/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Logon fra Hot Spot
Fra : Axel Hammerschmidt


Dato : 24-11-10 01:46

På gr af den forbedrede NDIS 6.x API i Vista og Windows 7, er det meget
nemt at sætte en trådløs NIC i Monitor Mode med MS Network Monitor - når
det understøttes af hardware'en. Meget nemmere end med Wireshark.

Nyere NIC kan sættes i 3 modes: normal mode - hvor det kun er datapakker
med NIC'ens Mac adresse der viderebehandles i OS'et, Promiscuous Mode -
hvor det er alle datapakkerne som NIC'en kan opsnappe fra kabel, hub
eller AP der viderebehandles i OS'et, og så Monitor Mode - hvor det
trådløse NIC henter alle datapakker den kan opsnappe som radiosignal fra
rummet der viderebehandles i OS'et.

Man kan endvidere indstille NIC'en i Capture, i NM, til kun at aflytte
nærmere bestemte pakker på de frekvenser (f.eks 802.11b, kanal, osv) der
er interessante, for på den måde spare resourcer, og opsamle de
ukrypterede datapakker indenfor radiorækkevidde i en fil.

Er der så nogen der har benyttet et nærliggende AP (Hot Spot) til at
logge på via en ukrypteret logon process, så fanger NIC'en pakkerne,
hvorefter NM behandler og gemmer pakkerne. Både de pakker der kommer
trådløst fra AP'en, og de pakker der kommer trådløst fra klienterne.

Et eksempel. Her er et link til en Capture fil, som er sniffet med NM,
hvor jeg "logger på" hos Datatid.dk over en åben AP derhjemme. Jeg har
ingen logon konto der, men pakken med oplysning om bruger-id (pladder)
og password (balle) kommer til at ligge i filen. Logon sker heller ikke
der over en sikker forbindelse til Datatid.dk.

http://users.cybercity.dk/~dsl487543/Datatid.cap

Filen kan både læses med NM (v3.4) og med Wireshark (v1.4.1). For
nemmest at finde pakken med oplysningen, bør man benytte et display
filter.

Filter i Wireshark, Mac OS X 10.5.8 kan se sådan ud:

http.request.method contains "POST"

Filter i NM, Windows Vista SP1 kan se sådan ud:

[fyld].protocol.HTTP.Request.Command=="POST"

Se bort fra [fyld]. Den er med her, fordi NNTP ikke kan li' et "." først
på linien.

Både Wireshark og NM checker syntaksen. I NM, når man skriver et filter,
starter man med det første "." og derefter får man menuer til at vælge
fra. Meget brugervenligt.

Har du hentet ovennævnte .cap fil og fundet logon info, men stadig mener
der er en forsvindende lille sikkerhedsrisiko, fordi det er kompliceret,
så kan det gøres endnu nemmere.

Israeleren Nir Sofer har bl.a skrevet et lille program, SniffPass.exe
som kan hentes fra hans HP her:

http://nirsoft.net/

Jeg har brugt lidt tid med at læse hans blog, og han virker seriøs, så
selv om Symantic advarer mod SniffPass som HackTool.SniffPass på deres
HP:

<http://www.symantec.com/security_response/writeup.jsp?docid=2010-011515
-5548-99>

Kort link:

http://tinyurl.com/39xxjdn

-så tror jeg ikke der er noget der tyder på den indeholder malware. Jeg
har dog ikke prøvet den.

Fordelen ved SniffPass er, efter beskrivelsen, at den kan benytte NM3's
interface til at indstille det trådløse NIC i MM. Og så behøver man
heller ikke lave et filter, selv om det er forholdsvis nemt.

Det er efterhånden så nemt at sniffe bruger-id og passwords over
ukrypterede forbindelser, at der bør advares på det kraftigste mod at
man logger på sådanne tjenester som Version2, Datatid osv via
ukrypterede AP ved Hot Spots, Gratis Danmark i S-tog eller busser m.fl.

Jeg mener det en skandale, at disse tjenester ikke advarer mod det, i
stedet for at pege fingre ad andre bl.a Fjæsbog, som man oplevede
Version2 gøre det. Eller i det mindste bruge HTTPS under logon, som
Hotmail gør. Den tjeneste er osse gratis.


--
Banned from Version2.dk for writing a Firesheep script.

 
 
Axel Hammerschmidt (29-11-2010)
Kommentar
Fra : Axel Hammerschmidt


Dato : 29-11-10 21:30

Axel Hammerschmidt <hlexa@hotmail.com> wrote:

<snip>

> Det er efterhånden så nemt at sniffe bruger-id og passwords over
> ukrypterede forbindelser, at der bør advares på det kraftigste mod at
> man logger på sådanne tjenester som Version2, Datatid osv via
> ukrypterede AP ved Hot Spots, Gratis Danmark i S-tog eller busser m.fl.

http://www.aok.dk/byen-rundt/artikel/kaffe-og-traadloest-tak

Man må da håbe, at de benytter krypterede Hot Spot med L2 Isolation.

: "Vi ser alt fra regnskabsfolk til advokater. Mange går ud for at bryde
: dagen og få noget atmosfære," siger Karsten Christophersen, der står
: for administrationen af Riccos kaffebarer.


--
Ikke ham på Facebook.

Axel Hammerschmidt (29-11-2010)
Kommentar
Fra : Axel Hammerschmidt


Dato : 29-11-10 23:00

Axel Hammerschmidt wrote:

> Axel Hammerschmidt <hlexa@hotmail.com> wrote:

<snip>

> http://www.aok.dk/byen-rundt/artikel/kaffe-og-traadloest-tak
>
> Man må da håbe, at de benytter krypterede Hot Spot med L2
> Isolation.
>
>: "Vi ser alt fra regnskabsfolk til advokater. Mange går ud for at
>: bryde dagen og få noget atmosfære," siger Karsten Christophersen,
>: der står for administrationen af Riccos kaffebarer.

Mer'

: Og det er ikke kun på Bang & Jensen, at alt fra forfattere til
: konsulenter af forskellig art starter arbejdsdagen. På stort set
: alle cafeer med gratis internet bliver der logget på.

Iflg

http://www.æbletræet.dk/index.php?title=Netcaf%C3%A9

: Bang & Jensen
:
: <snip>
:
: Der er åben Wi-Fi.


--
Banned from Version2.dk for writing a Firesheep script.

Axel Hammerschmidt (29-11-2010)
Kommentar
Fra : Axel Hammerschmidt


Dato : 29-11-10 23:56

Axel Hammerschmidt:

<snip>

> Iflg
>
> http://www.æbletræet.dk/index.php?title=Netcaf%C3%A9
>
>: Bang & Jensen
>:
>: <snip>
>:
>: Der er åben Wi-Fi.

Sjovt med de danske bogstaver i URL'en. Det er nyt.

Jeg kan ikke live-klikke på adressen som det står her med Xnews.

Måske er der andre der har samme problem. I så fald - hvis din
browser ellers understøtter de danske tegn - skal du kopiere
"http://www.æbletræet.dk" (uden anf tegn) over i adressefeltet og så
enten overskrive/tilføje "/index.php?title=Netcaf%C3%A9" (igen uden
anf tegn) efter .dk, eller evt bare navigerer gennem menuerne til
venstre på siden.

Vælg Artikler - rul ned til Artikler i kategorien "Alle artikler" og
vælg Netcafe under bogstavet "N" - hvor Bang & Jensen er anmeldt.


--
Banned from Version2.dk for writing a Firesheep script.

Søg
Reklame
Statistik
Spørgsmål : 177549
Tips : 31968
Nyheder : 719565
Indlæg : 6408820
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste