben
Lizard Offroad-Guru Anmeldedatum: 06.06.2013 Beiträge: 715	Verfasst am: 07.05.2014, 15:16 •   Titel: Gegenfrage beantworten? Ich hab zuerst gefragt Der Wikipedia Artikel listet zig Arten von Spoofing, welche kämen denn in Frage für Deinen Angriff und wo?
Nach oben
BeeBop Pisten-Papst Anmeldedatum: 06.06.2010 Beiträge: 453	Verfasst am: 07.05.2014, 15:28 •   Titel: Hahaha du willst mich trollen Auch wann welche Formen des Spoofing angewandt werden steht übrigens in den verlinkten Wikipedia-Artikeln. Aber die weiterführenden Links beinhalten leider auch eine erhöhte Komplexität.
Nach oben
Lizard Offroad-Guru Anmeldedatum: 06.06.2013 Beiträge: 715	Verfasst am: 07.05.2014, 15:40 •   Titel: Kein Problem, bin vom Fach, Du kannst ruhig voll loslegen.
Nach oben
BeeBop Pisten-Papst Anmeldedatum: 06.06.2010 Beiträge: 453	Verfasst am: 07.05.2014, 16:00 •   Titel: Glückwunsch! Schade nur, dass sich dann die Diskussion in einem Frage-und-Antwort-Spiel erschöpft. Warum lässt du uns dann nicht am Fundus deines Wissens teilhaben und stellst deine Position etwas fundierter dar? Ich lerne gerne von Leuten, die mehr wissen als ich. U.a. deswegen bin ich hier
Nach oben
Lizard Offroad-Guru Anmeldedatum: 06.06.2013 Beiträge: 715	Verfasst am: 07.05.2014, 16:35 •   Titel: Es geht mir schlicht um Deine Aussage, dass jeder dahergelaufene Hampel mal eben so einfach die Logindaten abgreifen kann. Ja, es gibt ein paar Szenarien in denen das geht, aber die sind nicht "mal eben so" auszunutzen, daher meine Frage welche das denn wären. Wenn Du diese Frage nicht beantworten kannst oder willst, worüber sollen wir dann diskutieren? Einen globalgalaktischen Wikipedia Artikel hinschmeissen ist keine Diskussion. Soll ich jetzt alle _nicht_ möglichen Angriffsszenarien auflisten und erklären? Abgesehen davon ist das einfach nicht der übliche Weg, wie ein Forum gehackt wird. Keine Sau interessiert sich für das Passwort eines einzelnen Users, was soll man denn damit schon anfangen? Foren werden meist über Sicherheitslücken in der Forensoftware gehackt um den Host als Spam Schleuder oder anderweitig zu nutzen und vielleicht noch die gesamte Userdatenbank mitgehen zu lassen (falls nicht gehasht).
Nach oben
BeeBop Pisten-Papst Anmeldedatum: 06.06.2010 Beiträge: 453	Verfasst am: 07.05.2014, 17:20 •   Titel: Ahh ok, jetzt ergibt sich zumindest eine Diskussionsgrundlage - auch, wenn ich nicht vom Fach bin... Im Kopf hatte ich beim Spoofing vor allem das ARP-Spoofing, eine Variante hatte amigaman bereits mit der MITM-Attacke z.B. bei ungesicherten WLAN-Hotspots oder ähnlichen Gegebenheiten genannt. Und die sind tatsächlich 'mal eben so' ausnutzbar, selbst mit simplen Apps auf einem (Android-)Smartphone oder gleich darauf ausgelegte Geräte wie dem just erschienenen PwnPhone, auf dem wohl eine Spielart von Tails auf Android-Kernel läuft. Aber generell bekommt jeder, der - aus welchen Gründen und wo auch immer - den Traffic (ganz oder teilweise) mitliest, die Daten im Klartext präsentiert. Und nein, natürlich geht es hier nicht um das gezielte Ausspähen des Passwortes eines einzelnen bestimmten Nutzers (zumindest ist die Wahrscheinlichkeit dafür ziemlich gering), aber in der Summe sind Login-Daten immer interessant, weil sie eben gerne recycled werden und man sich so bis hin zum digitalen Identitätsdiebstahl Zugriff auf u.U. privateste Lebensbereiche verschaffen kann. Es geht dabei nicht darum, dass das Forum gehackt werden könnte und eine Verschlüsselung des Traffics etwa davor schützen könnte (sieht man einmal davon ab, dass die unverschlüsselt übertragenen Login-Daten des Admins da natürlich Gold wert sind). Im Falle eines Hacks wäre es ohnehin einfacher, die Besucher mit entsprechender Malware zu infizieren und sich auf dem Wege Kontrolle über die Geräte und den darauf gespeicherten Daten zu verschaffen. Nein, das wäre auch im Hinblick auf meinen Vorschlag viel zu hoch gehängt. Der lautet im Grunde schlicht, doch statt Postkarten einfach Briefe zu verschicken. Die kann man natürlich immer noch aufreissen, aber nicht jeder, der sie zufällig in die Hände bekommt, kann sie gleich auch lesen. Ich will hier weder die Welt retten, noch will ich das sicherheitstechnische Seelenheil versprechen. Eigentlich wollte ich nur einen Verbesserungsvorschlag machen Sollte dessen Umsetzung an der hohen Komplexität scheitern, so lasse ich mich hier gerne von dir aufklären, und dann hat sich das mit meinem Vorschlag eben erledigt, was ich jetzt auch nicht sonderlich schlimm fände.
Nach oben
Lizard Offroad-Guru Anmeldedatum: 06.06.2013 Beiträge: 715	Verfasst am: 07.05.2014, 21:35 •   Titel: klassisches ARP spoofing geht bei den meisten oeffentlichen access points nicht, weil die ein feature namens client isolation (oder aehnlich, je nach Hersteller) haben was dafür sorgt, dass jeder client nur mit dem AP sprechen kann. Be denen wo es geht ist es aber auch nicht leicht, je nach Entfernung und Funkverhältnissen sieht das Opfer deine gefakten ARP pakete nicht, weil sie von einem client mit meist nur max. 30mw sendeleistung und schlechter antenne kommen. Klar kann man sich auch ne 1w USB karte holen, braucht man aber wieder ein notebook und 'mal eben mit dem handy' scheidet aus. Auch kannst Du in einem vollen WLAN nicht mal eben fuer alle clients das Gateway spielen, dafür kommt einfach zuviel Traffic auf Deiner WLAN Karte an. Fuer dich verdoppelt sich der traffic, weil du ihn ja wieder weiter zum AP schicken musst. WLAN ist aber nur half duplex, gleichzeitig traffic empfangen und verschicken geht nicht. Gehen dir also jede Menge Pakete verloren und die ganzen sniffertools funzen nicht mehr, weil die meist nicht in der lage sind einen unvollständigen TCP strom zu dissecten. Auch funzt das Internet dann fuer die Opfer nicht mehr richtig und wenn das Opfer nicht auf die Seite kommt, gibts auch nix abzugreifen. Mit nem Rogue AP geht's aus diversen Gründen schon besser, aber ist auch wieder aufwendiger, brauchst schon irgendwas mit zwei netzwerk interfaces, musst ja irgendwie die verbindung zum internet herstellen. Ausserdem gibt's mittlerweile jede menge APs mit Rogue AP detection. Wenn das öffentliche WLAN nicht verschlüsselt ist, kann man sich das ganze Gedöns aber auch gleich sparen und einfach passiv alles mitschneiden. Nachteil ist da aber auch, dass du die Daten nicht auf dem Silbertablett bekommst, sondern incl. Paketverlusten. Aber: das ganze geht NUR in öffentlichen Netzen bzw. nur bei denen wo der Angreifer die Möglichkeit hat sich in die Mitte zu setzen. Zuhause hat man WLAN mit WPA und nur vertrauenswürdige andere clients. Beim Kabelgebunden LAN sowieso, müsste schon jemand bei dir einbrechen ... Ansonsten gibt's noch die Seite des ISP oder des Hosters. Aber wie willst Du da reinkommen? Und selbst wenn Du drin bist oder da arbeitest, ganz so leicht und unaufaellig geht das nicht. Und wenn du schon da einbrichst oder deinen Job aufs Spiel setzt, wirst Du Dich bestimmt nicht um irgendein forum kuemmern, sondern wirklich interessante Daten abgreifen. Und: Wenn jemand es einmal geschafft hat zwischen den client und das internet zu gelangen, kann er auch SSL MITM machen, da bringt SSL also nichts. Thema Komplexität: Ich schrieb höhere Komplexität, nicht 'hohe Komplexität' (im Sinne von 'is viel zu komliziert'). Klar ist es kein grosses Problem SSL zu implementieren, aber es ist nunmal technisch komplexer. Kann einfach mehr schiefgehen und man muss sich auch noch um Zertifikate kuemmern. Meiner Meinung zuviel Aufwand fuer ein Modellbauforum in dem keine persönlichen Daten gespeichert sind.
Nach oben
BeeBop Pisten-Papst Anmeldedatum: 06.06.2010 Beiträge: 453	Verfasst am: 09.05.2014, 22:08 •   Titel: Du magst da sicherlich (zumindest teilweise ;-P ) Recht haben, wie gesagt: ich bin nicht vom Fach. Dass aber die Gefahr des Mitlauschends derweil auf breiter Basis anerkannt und ernst genommen wird, zeigt nicht zuletzt die Zwangsumstellung der Mailzugänge namhafter Provider auf ausschließliche Verschlüsselung. Wäre es lediglich eine Nebelkerze, dann haben sie sich dafür aber reichlich Frust eingehandelt mit der Vielzahl der User, die mit den erforderlichen Einstellungen überfordert waren. Sowas macht man nicht mal so aus Jux. Auch z.B.Google und Wikipedia bieten seit Jahren verschlüsselte Kommunikation an - warum sollten sie das tun, wenn das Absaugen von Daten so abwegig wäre? Sicherlich spielen die beiden Beispiele in einer anderen Liga. Und auch die Frage nach dem Nutzen kann man bei sowas wie Google stellen. Aber sie zeigen, dass Verschlüsselung eben doch auch bei vermeintlich trivialen Dingen wie Suchanfragen eine Rolle zu spielen beginnt. Wie schon geschrieben halte ich verschlüsselte Kommunikation schon vom Prinzip her für erstrebenswert - auch, wenn ich damit hier etwas einsamen Posten zu stehen scheine Es ist halt eine Anregung. Vielleicht wird sie ja aufgenommen - ich würde mich freuen
Nach oben
amigaman CULT-Urgestein Anmeldedatum: 22.10.2011 Beiträge: 1688 Wohnort: Nord-West-Deutschland	Verfasst am: 09.05.2014, 22:25 •   Titel: Die drei großen Jungs haben das getan, damit "wir was getan haben", denn das Volk weiß "Verschlüsselung ist gegen die schnüffelnden Amerikaner". Das die eher direkt den Kram per Trojaner oder vom Server klauen, oder direkt ein geheimes Gateway auf die Server haben, wird aber nicht (so laut) gesagt. Und ein Schelm, wer denkt, das BND, MAD, Mossad, KGB, GCHQ und wie die ganzen alle heißen, nicht genau so alles mitnehmen was sie bekommen können. Und gerade Google ist sicherlich total verschlossen, was deine Infos angeht. Die würden niemals auf den Trichter kommen, Daten zu klauen... Du stehst nicht auf einsamem Posten, ich würde das auch befürworten. Nur glaube ich nicht, das der Nutzen in diesem Forum den Streß überwiegt. Dein Szenario ist sicherlich möglich, wird aber gerade hier sehr wenig genutzt. Du musst immer dran denken, wie viele Leute FaceApp und WhatsBook nutzen, und da jede Menge wichtige Daten veröffentlichen, ganz ohne wirksame Verschlüsselung, "ich hab ja nix zu verbergen". Da nutzt SSL auch nichts. _________________ Gruß, Jens Meins: Traxxas Summit @ 2x 2S 7,6Ah LiPo | Vaterra Twin Hammers @ 2S 4,2Ah LiPo Sohn: Traxxas Stampede @ 2S 5,8Ah LiPo
Nach oben

Schnellnavigation: offroad-CULT Forum » Speakers' Corner » Verschlüsselung » Gehe zu Seite Zurück  1, 2 Gehe zu: Forum auswählen Schaufenster----------------Shop-Corner: Alles für's Hobby! Infos, News & more----------------RC Offroad NewsOfftopic - PlaudereckeHöchstpersönlich - Mitglieder stellen sich vor!Show Off! Einstieg ins Hobby----------------Einsteigerberatung Offroad Sport----------------Offroad-BasicsElektro - 1/10, Mini- und MicromodelleElektro - 1/8Verbrenner-ModelleMonster TrucksGroßmodelleRally-ForumCrawler und Trial AreaRC-ZubehörDie Technik im Modellsport3D-Druck im Modellsport Rennszene----------------Events & Just 4 FunRennszene - ElektroRennszene - VerbrennerDer OÖ-CupMCC Rudolstadt - ClubforumWRC-Drivers - Clubforum Gebrauchtmarkt----------------SucheBiete über offroad-CULT...----------------offroad-CULT Info-AreaSpeakers' Corner