Rein theoretische Frage aus Interesse. Angenommen ich kommuniziere unverschlüsselt mit einem Server, z. B. Telnet. Der Server steht mit statischer IP xy im Internet, z. B. so ein Virteller Server bei einem der üblichen Anbieter. -Wer kann die Kommunikation mitlesen? Der ISP, der Server-Anbieter, die NSA; wer noch? Welche Möglichkeiten hat mein Nachbar als Privatmensch? -Wie kann man Nachbar erreichen, dass er für den Server mit IP xy gehalten wird und ich mich bei seinem Rechner einlogge anstatt auf meinem Server?
Wenn dein Nachbar z.b. dein W-Lan Passwort hat und etwas ahnung kann er alle Daten welche in deinem Netzwerk sind auch mitlesen. Das ist dann ein sogenannter "Man in the Middle" angriff....
Sven schrieb: > Wenn dein Nachbar z.b. dein W-Lan Passwort hat und etwas ahnung kann er > alle Daten welche in deinem Netzwerk sind auch mitlesen. Das ist dann > ein sogenannter "Man in the Middle" angriff.... nicht wirklich. "Man in the Middle" braucht man für verschlüsselte Verbindungen. Zum mitlesen von unverschlüsselten reicht arp-spoofing, oder einen zusätzlichen DHCP Server. Und "Man in the Middle" geht auch nur, wenn man die Zertifikatswarnung ignoriert. Aber das geht alle nur wenn man zugriff direkt auf das Hausnetzt hat, der Nachbar kann dafür natürlich die Tür mit einer Axt hacken und sich Zugang verschaffen.
Gaelle schrieb: > Angenommen ich kommuniziere unverschlüsselt mit einem Server, z. B. > Telnet. Der Server steht mit statischer IP xy im Internet, z. B. so ein > Virteller Server bei einem der üblichen Anbieter. Wenn dein Nachbar ebenfalls einen Server bei deinem Provider hat, der sich im selben Netzsegment wie deiner befindet, könnte er auf seinem Server den Verkehr zu deinem Server mitlesen, allerdings nur, wenn das ein ungeswitchtes Netzwerk ist (hat man heutzutage nicht mehr)
Peter II schrieb: > nicht wirklich. "Man in the Middle" braucht man für verschlüsselte > Verbindungen. Zum mitlesen von unverschlüsselten reicht arp-spoofing, > oder einen zusätzlichen DHCP Server. nicht wirklich. "Man in the middle" braucht keine verschlüsselte Verbindung. Und erst recht nicht, braucht man einen zusätzlichen DHCP.
Wenn du dich mit einem anderen Server verbindest, haben mindestens alle die bei der traceroute auftauchen den Traffic gesehen und könnten diesen Speichern & Modifizieren. Jedes Gerät im selben Subnet wie eines dieser Geräte könnte, sofern mac spoofing nicht verhindert wird, ein ICMP Redirect Packet mit dem Router als source versenden, um deine Verbindung über sich umzuleiten. Beim ISP kommt der Traffic immer vorbei, dein Internetanbieter kann also immer mitlesen. Wenn man die BGP informationen bei einem AS manipulieren kann, kann man sämtlichen Internet traffic so ziemlich überall hinleiten. Wenn du z.B. einen vServer hast, kann der Hoster auf sämtliche Daten direkt darauf zugreifen, ohne überhaupt das Netzwerk nutzen zu müssen, und ohne Spuren zu hinterlassen. Zu beachten ist auch, wenn man nur für ein paar Sekunden vergisst bei einem Dienst ein Passwort zu setzen, oder einen unsicheren Service betreibt, oder default Passwörter verwendet, wurde man vermutlich bereits gehackt. Ich habe mal eine Liste mit Login versuchen auf meinem Server erstellt, zum live mitverfolgen: https://preview.danielabrecht.ch/loginfails/ Und theoretisch könnten in jeder Soft und Hardware Backdoors sein. (Den string "Backdoor" findet man überigens häufig in z.B. den closed source Handy radio binaries) Wenn du dein Handy z.B. über W-Lan mit dem selben Netz wie dein PC Verbindest, kann dieses, und die Apps darauf, natürlich auch Daten Mitschneiden und Verbindungen umleiten. Auch Browserplugins und andere Malware auf dem eigenen oder einem fremden PC können daten Mitlesen, modifizieren, etc. Dann sind da natürlich noch die Hersteller der Router, Modems, etc. und ihre Hintertüren. Diese können auch mitlesen. Und die Hersteller der Vieren, die die Router über die Hintertüren hacken, natürlich auch. Dann besteht noch die Möglichkeit, dass der der DNS Anbieter deiner Domain kein DNS Sec kann. Wenn die DNS Abfrage dann von jemandem abgeändert wird, kann dieser den Request dann auch umleiten. Bonus Fact: Selbst wenn du SSL Verwendest, die Domain welche du besuchst ist im SSL SNI und den DNS Queries noch unverschlüsselt enthalten, und die ziel IP auch.
Frank S. schrieb: > nicht wirklich. "Man in the middle" braucht keine verschlüsselte > Verbindung. Und erst recht nicht, braucht man einen zusätzlichen DHCP. wozu sollte man bei einer unverschlüsselten Verbindung "Man in the middle" machen? Es geht ums mitlesen und nicht ums Manipulieren. Und ja mit einen extra DHCP Server kann man den Traffik bequem über sein PC umleiten ohne das man mac spoofing braucht.
Warum gebrauchen Menschen eigentlich Formulierungen wie "mein Nachbar" "ich habe da einen Freund/Kollegen" anstatt frei raus "ICH will" zu sagen: Lautet die Frage nicht: "Wie hacke ich meinen Nachbarn?" scnr.
Peter II schrieb: > wozu sollte man bei einer unverschlüsselten Verbindung "Man in the > middle" machen? Es geht ums mitlesen und nicht ums Manipulieren. Genau, es geht ums Mitlesen. Wie sonst sollte der Angreifer den Datenverkehr denn mitlesen, wenn nicht entweder durch Übernahme eines der Endpunkte, oder indem er irgendwo auf dem Netzwerkpfad zwischen diesen sitzt und genau dort ihre Kommunikation mitlesen kann? Genau das beschreibt der Terminus Man-in-the-Middle: der Angreifer befindet sich zwischen den Endpunkten. Mit Verschlüsselung hat der Man-in-the-Middle zunächst einmal nichts zu tun -- tatsächlich ist die Verschlüsselung gerade dazu entwickelt worden, diese Art von Angriff zu unterbinden.
Sheeva P. schrieb: > Genau, es geht ums Mitlesen. Wie sonst sollte der Angreifer den > Datenverkehr denn mitlesen, wenn nicht entweder durch Übernahme eines > der Endpunkte, oder indem er irgendwo auf dem Netzwerkpfad zwischen > diesen sitzt und genau dort ihre Kommunikation mitlesen kann? in dem man dafür sorgt, das die Daten am PC vorbeikommen. > Genau das beschreibt der Terminus Man-in-the-Middle: der Angreifer > befindet sich zwischen den Endpunkten. Mit Verschlüsselung hat der > Man-in-the-Middle zunächst einmal nichts zu tun -- tatsächlich ist die > Verschlüsselung gerade dazu entwickelt worden, diese Art von Angriff zu > unterbinden. Beim Man-in-the-Middle spielt man selber Endpunkt, kann also auch nur beim Verbindungsaufbau gemacht werden. Mitlesen kann durch arp-spoofing kann man während der Verbindung machen.
Peter II schrieb: > Beim Man-in-the-Middle spielt man selber Endpunkt, kann also auch nur > beim Verbindungsaufbau gemacht werden. Mitlesen kann durch arp-spoofing > kann man während der Verbindung machen. Junge, Junge. Wir habe im Golfclub auch einen Peter II. Ist Deine Frau Bäckereifachverkäuferin? Ein erfolgreicher Man-in-the-Middle-Angriff, bei einem verschlüsseltem Verkehr, ist in etwa so erfolgversprechend, wie der Versuch Dich zu überzeugen.
Frank S. schrieb: > Wir habe im Golfclub auch einen Peter II. Ist der als Mann in der Mitte dabei behilflich, die Schlagweite der Bälle zu erhöhen? :) MfG Paul
Schlagweitenhilfe wird immer gerne genommen, wenn kein Slice oder Hook verstärkt wird.
Frank S. schrieb: > Ein erfolgreicher Man-in-the-Middle-Angriff, bei einem verschlüsseltem > Verkehr, ist in etwa so erfolgversprechend, wie der Versuch Dich zu > überzeugen. es geht nicht um eine verschlüsselte Verbindung!
Frank S. schrieb: > Ein erfolgreicher Man-in-the-Middle-Angriff, bei einem verschlüsseltem > Verkehr, ist in etwa so erfolgversprechend, wie der Versuch Dich zu > überzeugen. du hast ja so viel Ahnung: Es gibt mehr als genug Tools im Netzt im genau das zu machen. Verschlüsselte Verbindungen mitzulesen. Wenn man die CA Liste vom Client kontrollieren kann ist mitlesen überhaupt keine Problem.
Frank S. schrieb: > Tja. Auch in Deinem Fall gilt: Schweigen ist Gold. während die schweigst kannst du dich ja weiter bilden: https://www.heise.de/newsticker/meldung/Sicherheitsforscher-an-AV-Hersteller-Finger-weg-von-HTTPS-3620159.html Scheint ja alles kein Problem zu sein, denn man kann ja keine verschlüsselten verbinden mitlesen....
Ach komm schon. Da geht doch mehr. Was hat das mit Man in the middle zu tun?
Frank S. schrieb: > Ach komm schon. Da geht doch mehr. Was hat das mit Man in the middle zu > tun? wenn glaubst du was ein Firewall die SSL mitliest ist? Oh ein das gleiche wie ein "Man in the middle" - erstaunlich. Eventuell hilft dir der vergleich. An einen Switch mit Mirror-Port kann man mitlesen aber keine "Man in the middle" machen.
Du hast einfach keine Ahnung. Da helfen auch die Schlagwörter nicht weiter.
Frank S. schrieb: > Du hast einfach keine Ahnung. Da helfen auch die Schlagwörter nicht > weiter. Immerhin mehr als sinnlose Kommentare die nur Provozieren wolle, aber keine Argumente beinhalten.
Peter II schrieb: > Sheeva P. schrieb: >> Genau, es geht ums Mitlesen. Wie sonst sollte der Angreifer den >> Datenverkehr denn mitlesen, wenn nicht entweder durch Übernahme eines >> der Endpunkte, oder indem er irgendwo auf dem Netzwerkpfad zwischen >> diesen sitzt und genau dort ihre Kommunikation mitlesen kann? > > in dem man dafür sorgt, das die Daten am PC vorbeikommen. Es spielt keine Rolle, ob man erst dafür sorgen muß oder ob dieser Zustand durch die Netzwerktopologie und / oder das Routing gegeben ist. > Beim Man-in-the-Middle spielt man selber Endpunkt, kann also auch nur > beim Verbindungsaufbau gemacht werden. Das wiederum nennt man Spoofing: vorzugeben, jemand anderer zu sein, in der Regel natürlich der gewünschte Kommunikationspartner. Auch dagegen helfen moderne Verschlüsselungstechniken, indem sie beglaubigte, kryptografisch signierte Zertifikate verwenden, deren Authentizität bei der zuständigen Zertifizierungsstelle überprüft werden kann. > Mitlesen kann durch arp-spoofing kann man während der Verbindung machen. Das auch, aber es gibt noch viele andere Möglichkeiten.
Peter II schrieb: > Verschlüsselte Verbindungen mitzulesen. Wenn man die CA Liste vom Client > kontrollieren kann ist mitlesen überhaupt keine Problem. Wenn ein Angreifer die CA-Listen des Clients kontrollieren kann, dann hat der Client ein ganz anderes Problem: dann hat der Angreifer den Client -- also: einen der beiden Endpunkte -- nämlich bereits übernommen und kann dann den Datenverkehr direkt auf diesem mitlesen, ohne sich um Man-in-the-Middle oder Verschlüsselung kümmern zu müssen.
Peter II schrieb: > wenn glaubst du was ein Firewall die SSL mitliest ist? Oh ein das > gleiche wie ein "Man in the middle" - erstaunlich. Ein Firewall -- also: nicht dieses Kinderspielzeug, das als "Personal" oder "Desktop Firewall" bekannt ist, sondern ein Firewall im Sinne eines Konzepts zur Trennung von Netzen -- ist immer ein Man-in-the-Middle. Und dabei ist es gleichgültig, ob er (und die Clients) so konfiguriert sind, daß der Firewall das TLS-Protokoll ent- oder umschlüsseln kann, oder nicht. > An einen Switch mit Mirror-Port kann man mitlesen aber keine "Man in the > middle" machen. Doch. Wenn der Datenverkehr verschlüsselt ist, nutzt einem das nur nichts, weil der Man-in-the-Middle dann eben nur den verschlüsselten Datenverkehr lesen kann. Wie gesagt: Man-in-the-Middle bezieht sich nur auf die Position des Angreifers in der Netzwerktopologie und hat nichts mit Verschlüsselung oder mit den Techniken zu tun, mit denen Angreifer diese Position erlangen kann.
>Ich habe mal eine Liste mit Login versuchen auf meinem > Server erstellt, zum live mitverfolgen: > https://preview.danielabrecht.ch/loginfails/ Sollte allerdings hier kein Best-Practice Beispiel darstellen so viele Logins überhaupt zuzulassen
Sheeva P. schrieb: > Peter II schrieb: >> Verschlüsselte Verbindungen mitzulesen. Wenn man die CA Liste vom Client >> kontrollieren kann ist mitlesen überhaupt keine Problem. > > Wenn ein Angreifer die CA-Listen des Clients kontrollieren kann, dann > hat der Client ein ganz anderes Problem: dann hat der Angreifer den > Client -- also: einen der beiden Endpunkte -- nämlich bereits übernommen > und kann dann den Datenverkehr direkt auf diesem mitlesen, ohne sich um > Man-in-the-Middle oder Verschlüsselung kümmern zu müssen. Nicht unbedingt. Es genügt eine der Certificat Authorities zu kontrollieren, oder eine der CAs dazu zu bringen eine uneingeschränkte Intermediat Certificat Authority zu signieren, und kann dann gültige Certifikate für was auch immer man neu verschlüsseln muss on-the-fly austellen. Weil sowas immer mal wieder passiert, gibt es Dinge wie HTTP public key pinning. Sheeva P. schrieb: > Wenn der Datenverkehr verschlüsselt ist, nutzt einem das nur > nichts, weil der Man-in-the-Middle dann eben nur den verschlüsselten > Datenverkehr lesen kann. Doch, z.B. gibt es immer einige Metadaten, wie ziel IP, etc. und anhand der Datenmenge und schwankenden Datenraten kann man rückschlüsse darauf ziehen, ob der nutzer z.B. ein video gestartet hat, etc. Phil J. schrieb: >>Ich habe mal eine Liste mit Login versuchen auf meinem >> Server erstellt, zum live mitverfolgen: >> https://preview.danielabrecht.ch/loginfails/ > > Sollte allerdings hier kein Best-Practice Beispiel darstellen so viele > Logins überhaupt zuzulassen Ja, ich weiss, ich sollte failtoban oder etwas ähnliches nehmen. Aber es ist trotzdem sehr interressant die momentanen Trends zu beobackten, und man bekommt gratis eine liste mit unsicheren Passwörtern. Interressant ist, das meisstens der root user versucht wird, bei anderen benutzern meisst username=password, und ansonsten dinge wie www-data, oracle, ts3 (teamspeak), mysql, etc. als benutzer versucht wird. Und als damals die Medien über Linux.Proxy.10 berichteten, haben alle dessen default logins versucht. Das einzige Problem ist, man darf sich selbst beim Passwort eingeben nicht vertippen.
Hacken tut der Laie am besten mit einer Axt Holz. Dann hat er wenigstens am Ende des Tages etwas Sinnvolles gemacht und kommt nicht auf dumme Ideen ;-D
Sheeva P. schrieb: > Doch. Wenn der Datenverkehr verschlüsselt ist, nutzt einem das nur > nichts, weil der Man-in-the-Middle dann eben nur den verschlüsselten > Datenverkehr lesen kann. Wie gesagt: Man-in-the-Middle bezieht sich nur > auf die Position des Angreifers in der Netzwerktopologie und hat nichts > mit Verschlüsselung oder mit den Techniken zu tun, mit denen Angreifer > diese Position erlangen kann. es bezieht sich darauf, ob man aktiv in die Verbindung eingreift. Ein mitlesen ist passiv, man kann keine Daten ändern. Beim MiM ist man aktiv beteiligt. Auch wenn man die Daten nicht ändert. Sonst müsste man ja jeder Router als MiM bezeichnen, das tut man aber nicht.
Sheeva P. schrieb: >> Beim Man-in-the-Middle spielt man selber Endpunkt, kann also auch nur >> beim Verbindungsaufbau gemacht werden. > > Das wiederum nennt man Spoofing: vorzugeben, jemand anderer zu sein, in > der Regel natürlich der gewünschte Kommunikationspartner. genau da mach man bei MiM. Man tut so als ob man der Endpunkt ist.
Bevor hier die Wellen weiter hochschlagen, einfach mal lesen: https://de.wikipedia.org/wiki/Man-in-the-Middle-Angriff https://www.heise.de/glossar/entry/Man-in-the-Middle-Angriff-399039.html Der Man in the Middle täaucht den beiden jeweiligen Kommunikationspartnern vor, dass er derjenige andere Kommunikationspartner wäre. A <----> MiM <----> B Damit lassen sich auch verschlüsselte Verbindungen angreifen, wenn beide Kommunikationspartner nicht prüfen, dass der jeweilige Gegenüber tatsächlich der gewünschte Kommunikationspartner ist. Für solch eine Prüfung ist auch sicherzustellen, dass der erstmalige Schlüsselaustausch vorab über ein sicheres Medium gelaufen ist. Ein Man-In-The-Middle-Angriff hat erstmal nichts mit Verschlüsselungen zu tun. Er kann aber durchaus dafür eingesetzt werden, um diese auszuhebeln.
:
Bearbeitet durch Moderator
Peter II schrieb: > Sheeva P. schrieb: >> Doch. Wenn der Datenverkehr verschlüsselt ist, nutzt einem das nur >> nichts, weil der Man-in-the-Middle dann eben nur den verschlüsselten >> Datenverkehr lesen kann. Wie gesagt: Man-in-the-Middle bezieht sich nur >> auf die Position des Angreifers in der Netzwerktopologie und hat nichts >> mit Verschlüsselung oder mit den Techniken zu tun, mit denen Angreifer >> diese Position erlangen kann. > > es bezieht sich darauf, ob man aktiv in die Verbindung eingreift. > > Ein > mitlesen ist passiv, man kann keine Daten ändern. Beim MiM ist man aktiv > beteiligt. Auch wenn man die Daten nicht ändert. > > Sonst müsste man ja jeder Router als MiM bezeichnen, das tut man aber > nicht. Das Problem ist die sprachliche Ungenauigkeit. Man-in-the-Middle bedeutet nämlich, wie gesagt, nur eine Position innerhalb einer Netzwerktopologie, und insofern ist auch ein Router tatsächlich ein Man-in-the-Middle. Was Du damit die ganze Zeit verwechselst, ist ein Man-in-the-Middle-Angriff. Das mag bei Lesern bunter Heftchen mit den Buchstaben "P" und "C" im Titel zwar keinen großen Unterschied ausmachen, in der Fachsprache ist es jedoch ein wesentlicher. Wenn Du schon Kompetenz zeigen willst, indem Du Fachbegriffe benutzt, dann bitte a) richtig und b) mit der gebotenen Genauigkeit. Ach ja: die korrekte Abkürzung ist nicht MiM, sondern MITM oder -- meist im angloamerikanischen Sprachraum -- mitm. Mit MIM meinen Fachleute, je nach Kontext, das Mobile Instant Messaging, das Major Incident Management oder den Microsoft Identity Manager.
Sheeva P. schrieb: > Peter II schrieb: >> Sheeva P. schrieb: > > Ach ja: die korrekte Abkürzung ist nicht MiM, sondern MITM oder -- meist > im angloamerikanischen Sprachraum -- mitm. Mit MIM meinen Fachleute, je > nach Kontext, das Mobile Instant Messaging, das Major Incident > Management oder den Microsoft Identity Manager. Tja, das ist so eine Sache mit Abkürzungen. Ich finde bestimmt viele Bereiche in denen dein MiM, MITM, mitm, etc. ganz andere Bedeutungen haben werden. Daher sollte man - da du ja genaue Verwendung verlangst - in einem Text immer einmal die Begriffe vollständig ausschreiben und mit der Abkürzung kennzeichnen. Erst dann kann man die Abkürzungen im weiteren Text verwenden. Sprache ist halt schon nicht eindeutig, Abkürzungen erst recht nicht.
Sheeva P. schrieb: > und insofern ist auch ein Router tatsächlich ein Man-in-the-Middle. Ja, ist er. Insbesondere, wenn er Masquerading benutzt, was jeder popeliger DSL-Home-Router auch tut. Mit Masquerading täuscht er zumindest einem Kommunikationspartner eine falsche Identität vor. Ein Webserver im Internet kann erstmal nicht unterscheiden, ob da Tante Erna oder Onkel Will hinter dem Router mit der IP-Adresse x.x.x.x surft - wenn man mal von anderen Techniken wie Cookies oder Fingerprinting absieht. EDIT: Interessant ist, wenn man nach "Man in the middle" googelt, dass man diesen Begriff nur im Zusammenhang mit "Angriff" oder "Attacke" findet, aber niemals für sich allein.
:
Bearbeitet durch Moderator
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.