kostenloser Webspace werbefrei: lima-city


Passwort stehlen in 20 Sekunden?

lima-cityForumHeim-PCBetriebssysteme

  1. Autor dieses Themas

    autobert

    Kostenloser Webspace von autobert

    autobert hat kostenlosen Webspace.

    heise.de schrieb:
    Was soll schon beim Kaffeeholen passieren, wenn der Bildschirm gesperrt ist? Ein Hacker, zeigt, wie er mit einem USB-Stick quasi im Vorbeigehen die Zugangsdaten abziehen kann.

    Wer physischen Zugang zu einem PC hat, kann ihm in aller Regel auch seine Geheimnisse entreißen. Dass dazu jedoch selbst bei einem gesperrten PC bereits 20 Sekunden genügen, ist schon erschreckend. Der unter dem Handle mubix bekannter Sicherheitsforscher Rob Fuller demonstriert, dass er nur ein Stick-förmiges Device an den USB-Port eines gesperrten Windows-PCs anschließen muss, um die Zugangsdaten eines angemeldeten Benutzers abzuziehen.
    Jetzt meine Fragen an die Experten:
    - ist dies wirklich möglich?
    - kann ich mein Win10 standalone selbst sicher machen? Und wenn ja wie?

    Ist schon erschreckend, daß die beschriebene Methode auf allen Windowsversionen ab XP bis Win10 funktionieren soll. Auch bei einem Mac mit El Capitan soll es geklappt haben.

    Edit: Link korrigiert

    Beitrag zuletzt geändert: 11.9.2016 23:22:18 von autobert
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. Ich vermute mal du beziehst dich konkret auf das hier: https://room362.com/post/2016/snagging-creds-from-locked-machines/
    Ich habe das zwar nicht selber ausprobiert, scheint mir aber schon plausibel. Was allerdings nicht ganz klar wird, ist, dass bei Versionen ab Vista wohl nur ein passworthash geklaut wird.
    Das Problem ist dabei, dass Windows bei Diensten im lokalen Netzwerk versucht, sich mit den Benutzerzugangsdaten zu authentifizieren.
    Hier gibt es noch ein paar Infos: https://www.reddit.com/r/netsec/comments/51eae0/snagging_creds_from_locked_windows_machines/

    Beitrag zuletzt geändert: 11.9.2016 20:08:57 von davidlw
  4. Autor dieses Themas

    autobert

    Kostenloser Webspace von autobert

    autobert hat kostenlosen Webspace.

    davidlw schrieb:
    Ich vermute mal du beziehst dich konkret auf das hier: https://room362.com/post/2016/snagging-creds-from-locked-machines/
    ich beziehe mich auf den verlinkten Heiseartikel, ist allerdings der Fall.

    Ich habe das zwar nicht selber ausprobiert, scheint mir aber schon plausibel. Was allerdings nicht ganz klar wird, ist, dass bei Versionen ab Vista wohl nur ein passworthash geklaut wird.
    ist bei Heise klar erwähnt.
    Das Problem ist dabei, dass Windows bei Diensten im lokalen Netzwerk versucht, sich mit den Benutzerzugangsdaten zu authentifizieren.
    Hier gibt es noch ein paar Infos: https://www.reddit.com/r/netsec/comments/51eae0/snagging_creds_from_locked_windows_machines/
    also ohne Netzwerk kein Problem?
    Wie sieht es beim Surfen im Internet aus? Ich gehe nämlich öfters über ein gesichertes Kunden-WLan eines Bistros ins Netz, könnte dort ein anderer Mitbenutzer des WLans diesen Trick abgewandelt auch anwenden. aktiviert für den WLan-Adapter habe ich:
    - E/A Treiber für Verbindungsschicht
    - Internetprotokoll Version 4
    - Internetprotokoll Version 6
    und sonst nichts.
  5. Der Link leitet mich lediglich auf die Heise Startseite weiter.

    Ich vermute, dass das in etwa so: http://www.netresec.com/?page=Blog&month=2012-07&post=WPAD-Man-in-the-Middle auch in dem von dir genannten Szenario möglich ist. Der link beinhaltet aber auch eine Möglichkeit, das zu verhindern (automatisches beziehen des Proxyservers deaktivieren).

    Edit: dein link hat ein ' am Ende und funktioniert wohl deswegen nicht ;)

    Beitrag zuletzt geändert: 11.9.2016 22:53:38 von davidlw
  6. Autor dieses Themas

    autobert

    Kostenloser Webspace von autobert

    autobert hat kostenlosen Webspace.

    davidlw schrieb:
    Der Link leitet mich lediglich auf die Heise Startseite weiter.
    bereits korrigiert

    Ich vermute, dass das in etwa so: http://www.netresec.com/?page=Blog&month=2012-07&post=WPAD-Man-in-the-Middle auch in dem von dir genannten Szenario möglich ist. Der link beinhaltet aber auch eine Möglichkeit, das zu verhindern (automatisches beziehen des Proxyservers deaktivieren).
    danke, muß ich mich mal schlau machen. Die Kundschaft schätze ich zwar nicht als besonders Technik affin ein, aber man weiß ja nie.
  7. Trotzdem sollte man sich nicht der Illusion hingeben, dass Computer sicher sind. Gerade wenn man physischen Zugang zum Computer hat, gibt es schon für jeden Script Kiddi tausende Möglichkeiten Zugang zum Computer zu bekommen. Da braucht es noch nicht mal eine Fishingmail.
    So kann ich in 90% der Fälle in 25 Sek. die Passwörter von Windowskonten inklusive Adminkonto knacken.

    Beitrag zuletzt geändert: 12.9.2016 20:51:34 von waytogermany
  8. Hm, zumindest auf Linux könnte man vermutlich mithilfe von UDEV-Regeln den Zugriff auf bekannte Geräte beschränken - eine ähnliche Möglichkeit muss es doch auf unter Windows geben?

    Ist vielleicht mal ein ganz guter Anstoß, das zu aktivieren bei mir. Interessant wäre zu wissen ob man damit auch physikalischen Keyloggern zuvorkommen könnte. Natürlich hilft das alles nichts wenn ein wirklicher Crack dahinter steckt, der die Daten des Keyboards ausliest und dementsprechend die gleiche Vendor-ID usw weiter gibt, aber gegen 08/15-Keylogger könnte das schon was sein.

    https://projectgus.com/2014/09/blacklisting-a-single-usb-device-from-linux/
    http://askubuntu.com/questions/44913/can-udev-be-used-udev-rules-to-whitelist-certain-usb-devices

    Beitrag zuletzt geändert: 12.9.2016 20:57:02 von tchab
  9. Autor dieses Themas

    autobert

    Kostenloser Webspace von autobert

    autobert hat kostenlosen Webspace.

    waytogermany schrieb:
    Trotzdem sollte man sich nicht der Illusion hingeben, dass Computer sicher sind. Gerade wenn man physischen Zugang zum Computer hat, gibt es schon für jeden Script Kiddi tausende Möglichkeiten Zugang zum Computer zu bekommen. Da braucht es noch nicht mal eine Fishingmail.
    So kann ich in 90% der Fälle in 25 Sek. die Passwörter von Windowskonten inklusive Adminkonto knacken.
    Physischen Zugang kann ich ausschliessen (Einbruchdiebstahl ausgeschlossen), mir ging es darum:
    1. zu warnen, daß selbst gesperrte Windows Computer angreifbar sind
    2. mich zu informieren, ob es in einem gesicherten WLan (nicht unter meiner Kontrolle,aber anscheinend gut konfiguriert) möglich ist mit WPad meinem Netbook, der noch nie Mitglied einer Workgroup oder Domain war, meine Anmeldeinformationen zu entlocken.
  10. Hallo,

    hab den Beschriebenen Angriff ausprobiert. Mit Hilfe des zu verfügung gestellten Catchers ist das eine Arbeit von ca 20min sich so ein Gerät zu bauen.

    Als Schutz gegen diese Art von Angriff hilf es die USB Anschlüsse des Rechners lahmzulegen oder den USB Netzwerktreiber zu entfernen.

    Spitzei
  11. Physischen Zugang kann ich ausschliessen

    Ich hatte verstanden es geht um einen Abgriff per USB Stick. Das setzt physischen Zugang voraus.

    mich zu informieren, ob es in einem gesicherten WLan (nicht unter meiner Kontrolle,aber anscheinend gut konfiguriert) möglich ist mit WPad meinem Netbook, der noch nie Mitglied einer Workgroup oder Domain war, meine Anmeldeinformationen zu entlocken.


    Eindeutig: ja z.B. man-in-the-middle Atacke.
  12. Autor dieses Themas

    autobert

    Kostenloser Webspace von autobert

    autobert hat kostenlosen Webspace.

    waytogermany schrieb:
    Physischen Zugang kann ich ausschliessen

    Ich hatte verstanden es geht um einen Abgriff per USB Stick. Das setzt physischen Zugang voraus.
    Dann hast du das Thema nicht aufmerksam verfolgt, bzw. effekt haschend falsch (weil verkürzt) zitiert:
    autobert schrieb:
    Physischen Zugang kann ich ausschliessen (Einbruchdiebstahl ausgeschlossen), mir ging es darum:
    1. zu warnen, daß selbst gesperrte Windows Computer angreifbar sind
    2. mich zu informierens in einem gesicherten WLan (nicht unter meiner Kontrolle,aber anscheinend gut konfiguriert) möglich ist mit WPad meinem Netbook, der noch nie Mitglied einer Workgroup oder Domain war, meine Anmeldeinformationen zu entlocken.


    waytogermany schrieb:
    Eindeutig: ja z.B. man-in-the-middle Atacke.
    mit dem Man in der Middleattacke kann er zwar meine besuchten Webseiten abändern, aber 1. ist bei mir ActiveX, Flash und JS (bis auf ein paar Ausnahmen) gesperrt und 2. besuche ich eh nur Foren, dort bin ich dauerhaft angemeldet.
  13. s****p

    Wlan und Man in the middle?

    JA ich weiss nicht zielführend, wird gelöscht;
    nur ist ein "Wlan man in the middle" das aufsetzen eines anderen doch identischen ap.

    -- to be continued..
    na, namenloser -1, sagen was Dich stört kannste nicht?
    namenloser -2 hat auch kann sichb auch nur anonym in der masse freuen?





    Beitrag zuletzt geändert: 13.9.2016 13:29:44 von strlcp
  14. Was soll schon beim Kaffeeholen passieren, wenn der Bildschirm gesperrt ist? Ein Hacker, zeigt, wie er mit einem USB-Stick quasi im Vorbeigehen die Zugangsdaten abziehen kann.
    Wer physischen Zugang zu einem PC hat, kann ihm in aller Regel auch seine Geheimnisse entreißen. .....

    Jetzt meine Fragen an die Experten:
    - ist dies wirklich möglich?
    .
    .
    .


    Das war doch der erste Post? Oder hat sich das Thema verändert?

    mit dem Man in der Middleattacke kann er zwar meine besuchten Webseiten abändern


    Eine einfache Möglichkeit wäre auch die Wlan Verbindung zu unterbrechen und eine Neuanmeldung zu erzwingen. Nur das die Neuanmeldung an einem Fake AP erfolgt, der dann die Handshakes, Netzwerke und Passwörter protokolliert. Sollte dass verschlüsselt geschehen, muß mann sie danach eben noch knacken.
  15. s****p

    Nur um Euch lieben Minus-Leuten die Chance zu geben mehrmals negativ zu voten:

    Eine einfache Möglichkeit wäre auch die Wlan Verbindung zu unterbrechen und eine Neuanmeldung zu erzwingen.


    Wie häufig hast Du zwei APS mit identischer Mac im selben WlanNetz produktiv (also dass eine Neuanmeldung transparent möglich ist) betrieben?



    Beitrag zuletzt geändert: 13.9.2016 14:20:57 von strlcp
  16. Wenn ich angreifen will, immer! Sonst komme ich nicht dazwischen! Man schießt den AP mit vielen Anmeldungen ab und läßt in der kurzen Zeit, bis er wieder Verbindungen annimmt, seinen Fake AP laufen. Solange der Fake ein stärkeres Signal hat als der Originale, bleibt man drin. Fast jeder AP erlaubt die manuelle Eingabe einer Mac.
  17. strlcp schrieb:
    nur ist ein "Wlan man in the middle" das aufsetzen eines anderen doch identischen ap.
    ARP Spoofing/poisoning sagt Dir was? Da brauchst Du keinen »identischen ap« aufsetzen, Du fragst die Computer im Netzwerk einfach ganz lieb, ob sie Dir ihre Daten schicken.
  18. s****p

    Mir ist nicht so recht klar was du damit im Wlan bezweckst.
    Es gibt da das berühmte WPA(2) Hole 196 aber das meinst Du ja wohl nicht.
    Zudem gibt es hier deutliche Einschränkungen.

    Es ist ja unnötig zu erwähnen, daß Deine Attacke @davidlw massig auffällig ist.

    Deine Idee ist deutlich besser in meinen Augen @waytogermany.
    Die Flut der Anmeldungen sollte einen Alarm auslösen, wie man damit umgeht ist dann die eigene Sache.
    Alle Aps zu überlagern ist da dann auch nur die letzte Option.

    Zudem führt der Te WPAD ins Feld; dazu ist es nur notwendig sich in den Dhcp Prozess einzuklinken.
    Dies nun ist trivial.

    Deaktiviertes Javascript hilft Dir bei einer Wpad Attacke nicht @autobert, da js über WPAD unabhängig von den Browsereinstellungen ausgeführt wird.
  19. Es geht hier ja nicht darum wie man angreifen könnte. Es geht nur um die Frage, ob es möglich ist. Die Beispiele sind schon lange bekannt und dokumentiert und sollen nur der Erläuterung dienen. Natürlich gibt es noch tausend andere, effizientere Möglichkeiten. Aber das soll hier kein Hacking Tutorial werden.
  20. s****p

    Sorry daß ich mich hier eingemischt habe;
    schaut man sich die Wertungen an, ist es nicht gewollt.
    kommt nicht wieder vor!

    Beitrag zuletzt geändert: 15.9.2016 13:36:51 von strlcp
  21. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!