• You are currently browsing the Projekt: Neurodump blog archives for .

    • Können ICQ Passwörter aus einem PCAP File extrahiert werden?

    Der ICQ Chat ist oft unverschlüsselt. Somit kann ein Chat eines anderen beispielsweise in einem Internet-Cafe leicht mitgeschnitten werden. Hierzu muss der Angreifer lediglich den Traffic zum Gateway durch sich selbst umleiten, um den ganzen, ins Internet laufenden, Traffic sehen zu können. Ettercap kann dazu verwendet werden. Natürlich können auch einfach WLAN Pakete einfach so mitgeschnitten werden (airodump-ng). Sind sie, wie oft in Cafés oder Restaurants unverschlüsselt (oder man hat den Schlüssel), so können die Daten in Klartext als PCAP Datei abgespeichert werden. Natürlich befindet sich alles Mögliche in diesen Dateien, unter anderem vielleicht ein Chat. Jedoch ist das Aufbrechen einer SSL Verbindung nicht ganz so einfach. Ein einfach mitgeschnittener Datenstrom beinhaltet oft die Kennwörter (ICQ etc.) geschützt mit einer SSL Verbindung. Nachlaufender Traffic wird oft nicht verschlüsselt übertragen, um Performance zu sparen.

    Das Aufbrechen einer SSL Verbindung kann versucht werden, indem der Angreifer sich zwischen das Opfer und das Gateway stellt. Er erzeugt eine Art transparenter Proxy, der so tut, als wäre er das Gateway. Die Opfermaschine kann dies zuerst einmal nicht auseinanderhalten. Eine SSL Verbindung wird angenommen. An dieser Stelle wird die Opferseite eine Warnmeldung bekommen, dass etwas mit dem Zertifikat nicht stimmt. Meist baut der einfache Angreifer ein selbstsigniertes Zertifikat und hofft, dass das Opfer, wie immer, alles mit Ja bestätigt. Das klappt auch immer wieder. Wenn das Programm selbst nicht die Verbindung verweigert kann so live das Kennwort mitgelesen werden und alles andere, was über die aufgebrochende SSL Verbindung kam. Der Angreifer leitet die Daten entsprechend als transparenter Proxy über eine weitere SSL Verbindung zum eigentlichen Ziel weiter.

    Somit kann gesagt werden, dass ohne einen gewissen Aufwand das ICQ Passwort einem einfachen Angreifer verborgen bleibt, wenn SSL im Spiel ist. Sollte die ICQ App kein SSL unterstützen, vielleicht kann das ggf. durch den Benutzer abgeschaltet werden, hat man leichtes Spiel. Auch ohne Spoofing des Gateways. Natürlich kann der Angreifer versuchen simpel SSL zu blockieren, um das Opfer dazu zu bringen unverschlüsselt zu kommunizieren. Bestimmt erinnert sich der ein oder andere an die Einstellung im Outlook Mailclient, das SSL “automatisch” umgesetzt wird. Das heißt aber auch: Wenn nicht explizit verlangt durch den Benutzer, was bei “Automatisch” nicht der Fall ist, greift der Client auf eine unverschlüsselte Übertragung des Kennwortes zurück, wenn SSL nicht klappt. Blockiertes SSL führt zu unverschlüsselten Kennwörtern. Und dass kann der einfache Angreifer wiederum leicht mitlesen. Es kann gut sein, dass einige ICQ Clients ein ähnliches Verhalten zeigen. Hier gilt: Ausprobieren.

    Written on March 22nd, 2011 , Gedachtes, Interessantes, Technik Tags: , , , , , , , , , , , ,
    Wofür werden VLANs verwendet? Was bringt der Einsatz von VLANs?

    Unter einem VLAN, einem Virtual Local Network, versteht der Netzwerker ein logisches Teilnetz innerhalb eines Switches oder einem kompletten physischen Netzwerk. Das VLAN kann über mehrere Switche ausgedehnt werden. Das VLAN teilt mehrere physische Netze in Teilnetze auf. Dies geschieht dadurch, dass entsprechende markierte Frames eines VLANs nicht in andere VLANs gelangen, bzw. weitergeleitet werden. Dabei können mehrere Teilnetze an ein gemeinsames Switch angeschlossen werden.

    Warum VLANs? Was sind die Gründe und Vorteile eines VLAN?

    Normalerweise werden lokale Netzwerks (LAN) heutzutage mit aktiven Komponenten aufgebaut, die auf der OSI-Ebene 2 oder höher arbeiten. Oft handelt es hierbei um Switches. Die meisten gängigen Ausbauten von Switchen ermöglichen einen Full-Duplex Betrieb. Auf diese Weise können Kollisionen vermieden werden. Desweiteren kann ebenso auf diese Weise ein recht großes LAN aufgebaut werden, welches über locker 400 Nodes verfügt und dennoch noch eine recht gute Performance besitzt.

    Dennoch ist eine Unterteilung dieser Netzwerke oft sehr sinnvoll und ist aus mehreren Gründen erwünscht:

    Durch ein VLAN können Endgeräte recht flexibel zu einem Netzwerksegment zugeordnet werden, dies unabhängig vom Standort der Maschine. Ein VLAN für Marketing wurde erzeugt und ein weiteres für ein Einkauf. Marketing und Einkauf sind somit getrennt. Soll eine Maschine aus dem Marketing in das Netzwerksegment des Einkaufes wechseln, so muss lediglich der Admin das Switchport einem anderen VLAN, hier dem Einkauf zuordnen.

    Weitere Gründe sind Performance-Aspekte. Die Internet-Telefonie wird in immer mehr Unternehmen verwendet. Sobald VoIP zur Sprache kommt, ist QoS nicht weit. Um qualitativ hochwertige VoIP Telefonate führen zu können, darf einmal die Bandbreite im LAN nicht zu stark einbrechen, noch besser, sie muss im Vorfeld für dieses Telefonat reserviert werden. Also macht es erstmals Sinn, dass VoIP LAN in ein eigenes VLAN zu legen, welches stark priorisiert wird. Auch bei großer Netzlast kann störungsfrei telefoniert werden. Ein weiterer Grund ist die Reduktion von Broadcast-Domänen. VLAN kapseln Broadcastdomänen – damit müssen nicht alle Systeme alle abgesendeten Broadcasts des ganzes LANs empfangen/bearbeiten. Dadurch wird die Leistung im LAN verbessert.

    Sicherheitsgedanken spielen bei VLAN ebenso eine große Rolle. VLAN können gegen Abhören und Ausspionieren von Daten verwendet werden. Sicherheitsrelevante Systeme werden in ein separates VLAN gelegt und durch eine Security Appliance geschützt. Zudem können, falls entsprechend durch eine Firewall geschützt bzw. kein InterVLAN Routing besteht oder keine Route in das andere Subnetz existiert, verschiedene sich im Internet befindliche VLANs nicht auf das sicherheitsrelevante VLAN zugreifen, welches schützendwerte Daten beinhaltet. Früher wurden generell geswitchten Netzen ein Vorteil in Punkto Sicherheit zugestanden. Heute hat diese Aussage keinen Bestand mehr. Es existieren hierzu zu viele Angriffsmöglichkeiten, wie MAC-Spoofing und MAC-Flooding. VLANs sind in dieser Angelegenheit robuster. Hier liegt zu Grunde, dass ein VLAN zu einem weiteren VLAN mit einem Router verbunden wird. Dazu kann eine Firewall auf Layer-3-Basis dazu installiert werden, womit es möglich ist eine Vielzahl von Produkten einzusetzen. Layer-2 Firewalls sind ebenfalls einsetzbar, wenngleich der Einsatz im praktischen Umfeld an dieser Stelle nicht so hoch ist.

    Die genannten Punkte können auch durch eine entsprechende aufwendigere Verkabelung und mit dem Einsatz mehrerer Switches und Router umgesetzt werden. Jedoch lassen sich durch den Einsatz von VLAN Kosten und Aufwand deutlich senken. Zudem kommt der Nachteil einer mehrfachen Verkabelung nicht zum Tragen. Selbstverständlich sind VLAN-fähige Geräte etwas teurer, jedoch bei größeren Netzwerken lohnt sich die Mehrausgabe in Firmen meist sofort.

    Written on March 22nd, 2011 , Interessantes, Technik Tags: , , , , , , , , , , , , , , , , ,
    Der neue Internet Explorer 9 ist da

    Es gibt ihn nun: Der IE 9 ist da. Installiert und losgelegt. Erinnert mehr als deutlich an Chrome. Ist das Chrome Design so überzeugend, dass sich Microsoft so sehr daran anlegen musste? Immerhin war das IE 8 Design gar nicht schlecht. Seis drum, Microsoft wollte ein sicheren Browser auf den Markt bringen. Ich hoffe es ist ihnen gelungen. Im Vergleich läuft er durchaus fixer, als sein Vorgänger. Zumindest auf meiner Maschine. Leider bringen einige BHOs ihn bei mir aktuell oft zum Crash. Hauptsächlich bei Flash. Mal abwarten. Und vor allem mit einer anderen Konfiguration testen. Der Störfaktor ist nicht sonderlich groß, meist läuft es zufriedenstellend. Ich bin gespannt, ob sich der Marktanteil verändern wird. Ich bin auf die neuen IE9 Exploits gespannt.

    Written on March 18th, 2011 , Gedachtes, Persönliches Tags: , , , ,
    Ver- und Entschlüsseln von Dateien mit OpenSSL

    Möchte ein Benutzer vertrauliche Daten per Post oder per Internet versenden, so sollten die Daten nur verschlüsselt übertragen werden.

    Verschlüsselungsprogramme gibt es viele und einige davon sind kostenpflichtig. Empfohlen wird für die Windows-Welt PGP. PGP ist kostenpflichtig, allerdings gibt es auch eine beschränkte freie Version, die viele Aufgaben abdeckt. Darunter selbstverständlich auch das Verschlüsseln von Dateien. Natürlich gibt der Markt noch viele andere Programme her.

    Kostenfrei soll es sein und wenn möglich überall zu entschlüsseln? PGP ist kompatibel zu GPG unter Linux. Hier sollte es keinen Ärger geben, also ist PGP durchaus eine gute Wahl. Jedoch gibt es auch andere Alternativen. Eine darunter ist OpenSSL. OpenSSL kann verschiedenste Verschlüsselungsalgorithmen zur Verschlüsselung der Daten verwenden. Doch welche? Mit dem folgenden Befehl kann sich der Benutzer darüber informieren, welche Algorithmen OpenSSL unterstützt. Hier eine Auszug aus meiner Shell.

    neurodump@antilight ~
    $ openssl list-cipher-commands
    aes-128-cbc
    aes-128-ecb
    aes-192-cbc
    aes-192-ecb
    aes-256-cbc
    aes-256-ecb
    base64
    bf
    bf-cbc
    bf-cfb
    bf-ecb
    bf-ofb
    cast
    cast-cbc
    cast5-cbc
    cast5-cfb
    cast5-ecb
    cast5-ofb
    des
    des-cbc
    des-cfb
    des-ecb
    des-ede
    des-ede-cbc
    des-ede-cfb
    des-ede-ofb
    des-ede3
    des-ede3-cbc
    des-ede3-cfb
    des-ede3-ofb
    des-ofb
    des3
    desx
    rc2
    rc2-40-cbc
    rc2-64-cbc
    rc2-cbc
    rc2-cfb
    rc2-ecb
    rc2-ofb
    rc4
    rc4-40

    neurodump@antilight ~
    $

    Das Verschlüsseln mit einem privaten und öffentliche Schlüssel wird hier nicht beschrieben. Hier wird ausschließlich der Datenbestand mit einem Kennwort geschützt.

    Beispiel für das Verschlüsseln AES mit 256 Bit breitem Schlüssel Methode Chain-Block-Chipher.

    neurodump@antilight ~
    $ openssl enc -aes-256-cbc -in clear.txt -out encrypted.txt

    Beispiel für das Entschlüsseln AES mit 256 Bit breitem Schlüssel Methode Chain-Block-Chipher.

    neurodump@antilight ~
    $ openssl enc -d -aes-256-cbc -in encrypted.txt > clear.txt

    Weitere Artikel dazu:
    Lange Kennwörter schaffen Tippfehler – nicht immer mehr Sicherheit
    Das Kennwort – Eine Methode zur Erzeugung guter Kennworter für sensible Datenbestände

    Written on March 15th, 2011 , Interessantes, Technik Tags: , , , , , , , , ,
    Lange Kennwörter schaffen Tippfehler, nicht immer mehr Sicherheit.

    Ein langes Kennwort ist nur die Hälfte der Sicherheit. Was passiert in der Software mit dem Kennwort? Bei einem 256Bit AES Schlüssel werden 300 Byte Kennwort genausogroß, wie ein 12 Stelliges, nämlich 256Bit. Also irgendwann ist es gut, bzw. die Länge bringt, außer ständiger Tippfehler, nichts mehr. Bei RC4 kann das schon anders sein. Also lohnt ein Blick, was eigentlich die Software mit dem Kennwort schlussendlich tut, um wie bei OpenSSL daraus den Bitschlüssel zu bilden. Bei AES wird ein 12stelliges gutes Kennwort reichen. Soll die Sicherheit erhöht werden, so müssen die Daten mit verschiedenen Schlüsseln immer wieder verschlüsselt werden. Also AES dann, Blowfish und nochmal drüber 3DES sei als ein Beispiel genannt. Dabei sollte für den Angreifer unbekannt bleiben in welcher Reihenfolge das erfolgt ist (Das muss sich der Erzeuger dennoch umbedingt merken!) und dazu sollten die drei Schlüssel an unterschiedlichen Orten aufbewahrt werden. Am Ende den Haufen Cryptodaten zur Verifizierung signieren oder per MD5 die Datenintegrität prüfbar machen. Das Kaskadieren von Verschlüsselungsalgorithmen schafft bei der Entschüsselung oft echte Kopfschmerzen.

    Written on March 15th, 2011 , Gedachtes, Interessantes, Technik Tags: , , , , , ,
    Das Kennwort: Eine Methode zur Erzeugung guter Kennwörter für sensible Datenbestände.

    Dieser Teil betrifft nicht die Public/Private Key Verfahren. Ein Kennwort sollte “sicher” gewählt werden, was bedeutet, dass es nicht leicht zu erraten sein darf. Darunter fällt auch, dass ein Brute-Force-Angriff möglichst ultimativ lange dauern muss, um schlussendlich an die Daten zu gelangen. Natürlich ist letzteres anhängig von der Rechenleistung des Angreifers und Spezialkenntnissen, die normalerweise wenig ihren Weg in die Öffentlichkeit finden. Nun welches “sicheres” Kenntwort? Zahlen, Buchstaben (Groß- und Kleinschreibung), Sonderzeichen und keine Wörter, die in Wörterbüchern vorkommen.

    Schlecht: KeksDose7178. Gut: K3k5D0se$782. Besser: 4H.7&fV$k?6ß.

    Doch wie möchte man sich soetwas einprägen? Gar nicht. Es gibt diverse Eselsbrücken, aber nach der nächsten durchzechten Nacht hilft auch das eigene von Gott geschaffene fsck.brain nicht immer weiter. Doch ja – am Ende hat man es vergessen. Vorgestellt wird eine etwas ungewöhnliche Methode: Man wähle ein gutes oder besseres Kennwort. Das wird auf einen echten Zettel mit einem echtem Stift notiert. Niemals wird es digital gespeichert oder digital transferiert (auch keine Kopierer oder anderes Hexenwerk, handgemeißelt auf Granitplatten ist zur Not auch okay (Moses-Backup)). Vielleicht wird es in eine Plastikkarte im Geldbeutel einlaminiert? Oh, erlaubt ist die Hemmingway-Notiz auf einer Pappkarte (fürs Laminieren) mit einer echten völlig analogen Schreibmaschine aus dem Antiquariat. Dabei ist allerdings darauf zu achten, dass anschließend das verwendete Farbband verfeuert wird. Gut soweit, jetzt nehme man sich ein Buch, was einem besonders gefällt. Ein cooler Spruch, ein Lebensmotto, alles ist gut geeignet, was mindestens aus fünf Wörtern mit Satzzeichen, wie “,.?” besteht. Es muss sich fehlerfrei merken lassen. Es darf nicht zu lang sein. Das Kennwort dient als eine Art Salt des Merksatzes. Jetzt besitzt man zwei Geheimnisse, die nötig sind, um die Daten entschlüsseln zu können. Der Satz ist im Buch unauffällig abgelegt und zudem im Kopf. Der Rest kann recht unauffällig woanders sicher abgelegt werden. Fertig. Pro Datei eine neue “Notiz” anlegen.

    Written on March 15th, 2011 , Gedachtes, Interessantes, Technik Tags: , , , ,

    Projekt: Neurodump is proudly powered by WordPress and the Theme Adventure by Eric Schwarz
    Entries (RSS) and Comments (RSS).

    Projekt: Neurodump

    Gedankenauszüge eines Datenreisenden