Denne tråd er over 6 måneder gammel
Er du sikker på, at du har noget relevant at tilføje?
Wifi: opsnapning af passwordsAf Junior Nørd mathiasboegebjerg | 18-02-2015 10:04 | 10285 visninger | 143 svar, hop til seneste
Hej Hol,
Jeg har købt mig en WiFi Pineapple fra USA, som kom ind ad døren for et par uger siden. Jeg sad og legede lidt med den, og valgte at prøve at stjæle mit password fra Hol. Wow det var let, da det hele åbenbart bliver sendt i plaintext. Dette er et kæmpe sikkerhedsproblem, da de fleste bruger det samme password flere steder, og der er fri adgang til mailen, som er tilknyttet accounten.
Jeg optog lige hvor let det var, det tog 3 minutter, og jeg kræver ingen adgang til computeren. https://www.youtube.com[...]
En WiFi Pineapple fungerer ved, at hvis din computer ikke er på WiFi, så søger den efter det. Dette gør den ved at sende probe requests, hvilket svarer til, at den hele tiden kalder på forskellige netværk, som den kender. "Hjemmenetværk, er du her?", "Arbejdsnetværk, er du her?", "Starbucks Free WiFi, er du her?". Disse probe requests er frit tilgængelige, da alle bare råber dem ud hele tiden. Når Pineapplen opfanger dem, svarer den blot "Starbucks Free WiFi? Ja det er da mig!", hvorefter din computer connecter til Pineapplen. Jeg har nu fuld kontrol over alt data , du sender og modtager.
Normalt krypterer man trafik, så jeg kun har adgang til krypteret data, hvilket jeg ikke kan bruge til meget. Dette har Hol dog valgt IKKE at gøre, hvilket gør det meget let at stjæle. Kan det virkelig passe, at et forum dedikeret til computere ikke engang har bare helt basal sikkerhed? -- --
Det koster penge at have en krypteret forbindelse (SSL), eller nej, hvis man selv vil sætte det op. Det vil dog stadig give problemer.
Jeg ved Cloudflare har gratis SSL, men mener ikke at det er hele forbindelsen der er krypteret? -- MSI Z97M GAMING
Intel Core i7-4790K (Corsair H75)
Kingston 8GB DDR3
Gigabyte GV-N970IXOC-4GD Det kræver lige at folk er på samme netværk som dig først.
Og hvis først de er på dit netværk, har du andre problemer.
Hvis det er et offentligt netværk, så burde du køre igennem en VPN eller lign.
Det er ikke kun HOL der sender i klartekst, det er der mange services der gør.
Desuden er det ikke de fleste der bruger den samme kode til flere ting.
Eller det håber jeg ikke at det er. Det er tæt på at være øverst på listen over ting man selv kan gøre for at sikre sig selv.
Når nu du ved at HOL er "usikker", så har du vel ikke det samme kodeord på din HOL profil som på samme mail der er registeret til HOL, vel? -- Don't feed the trolls. #2 Der er noget du misforstår, det kræver ikke at jeg er på samme netværk som dem. Det er netop det Pineapplen gør, for dem til at connecte. Det er en honeypot. -- http://www.staggeringbeauty.com[...] 2# Pineapplen faker den WiFi forbindelse du tror, at du connector til. -- Better die on your feet, than live on your knees. Tak fordi du udstiller os alle sammen!
Det er desværre ikke kun hol.dk , som har det problem. Men der er, så vidt jeg, ikke lovligt at tilegne sig brugernes adgangskoder. Krypterer eller ej... -- #3,#4
Så kræver det jo også at man er på samme netværk :) -- Don't feed the trolls. 5# Det ulovligt at sætte sig ved sin kollegas pc og prøve at gætte hans adgangskode.
Så ville være mærkeligt hvis ikke også det var ulovligt at tilegne sig fremmede mennesker passwords. -- Better die on your feet, than live on your knees. #6 Men det er jo lige netop den Pinapplen gør. Jeg kræver ingen adgang til din computer, det kræver ikke at du gør noget dumt, den tvinger dig på dens netværk. -- http://www.staggeringbeauty.com[...] Jeg skal ikke afvise at det kan misbruges og jeg vil da også tage det op med min programmør om der er noget vi kan gøre. Men jeg gætter på at hvis du prøver at logge ind på de fleste services der ikke benytter SSL og det er de fleste sites, så kan du se det samme.
Men det er jo ikke et generelt problem på nettet, det er et spørgsmål om at du spoofer et wifi hotspot med formålet af stjæle oplysninger. Du kan ikke gå ind og se min trafik medmindre du får min computer til at forbinde til din pineapple.
Men som sagt jeg skal nok tage det op med min programmør men folk behøver ikke blive bange for at deres oplysninger stjæles for et godt ord. -- Hilsen Thomas
Chefredaktør på HardwareOnline.dk #8 - Man-in-the-middle angreb er også ulovlige. Ligesom ulovlig aflytning. -- Bazinga!
Problemer med en Admin/Moderator? Spørgsmål vedr. en tråd/et indlæg? - Send en mail til undertegnede.
FFHAU! #11 - Jo og det tager låsesmeden 10 sekunder at komme ind, fordi han har værktøjet til det (og samme værktøj kan købes for småpenge på nettet). Ligesom du nu har værktøjet til at opsnappe ukrypteret trafik på samme netværk.
Vi har haft det oppe og vende før, men da var det for omstændigt at skifte over til https. Forhåbentligt er det blevet lettere nu. -- Bazinga!
Problemer med en Admin/Moderator? Spørgsmål vedr. en tråd/et indlæg? - Send en mail til undertegnede.
FFHAU! #9 Kunne I ikke hashe passwordet med et salt, inden I sender det til serveren?
Det garanterer ikke, at ens session på hol.dk bliver hijacked eller login-info(hashed) bliver stjålet, men det forhindrer crackeren i at forsøge at genbruge passwordet i plaintext andre steder.
Note: Hvorfor bruger man dog samme password flere steder? Så er man da en tosse! ;-) -- #12 Men du skal hen til døren for at låse den op, jeg kan sidde omme bag din hæk, eller når du sidder på caféen og får en kop kaffe.
#13 Jeg tænkte noget i samme stil. Det behøver ikke engang være meget, men bare helt basal, så man holder de fleste script kiddies væk.
-- http://www.staggeringbeauty.com[...] #14 - ja, men du kan gå hen til døren når jeg ikke er hjemme.
Princippet er det samme. Du er nødt til at gøre noget ulovligt - selvom det kun tager 5 sekunder, og kan gøres anonymt. Det kan indbrud i folks huse også, i 99% af tilfælde. -- "ORK SATME!" #12
Jeg husker noget om at vi havde https en overgang og at det endda blev fixed så reklamerne også virkede ret hurtigt.
#13
Det er en løsning, men ikke en særligt god en.
Det rigtige er at implementere TLS.
Det ville også være rart hvis man kunne bruge en 3. part auth som twitter, facebook eller google (de fleste bruger mindst en af de tre services).
De konti har jeg sikret med 2-factor auth, så det føler jeg mig sikret omtrent så godt som man kan. --
Reality is the original Rorschach.
"bump" = lukket tråd
http://www.google.com[...] &http://www.googleguide.com[...]
#17>>Det var et biprodukt af vores understørrelse af tapatalk, hvor meget der var implementeret ved jeg ikke.
3. part godkendelse står på ønskelisten over features. -- Hilsen Thomas
Chefredaktør på HardwareOnline.dk #0 Jo ikke HOL der har et problem, men folk der forbinder til et netværk de ikke kender til. Jeg har personligt ingen enheder der forbinder til at net jeg ikke kender. -- 2600K|Maximus IV Extreme-Z|16GB Ram
Gainward780GTX@GLH|XL2410T|U28D590D
Samsung840 EVO 250GB|CorsairGT 120GB
2xSamsung840 EVO 128GB|4x2TB&4x4TB #21 men det kræver vel at man har sagt ja til at enheden automatisk må forbinde til åbne netværk til at starte med? -- FFHAU!
--
Sidst redigeret #23 Hvilket jeg ikke gør. Så igen, det er brugeren og ikke Hol der lave fejl.
Så nej, Pineapple tvinger mig til intet. -- 2600K|Maximus IV Extreme-Z|16GB Ram
Gainward780GTX@GLH|XL2410T|U28D590D
Samsung840 EVO 250GB|CorsairGT 120GB
2xSamsung840 EVO 128GB|4x2TB&4x4TB #21>>Tvinger er vel en lidt en tilsnigelse, den udgiver sig for at være et andet wifi hotspot og så kan man håbe at målet forbinder til det istedet for det rigtige hotspot. Men sidder du uden for i hækken er signalet sikkert så relativt lavt at min telefon forbinder til wifi'en inde i huset, for wifi tilslutter jo generelt til det med bedst signalkvalitet.
-- Hilsen Thomas
Chefredaktør på HardwareOnline.dk Og hvis nu du skulle være så uheldig at komme på et Pineapple netværk - så er Hol nok det sidste du skal bekymre dig om. -- #25 Nej, tvinger er det rigtige ord. Den kan deauth din computer, så den hoppe af netværket, hvilket den bliver ved med indtil du connecter til den. -- http://www.staggeringbeauty.com[...] #24 Den eneste måde, du kan sikre at din enhed ikke forbinder til en Pineapple, er ved at slå Wifi fra. Det er ligegyldigt om du har forbundet til et åbent wifi eller ej - Pineapple kan sagtens udgive sig for at være dit hjemmenetværk, der er kodebeskyttet. -- ITX:
i7 4770k
Gigabyte 780
Bitfenix Prodigy Om du så ikke har WiFi i din PC er det stadigt et problem da du kan bruge Arp poisening eller mac flooding og et program som wireshark og så gøre det på netværk du kan koden til eller som er åbne -- https://lasse-it.dk[...]
Minecraft: mc.lasse-it.dk #13
Det vil ikke hjælpe på problem at hashe password client side. Hashing metode og evt salt vil kunne ses i kildekoden og derfor ikke rigtig hjælpe på noget som helst. Men som flere har været inde på er det et generelt problem for alle sider der ikke bruger https. Man in the midle attacks kan udføres på nærmest alle netværk ved hjælp af arp poisoning. Der findes dog værktøjer der kan detektere denne slags trafik og deaktivere din port hvis mistænkelig trafik detekteres. -- #30 Du må lige forklare mig, hvor det ikke hjælper at hashe et password (inkl salting).
Hvilken hjælp er det for en cracker at kunne se kildekoden? -- #31
Ved at kunne se kildekoden kan der let ses hvilken metode der er brugt til hahing samt hvad der er brugt til salt. Derfra er det ret nemt at bruteforce sig frem til koden. Hvis der ikke er brugt salt er der ret stor sandsynlighed for at koden kan slåes op i en rainbow table hvilket bare vil gøre processen hurtigere.
Edit:
Hele ideen med at salte er at det er ukendt hvad der er brugt til at salte med og derfor kan man ikke bruge rainbow tables. -- #32 Ok du har styr på salting. Det er fint.
Men du vil altså kaste dig ud i at brute force en kryptografisk stærk hashfunktion?
Du er bekendt med, at de matematisk betragtes de som envejsfunktioner ikke?
Hele ideen med at salte er at det er ukendt hvad der er brugt til at salte med og derfor kan man ikke bruge rainbow tables.
Ideen med salting er udover at fjerne muligheden for at bruge rainbowtables (i praksis), at du ikke kan se, hvilke brugere, der har samme password. ,
Hvis man ikke salter inputtet, så vil alle brugere med samme password have samme hashede password stående i outputfilen. Det er et sikkerhedsmæssigt problem.
Men det hjælper dig ikke en disse at kende saltet. Det skriver man som regel i plaintext (eller man forsøger at gemme det, i det tilfælde at nogen skulle falde over en lap papir med passwordet på, men det er dårlig praksis). -- #33
Selvfølgelig, hvis ikke dette var tilfældet var det slet ikke nødvendigt med bruteforce. Det er bare ikke det helt store problem at bruteforce sig frem til en løsning når hashen er kendt. Med en moderne computer kan man afprøve rigtig mange kombinationer på ret kort tid.
Men det hjælper dig ikke en disse at kende saltet. Det skriver man som regel i plaintext (eller man forsøger at gemme det, i det tilfælde at nogen skulle falde over en lap papir med passwordet på, men det er dårlig praksis).
Selvfølgelig hjælper det da at have saltet, ellers vil man ikke kunne bruteforce sig frem til en løsning. -- #32 - og hvis du så bruger en Public / Private key salting metode - RSA. Så vil du bruge kendskabet til public key hvordan?
Kender du ikke private key (som kun kører server-side) er der lang vej i mål.
Det lyder til at der er flere mod's som har en vis ide om formål og anvendelse. - Jo det ville da afgjort være en praktisk feature når man beder folk om at anvende passwords. -- #34
Selvfølgelig hjælper det da at have saltet, ellers vil man ikke kunne bruteforce sig frem til en løsning.
Det er rigtigt. Men at kende saltet gør det ikke nødvendigvis nemmere at brute force envejsfunktionen.
Salte hjælper egentlig mest imod, at (dumme) brugere benytter usikre passwords. Hvis man anvender et tilpas langt og komplekst password, så bliver det upraktisk at oprette rainbowtables. Og med et salt, så kan rainbowtables ikke genbruges (for andre brugere end brugere, der har samme salt).
Hashing er en simpel og hurtig måde at skabe en vis form for sikkerhed. Som alle andre krypteringsmetoder er de ikke ubrydelige, men de gør det så besværligt at knække passwordet (hvis saltet er hemmeligt, eller passwordet er tilpas komplekst), at man for et site som hol.dk må betragte det som tilstrækkeligt sikkert.
Nu ved jeg godt, at Thomas begynder at bøvle løs om 2.faktor-verifikation via Facebook, Google osv osv. Det er også fint. Men hvad hjælper det, hvis brugerne bruger samme password alle steder? (og med erfaring for hol.dk, så går der nok 3-5 år inden 3.part-verifikation kan tages i brug ;) ) -- #35
Det vil selvfølgelig ikke hjælpe noget, hvis du læser efter forslåer jeg også at bruge https dvs RSA. Som jeg læser forslaget i #13 er der tale om en simpel MD5 SHA eller andet hasing for ikke at sende koden i plain text.
#36
Men ved at bruge client side hashing er saltet jo ikke hemligt. Vi er helt enige om at det måske kan holde nogle script kiddies væk, men hvis man går igennem besværet med at lave et man in the middle attack tror jeg ikke det er simpel hashing der vil holde folk væk. -- #37 Nej, det er lidt min pointe: Saltet behøver ikke være hemmeligt.
Saltet forhindrer, at man kan have forudberegnede rainbow tables, før man kender saltet. (Og samtidig forhindrer saltet kolissioner mellem enslydende passwords osv).
Min pointe er, at hvis du har noget data, som er hashed med.. ja lad os sige MD5... og saltet er kendt, så er den eneste måde at brute force at afprøve samtlige passwords, da du ikke kan have forudberegnede rainbowtables (med mindre du har en uendeligt stor computer, som har rainbowtables for alle tænkelige salts liggende).
Man kan godt brute force MD5. Det hele kommer an på passwordets kompleksitet.
Et alm. 8-char Windows password kan knækkes med denne maskine på under 6 minutter:
http://arstechnica.com[...]
Stærkere passwords, say, 12 chars mix-alphanumerisk-symbols (bogstaver, versaler, tal, almindelige specialtegn) vil tage i omegnen af 40 år på den maskine. Selvom maskinen er fra 2012, så svarer den vel omkring til 2xGTX980 (skud fra hoften) i dag.
Hvis man vil have tiden bragt ned til omkring 1 måned, så skal man have fat i beregningskraft på omkring 1000 stk GTX980. Og så langt tror jeg ikke, folk vil gå, for at bryde folks passwords på hol.dk. Lige pt svæver passwords rundt i plaintext, og det har åbenbart ikke givet problemer.
Så selvom saltet er kendt, så kommer det hele an på passwordets styrke. Og det må være op til brugeren, at have styr på det. -- #38
Det er selvfølgelig alt betydende hvor stærk password der benyttes, men hvor mange bruger reelt et password på mere end 8-10 cifre. -- #27 Men at tvinge en anden persons til at connecte til et andet netværk lyder heller ikke helt lovligt. Det har mere med Social Engineering at gøre end det har med Hol's sikkerhed. Giver dig dog stadig ret i at det ville være rart hvis vores passwords i det mindste var hash'et. -- Gæstebruger, opret dit eget login og få din egen signatur. Indfør nu bare HTTPS, så ryger I også længere op på google. -- Gæstebruger, opret dit eget login og få din egen signatur. #40 Det har intet med social engineering at gøre. Man udnytter en sårbarhed i en standard. -- ITX:
i7 4770k
Gigabyte 780
Bitfenix Prodigy #38 Salt er normalt noget man forbinder med kryptering, noget der bliver lagt oven i en nøgle, inden den hashes og bruges til kryptering. MD5 bør IMO slet ikke benyttes i en ny-implementering - her bør bruges SHA-1 eller SHA-2. Klientkryptering / hashing duer ikke. Om en klient sender et kodeord eller en hashkode er ligemeget, for begge dele kan opfanges på samme måde og genpostes for at få adgang - uanset om du så implementerer en eller anden form for variabel salt der sendes fra serveren (som en del af scriptet). Hele transmissionen skal krypteres på protokolniveau, for at give en fornuftig beskyttelse. -- http://xlinx.dk[...] i7 2600K, 16GB PC3-12800, GA-X68XP-UD4 R1, GTX 560Ti HAWK, 250GB 840 EVO Jeg forstår egentlig ikke helt problematikken. Forbinder du dig til et åbent netværk i første omgang, kalder du jo allerede der efter problemer! Det er derfor man har tiltag som VPN, som sikre at trafikken - herunder HOL - er krypteret og ikke kan lyttes med af andre på samme netværk.
At du kan udgive dig for at være et andet netværk er ikke et ukendt fænomen. Det kan din egen WIFI router sågar, hvis du blot opretter det samme SSID. Aircrack suiten kan dette og mere til, og det er er gratis til de nysgerrige der vil vide mere om teknikken bag. Det kan kun anbefales :) -- #43
Det er IMO ingen sårbarhed, men nærmer forkert brug af brugeren. Må være rimeligt at man selv tjekker hvilket netværk man er på, nu man har sagt til computeren den skal spørge. Man kunne evt. lukke for netværket når man ikke bruger det :) -- #45 Yes, I know. Det hele kan gøres hvis bare man har det rigtige netkort. WiFi Pineapple samler det hele i en lille boks, og gør det let tilgængeligt for alle.
#46 Problemet er bare, at hvis du sider og læser et indlæg på Hol, så kan du blive deauthed uden at vide det, hvorefter din computer connecter til en Pineapple. Der kommer ikke noget op, som fortæller dig, at du har connected til et nyt netværk. Det kræver at man hele tiden tjekker hvilket netværk man er på, hver gang man vil loade en ny side. -- http://www.staggeringbeauty.com[...] #47, det er rigtig de kan bruge den teknik. Men sidder du på åbent netværk bruger du VPN og du vil dermed opdage du er under angreb. Så den holder i min bog ikke. Er du på åbent netværk, må du regne med du deler din trafik med alle og derefter bruge det med omtanke. Derfor synes jeg hans argument om at HOL skal have SSL falder til jorden.
Aircrack begynder efterhånden at supportere mere og har fået flere bærbar standard netkort til at virke. Så kan faktisk gøre helt gratis :) -- #46 Hvordan er det forkert brug af brugeren? Han har ingen mulighed for at gardere sig mod det, ud over ikke at bruge wifi. Jeg mener at det er en sårbarhed i standarden, man måske kunne komme uden om fx med en mac-validering af routeren eller noget i den stil?
EDIT: Lad os lige holde fast i at det intet har med et åbne netværk at gøre. Pineapple udgiver sig for at være et af den telefon kendt netværk, fx dit hjemme-wifi. -- ITX:
i7 4770k
Gigabyte 780
Bitfenix Prodigy #49 "af DIN telefon kendt netværk", ikke DEN :) -- ITX:
i7 4770k
Gigabyte 780
Bitfenix Prodigy #49, Hvis du bruger MCD-Free-Hotspot og også hopper på i privaten kan vi nok blive enige om at der er noget gal? Så langt burde brugeren i min optik kunne tænke sig til og deraf mener jeg det er brugerens fulde ansvar at sikre sig de er på det rigtige netværk. Specielt når der er tale om et usikkert et, der er frit tilgængelig for alle. Det synes jeg ikke man kan kalde en sårbarhed i protocol'en.
Du kan gardere dig ved at tage dine forholdsregler. Når du ikke bruger WiFi, lukker du det. Du bruger usikre WiFi med omtanke og ikke giver information ud der ikke skal nå alle. Undlader at gemme det åbne usikre netværk. Der er mange muligheder for at gardere sig ;)
Kan du uddybe hvordan du ikke mener det handle om åbne netværk? Pineapple udgiver sig netop for at være router med samme SSID. Det kan den ikke med mindre det er åbent eller du kender koden til et givent krypteret SSID. -- #51 Men som jeg skriver handler det ikke om at man har brugt et ukrypteret wifi. Pineapple kan udgive sig for at være dit hjemmenetværk, hvilket din telefon automatisk vil logge på, når den møder en Pineapple. Det kan du kun undgå ved at helt slukke for wifi.
Så glem det med ukrypterede wifi - det betyder ingenting :)
EDIT:
Pineapple udgiver sig netop for at være router med samme SSID. Det kan den ikke med mindre det er åbent eller du kender koden til et givent krypteret SSID.
Den udgiver sig for at være dit krypterede hjemmenetværk og accepterer det handshake, som din telefon sender for at logge på. -- ITX:
i7 4770k
Gigabyte 780
Bitfenix Prodigy Det giver ingen mening? Det må du lige forklare nærmer :)
Hvad vil du opnå med et 3-way-hand-shake uden at bruteforce det for koden?
Det #0 omtaler her er at ved et åben SSID, kan du spoofe med MAC og SSID og derved highjacke brugeren (automatiseret ved Pineapple for nybegynder). Herved kan du aflytte trafikken herunder HOL password. Men samme nummer kan du ikke lave ved et krypteret netværk med WPA/WPA2 uden at kende koden (kendes den overskygger dette langt det forgående sikkerhedsscenarie).
-- #53 Nu er det lang tid siden at jeg har set en pineapple demonstreret, men dengang kunne den godt udgive sig for at være et krypteret netværk, som enheden loggede på uden problemer. Fx et hjemmenetværk. På deres hjemmeside skriver de også, at pineapple sagtens kan udgive sig for at være et krypteret wifi og lokke enheder til at logge på.
Kilde
http://hakshop.myshopify.com[...]
Jeg skal bestemt ikke udgive mig for at være netværksekspert, men et 3-way-handshake har da intet med wpa2 at gøre? Her taler vi om et andet handshake, mig bekendt. -- ITX:
i7 4770k
Gigabyte 780
Bitfenix Prodigy #54, En tastefejl, my bad. 3-way-handshake er TCP. 4-way-handshake WPA/WPA2 ;)
Det er ikke teknisk muligt for Pineapple at udgive sig for et krypteret netværk og samtidig tricke et highjack af brugeren uden koden til SSID'et. Derfor virker denne teknik kun ved åbne SSID, da man da kun skal kende SSID og MAC.
Pineapple har automatiseret en del og gjort det let for nybegynderen. Desværre bare ikke i en retning jeg synes er særlig oplysende eller god. -- #56 Alright, nu har jeg læst lidt mere op på Pineapple :) Sådan her forstår jeg det:
1. Min iPhone forbinder automatisk til mit hjemmenetværk "hjemmewifi". Det er beskyttet med wpa2.
2. iPhone leder konstant efter "hjemmewifi" ved at sende probes ud.
3. Pineapple opfanger proben og læser SSID´et.
4. Pineapple udgiver sig nu for at være "hjemmewifi", men uden kode, altså ukrypteret.
5. iPhone ser "hjemmewifi" og forbinder til det, selvom der ikke er kode på.
Hvis det passer, så vil jeg mene at det er en sårbarhed i standarden, der dog formentlig let ville kunne rettes.
Kilder: http://www.thesecurityblogger.com[...]
specielt admins svar på et spørgsmål netop om hvorvidt Pineapple kan bruges til at udgive sig for at være krypterede netværk:
Hi Alex,
Karma works by hearing a SSID and replying back as that with a open network. Karma does not have anything to do with spoofing passwords for a SSID. With that being said, if your university network requires a password … lets say you use WPA2, then your mobile device will know that password and auto connect anytime you are at the University. If you go to Starbucks and connect as a guest, you device will treat that as a lower priority assuming you connect more often to the University and its just a higher priority connection for you. If somebody launches a Karma attack while you are at Starbucks, Karma will see you are looking to see that your device is randomly beaconing for the University network and spoof that. Your device say “hey I’m at the university” and connect to that but it will show the university network connected and open … not running WPA2. Make sense? -- ITX:
i7 4770k
Gigabyte 780
Bitfenix Prodigy Hvis det er sandt du kan trick en klient på den måde Charly, er der naturligvis tale om en sårbarhed. Det er ikke en jeg er bekendt med og ej heller lykkedes i det test-setup jeg lavede. Men det skal da komme an på en prøve om det kan lade sig gøre :) Spændende.
Men ikke desto mindre, behøves man betale 600,- for det, når det er ganske gratis med blot en bærbar. -- #0 Præcis, hvorfor købte du egentlig dette? Hvis dine planer er hvad du beskriver, så er det jo ulovligt, og denne tråd har til intet andet formål end at redegøre for at du kan misbruge andres netværk hurtigere og lettere ud fra hvad andre nu svarer dig som skulle afhjælpe / beskytte dem i mod dig?
og særligt aflytte trafikken som der foretages, uden andet formål end misbrug.
Så det hele må starte med du køber den boks? præcis som dem som køber udstyr til at aflytte samtaler på den anden side af gaden, det er jo også ulovligt når de bruges til dette, selvom man skulle tro formålet var at lytte til dyr i skoven.
Dit indkøb og hvordan du forklarer brugen af dette, er jo med henblik på hacking, er det hvad du åbenlyst forsøger at forklare dig med dit særligt åbenlyse bruger id på dette forum, og håber nogen vil eftersøge manden med det navn?
Som du er mistroisk på hol'ere her, burde man modsat jo være opmærksom på dig og dit mål? -- Charly, det kan IKKE lade sig gøre. Du skal i det tilfælde kende Pre-Shared-Key for at udnytte auto-login af Wireless klient. Du kan dog stadig godt lave et SSID og MAC-spoofe og håbe han hopper på det ;)
Men helt enig med Michael. Et er som mig at have interesse for teknologien bag, et helt andet er at købe en cracker-dims hvis eneste formål er meget tvivlsomt. -- #59 Fair nok, men det undrer mig i så fald at de skriver, det kan lade sig gøre på den officielle hjemmeside. Kunne være sjovt at lege med en :) -- ITX:
i7 4770k
Gigabyte 780
Bitfenix Prodigy #44
#38 Salt er normalt noget man forbinder med kryptering, noget der bliver lagt oven i en nøgle, inden den hashes og bruges til kryptering.
Ja, præcis. Et salt tilføjer en nødvendig entropi i inputtet, så der ikke opstår kollisioner i outputtet og at rainbow tables bliver nødt til at blive genberegnet (i tilfælde af, at saltet er kendt).
MD5 bør IMO slet ikke benyttes i en ny-implementering - her bør bruges SHA-1 eller SHA-2.
Jeg brugte kun MD5 som eksempel, da det indlæg, jeg linkede til, brugte MD5 som eksempel. Du har ret i, at der er stærkere hashing algoritmer tilgængeligt.
Klientkryptering / hashing duer ikke. Om en klient sender et kodeord eller en hashkode er ligemeget, for begge dele kan opfanges på samme måde og genpostes for at få adgang - uanset om du så implementerer en eller anden form for variabel salt der sendes fra serveren (som en del af scriptet). Hele transmissionen skal krypteres på protokolniveau, for at give en fornuftig beskyttelse.
Som jeg skrev tidligere i mit indlæg #13, så er pointen med at hashe (i dette tilfælde) ikke at beskytte mod session hijacking eller at kunne logge ind som en anden, men at undgå at passwordet bliver kendt i plaintext for en uvedkommende, der efterfølgende kan forsøge sig med at logge ind med samme password på andre sites (qua at folk bruger samme password flere steder). Det er det, som OP påpeger kan være problemet (udover at man kan stjæle andres login, sføli) ;) -- #39 Det må stå for brugernes egen regning, hvad de bruger af passwords. Hvis passwordene er tilpas simple kan man jo bare prøve sig frem.
Men jeg savner stadig et svar på, hvordan man nemt kan bruteforce en hashfunktion af nyere dato (læs: ikke en gammel hashingfunktion fra 1992 ;) ) -- #59 Jeg laver et test-setup i morgen. Alle andre ser ud til at kunne få det til at virke, når jeg læser rundt på nettet :) -- ITX:
i7 4770k
Gigabyte 780
Bitfenix Prodigy #60, det KAN lade sig gøre med ÅBNE netværks. Men IKKE med LUKKEDE netværks med WPA/WPA2. Det er en lidt dårlig formuleret tekst og det har vidst mere til formål for at sælge ;)
#63, du skal være velkommen. Skriv hvad du finder ud af :) -- #64 Uddybelse: der er mange, der skriver at man godt kan gøre det med lukkede netværk, fx kilden i #56, som jeg umiddelbart skønner troværdig. Er der noget jeg overser i det, han skriver der? -- ITX:
i7 4770k
Gigabyte 780
Bitfenix Prodigy Du kan sagtens lave samme SSID med spoofed MAC. Men du kan ikke udnytte den automatiske logon WiFi funktion, idet du ikke får gennemført 4-handshake idet du mangler PSK. Derved logger klienten ikke på, da WiFi-netværket ikke er identiske. Så for at SSID med WPA/WPA2 skal virke, kræver det klienten aktivt går ind og vælger det identiske netværk uden kode. Det problem støder du dog ikke på ved det åbne WiFi-netværk.
Håber det blev forståeligt :) -- Det der med at SSL koster penge, er bullshit.
udgiften til et SSL certifikat og en server der kan køre det, er absolut minimal, og fordelene er enorme.
HOL burde være skiftet til en SSL løsning for længe siden. -- #66 Hmm jeg må teste det, i #56 siger han jo noget andet :) -- ITX:
i7 4770k
Gigabyte 780
Bitfenix Prodigy Hejsa :)
Jeg er slet ikke inden for de grader af viden på området, der her i tråden så fint bliver fremført, men når nu WiFi Pineapple tilsyneladende kan opføre sig som en slags pirat på visse sites (alt efter hvilken opsætning disse har), betyder det så ikke, at vi kun via #0`s "testkørsel" kun hører om en bagatel i forhold til, hvad der rent faktisk kunne florere af mailcracking, da andre jo også må ha` adgang til samme Pinapple, og sikkert ikke alle, er så venligt oplysende samt for håbentligt ikke misbrugende om div. farer for multible emailkonti? :)
Bare et nervøst pip :)
Mvh. - Kim -- #68, en hurtig google-søgning bekræfter også det jeg fortæller:
https://forums.hak5.org[...]
Karma doesn't do encrypted networks.
You need to enable encryption on @wifi-iface[1] and you need to set the encryption key.
-- Hvorfor køber man en PineApple? -- #71 Og jer andre. Jeg læser datalogi på SDU, og tænkte at Pineapplen var en udemærket platform at bruge til læring. Går også med en idé om at starte et privat pentest firma, men skal lige have fundet ud af hvordan jeg gør. Det ville være et fint supplement til SU, men det skal gøres ordenligt, så jeg ikke havner i problemer.
I princippet er det ikke ulovligt, at få folk på min Pineapple. Det er først når jeg begynder at røre ved den data, som flyder over min Pineapple. Autoharvester sørger for, at jeg når folk spørger om et bestemt WiFi (probe requests), så kommer de wifi på en liste, hvorefter Pineapplen broadcaster dem. Når clienter så connecter er det deres egen skyld. Det er først når jeg begynder at capture, eller laver andre attacks, at det bliver ulovligt.
Angående den diskussion omkring WPA2, så kan den ikke udgive sig for at være et krypteret netværk. De kører 4-way handshake, så computeren ved godt at den er galt, hvis den forsøger at connecte. Her er der selvfølgelig et stort udvalg af andre attacks. (WPS anyone?)
Og lige en sidste ting, man kan hente SSL-strip til en Pineapple, som fjerner SSL. I kan også se det i videoen, jeg har det dog ikke lige slået til. Det fungerer ved, at jeg opretter en SSL forbindelse mellem min Pineapple og Hol's server, men fjerner SSL mellem min Pineapple og clienten. Dette kan dog ses ved, at der ikke er det grønne certifikat i Chrome, men det er jo langt fra alle som ser det. -- http://www.staggeringbeauty.com[...] #69 Jo, det er helt korrekt. Dette er kun ét attack, men der findes forfærdelig mange.
Og så vil jeg gerne lige sige, at det har været en fantastisk diskussion indtil videre. Ingen hate, ordenlige argumenter fra (stort set) alle. Fantastisk. Der er stadig grund til at være på Hol. -- http://www.staggeringbeauty.com[...] Ok. Ja det er interessant ;)
Jeg vil fremover checke, bare lidt, at min wifi forbindelse i det mindste er krypteret
Jeg synes engang jeg så en identisk navngivet SSID som min egen, på listen over wifi netværk, men uden WPA2
(navnet kunne umuligt være identisk ved et tilfælde)
Det ku måske godt ha været noget PineApple hijack lignende? -- #73
Ja der er skønt, når folk kan koncentrere sig om emnet frem for personen bag et indlæg :)
Og modsat skal herfra siges, at du har leveret en helt nede på jorden ærlig - reel orientering om situationen/problemstillingerne fra dit synspunkt/arbejdssituation, der ud fra min egen langt mindre forhåndsviden indenfor området, har været oplysende, og noget jeg fremover vil holde øje med :)
Og herudover har jeg haft svært ved, at komme på HOL!. En besked om at, serveren ikke kujnne tilgås har været svaret, så mon ikke sitet stadigvæk er under angreb?...
Fortsat god aften
/Kim -- I princippet er det ikke ulovligt, at få folk på min Pineapple. Det er først når jeg begynder at røre ved den data, som flyder over min Pineapple.
Så du mener at du kan sætte en falsk penge automat op og skrive danskebank på denne, og når folk så sætter kort i som aflæses, så er det ikke ulovligt , før du egentlig tager de kort data i brug og gør noget ulovligt? Jeg syntes sætningen jeg skriver, starter med noget ulovligt.
For det er vel ikke en Starbucks forbundet enhed du sætter op? og det er vel bedrageri, i det øjeblik de forbinder sig til denne enhed , når de tror det er noget andet?
Men klart, man kan hente tilladelser til at udføre sine tests i et beskyttet område som ikke påvirker andre uvidende brugere om din færden med denne boks, som du logger data med, som vel egentlig er målet udover at se om folk ser på sider som ikke krypterer deres data.
Det er egentlig præcis samme vognbane , hvis du drejer den over på hvordan man kan pirat kopiere spil i butikkerne og du forklarer hvor enkelt det er, når X købes?
Og hvilket værktøj som hjælper dig til dette, selvom værktøjet også kan bruges helt legalt, så er samtalen ikke særligt lovliggjort her, selvom dine intentioner er rent professionelle, så er svarene tilsvarende måske ikke helt der.
-- Din pineapple kræver dog at være tilsluttet pc'en med kabel, men den er alligevel et imponerende stykke hackerværktøj af kaliber!
Bruger man wifi eller blot anden kabelforbundet netværkspc er det lige meget hvilken kryptering der bruges, hvis man bare har forbindelse til routeren med enten wifi eller kabel - wifi adgang til router kan købes på ebay, så kan der sniffes på gatewayen i routeren og dechifreres frit efter evne til at læse og bruge hackerprogrammer som wireshark. -- 3570k, gtx 970 strix, 512GB Plextor M5 Pro Xtreme, xl2720t, cherry easyhub, g400s Hmmm.. definationen på hvad der er ulovligt bliver da også mere og mere vanskelig at forholde sig til :)
Man kan købe masser af ting til sin bil, men de er ulovlige at bruge i trafikken. Man kan købe masser af andre ulovlige ting, som man så godt må besidde men ikke bruge. Mon ikke aktuelle pineabble hører herunder?.
For nogle år siden så jeg, at Nierle (tyskland) solgte et "apparat" de kaldte for Robin. Det skulle kunne gå ind på andres netværk og selv finde kodeord etc. (så vidt jeg husker) De skrev heldigvis samtidig, at det i nogle lande kunne være ulovligt at bruge - øhhhh. Ja mon ikke!. Jeg tænker så selvf. hvilke lande man må bruge sådan en pirat himstragims i hehe
/Kim -- #79, et crackerværktøj højst. Har intet med hacking at gøre! ;) -- #81 Hans Pineapple er da definerbart hackerværktøj, hvorfor dog hænge sig i betegnelsen, cracking i min bog er primært spil og program beskyttelse... -- 3570k, gtx 970 strix, 512GB Plextor M5 Pro Xtreme, xl2720t, cherry easyhub, g400s #81, ved Pineapple er alt automatiseret og klik-klik. Derfor i min verden intet med hacking at gøre, for stiller ikke krav om brugeren i realiteten ved hvad han laver for at kunne bruge den. Ligger så langt fra hacking som Pineapple er fra frugten ananas ;) -- #78 Jeg fatter på ingen måde dine analogier, enten er jeg træt eller også holder de ikke. Skal ikke kunne sige hvilken af mulighederne er rigtig.
Det er ikke ulovligt for mig at clients connecter til min Pineapple. Det er det samme, som hvis du laver et netværk på din router, som hedder McDonalds FREE WiFi. Det er ikke ulovligt. Det er præcis det samme en Pineapple gør. Derudover så lytter den så til, hvad din computer efterspørger (probe requests), så den ved hvilke netværksnavne den skal oprette (ssid). Dette er IKKE ulovligt.
Derudover, så kan man vælge at target en speciel mac adresse, så det ikke går ud over andre. Jeg kan derfor være helt sikker på, at det jeg gør i videoen er lovligt, da det kun er min egen computer, som den angriber. Havde jeg gjort det ved andre, ville det have været ulovligt, da jeg også vælger at capture den data, som flyder, og derudover også kigger hvad de packets indeholder.
#79 Nej, min Pineapple kræver ikke at være connectet til noget med kabel (jo strøm, men selv der kan man få batteripakker)
#81 Jo, det har skam med hacking at gøre. Det kaldes hacking, uanset om vedkommende ved hvad de laver, eller ej. Det er lige meget om det er automatiseret.
#Mods Hvad er grunden til at navnet på tråden blev lavet om? Klager ikke, er bare nysgerrig. -- http://www.staggeringbeauty.com[...] #84, det er selvf. ikke afgjort ved retten om den gråzone du befinder dig i er ulovlig i henhold til dansk retspraksis. Men du bruger selv udtrykket 'angribe' og derfor vil jeg mene handlingen du foretager dig er moralsk forkert. Dine hensigter kan ikke retfærdiggøres, idet du har henblik på at overtage en klient; og potentielt hans trafik og sessions.
Vi bliver aldrig enig om betydning af hacking. En der bruger Pineapple vil i mine øjne altid være en cracker eller scriptkiddie. Du bruger noget en anden har lavet og noget min forældre uden den store IT-kyndighed kunne foretage. Det har i verden intet med hacking at gøre ;) -- Synes ikke at kunne se dette nævn nogle steder. Så spørg lige, beklager hvis jeg har overset det.
Men hvad med sit eget mobile netværk?
Jeg kunne aldrig nogensinde drømme om, at logge på åbne Hotspots som hos McDonalds eller DSB.
Jeg vælger i stedet at benytte min telefon, som jeg laver om til et hotspot, også kan jeg få mine andre enheder til at tilslutte sig den.
Jeg er ind forstået med, at Pineapple kan opfange, og udgive sig for at være mit eget hotspot.
Men det vil jeg da ret hurtigt opdage.
For min telefon vil automatisk informerer mig om, at følgende enhed har tilsluttet sig, og bliver den ikke tilsluttet, men kan jeg se at jeg har adgang til nettet. Så vil jeg da med det samme blive mistænksom, og undersøge det nærmer, ved blandt andet at tjekke oplysningerne på min telefon.
Finder jeg her ud af (hvad jeg jo burde), at min enhed ikke er tilsluttet min telefon, selvom enheden ser ud til at være det. Så vil jeg da omgående logge af. På den måde burde man vel være "sikret" mod Pineapple,
hvis man er typen der sørger for at være opmærksom.
Eller har jeg misforstået noget?
-- #86, din telefons hotspot fungere ligesom en router. Dvs. har du blot sat WPA/WPA2 med PSK på, vil Pineapple ikke kunne udgive sig for dit netværk og du er dermed sikret. Lyder til du har misforstået hele konceptet en smule? :) -- #87 Pineapple vil LIGE præcis kunne udgive sig for hans hotspot UDEN kode (wpa/wpa2) , da den kører uden kode men hedder præcis det samme, så hopper ens enhed gladeligt på den linje, sorry!
Det er hele pointen med de req's som boksen lytter til, og så svarer på.
-- #88, så har du ikke forstået princippet. Den kan netop ikke hoppe på et netværk blot fordi det hedder det samme. De 2 netværk er ikke identiske! Derfor virker det kun med ÅBNE netværk hvor du kan lave et identisk. Jøsses da. -- #89
Capable of impersonating public and secured WiFi access points, with its device specific precision, PineAP provides the penetration tester with targeted client acquisition capabilities
Behøver jeg at sige mere?
Jøsses, back right at ya! -- #90, du forstår ikke hvad der sker og derfor falder du for salgsgas der fordrejer sandheden en anelse. Korrekt den kan udgive sig for et krypteret netværk (dog uden PSK og derfor ikke identisk), men du får aldrig en klient automatisk forbinde sig til det Pineapple laver ;) -- #90 Det #91 skriver er korrekt. Den fanger mit hjemmenetværk, og broadcaster det som åbent netværk. Det er social engineering, da det kræver, at brugeren aktivt går ind og vælger det åbne netværk.
#85 Det er ikke nogen gråzone. Er det moralsk forkert? Sure, men det gør det ikke nødvendigvis ulovligt (kommer jo også an på mine intentioner).
2 af mine kammerater har et WiFi netværk, som har det samme navn (samme ssid), så hvis man er hjemme hos den ene, brokker den sig, når man tager over til den anden, da de ikke har samme kode. Det er præcis det samme Pineapplen gør. -- http://www.staggeringbeauty.com[...] #92 Der findes ikke retspraksis mig bekendt på området, men hvis du får mennesker til uvidende at forbinde til dit netværk og dermed skaffer dig adgang til deres trafik, så får du meget svært ved at overbevise politiet og dommeren om at du ikke havde tænkt dig at sniffe og læse trafikken. Det kan sammenlignes lidt med at tage gummihandsker på og en stor, tom taske på ryggen og derefter gå rundt og tage i dørhåndtag i et villakvarter - du kan prøve at forklare, at du bare ville se om der var folk, der havde glemt at låse deres døre, men jeg tror ikke du ville slippe for en dom for forsøg på indbrud (tyveri) :)
Opdatering til #68: Min test er nået frem til, at det umiddelbart ikke kan lade sig gøre for Pineapple at tvinge enheder til at logge på et falsk (krypteret) netværk. Men der ser ud til at være stor uenighed om det rundt omkring på nettet, og uden at teste med en egentlig Pineapple (ved ikke om den måske kan noget mere end "bare" lave et åbent netværk med samme navn), må jeg sige at jeg ikke kan komme frem til et svar. Men indtil videre tyder det på, at det ikke kan lade sig gøre. -- ITX:
i7 4770k
Gigabyte 780
Bitfenix Prodigy Det er det samme reaver programmer gør, man kan intallere et i windows og bruge den og router i samme princip. Det er bare ikke til at bruge de programmer uden flair og indsigt(og man finder aldrig noget inden for en routers rækkevidde). -- 3570k, gtx 970 strix, 512GB Plextor M5 Pro Xtreme, xl2720t, cherry easyhub, g400s #93 Grunden til, at det ikke et ulovligt, er, at det er dem der connecter til mit netværk. Jeg gør ikke noget ved deres computer. Mine intentioner gør ingen forskel på, om det er lovligt eller ej.
Hvis vi skal bruge din analogi, så svarer det til, at personen selv åbner døren for mig.
Hvad er det for en test du snakker om? -- http://www.staggeringbeauty.com[...] #95, klienten connecter til dit netværk og dermed gør du netop noget ved deres PC ude deres viden. Synes din moral er lav, hvis du fastholder dit synspunkt. Så er det komplet lige meget med dine hensigter.
#93, uenigheden kommer som her i tråden af uvidendenhed og indsigt i teknologien. Der er mange der tror blot fordi de køber en Pineapple eller stykke software - så er de pludselig hacker og har forståelsen for det de laver. Men sådan er virkeligheden nu langt fra ;) -- #95 Grunden til at du tager fejl er primært at du ved så meget om strafferet, men det er netop dine intentioner (dit forsæt), der afgør om det er ulovligt eller ej. Du skaffer dig adgang til andres netværkstrafik uden deres vidende eller tilladelse. Du udnytter standardens svagheder til dette, og det kan ikke lægges brugeren selv til last at han havde aktiveret wifi.
Så lad være med at gøre det mod folk, du ikke har fået lov af først :) -- ITX:
i7 4770k
Gigabyte 780
Bitfenix Prodigy #96 klienten connecter til dit netværk og dermed gør du netop noget ved deres PC ude deres viden.
Det er jo lige det jeg IKKE gør. Det er dem selv, som gør noget. Det er heller ikke ulovligt at sætter sin router op til at hedde McDonalds FREE WiFi, men det ville give det samme resultat, hvis clienten havde netop dette SSID på deres pnl (preferred network list). Pineapplen ved bare, hvad du har på din pnl, hvilket den kan udnytte.
Det har desuden intet med min moral at gøre. Det er ikke en personlig mening / synspunkt. Burde det være ulovligt? Ja selvfølgelig. Det er bare meget svært for politikere, at lovgive inden for et område, de i princippet intet ved om.
#97 Jeg gør skam intet mod folk, hvis de ikke vil have det. Jeg har ikke købt en Pineapple for at hacke gud og hver mand. Det er til demonstration af, hvad der er muligt, hvilket jeg jo også viser i #0. Jeg har absolut ingen onde intentioner med min Pineapple. -- http://www.staggeringbeauty.com[...] #98 Så længe du ikke lader intetanende personer forbinde til den, så er alt fint :) Men hvis formålet med at broadcaste McDonalds FREE Wifi fra sin router er at få folks enheder til at forbinde til det, så man kan sniffe deres netværkstrafik, så er det skam helt ulovligt. -- ITX:
i7 4770k
Gigabyte 780
Bitfenix Prodigy #99 Nu gør du mig i tvivl. Jeg vil jo mene det først bliver ulovligt, når jeg begynder at sniffe deres trafik, og ikke allerede når jeg får dem på min Pineapple. Man kan vel argumentere for, at hvis min intention var at sniffe deres trafik, så ville jeg gøre det, da der ikke er noget, der forhindrer det.
Derfor vil jeg mene, at diskussionen egentlig er irrelevant, da jeg let kan argumentere for, at jeg ikke havde nogle intentioner om sniffing / andet, da jeg så bare ville have gjort det. Hvis jeg ikke gør det, så er mine intentioner ikke, at sniffe? (Aner ikke om det giver mening for andre, men det giver totalt god mening i mit hovede lige nu).
Hvad er det desuden for en test du snakker om du ville lave tidligere? -- http://www.staggeringbeauty.com[...] #100, du omtaler et tilfælde at du kalder dit netværk det samme som et andet. Faktum er at du scanner efter andres efterspørgsel og udgiver sig for at være det. Så din argumentation falder helt til jorden og direkte umoralsk at forsøge snyde folk på den måde. Igen jeg er hamrende ligeglad med dine intentioner, når intentionen i første omgang er at highjacke en andens netværk uden dens viden. Jøsses da, med den moral er du da et firma jeg aldrig skal have kontakt med angående netop det emne :) -- #100
Den anklagede spørges -> Hvorfor gjorde du det?
Mine intentioner var kun at afprøve folks reaktion i en bank, jeg ville aldrig finde på at røve banken, sådan rigtigt, og at bruge pengene på spil på nettet, var også bare leg og ballade, så i må slet ikke misforstå mig, jeg havde slet ikke planer om at begå noget ulovligt, det var bare for sjov og test til at bekræfte teorier om det emne.
Jeg syntes selv jeg har helt fine argumenter for at røve en bank, for at lære lidt om folks reaktioner når jeg gør det? Men var det gjort lovligt bare fordi jeg tænkte sådan? og kunne argumentere for at mine intentioner var helt retfærdiggjort af mine studier? hmm, jeg syntes det lyder rigtig godt selv. -- #101 Jeg kan simpelthen ikke se hvad det har med min moral at gøre? Jeg sidder jo ikke nede i banken og gør det? Det jeg skriver har intet med hvad jeg selv synes / føler. Hvis det stod til mig, så skulle det da helt afgjort være ulovligt, men jeg prøver blot at argumentere for, at som det ser ud nu, så er det ikke.
Det er ikke ulovligt at lytte til probe requests.
Det er ikke ulovligt at have samme ssid som et andet netværk har.
Dette er det eneste den gør. Kan ikke se hvordan det er ulovligt, eller hvordan du får min moral ind i det. Jeg har på intet tidspunkt nævnt, at jeg render rundt og får folk til at logge på min Pineapple. Jeg har ingen intentioner om at gøre dette. Jeg har ej heller nogle intentioner om at bruge min Pineapple til ulovlige formål. -- http://www.staggeringbeauty.com[...] Efter min mening er uansvarligt at tilbyde plain-text log-in
Start med at gøre det klar for jeres brugere at alle kan lytte med.
SSL er at foretrække, men ellers kig lidt på:
https://crackstation.net[...]
Fandt selv denne guide brugbar til eget projekt
-- Gæstebruger, opret dit eget login og få din egen signatur. #103,
Korrekt og korrekt, men når du kombinere de 2 ting for at tricke en bruger over på dit kontrollerede netværk - så gør du noget umoralsk og det er selvf. vær at prøve den i retten - tvivl på du går fri!
Eller sagt på en anden måde - hvad er koden til dit WiFi? Jeg har ingen intentioner om at lytte med eller misbruge den information jeg får. Så du har vel intet imod jeg får den?
At bygge et firma oven på den holdning, når netop tillid er kerneværdien for det arbejde du skal udføre - vil du få det meget svært. Jeg kunne aldrig drømme om at ansætte en der fortager det som du gør og helt igennem ikke kan se problematikken og ej heller synes det er forkert.
Men nok om det. Vi kommer det nok ikke nærmer :) -- #105 At bygge et firma oven på den holdning
Min holdning er, at det burde være ulovligt.
Jeg kunne aldrig drømme om at ansætte en der fortager det som du gør
Jeg har gjort det ved min egen computer. Med target sat til min egen MAC adresse. Det gik ikke ud over nogle andre end mig selv.
og helt igennem ikke kan se problematikken og ej heller synes det er forkert.
Jeg kan sagtens se problematikken. Jeg argumenterer ikke for, at det er lovligt og sådan skal det være, derfor skal jeg bare gå ud og hacke alle. Som loven er lige nu, vil jeg bare mene, at det er lovligt. Det burde det ikke være, og hvis det stod til mig, så skulle det da helt klart gøres ulovligt. Jeg synes det er helt forkert at gøre ved andre folk.
Hvis du har fået et andet indtryk, så er det mig der har skrevet noget uklart / dig der ikke har forstået det korrekt.
-- http://www.staggeringbeauty.com[...] Er der ikke en venlig HOL'er der kan forklare mig, hvordan man vil hashe passwordet, før det sendes over netværket?
-- #107 Det skal ikke hashes, bare krypteres -- ITX:
i7 4770k
Gigabyte 780
Bitfenix Prodigy Thumbs up for at sætte fokus på et problem, jeg har netop bestilt en pga. din video.
Ser utroligt spændende ud. -- #107, enig - læste bare at der var flere der mente det var en løsning. Men kan ikke lige dreje hovedet rundt til at se hvordan. -- #110 https :) -- ITX:
i7 4770k
Gigabyte 780
Bitfenix Prodigy #111 Det var til hashing af passworded, jeg mente. :) a la. #13 -- #112
Det kan gøres med javascript. Der er dog bare det problem, at hvis hackeren har placeret sig mellem dig og serveren, så kontrollerer han også scriptet. -- Gæstebruger, opret dit eget login og få din egen signatur. Hmm.. og så lige endnu et bett`indlæg fra en lidt udenforstående, der ikke lige bevæger sig meget indenfor de hellige IT graler :)
Hvornår er noget ulovligt???. Dèt har i diskuteret på tværs af tråden, uden egentlig fastslåelse at emnet :)
Når man bestiller en vare Hardware eller Software, har man selvfølgelig allerede på dèt tidspunkt en holdning til, hvad man vil bruge "banditten" til - not?...
Når man så får aktuelle problembarn ind af døren, har man vel egentligt ikke begået nogen ulovligheder endnu - eller?
Så sætter man et stk. (et eller andet) til sin pc og vil da gerne prøve om dingenoten virker - not?
HVIS så denne pc udvidelse er i stand til, at udføre ulovligt arbejde, uanset den gør det selv, eller det kræver et tryk på en knap - ja så er man, såvidt jeg kan tolke - i højeste grad skyldig i misbrug indenfor uberettiget tilgang indenfor personlige oplysninger - uanset man gør det - eller naturligvis - hvorledes man bruger det!.
Bare lidt tanker om rigtigt og forkert :)
/Kim -- Pineapple hardware og softwaren er ikke ulovlig, men brugen af den kan være. Men typisk bliver sådan en box bestilt af en scripkiddie, annon, hackerwanabe-type og der ofte ikke har teknisk indsigt og derfor meget hurtig - med få klik - sætte gang i noget ulovligt. Nu boxen også primært møntet på ulovligt formål i min optik.
Har aldrig forstået hvorfor folk køber den slags, når det nu er gratis og man får langt større indsigt når man ikke kun skal klik'e sig igennem. Men tænker læringen for de fleste ikke er målet i sig selv, desværre. -- #113, hvis ja, gøres via JavaScript - men så er du jo nået lige langt ;-) -- #114 Du kan bryde ind i et hus med et koben. Er et koben ulovligt? -- ITX:
i7 4770k
Gigabyte 780
Bitfenix Prodigy #114 det giver ingen mening hvad du skriver (som sædvanligt.. sorry)
Alle computere er i stand til at udføre hacking/cracking osv.
En DVD-brænder er i stand til at brænde pirat film
Forbyd computere? Forbyd DVD-brændere? -- #115 Eller af folk, som rent faktisk bruger den til noget. Det er en god box at have, hvis du er pentester. Kan det samme opnås af en computer? Ja. Er det ligeså let? Nej. Boxen for det hele til at spille sammen. Derudover er det ikke alle netværkskort som understøtter det. Man har så valget at bestille et netkort til 40 $ eller Pineapple til 100. Pineapple kommer med convenience. Til 'ulovlige' formål har den også fordelen, at den er let at gemme bag et tv eller andet.
Bliver den brugt af script kiddies? Ja. Bliver den kun brugt af script kiddies? Nej. -- http://www.staggeringbeauty.com[...] Det vel bare at indfører https, minimum til logind delen.
Det er ikke helt godt dette ikke er gjort fra Hol's side af.. -- YEAH, har fundet på noget vildt sejt at skrive HER... damn, har bare glemt det ;P Jeg synes bestemt at ud mangler, at tilføje, at det først bliver så nemt efter, du har koblet dig på netværket. Før det, skal du først bryde adgangskoden til det given netværk. Hvilket er en langsommelig process - alt efter adgangskodens karakter.
Før du kan få nem adgang til at opfange folks adgangskoder kræver det i hvert fald;
Åbne netværk, så du ikke skal bruge adgangskode for at tilkoble dig netværket
eller
Et netværk der bliver brugt meget, så du derigennem har mulighed for at opfange pakker som indholder bruger data. -- May the 4th be with you, always #121 - Det kræver bare du sider på din skole (arbejder eller i toget m.m.) og fanger trafikken der og venter på en hol'er går på...
Derudover er der også noget som hedder security in dept ;).
Hol skal da ikke fanges af en tosse, der bruger det samme password overalt, kommer til at logge på hol.dk, og derved har opsnappet hans password (og email osv.)...
Men at angrebet lige kom pga. hol. er selvfølgelig næsten umuligt at ha gættet.
Men stadig er det ikke godt designet.. -- YEAH, har fundet på noget vildt sejt at skrive HER... damn, har bare glemt det ;P #121 Det kræver det desværre ikke. Det er derfor, at det er så let.
Jeg skulle købe gave til min mor, og var derfor inde på https://www.royalcopenhagen.com[...] De kører fuld tls 1.2. Så burde Hol da også have. Der er trodsalt muligt for mig, at stjæle login til en Nem-ID verificeret bruger. Egentlig utroligt at man kan blive Nem-ID verificeret, men der er ingen kryptering. -- http://www.staggeringbeauty.com[...] #123
Du får ikke mine devices til at hoppe på din pineapple automatisk. -- Gæstebruger, opret dit eget login og få din egen signatur. #125
Nu antager du at at mine devices er sat op til automatisk at koble sig op på åbne netværk, hvilket ikke er tilfældet. -- Gæstebruger, opret dit eget login og få din egen signatur. Hvem sætter sit net op til automatisk at tilgå åbne netværk? -- Det jeg tænker når jeg ser videoen:
"Det var da let... Under de rette omstændigheder."
Jeg er sgu ikke bekymret. Jeg har ikke læst hele tråden igennem, og jeg er ikke en hacking/netværksekspert. Meeen ligefrem at sige at det er let, ved jeg ikke om man kan. Det er let, ja, under de helt rigtige omstændigheder. Jeg er sgu ikke så bekymret :P -- Nu uden signatur :O #128 Hvis du forbinder din computer til et åbent netværk kommer det automatisk på en liste over foretrukne netværk.
#129 'De rette omstændigheder' er at du har været på et åbent netværk. That's it. Derudover er der mange andre måder at gøre det på, når nu der ikke krypteres. -- http://www.staggeringbeauty.com[...] #130 - De rette omstændigheder er som jeg ser det, er et wifi uden kode OG hvor din Pi er koblet på hvor du sidder og følger med. -- Nu uden signatur :O #131 Det er et spørgsmål om krypteringen af dit eget brugte netværk, bruger du et åben wifi netværk er der jo access til routeren og dens gateway(den man sniffer på).
Jeg ved egentlig ikke med skoler o.s.v. og andre offentlige åbne netværk, de har måske bare åben internetadgang, men alligevel beskyttet :|. -- 3570k, gtx 970 strix, 512GB Plextor M5 Pro Xtreme, xl2720t, cherry easyhub, g400s #131 Det er ikke helt rigtigt. Din enhed leder (prober) konstant efter kendte netværk og forbinder til dem, hvis den finder nogle. Hvis du har forbundet til "McDonalds FREE WIFI" og dette var ukrypteret, så vil din enhed hele tiden lede efter dette netværk igen. Pineapple opfanger din enhedds probes og laver et ukrypteret wifi med samme SSID, og din enhed til derefter forbinde til det i det tro at det er samme netværk, som den allerede har forbundet til før. Deri ligger problemet.
Som udgangspunkt er man sårbar over for en Pineapple, hvis man har forbundet til et ukrypteret netværk. -- ITX:
i7 4770k
Gigabyte 780
Bitfenix Prodigy #131 Præcis som #133 skriver, så kræver det kun, at du på et eller andet tidspunkt, har været logget på en ukrypteret netværk. Om det så er for 2 år siden i lufthavnen, så vil det stadig virke (medmindre du aktivt har fjernet den fra listen). Det er et tradeoff mellem convenience og security. -- http://www.staggeringbeauty.com[...] #133 #134 Ok -- 3570k, gtx 970 strix, 512GB Plextor M5 Pro Xtreme, xl2720t, cherry easyhub, g400s #136
Præcis og LE er så nemt at sætte op at selv sådan en som mig uden erfaring kan gøre det... -- http://www.l0rn.nu[...] Client:
> PW + Saltxbit = ClientHash
Server:
> (PW + Saltxbit) + DBSalt = StoredHash
Auth:
> ClientHash + DBSalt = CheckClientHash
> (CheckClientHash == StoredHash) = auth
Pro:
> Kun ClientHash kan indsamles
Cons:
> Formodes plaintext pw ikke haves, ergo skal brugerne skifte pw for at komme på den nye auth metode.
> Saltxbit kan ikke ændres pga. DBSalt lag2 sikkerhed, med mindre GetSaltxbit via ajax
Tip:
> DBSalt bør være unik per bruger (optimalt)
> Saltxbit bør være mange bit. Jo højere garantere? lad os sige minimere, muligheden for at en rainbow table findes.
wardriving,warwalking,wifihoneypotting,mm. har været muligt længe og diktere ofte målrettet misbrug da timing samt pladsering er yderst problematisk for metoden så der er ekstrem lille chance for at blive ofre for det. Men igen hvis man har opnået man-in-the-middel så kan man også forhindre klienten i https. Primitivt kan ovenstående stadig forhindre data indsamlingen i at bruges via den metode. -- Gæstebruger, opret dit eget login og få din egen signatur. Normalt ville man nok smide https på og glemme alt andet, da resten er low risk og herved opnår man vel heller ikke behovet for at løfte brugers personlige sikkerhed problematikker. -- Gæstebruger, opret dit eget login og få din egen signatur. Det er uambitiøst og grænsende til uhæderligt at have et site med følsomme data og ikke have SSL-krypteret forbindelse - men man kan sige nøjagtigt det samme om hwt - det er sgu utroligt :-)
http://hwt.dk[...] -- Alle der har haft nogle problemer eller har hørt om nogen som har haft problemer de sidste 2 år angående dette rækker lige hånden i vejret. -- Google først, spørg bagefter.
Man skal ikke græde over spist bacon. #136 - Har du prøvet https://www.hardwareonline.dk[...]
Korrekt, der er ikke en automatisk redirect fra http til https, hvad baggrunden er husker jeg ikke på stående fod. -- Bazinga!
Problemer med en Admin/Moderator? Spørgsmål vedr. en tråd/et indlæg? - Send en mail til undertegnede.
FFHAU! #140 - Ja, hwt.dk sender også passwords i klartekst - og det samme med tweak.dk...
#141 - Skal man vente til nogen får deres identitet misbrugt, før man forhindrer at det kan ske? Specielt når det ikke er særlig svært at ændre...
#142 - Vidste ikke der var en https-version af hol.dk - den bliver brugt fremover ;) -- Før du overclocker: http://hol.dk[...]
[email protected]
Grundet øget spam aktivitet fra gæstebrugere, er det desværre ikke længere muligt, at oprette svar som gæst.
Hvis du ønsker at deltage i debatten, skal du oprette en brugerprofil.
Opret bruger | Login
|
Du skal være logget ind for at tilmelde dig nyhedsbrev.
Hvilken udbyder har du til internet? 425 personer har stemt - Mit energiselskab (Ewii f.eks) 12%
|