Sniffing – Mit dem Hai im Netz

In diesem Artikel geht es darum, wie einfach es ist, Passwörter und Sessions in einem Netz ausfindig zu machen und wie ihr dem vorbeugen könnt. Die nachfolgenden Beispiele gehen jeweils von Facebook aus, was aber nicht heissen soll, dass nur Facebook diesbezüglich unsicher ist. Die nachfolgenden Informationen sind nicht für illegale Zwecke gedacht, sondern sollen einem ein Bild vermitteln, wie leichtfertig wir mit unseren Daten umgehen und wie wir das vermeiden. So nebenbei erwähnt nützt auch der beste Schutz nichts, wenn man dann doch die Bilder des letzten Saufgelages öffentlich auf Facebook postet. 😉 Der Datenschutz beginnt also zu aller erst mal beim Verstand von jedem selber.

Es gibt mittlerweile sehr bequeme Werkzeuge mit welchen beliebige Daten ausgelesen werden können. Selbstverständlich muss der Benutzer einige Netzwerkgrundkenntnisse mitnehmen, aber nach ein wenig Übung und einigen Anleitungen sollte er sich relativ schnell zurecht finden. Übrigens, wer glaubt dass Hacking irgendwie so ist wie in den Filmen immer dargestellt wird, wie vollbusige Frauen mit Cyberbrille sich in ein grafisch enorm poliertes System des Pentagons schleust um dort fliegende Benutzerdaten zu fangen, der irrt sich gewaltig. Zuerst ist es einmal sehr kompliziert und extrem zeitaufwendig. Aber das nur so am Rande. Schliesslich wollen wir Werkzeuge zum Aufstöbern von eigenen Sicherheitslöchern vorstellen und keinen Freipass in unerlaubte Gebiete verteilen. ;D

Bevor ihr also auf die böse Stimme in euch hört, informiert euch mal über den sogenannten Hackerparagraphen.

Einführung

Beim Anmelden auf Facebook und Co. möchte man möglichst angemeldet bleiben und die ganze Zeit im Chat online sein. Dies funktioniert mit sogenannten Cookies, in welchen eine Session ID, also eine spezielle einzigartige Nummer, gespeichert wird. (Diese Cookies sind nicht zum Verzehr geeignet.) Ansonsten würde Facebook dich beim nächsten mal ja nicht erkennen und du müsstest dein Passwort erneut eingeben. Das gilt auch, wenn du beispielsweise irgendwie auf Facebook klickst. Ohne das Cookie müsstest du dich nochmals anmelden. Dies ist auch oft der Fall wenn ein Cookie abläuft weil du beispielsweise zu lange nichts mehr auf der Seite gemacht hast, sie allerdings immer noch offen ist. Zumindest kenne ich es bei den üblichen Webmails so.

Da in einem WLAN alle Daten in der Luft herum schwirren, ist es natürlich auch für jeden möglich, diese abzufangen und zu lesen. Standardmässig ist diese Option deaktiviert, jedoch lässt sich das bei einigen Netzwerkkarten problemlos aktivieren (der sogenannte Promiscuous Mode). Das bedeutet, dass die Netzwerkkarte in einen Modus geschaltet wird, welcher alles einfach empfängt, auch wenn die Datenpakete nicht für einen selber bestimmt sind. Keine Sorge, oft sind die Pakete verschlüsselt und lassen sich so einfach nicht knacken.

Sniffing

Sniffing bedeutet nichts anderes, als „zuhören“ was andere kommunizieren. Da die oben erwähnten Session ID’s natürlich an den PC gesendet werden müssen, kann ich also durch mithören im WLAN (beispielsweise mit Wireshark) diese ID’s auslesen und diese nutzen um eine Session zu übernehmen. Facebook erkennt lediglich die Nummer (Session ID) und sendet mir alle Daten, als ob ich bereits eingeloggt währe (nur eben nicht mit meinem Account).

Auch Text der geschrieben wird, oder Adressen die in den Browser eingegeben werden oder gar ganze E-Mails können so gelesen werden, da auch diese Dinge einfach so durch die Luft schwirren. Einen Schutz schafft HTTPS, auf welches weiter unten eingegangen wird.

Wireshark

Wireshark ist ein sogenannter „Network Protocol Analyzer“ der den gesamten Traffic von einem Computer der über das Netzwerk arbeitet, aufzeichnet und ihn schön gegliedert in verschiedenen Farben anzeigt. Dies muss nicht zwingend nur das Surfen sein, sondern auch andere, sogenannte Protokolle, die Daten hin und her senden. Die Bedienung von Wireshark ist recht simpel und er bietet trotzdem enorm viele Funktionen. In dem unten ersichtlichen Beispiel könnt ihr sehen, wie ich Wireshark vorbereite und einfach mal meinen Zugang auf die Website „Facebook“ mitschneide.

1) Die Benutzeroberfläche

2) Wireshark vorbereiten

Wenn ihr auf das zweite Symbol links oben klickt, kommt ihr ins Konfigurationsfenster. Hier könnt ihr die Netzwerkschnittstelle auswählen, auf welcher ihr Daten mitschneiden wollt. Normalerweise müsste da etwas mit Broadcom stehen. Nehmt nebenbei noch das Autoscrolling raus, damit ihr immer am Anfang der Auflistung seit und nicht ständig runtergescrollt wird. Das nimmt einem nur die Übersicht. Zumindest mir. 😉 Damit euer Speicher nicht noch mit unendlich Datenpaketen gefüllt wird, stellt unter der maximalen Loggrösse 100MB ein. Das sollte reichen. Nun könnt ihr auf „Start“ klicken und mal die diversen Protokolle anschauen. Verbinden wir uns mal parallel dazu auf Facebook.

4) Zugriffe filtern

Hier sehen wir schonmal wie auf Facebook kontaktiert wird. Das Bild zeigt lediglich die Abfrage des DNS Servers und beinhaltet noch keine Authentifizierung, danach folgen weitere Pakete unter anderem auch mit dem Login.

 

 

 

 

Wir möchten jetzt hier nicht genauer darauf eingehen, wie und was man alles auslesen kann, schliesslich geht es hier ja um die Sicherheit und nicht um das effektive Sniffen 😉 Und falls es euch wirklich so interessiert ist das Programm einigermassen selbsterklärend und notfalls gibt es immer noch haufenweise Tutorials im Netz.

Link: Wireshark Download
(gibts natürlich auf für Linux, am besten via apt-get 😉 ) 

FireSheep

Das Feuerschäfchen ist ein Add-on für Firefox mit welchem man die Login Daten von Facebook anderer Benutzer abhorchen kann, sofern sie sich im selben Netz befinden. Man befindet sich beispielsweise in einem öffentlichen WLAN im selben Netz. Starbucks, McDonalds, etc. besitzen einen solchen Zugang. Seit also vorsichtig, wenn ihr in solchen Lokationen online geht.

Wie man auf dem Bild erkennen kann, listet FireSheep während des Surfens Profile von anderen die dies ebenfalls machen. Sobald etwas gefunden ist, kann man einfach draufklicken und schon befindet man sich in einem anderen Profil.

Ich denke nicht, dass wir hier nicht noch genauer erläutern müssen 😉
Wenn sowas in falsche Hände fällt kann es böse enden. Also schaut euch eure Hände mal an. Wenn ihr denkt, dass sie falsch genug aussehen, lasst die Pfoten davon! 😀

Link: FireSheep

FaceNiff

FaceNiff ist eine App für Android, dass im Endeffekt das gleiche bewirkt wie FireSheep. Das App lässt sich nach einer Verbindung mit einem WLAN starten und sucht vorhandene Geräte im Netz.

In einer kostenlosen Version lässt sich das ganze einige male testen, jedoch nur für Facebook Profile. Für weitere Seiten und uneingeschränktes sniffing muss eine Vollversion gekauft werden.

Link: FaceNiff (Root Vorausgesetzt!)

HTTPS

Wer sich nach den Zeilen oberhalb nun kreischend im Raum bewegt und Angst hat, dass Datenpiraten seine Facebookdiskussionen mitschneiden, dem kann ich sagen „Keine Panik!“ 😉
Es gibt bereits Wege, den Piraten ein bisschen den Wind aus den Segeln zu nehmen. Natürlich kann nichts zu 100% die Eingriffe verhindern, aber jede Hürde ist ein weiterer Schritt in die sicherere Richtung. Da wir schon von Facebook geredet haben, bezieht sich HTTPS in diesem Beispiel auch darauf. Wenn ihr euch auf Facebook anmeldet benutzt doch stets dieses schicke Protokoll um den Datentransfer zu verschlüsseln. Meldet auch also nicht auf „http://www.facebook.com“ an sondern auf „httpS://www.facebook.com“.

Noch kurz zu HTTPS. Bei diesem Protokoll handelt sich um eine Weiterentwicklung von HTTP was im Gegensatz zu HTTP die Daten verschlüsselt über das Netz versendet.
Für Fans, Geeks und Leute die noch tiefer und mathematischer diese Thematik behandeln wollen gibt es einen detailierten Wikipedia Artikel zu HTTPS. ;D

Der Vorteil davon ist eindeutig, auch wenn jemand die Pakete snifft, kann er mit diesen wenig anfangen, da sie verschlüsselt und somit unlesbar sind.
Am besten ihr gebt beim nächsten Websiten Besuch gleich https://www.xyz.bla ein, dann sieht man auch gleich, ob eine sichere verbindung möglich ist.

Hier noch ein Beispiel in Bilderform:

Facebook

Kontoeinstellungen -> Kontosicherheit -> Facebook mit einer sicheren Verbindung (https) durchstöbern, wenn möglich

Falls eine Seite (oder ein Spiel) nicht in https übertragen werden kann, so informiert euch Facebook bevor ihr zur normalen http Verbindung wechselt.

Twitter

Profil -> Einstellungen -> Nutze immer HTTPS (ganz unten)

BlackSheep Firefox Addon

BlackSheep ist der Gegensatz zum FireSheep Addon. Es versendet im Netz falsche Pakete und schaut, ob jemand darauf eingeht. Sobald dies geschieht, loggt er dessen IP und versucht wiederum, Informationen über diese Person ausfindig zu machen.

So kann man sich zumindest sicher sein, dass man gewappnet gegen einen sniffer ist, jedoch ist es natürlich kein Schutz!

Link: BlackSheep Infos / Download

Verwandte Posts:

  1. Free HTC!
  1. Zu Facebook noch ein Tip: man kann in den Konto-Einstellungen unter „Sicherheit“ „Sicheres Durchstöbern“ aktivieren. Damit wird für diesen Account immer https verwendet.

Einen Kommentar schreiben