Forum: PC-Programmierung Wie kann mein Nachbar mich hacken?

Der Troll kann auch mitlesen.

Peter II schrieb:
> nicht wirklich. "Man in the Middle" braucht man für verschlüsselte
> Verbindungen. Zum mitlesen von unverschlüsselten reicht arp-spoofing,
> oder einen zusätzlichen DHCP Server.

nicht wirklich. "Man in the middle" braucht keine verschlüsselte 
Verbindung. Und erst recht nicht, braucht man einen zusätzlichen DHCP.

Wenn du dich mit einem anderen Server verbindest, haben mindestens alle 
die bei der traceroute auftauchen den Traffic gesehen und könnten diesen 
Speichern & Modifizieren. Jedes Gerät im selben Subnet wie eines dieser 
Geräte könnte, sofern mac spoofing nicht verhindert wird, ein ICMP 
Redirect Packet mit dem Router als source versenden, um deine Verbindung 
über sich umzuleiten. Beim ISP kommt der Traffic immer vorbei, dein 
Internetanbieter kann also immer mitlesen. Wenn man die BGP 
informationen bei einem AS manipulieren kann, kann man sämtlichen 
Internet traffic so ziemlich überall hinleiten. Wenn du z.B. einen 
vServer hast, kann der Hoster auf sämtliche Daten direkt darauf 
zugreifen, ohne überhaupt das Netzwerk nutzen zu müssen, und ohne Spuren 
zu hinterlassen.

Zu beachten ist auch, wenn man nur für ein paar Sekunden vergisst bei 
einem Dienst ein Passwort zu setzen, oder einen unsicheren Service 
betreibt, oder default Passwörter verwendet, wurde man vermutlich 
bereits gehackt. Ich habe mal eine Liste mit Login versuchen auf meinem 
Server erstellt, zum live mitverfolgen: 
https://preview.danielabrecht.ch/loginfails/

Und theoretisch könnten in jeder Soft und Hardware Backdoors sein. (Den 
string "Backdoor" findet man überigens häufig in z.B. den closed source 
Handy radio binaries)

Wenn du dein Handy z.B. über W-Lan mit dem selben Netz wie dein PC 
Verbindest, kann dieses, und die Apps darauf, natürlich auch Daten 
Mitschneiden und Verbindungen umleiten. Auch Browserplugins und andere 
Malware auf dem eigenen oder einem fremden PC können daten Mitlesen, 
modifizieren, etc.

Dann sind da natürlich noch die Hersteller der Router, Modems, etc. und 
ihre Hintertüren. Diese können auch mitlesen. Und die Hersteller der 
Vieren, die die Router über die Hintertüren hacken, natürlich auch.

Dann besteht noch die Möglichkeit, dass der der DNS Anbieter deiner 
Domain kein DNS Sec kann. Wenn die DNS Abfrage dann von jemandem 
abgeändert wird, kann dieser den Request dann auch umleiten.

Bonus Fact: Selbst wenn du SSL Verwendest, die Domain welche du besuchst 
ist im SSL SNI und den DNS Queries noch unverschlüsselt enthalten, und 
die ziel IP auch.

Warum gebrauchen Menschen eigentlich Formulierungen wie
"mein Nachbar"
"ich habe da einen Freund/Kollegen"

anstatt frei raus "ICH will" zu sagen:

Lautet die Frage nicht: "Wie hacke ich meinen Nachbarn?"

scnr.

Peter II schrieb:
> wozu sollte man bei einer unverschlüsselten Verbindung "Man in the
> middle" machen? Es geht ums mitlesen und nicht ums Manipulieren.

Genau, es geht ums Mitlesen. Wie sonst sollte der Angreifer den 
Datenverkehr denn mitlesen, wenn nicht entweder durch Übernahme eines 
der Endpunkte, oder indem er irgendwo auf dem Netzwerkpfad zwischen 
diesen sitzt und genau dort ihre Kommunikation mitlesen kann?

Genau das beschreibt der Terminus Man-in-the-Middle: der Angreifer 
befindet sich zwischen den Endpunkten. Mit Verschlüsselung hat der 
Man-in-the-Middle zunächst einmal nichts zu tun -- tatsächlich ist die 
Verschlüsselung gerade dazu entwickelt worden, diese Art von Angriff zu 
unterbinden.

Peter II schrieb:
> Beim Man-in-the-Middle spielt man selber Endpunkt, kann also auch nur
> beim Verbindungsaufbau gemacht werden. Mitlesen kann durch arp-spoofing
> kann man während der Verbindung machen.

Junge, Junge. Wir habe im Golfclub auch einen Peter II. Ist Deine Frau 
Bäckereifachverkäuferin?

Ein erfolgreicher Man-in-the-Middle-Angriff, bei einem verschlüsseltem 
Verkehr, ist in etwa so erfolgversprechend, wie der Versuch Dich zu 
überzeugen.

Frank S. schrieb:
> Wir habe im Golfclub auch einen Peter II.

Ist der als Mann in der Mitte dabei behilflich, die Schlagweite der 
Bälle zu erhöhen?
:)
MfG Paul

Schlagweitenhilfe wird immer gerne genommen, wenn kein Slice oder Hook 
verstärkt wird.

Tja. Auch in Deinem Fall gilt: Schweigen ist Gold.

Ach komm schon. Da geht doch mehr. Was hat das mit Man in the middle zu 
tun?

Du hast einfach keine Ahnung. Da helfen auch die Schlagwörter nicht 
weiter.

Peter II schrieb:
> Sheeva P. schrieb:
>> Genau, es geht ums Mitlesen. Wie sonst sollte der Angreifer den
>> Datenverkehr denn mitlesen, wenn nicht entweder durch Übernahme eines
>> der Endpunkte, oder indem er irgendwo auf dem Netzwerkpfad zwischen
>> diesen sitzt und genau dort ihre Kommunikation mitlesen kann?
>
> in dem man dafür sorgt, das die Daten am PC vorbeikommen.

Es spielt keine Rolle, ob man erst dafür sorgen muß oder ob dieser 
Zustand durch die Netzwerktopologie und / oder das Routing gegeben ist.

> Beim Man-in-the-Middle spielt man selber Endpunkt, kann also auch nur
> beim Verbindungsaufbau gemacht werden.

Das wiederum nennt man Spoofing: vorzugeben, jemand anderer zu sein, in 
der Regel natürlich der gewünschte Kommunikationspartner. Auch dagegen 
helfen moderne Verschlüsselungstechniken, indem sie beglaubigte, 
kryptografisch signierte Zertifikate verwenden, deren Authentizität bei 
der zuständigen Zertifizierungsstelle überprüft werden kann.

> Mitlesen kann durch arp-spoofing kann man während der Verbindung machen.

Das auch, aber es gibt noch viele andere Möglichkeiten.

Peter II schrieb:
> Verschlüsselte Verbindungen mitzulesen. Wenn man die CA Liste vom Client
> kontrollieren kann ist mitlesen überhaupt keine Problem.

Wenn ein Angreifer die CA-Listen des Clients kontrollieren kann, dann 
hat der Client ein ganz anderes Problem: dann hat der Angreifer den 
Client -- also: einen der beiden Endpunkte -- nämlich bereits übernommen 
und kann dann den Datenverkehr direkt auf diesem mitlesen, ohne sich um 
Man-in-the-Middle oder Verschlüsselung kümmern zu müssen.

Peter II schrieb:
> wenn glaubst du was ein Firewall die SSL mitliest ist? Oh ein das
> gleiche wie ein "Man in the middle" - erstaunlich.

Ein Firewall -- also: nicht dieses Kinderspielzeug, das als "Personal" 
oder "Desktop Firewall" bekannt ist, sondern ein Firewall im Sinne eines 
Konzepts zur Trennung von Netzen -- ist immer ein Man-in-the-Middle. Und 
dabei ist es gleichgültig, ob er (und die Clients) so konfiguriert sind, 
daß der Firewall das TLS-Protokoll ent- oder umschlüsseln kann, oder 
nicht.

> An einen Switch mit Mirror-Port kann man mitlesen aber keine "Man in the
> middle" machen.

Doch. Wenn der Datenverkehr verschlüsselt ist, nutzt einem das nur 
nichts, weil der Man-in-the-Middle dann eben nur den verschlüsselten 
Datenverkehr lesen kann. Wie gesagt: Man-in-the-Middle bezieht sich nur 
auf die Position des Angreifers in der Netzwerktopologie und hat nichts 
mit Verschlüsselung oder mit den Techniken zu tun, mit denen Angreifer 
diese Position erlangen kann.

>Ich habe mal eine Liste mit Login versuchen auf meinem
> Server erstellt, zum live mitverfolgen:
> https://preview.danielabrecht.ch/loginfails/

Sollte allerdings hier kein Best-Practice Beispiel darstellen so viele 
Logins überhaupt zuzulassen

Sheeva P. schrieb:
> Peter II schrieb:
>> Verschlüsselte Verbindungen mitzulesen. Wenn man die CA Liste vom Client
>> kontrollieren kann ist mitlesen überhaupt keine Problem.
>
> Wenn ein Angreifer die CA-Listen des Clients kontrollieren kann, dann
> hat der Client ein ganz anderes Problem: dann hat der Angreifer den
> Client -- also: einen der beiden Endpunkte -- nämlich bereits übernommen
> und kann dann den Datenverkehr direkt auf diesem mitlesen, ohne sich um
> Man-in-the-Middle oder Verschlüsselung kümmern zu müssen.

Nicht unbedingt. Es genügt eine der Certificat Authorities zu 
kontrollieren, oder eine der CAs dazu zu bringen eine uneingeschränkte 
Intermediat Certificat Authority zu signieren, und kann dann gültige 
Certifikate für was auch immer man neu verschlüsseln muss on-the-fly 
austellen. Weil sowas immer mal wieder passiert, gibt es Dinge wie HTTP 
public key pinning.

Sheeva P. schrieb:
> Wenn der Datenverkehr verschlüsselt ist, nutzt einem das nur
> nichts, weil der Man-in-the-Middle dann eben nur den verschlüsselten
> Datenverkehr lesen kann.

Doch, z.B. gibt es immer einige Metadaten, wie ziel IP, etc. und anhand 
der Datenmenge und schwankenden Datenraten kann man rückschlüsse darauf 
ziehen, ob der nutzer z.B. ein video gestartet hat, etc.

Phil J. schrieb:
>>Ich habe mal eine Liste mit Login versuchen auf meinem
>> Server erstellt, zum live mitverfolgen:
>> https://preview.danielabrecht.ch/loginfails/
>
> Sollte allerdings hier kein Best-Practice Beispiel darstellen so viele
> Logins überhaupt zuzulassen

Ja, ich weiss, ich sollte failtoban oder etwas ähnliches nehmen. Aber es 
ist trotzdem sehr interressant die momentanen Trends zu beobackten, und 
man bekommt gratis eine liste mit unsicheren Passwörtern. Interressant 
ist, das meisstens der root user versucht wird, bei anderen benutzern 
meisst username=password, und ansonsten dinge wie www-data, oracle, ts3 
(teamspeak), mysql, etc. als benutzer versucht wird. Und als damals die 
Medien über Linux.Proxy.10 berichteten, haben alle dessen default logins 
versucht. Das einzige Problem ist, man darf sich selbst beim Passwort 
eingeben nicht vertippen.

Bevor hier die Wellen weiter hochschlagen, einfach mal lesen:

  https://de.wikipedia.org/wiki/Man-in-the-Middle-Angriff
  https://www.heise.de/glossar/entry/Man-in-the-Middle-Angriff-399039.html

Der Man in the Middle täaucht den beiden jeweiligen 
Kommunikationspartnern vor, dass er derjenige andere 
Kommunikationspartner wäre.

   A <----> MiM <----> B

Damit lassen sich auch verschlüsselte Verbindungen angreifen, wenn beide 
Kommunikationspartner nicht prüfen, dass der jeweilige Gegenüber 
tatsächlich der gewünschte Kommunikationspartner ist. Für solch eine 
Prüfung ist auch sicherzustellen, dass der erstmalige Schlüsselaustausch 
vorab über ein sicheres Medium gelaufen ist.

Ein Man-In-The-Middle-Angriff hat erstmal nichts mit Verschlüsselungen 
zu tun. Er kann aber durchaus dafür eingesetzt werden, um diese 
auszuhebeln.

Peter II schrieb:
> Sheeva P. schrieb:
>> Doch. Wenn der Datenverkehr verschlüsselt ist, nutzt einem das nur
>> nichts, weil der Man-in-the-Middle dann eben nur den verschlüsselten
>> Datenverkehr lesen kann. Wie gesagt: Man-in-the-Middle bezieht sich nur
>> auf die Position des Angreifers in der Netzwerktopologie und hat nichts
>> mit Verschlüsselung oder mit den Techniken zu tun, mit denen Angreifer
>> diese Position erlangen kann.
>
> es bezieht sich darauf, ob man aktiv in die Verbindung eingreift.
>
> Ein
> mitlesen ist passiv, man kann keine Daten ändern. Beim MiM ist man aktiv
> beteiligt. Auch wenn man die Daten nicht ändert.
>
> Sonst müsste man ja jeder Router als MiM bezeichnen, das tut man aber
> nicht.

Das Problem ist die sprachliche Ungenauigkeit. Man-in-the-Middle 
bedeutet nämlich, wie gesagt, nur eine Position innerhalb einer 
Netzwerktopologie, und insofern ist auch ein Router tatsächlich ein 
Man-in-the-Middle. Was Du damit die ganze Zeit verwechselst, ist ein 
Man-in-the-Middle-Angriff. Das mag bei Lesern bunter Heftchen mit den 
Buchstaben "P" und "C" im Titel zwar keinen großen Unterschied 
ausmachen, in der Fachsprache ist es jedoch ein wesentlicher. Wenn Du 
schon Kompetenz zeigen willst, indem Du Fachbegriffe benutzt, dann bitte 
a) richtig und b) mit der gebotenen Genauigkeit.

Ach ja: die korrekte Abkürzung ist nicht MiM, sondern MITM oder -- meist 
im angloamerikanischen Sprachraum -- mitm. Mit MIM meinen Fachleute, je 
nach Kontext, das Mobile Instant Messaging, das Major Incident 
Management oder den Microsoft Identity Manager.

Sheeva P. schrieb:
> Peter II schrieb:
>> Sheeva P. schrieb:
>
> Ach ja: die korrekte Abkürzung ist nicht MiM, sondern MITM oder -- meist
> im angloamerikanischen Sprachraum -- mitm. Mit MIM meinen Fachleute, je
> nach Kontext, das Mobile Instant Messaging, das Major Incident
> Management oder den Microsoft Identity Manager.

Tja, das ist so eine Sache mit Abkürzungen. Ich finde bestimmt viele 
Bereiche in denen dein MiM, MITM, mitm, etc. ganz andere Bedeutungen 
haben werden. Daher sollte man - da du ja genaue Verwendung verlangst - 
in einem Text immer einmal die Begriffe vollständig ausschreiben und mit 
der Abkürzung kennzeichnen. Erst dann kann man die Abkürzungen im 
weiteren Text verwenden.

Sprache ist halt schon nicht eindeutig, Abkürzungen erst recht nicht.

Sheeva P. schrieb:
> und insofern ist auch ein Router tatsächlich ein Man-in-the-Middle.

Ja, ist er. Insbesondere, wenn er Masquerading benutzt, was jeder 
popeliger DSL-Home-Router auch tut. Mit Masquerading täuscht er 
zumindest einem Kommunikationspartner eine falsche Identität vor. Ein 
Webserver im Internet kann erstmal nicht unterscheiden, ob da Tante Erna 
oder Onkel Will hinter dem Router mit der IP-Adresse x.x.x.x surft - 
wenn man mal von anderen Techniken wie Cookies oder Fingerprinting 
absieht.

EDIT:

Interessant ist, wenn man nach "Man in the middle" googelt, dass man 
diesen Begriff nur im Zusammenhang mit "Angriff" oder "Attacke" findet, 
aber niemals für sich allein.