Wildfremde Rechner beschnüffeln

Herakles

Herakles

Profifragensteller
Moin!

Kurz und knapp: kennt jemand eine Möglichkeit, Daten eines beliebigen Rechners im Internet mitzuschneiden? Also prinzipiell ein man-in-the-middle Angriff. Also das, was ich im LAN mit nem Tool wie ettercap hinbekomme, für's Internet.

Kennt sich da einer mit aus? Kann mir da jemand helfen?

Danke im Voraus und bitte, verschont mich mit Anfeindungen. Ich will hier kein Flame eröffnen und falls die Frage nicht den Boardregeln entspricht: bitte schließen.

Herakles
 
TKG? Ich kenn wohl TKKG :-)

EDIT: AAHH!!! Telekommunikationsgesetz. Da würde ich mich wohl strafbar machen. Na, dann lass ich das mal lieber :-)

Danke, maus!

Nochmal EDIT: hmmm... dann ist ettercap doch auch strafbar!? Komisch das alles....
 
Zuletzt bearbeitet:
Ich möchte die Frage umformulieren:

Was müsste man tun, um so etwas zu bewerkstelligen? Ist es einer fremden Person möglich, meine Daten abzugreifen, die ich ins Internet sende und das ohne Malware auf meinem Rechner?

Herakles
 
Herakles schrieb:
Was müsste man tun, um so etwas zu bewerkstelligen? Ist es einer fremden Person möglich, meine Daten abzugreifen, die ich ins Internet sende und das ohne Malware auf meinem Rechner?
Zum Vergrößern anklicken....

Wohl nur dann, wenn Du Zugriff direkt auf den Knoten hinter der/den Netzkarten des zu belauschenden Rechners hast. Sonst weißt Du ja nicht, was alles an Dir vorbei flitscht.
Du könntest natürlich versuchen auch den ganzen Verkehr von der Kiste erst mal zu einem Lauschposten umzuleiten.
Da fehlt mir aber jegliche Erfahrung - vermutlich leiten versierte Jungs den ganzen Datenverkehr au Wunsch auch noch durch deinen alten Kühlschrank im Keller. :rolleyes:
 
Es gibt afaik nur 2 moeglichkeiten die Pakete einer BESTIMMTEN Person abzuhoeren, entweder direkt bei deinem Zugang zum Internet (ISP) oder auf dem Weg dahin (abhoeren einer Telefonleitung usw), das ist eine real existierende Gefahr... und das Abhoeren des gesammten Internetverkehrs und die header der Pakete ueberpruefen und die BESTIMMTE Person herrausfilter.... Recht unrealistisch... Wahrscheinlicher ist es, das man dem User einen Proxy unterjubelt der alle Pakete im hintergrund aufzeichnet.
 
Herakles schrieb:
Nochmal EDIT: hmmm... dann ist ettercap doch auch strafbar!? Komisch das alles....
Zum Vergrößern anklicken....
Audits eigener Systeme sind in Ordnung. Das Abhören fremder Systeme ist aber verboten, und Programme, die nur auf genau dies abzielen, sind gemäß dem neuen "Hacker-Paragraphen" illegal.

Das Abhören fremder Systeme selbst war aber auch vor Einführung des "Hacker-Paragrahen" schon verboten. Deswegen solltest du hier nach Möglichkeiten keine Tips bekommen, wie man das anstellt. :rolleyes:
 
Ich bin sowieso dafür, dass jeder ISP gesetzlich dazu verpflichtet wird, alle durchlaufenden Datenpakete auszudrucken. Nur so kann man später genau nachvollziehen, wer welche widerrechtlichen Daten verschoben hat.
 
Herakles schrieb:
Moin!

Kurz und knapp: kennt jemand eine Möglichkeit, Daten eines beliebigen Rechners im Internet mitzuschneiden? Also prinzipiell ein man-in-the-middle Angriff. Also das, was ich im LAN mit nem Tool wie ettercap hinbekomme, für's Internet.

Kennt sich da einer mit aus? Kann mir da jemand helfen?

Danke im Voraus und bitte, verschont mich mit Anfeindungen. Ich will hier kein Flame eröffnen und falls die Frage nicht den Boardregeln entspricht: bitte schließen.

Herakles
Zum Vergrößern anklicken....

Hallo Herakles,

also ich werde Dir jetzt keine Anleitung schreiben, aber zumindest Dich nicht im Regen stehen lassen.

So jedes System hat seine Schwachpunkte über die Du angreifen, tracken und mitschneiden kannst.

So das ist bei Microsoft basierten Betriebssysten die Datei und Druckerfreigabe die per default erst mal alktviert ist.

Bei unixoiden Betriebssystemen ist es leider immer noch Bind.

Nun gibt es verschiedene Techniken wie Du das bewerkstelligen kannst, diese hier aufzuführen verstösst gegen genantes Gesetz und auch gegen unsere Forenregeln.
Nur soviel in der letzten Zeit werden Techniken miteinander gekoppelt so finden Angriffe auf Unixoide Betriebssysteme in der Regel in einer Mehrfachkombination verschiedener Browser statt.

Lies dich mal bei Bugtrack ein und studiere dort die gängisten Angriffsmuster, setze Dir zu Hause ein Netzwerk auf in der Du das nachstellen kannst.

Lege Dir ein Backtrack 2 oder 3 zu werde jetzt nicht verlinken oder erklären was das ist.

Falls Du mehr wissen/lernen möchtest dann ist ne PM an mich Dein Freund.

peace rudy
 
Je nachdem wäre sicherlich dns spoofing eine Möglichkeit um den Verkehr umzuleiten.

Ich finde es eigentlich nicht verkehrt sich darüber zu informieren, weil man dadurch auch lernt seinen eigenen Server und seine Clients abzusichern und entsprechende Attacke zu verhindern. Und nur weil sich jemand dafür interessiert muss er nicht gleich Hintergedanken haben. <.<
 
Wäre es legal, mein eigenes System von Aussen zu prüfen oder fällt das mittlerweile auch unter illegal?
 
d4mi4n schrieb:
Wäre es legal, mein eigenes System von Aussen zu prüfen oder fällt das mittlerweile auch unter illegal?
Zum Vergrößern anklicken....
Wenn schon das Tool, was du dafür benutzen willst illegal wäre...

Der offizielle Weg wäre soweit ich weiß, die Benutzung eines illegalen Tools zu legalen Testzwecken beim BSI zu beantragen.
 
Vielen Dank an alle für die Ausführungen. Ich scheine ja ein interessantes Thema angeschnitten zu haben :-)
 
s-tlk schrieb:
Je nachdem wäre sicherlich dns spoofing eine Möglichkeit um den Verkehr umzuleiten.

Ich finde es eigentlich nicht verkehrt sich darüber zu informieren, weil man dadurch auch lernt seinen eigenen Server und seine Clients abzusichern und entsprechende Attacke zu verhindern. Und nur weil sich jemand dafür interessiert muss er nicht gleich Hintergedanken haben. <.<
Zum Vergrößern anklicken....

Ich denke ARP-Spoofing wäre der "bessere" Weg. Ettercap und Wireshark nutzen dies auch. Solange man mit den Programmen keine Straftaten vorbereitet sind sie glaube ich auch legal (bin aber kein Anwalt daher ist das nur eine Vermutung). Aber ml eben den Verkher aus dem Netz über den lokalen Rechner laufen wird wohl nicht funktionieren. Ich denke (hoffe :D) dass ARP-Nachrichten irgendwie gefiltert werden :D
 
ARP spoofing durch einen Router hindurch wird schwierig :p Da wirst Du keinen Erfolg haben, weil hier eine Kollisionsdomäne endet und sämtliche ARPs nicht in das Internet geroutet werden.

Wäre ja auch schlimm. Man stelle sich vor, wie groß der ARP-Cache des eigenen Rechners würde, wenn man 10 Minuten online ist... Puh! Und DANN wäre Angriffen in der Tat Tür und Tor geöffnet. Ja nicht nur das, die Internet-Welt hätte ein arges Adressenproblem.

Das wird also wohl nix...

Herakles
 
Ich denke auch dass Du von zu Hause aus keinen Erfolg haben wirst, solange Du nicht Zugriff auf die Router bei einem der größeren Netzknoten hast. Und selbst dann ist nicht gewährleistet, dass Du alles mitbekommst, weil die einzelnen Pakete ja durchaus unterschiedliche Routen nehmen können (zumindest bei einer genügend großen Anzahl an Hops). Wenn die Adresse des Zielrechners bekannt ist, könntest Du höchstens versuchen, gezielt Antworten zu provozieren, die Dir Aufschluss über das Zielsystem geben können.

Natürlich gibt es da noch profanere Ansätze. Manche Provider, die Mietserver oder Rackspace anbieten, sind nicht clever genug, die Server über Subnetze zu trennen. Allerdings müsstest Du selbst dann noch den Switch überlisten, damit Du mitlauschen kannst - Hub-Netzwerke setzt meines Wissens nach nun wirklich niemand mehr ein ;)
 
nicolas: habe ich auch gerade auf heise gelesen. Sehr heftig was da so ganz ohne größeren Aufwand anzustellen ist.
 
d4mi4n schrieb:
nicolas: habe ich auch gerade auf heise gelesen. Sehr heftig was da so ganz ohne größeren Aufwand anzustellen ist.
Zum Vergrößern anklicken....

Das ist sogar mehr als das :

http://archives.neohapsis.com/archives/bugtraq/2008-01/0063.html

Mann kann auch CSRF mit anderen Angriffstechniken kombinieren, man greift gezielt zBsp Router an oder wie in Heise beschrieben stellt Webseiten zur Verfügung.

Zum Stöbern:

http://www.computerwoche.de/knowledge_center/it_security/582260/index6.html

peace rudy
 
Also ich habe auch einen WRT54G (der allerdings mit DD-WTT läuft)
und halte das nicht für eine Schwachstelle des Gerätes.

Ich meine es ist doch klar, dass wenn ich im Routerwebinterface eingeloggt bin, und gleichzeitig auf einen Link klicke, der auf eine interne Netzadresse zeigt, der Router fein gehorcht weil er gar nicht merkt, dass ich nicht selbst den Save-Changes Button im Webinterface geklickt habe.

Auf die gleiche Art und Weise könnte ich dem Teil auch einen anderen Nameserver zuweisen und mitlesen, worauf mein verändertes Gerät zugreift.

Viel gefährlicher finde ich folgendes Szenario:
Ich besuche eine Seite, die ein Javascript auf meinem PC ausführt.
Das Script pausiert erst 15 Sekunden und in dieser Zeit, wird die
IP, auf die die Domain zeigt, auf eine IP im Heimnetz Bereich geändert.
Das Script greift auf die Domain zu, der Name wird neu aufgelöst,
und das Script liest Daten über das lokale Netz aus.
Weitere paar Sekunden später wird die IP zurückgestellt,
und das Script sendet die Daten an den Rechner.

Allerdings gibt es auch hierbei ein paar Haken:
1.) Ich muss wissen, welche IPs mein Ziel im lokalen Netz verwendet.
2.) Ich kann immer nur ein Ziel zu einer Zeit "abfragen"
(denn sonst würde ein zeitlichversetzter Besucher direkt auf seinen PC oder an eine nicht existierende Adresse verwiesen werden.
3.) Der Besucher muss (auch bei einer kurzen TTL der Adresse) eine gewisse Zeit auf der Seite verbleiben und natürlich Javascript für die Domain erlaubt haben.
 
nevixpain schrieb:
Also ich habe auch einen WRT54G (der allerdings mit DD-WTT läuft)
und halte das nicht für eine Schwachstelle des Gerätes.

Ich meine es ist doch klar, dass wenn ich im Routerwebinterface eingeloggt bin, und gleichzeitig auf einen Link klicke, der auf eine interne Netzadresse zeigt, der Router fein gehorcht weil er gar nicht merkt, dass ich nicht selbst den Save-Changes Button im Webinterface geklickt habe.

Auf die gleiche Art und Weise könnte ich dem Teil auch einen anderen Nameserver zuweisen und mitlesen, worauf mein verändertes Gerät zugreift.

Viel gefährlicher finde ich folgendes Szenario:
Ich besuche eine Seite, die ein Javascript auf meinem PC ausführt.
Das Script pausiert erst 15 Sekunden und in dieser Zeit, wird die
IP, auf die die Domain zeigt, auf eine IP im Heimnetz Bereich geändert.
Das Script greift auf die Domain zu, der Name wird neu aufgelöst,
und das Script liest Daten über das lokale Netz aus.
Weitere paar Sekunden später wird die IP zurückgestellt,
und das Script sendet die Daten an den Rechner.

Allerdings gibt es auch hierbei ein paar Haken:
1.) Ich muss wissen, welche IPs mein Ziel im lokalen Netz verwendet.
2.) Ich kann immer nur ein Ziel zu einer Zeit "abfragen"
(denn sonst würde ein zeitlichversetzter Besucher direkt auf seinen PC oder an eine nicht existierende Adresse verwiesen werden.
3.) Der Besucher muss (auch bei einer kurzen TTL der Adresse) eine gewisse Zeit auf der Seite verbleiben und natürlich Javascript für die Domain erlaubt haben.
Zum Vergrößern anklicken....

Hi Nevix,

das was Du so detailierst beschreibst ist in der Tat brandgefährlich, hiergegen helfen Filterproxies wie 1.) proxomitron (Windows ) oder 2.) Privoxy (all Os)

1.) http://de.wikipedia.org/wiki/Proxomitron
2.) http://de.wikipedia.org/wiki/Privoxy

Bei obengenannten Projekten gibt es jeweils ein gutes Tutorial wie man selbst Filter schreibt.
Beide Filterproxies arbeiten hervoragend mit Tor und Jap zusammen auch hierzu findet man bei den Projekten gute Anleitungen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben