Ins fremde W-lan eidringen und

Sowas ist immer solange ein mathematisches Faktum, bis jemand
einen besseren Algorythmus „erfindet“. Tut mir leid, aber die
Vergangenheit hat nun wirklich oft genug gezeigt, das es sowas
wie unknackbar genausowenig gibt wie unkopierbar.

Nein, die Vergangenheit hat vor allem Implementierungsfehler in verschiedenen Verschlüsselungsalgorithmen offenbart.

Die grundlegenden mathematischen Verfahren, die in der Kryptographie zum Einsatz kommen, sind bist dato noch nie geknackt worden. Weder ist die Faktorisierung großer Zahlen durch einen tollen Algorithmus nennenswert einfacher geworden noch die Berechnung diskreter Logarithmen. Und damit hast du schon 95% aller asymetrischen Verschlüsselungsverfahren abgedeckt, die alle irgendwie im Einsatz sind.

Bei den symmetrischen Verfahren ist das ganze eher Voodoo, da diese meist auf irgendwelchen Substitutionen basieren, die keiner gesicherten mathematischen Erkenntnis zu Grunde liegen, sondern einfach möglichst viel Unberechenbarkeit reinbringen sollen. Ein mathematisches Modell dieser Sicherheit gibt es aber nicht, deshalb kann auch keins geknackt werden.

1.) Bedeutet das, das der Einbrecher Zugriff auf meine Daten
hat?

Nunja, zumindest hat er schon mal Zugriff auf dein Geld.
Denn wenn du z.B. bei Amazon etc eingeloggt bist, dann muss der gute Mann nur noch deine Session-ID kopieren (die ja als Cookie immer mitgeschickt wird) und schon kann er bei Amazon wunderbar über deinen Account bestellen. Am besten bestellt er dann gleich bei seinem eigenen Amazon-Marketplace Account, dann kriegt er das Geld sogar direkt.

Und ich meine jetzt nicht irgendeinen Mitschnitt von
Daten, die keinen interessieren.

Sicher das die keinen Interessieren?

1 Like

ICH mache das Routing. ICH mache den AccesPoint. Ich stelle
den gleichen Dienst zur Verfügung. Und wenn sich danach
irgendjemand in der Reihe anstellt um diesen zu benutzen, und
er mich fragt, statt den eigentlichen Dienst, dann läuft der
Traffic über MICH! Kismet Attacke nennt sich das.

Ah!
Jetzt sehe ich, das wir in zwei verschiedenen Ordnern sind und einfach nur aneinander vorbei geredet haben.

Bei einem reinen W-LAN hast du natürlich recht.
Ich war die ganze Zeit bei

da ich ein heterogenes Netz bevorzugen würde. Arbeitsstationen mit festen Standorten bekommen auch eine feste Kabelverbindung - und die belauscht du dann auch nicht. W-LAN nur zusätzlich für mobile Geräte.

.

Ich habe das immer nur zusätzlich empfohlen.

Und das stimmt eben nicht. Du sagst ‚Naja, auf WPA2 allein verlasse ich micht nicht. Wenn bei mir was schief geht, habe ich ja immerhin meine Windowsfreigaben eingeschränkt.‘

Nunja, wäre für mich zusätzlich. Wie würdest du denn „zusätzlich“ definieren?

Aber das hilft Dir nicht, wenn ein Bössewicht dann SÄMMTLICHEN Traffic in Deinem Netz mitschneiden kann, Deine E-Mails mitliest oder sonstige Dienste entführt.

Unbestritten (in einem reinen W-LAN bzw. bei Rechnern, die per W-LAN ans LAN engebunden sind) - bleibt die Frage nach dem Sinn/Gefährungspotential. Um meine email mitzulesen gäbe es auch noch andere Möglichkeiten. Daher läuft email bei mir nur verschlüsselt.
Natürlich kann er meine Up- und Downloads mitschneiden, außerdem meine aufgerufenen Webseiten. Das würde mir nicht gefallen, aber ich kann da jetzt erst mal keinen unmittelbaren Schaden erkennen. Außer bei meinem eBay-Passwort, aber das wird ja auch verschlüsselt übertragen.

Schaden wäre der direkte Zugriff auf meine Freigaben. Um es mal ganz anschaulich zu machen: Auf meine Bank-Daten (gut, die gibt es jetzt gerade nicht bei mir, weil ich sowas nie einem flüchtigen Medium anvertrauen würde, aber so als Beispiel).

LADAP kann über SSL verschlüsselt werden, ist es von allein allerdings nicht. Wenn ich mich in der Beziehung irren sollte, nenne mir eine Quelle, die was anderes sagt.

Ächz.
Sorry, aber dafür fehlen mir jetzt sowohl Zeit als auch Nerven.
Mag sein, das das naiv klingt, aber ich geh schon davon aus, das die gängigen Sicherheitsmaßnahmen der Freigaben/Zugriffsberechtigungen unter Windows gegen sowas dicht sind. Denn andernfalls könnte sich jeder interessierte und halbwegs begabte (bzw. weiterbildungsbereite) Mitarbeiter mit einem Firmen-Laptop in einem W-LAN Zugriff auf die Buchhaltungsdaten oder die Daten der Forschungsabteilung beschaffen. Und in Anbetracht der Anzahl der weltweit installierten Windowsnetze wäre das schon mehrfach ein Thema bei den einschlägigen Webseiten/RTL-Explosiv-Formaten etc. gewesen.

Nein. Du sagst, daß es Dir nichts macht, wenn jemand in dein WLAN eindringt, weil Du ja Deine Windowsfreigaben nicht für alle offen hast. Was darüberhinaus da noch dranhängt

Was hängt noch dran?
Also, außer email und webzugriffe?

und daß es aus der Position eben relativ leicht ist, an Deine gesicherten Freigaben heranzukommen übersiehst Du aber.

Das wäre ein absolutes Verbot von W-LAN in allen (Windows?)-Firmen-Netzen, weil jeder Mitarbeiter könnte, wenn er nur wollte. Wie gesagt, das glaube ich erst bei Beweis. Und dann würde ich noch in der gleichen Minute die Antenne des Routers abreissen.

lg, mabuse

Treffer!

Denn wenn du z.B. bei Amazon etc eingeloggt bist, dann muss der gute Mann nur noch deine Session-ID kopieren (die ja als Cookie immer mitgeschickt wird) und schon kann er bei Amazon wunderbar über deinen Account bestellen.

Das ist jetzt das erste Mal, das jemand ein konkretes und nachvollziehbares Bedrohungsszenario nennen konnte. Gute Arbeit, deconstruct! *

Bin ich froh, das ich kein Amazon-Kunde bin . . . und das das bei ebay nicht geht . . .

Sicher das die keinen Interessieren?

Allgemein oder in meinem speziellen Fall? :wink:

Bei einem reinen W-LAN hast du natürlich recht.
Ich war die ganze Zeit bei

da ich ein heterogenes Netz bevorzugen würde. Arbeitsstationen mit festen Standorten bekommen auch eine feste Kabelverbindung - und die belauscht du dann auch nicht. W-LAN nur zusätzlich für mobile Geräte.

Habe ich beides schon was zu gesagt, daß es dennoch möglich ist, ich schreibe das jetzt nicht nochmal.

Ich habe das immer nur zusätzlich empfohlen.

Und das stimmt eben nicht. Du sagst ‚Naja, auf WPA2 allein verlasse ich micht nicht. Wenn bei mir was schief geht, habe ich ja immerhin meine Windowsfreigaben eingeschränkt.‘

Nunja, wäre für mich zusätzlich. Wie würdest du denn
„zusätzlich“ definieren?

Etwas was in irgendeinerweise meine Kommunikation schützt. Windowsfreigaben sind nicht 100% der Kommunikation in Deinem Netz (schätze ich mal). Habe ich aber auch schon gesagt, daß man SÄMTLICHE nicht End-zu-End verschlüsselte Kommunikation mitbekommen kann in dem Fall. Schreibe ich auch nicht nochmal auf.

Aber das hilft Dir nicht, wenn ein Bössewicht dann SÄMMTLICHEN Traffic in Deinem Netz mitschneiden kann, Deine E-Mails mitliest oder sonstige Dienste entführt.

Unbestritten (in einem reinen W-LAN bzw. bei Rechnern, die per
W-LAN ans LAN engebunden sind) - bleibt die Frage nach dem
Sinn/Gefährungspotential. Um meine email mitzulesen gäbe es
auch noch andere Möglichkeiten. Daher läuft email bei mir nur
verschlüsselt.
Natürlich kann er meine Up- und Downloads mitschneiden,
außerdem meine aufgerufenen Webseiten. Das würde mir nicht
gefallen, aber ich kann da jetzt erst mal keinen unmittelbaren
Schaden erkennen. Außer bei meinem eBay-Passwort, aber das
wird ja auch verschlüsselt übertragen.

Wurde Dir an anderer Stelle mit dem Amazonbeispiel gesagt, daß man dir die Session ID klauen kann.

Ächz.
Sorry, aber dafür fehlen mir jetzt sowohl Zeit als auch
Nerven.
Mag sein, das das naiv klingt, aber ich geh schon davon aus,
das die gängigen Sicherheitsmaßnahmen der
Freigaben/Zugriffsberechtigungen unter Windows gegen sowas
dicht sind. Denn andernfalls könnte sich jeder
interessierte und halbwegs begabte (bzw.
weiterbildungsbereite) Mitarbeiter mit einem Firmen-Laptop in
einem W-LAN Zugriff auf die Buchhaltungsdaten oder die Daten
der Forschungsabteilung beschaffen.
Und in Anbetracht der
Anzahl der weltweit installierten Windowsnetze wäre das schon
mehrfach ein Thema bei den einschlägigen
Webseiten/RTL-Explosiv-Formaten etc. gewesen.

Tja, ich habe in solchen Angelegenheiten viel Zeit. Und von der Webseite von Mircosoft Germany…
http://www.microsoft.com/germany/technet/itsolutions…
…habe ich folgenden Absatz:

Bevor eine Zugriffssteuerung greifen kann, muss die Authentifizierung erfolgreich durchlaufen werden. Dieser Authentifizierungsprozess existiert seit den frühesten LDAP-Versionen.

In der Terminologie von LDAP spricht man von einer Bindung an das Verzeichnis. Benötigte Parameter für eine Bindung sind der Benutzername in Form eines DN und ein Passwort (Credential). Zur Erfüllung verschiedener Ansprüche an die Sicherheitsstufen gibt es folgende grobe Einteilung der Authentifizierung:

Keine Authentifizierung wird beispielsweise verwendet bei öffentlich lesbaren Verzeichnissen. Durch Übergabe eines leeren Benutzernamens und eines leeren Passwortes kann ein LDAP-Client eine anonyme Anmeldung erfragen.

Bei der normalen Authentifizierung (Basic Authentication) wird der Benutzer durch den Benutzernamen in Form eines DNs und ein Klartext-Passwort gegenüber dem Verzeichnisdienst identifiziert. Diese Variante bietet keinen Schutz gegen das Abhören und den Missbrauch der übermittelten Daten im Netzwerk.

Die sichere Authentifizierung bietet durch die Implementierung von SASL (Simple Authentication and Security Layer, RFC 2222) ein erweiterbares Framework zur Authentifizierung. Verschiedene Sicherheitsmethoden wie Kerberos, S/Key oder SSL/TLS (Secure Sockets Layer/Transport Layer Security) lassen sich einbinden. Bei Verwendung entsprechender Sicherheitsmodule wie beispielsweise SSL ist eine beidseitige verschlüsselte Authentifizierung mit anschließendem verschlüsselten Datenverkehr möglich. Bei Sicherheitsmethoden, die auf Public-/Private-Key-Algorithmen basieren, lassen sich die benötigten Zertifikate sinnvollerweise im LDAP-Verzeichnis ablegen.

Im folgenden werden noch weiter Verschlüsselungsmöglichkeiten erwähnt, wie z.B. Kerberos. Das heiß man KANN es verschlüsseln, das ist es aber von allein nicht. Du bist dran…

Nein. Du sagst, daß es Dir nichts macht, wenn jemand in dein WLAN eindringt, weil Du ja Deine Windowsfreigaben nicht für alle offen hast. Was darüberhinaus da noch dranhängt

Was hängt noch dran?
Also, außer email und webzugriffe?

Alles was es in Deinem LAN an Diensten gibt.

und daß es aus der Position eben relativ leicht ist, an Deine gesicherten Freigaben heranzukommen übersiehst Du aber.

Das wäre ein absolutes Verbot von W-LAN in allen
(Windows?)-Firmen-Netzen, weil jeder Mitarbeiter könnte, wenn
er nur wollte. Wie gesagt, das glaube ich erst bei
Beweis. Und dann würde ich noch in der gleichen Minute die
Antenne des Routers abreissen.

Mitarbeiter in Firmen sind etwas anderes, als fremde von der Straße. Netzwerke in Firmen, genügen anderen Ansprüchen, als ein Heimnetzwerk. Jedenfalls ab einer Firmengröße, vom Mittelstand reden wir mal nicht, da ist das alles eher behelfsmäßig.

Aber ich lasse Dich mal in Deiner eigenen kleinen Welt, meine Argumentation nochmal zu wiederholen ist mir zu müßig.

1 Like

Bin ich froh, das ich kein Amazon-Kunde bin . . . und das das
bei ebay nicht geht . . .

Das geht natürlich nicht nur bei Amazon, sondern auf allen Webseiten, auch auf eBay. Wenn du z.B. Webmail nutzt, dann kann er so Zugriff auf deinen Mail-Account kriegen. Damit kann er natürlich bei praktisch allen Seiten wo du angemeldet bist, sich einfach dein Passwort schicken lassen bzw es neu vergeben und kriegt so Zugriff auf nahezu alle Sachen die du im Netz machst. Auch nützt es da nichts, wenn der Betreiber den Cookie an die IP-Adresse knüpft, da diese ja gleich ist, wenn ihr über den selben Router rausgeht.

Sicher das die keinen Interessieren?

Allgemein oder in meinem speziellen Fall? :wink:

Allgemein und daher natürlich auch in deinem Fall. Wenn ein Angreifer in deinem Namen Unsinn machen will, dann interessieren ihn natürlich die Sachen die übers Netz geschickt werden. Und https verwenden die meisten Seiten nur fürs Login, und danach wandert die Session-ID unverschlüsselt durchs Netz. Einzig bei wenigen Ausnahmen (z.B. Online-Banking) findet in der Regel die komplette Kommunikation über https statt. Die ist aber dann so oder so gesichert, egal ob du WPA2 benutzt oder auch wenn du dein WLAN gar nicht verschlüsselst.

Wenn du z.B. Webmail nutzt, dann kann er so Zugriff auf deinen Mail-Account kriegen. Damit kann er natürlich bei praktisch allen Seiten wo du angemeldet bist, sich einfach dein Passwort schicken lassen bzw es neu vergeben und kriegt so Zugriff auf nahezu alle Sachen die du im Netz machst.

Nachvollziehbar.
Weshalb ich nur IMAP über ssl benutze.

Auch nützt es da nichts, wenn der Betreiber den Cookie an die IP-Adresse knüpft, da diese ja gleich ist, wenn ihr über den selben Router rausgeht.

Nein, das haben wir mal ausprobiert (Spieltrieb).
Wir haben den Cookie während einer geöffneten Session auf einen anderen Rechner umkopiert und versucht, von dort aus weiterzumachen - wird von eBay nicht akzeptiert. Selbst wenn man dem anderen Rechner den gleichen Namen gibt. Da gibt’s wohl noch einen weiteren Mechanismus.

lg, mabuse

Tja, ich habe in solchen Angelegenheiten viel Zeit. Und von
der Webseite von Mircosoft Germany…
http://www.microsoft.com/germany/technet/itsolutions…
…habe ich folgenden Absatz:

Bevor eine Zugriffssteuerung greifen kann, muss die
Authentifizierung erfolgreich durchlaufen werden. Dieser
Authentifizierungsprozess existiert seit den frühesten
LDAP-Versionen.

In der Terminologie von LDAP spricht man von einer Bindung an
das Verzeichnis. Benötigte Parameter für eine Bindung sind der
Benutzername in Form eines DN und ein Passwort (Credential).
Zur Erfüllung verschiedener Ansprüche an die Sicherheitsstufen
gibt es folgende grobe Einteilung der Authentifizierung:

Keine Authentifizierung wird beispielsweise verwendet bei
öffentlich lesbaren Verzeichnissen. Durch Übergabe eines
leeren Benutzernamens und eines leeren Passwortes kann ein
LDAP-Client eine anonyme Anmeldung erfragen.

Bei der normalen Authentifizierung (Basic Authentication) wird
der Benutzer durch den Benutzernamen in Form eines DNs und ein
Klartext-Passwort gegenüber dem Verzeichnisdienst
identifiziert. Diese Variante bietet keinen Schutz gegen das
Abhören und den Missbrauch der übermittelten Daten im
Netzwerk.

Die sichere Authentifizierung bietet durch die Implementierung
von SASL (Simple Authentication and Security Layer, RFC 2222)
ein erweiterbares Framework zur Authentifizierung.
Verschiedene Sicherheitsmethoden wie Kerberos, S/Key oder
SSL/TLS (Secure Sockets Layer/Transport Layer Security) lassen
sich einbinden. Bei Verwendung entsprechender
Sicherheitsmodule wie beispielsweise SSL ist eine beidseitige
verschlüsselte Authentifizierung mit anschließendem
verschlüsselten Datenverkehr möglich. Bei Sicherheitsmethoden,
die auf Public-/Private-Key-Algorithmen basieren, lassen sich
die benötigten Zertifikate sinnvollerweise im LDAP-Verzeichnis
ablegen.

Im folgenden werden noch weiter Verschlüsselungsmöglichkeiten
erwähnt, wie z.B. Kerberos. Das heiß man KANN es
verschlüsseln, das ist es aber von allein nicht. Du bist
dran…

Dafür meinen Dank.
Ernsthaft.
Ich hab’s ausgedruckt und jetzt endlich ein Argument meinem Chef gegenüber, hier kein W-LAN einzurichten. Oder sich zumindest professionelle Hilfe zu besorgen (was dann auch wieder auf kein W-LAN hinausläuft, weil der Alte dafür zu geizig ist).

Jedenfalls ab einer Firmengröße, vom Mittelstand reden wir mal nicht, da ist das alles eher behelfsmäßig.

So sieht’s aus.
Vor allem wird dann natürlich auf Anordnung vom Chef jeder Besucher mit seinem Laptop ins Netwerk gelassen, damit der seine emails abholen kann . . .

Schönes Wochenende!
mabuse

Wir haben den Cookie während einer geöffneten Session auf
einen anderen Rechner umkopiert und versucht, von dort aus
weiterzumachen - wird von eBay nicht akzeptiert. Selbst wenn
man dem anderen Rechner den gleichen Namen gibt. Da gibt’s
wohl noch einen weiteren Mechanismus.

Das ist nicht nur ein Cookie, eBay speichert gleich 10 Cookies ab die du alle mitschicken solltest. Außerdem könnte es sein, dass eBay versucht den Cookie an den Browser zu binden, d.h. ihr müsst dafür sorgen, dass die User-Agent Variable eures anderen Rechners das gleiche liefert, wie von dem Ursprungsrechner. Lässt sich in Opera z.B. direkt einstellen oder in Firefox mittels Addons.

Im Prinzip kann eBay nur das nehmen, was ihm der Browser liefert. Am einfachsten wäre es z.B. einfach eine Anfrage mit Wireshark mitzuschneiden und diese exakt genauso wieder von dem zweiten Rechner mittels netcat abzuspielen. Das müsste in jedem Fall klappen, da dann die komplette Anfrage gleich ist und die IP. Wie soll eBay da was unterscheiden?

„ist natürlich illegal“ war hier schon richtig, denn sein Satz beinhaltet eine Aufzählung. Er meinte also, daß man theoretisch in jedes Netzwerk eindringen kann, egal ob keine Verschlüsselung, WEP oder gar WPA Verschlüsselung … das „ist natürlich illegal“ bezog sich hoffentlich auf die letzten beiden Varianten :smile:

Gruß Maddin