ubuntuusers.de

Netztraffic lesen

Status: Gelöst | Ubuntu-Version: Ubuntu
Antworten |

x_x

Avatar von x_x

Anmeldungsdatum:
18. Februar 2007

Beiträge: 139

Hallo,

ich hab neulich eine Reportage bei SternTV (http://www.stern.de/tv/sterntv/590388.html?nv=cp_L2_) gesehen, wie in einem öffentlichen WirelessLAN Passwörter ausgespäht wurden, während zB Mails abgerufen wurden. Dazu wurde ein Programm ähnlich wie WireShark benutzt. Ich habe WireShark jetzt installiert, um zu sehen, ob man meine Passwärter auch ausspähen kann. Die einzelnen Pakete sehe ich auch in der Anwendung, aber wie kann ich sie lesen?

°-°

otzenpunk Team-Icon

Avatar von otzenpunk

Anmeldungsdatum:
17. Oktober 2005

Beiträge: 8691

Wohnort: Hamburg-Altona

Die Rohdaten kannst du immer lesen, indem du ein Paket anklickst und im unteren Bereich per Doppelklick die einzelnen Protokollabschnitte öffnest.

Viel praktischer ist allerdings die Funktion Analyze->Follow TCP-Stream. Die präsentiert dir die Daten der gesamten Verbindung im Klartext. (Sofern sie nicht verschlüsselt sind.)

x_x

(Themenstarter)
Avatar von x_x

Anmeldungsdatum:
18. Februar 2007

Beiträge: 139

OK, danke. Genau das hab ich gesucht.

Gruß
°-°

uname

Anmeldungsdatum:
28. März 2007

Beiträge: 6030

Wohnort: 127.0.0.1

Ich habe den Beitrag auch gesehen und war ziemlich geschockt wie Leute mit Ihren Daten an öffentlichen Hotspots umgehen.
Falls ich wirklich mal unterwegs bin nutze ich einen SSH-Tunnel für sämtlichen HTTP/HTTPS-Traffic (Proxy). Über Hotspots selbst nutze ich dann nur den Webbrowser. So kann auch niemand über das WLAN z.B. mein Forum-Passwort auslesen.
Sieht sehr cool aus mit Wireshark. Die Leute denken dann, dass ich nur eine Verbindung nutze zu genau einem Server. Im Zweifelsfall läuft das auch über einen Zwangsproxy erneut getunnelt. Echtes VPN kann ich hier leider nicht nutzen, da mit der Zielserver nicht gehört. Nichts ist erkennbar, vor allem nicht wohin ich surfe und welche Inhalte ich verschicke, vertrauen muss ich nur dem Zielsystem und dem Weg zwischen Zielsystem und Webserver.
Natürlich habe ich meine Passwörter trotzdem nach Wichtigkeit unterschieden und nutze z.B. hier im Forum ein Passwort, welches vollkommen unabhängig von meinen EMail-Passwörtern ist.

x_x

(Themenstarter)
Avatar von x_x

Anmeldungsdatum:
18. Februar 2007

Beiträge: 139

Ja, wobei die meisten Leute in dem Beitrag ja gerade mal wussten, was WLAN ist und dass man damit surfen kann. Dass man Daten abreifen kann, oder verschlüsseln, das war den meisten ja völlig unbekannt. Ich denke das größte Problem ist, dass die meisten Nutzer des WWW keine Ahnung haben wie das alles funktioniert und sich nicht ausreichend informieren. Wenn ich höre, dass der eine, dessen Passwort in dem Beitrag ausgelesen wurde, das selbe Passwort für Mail, Kreditkartendienste, Onlinebanking und dann eben auch für unverschlüsselte Dienste nutzt, kann ich nur mit dem Kopf schütteln.
Aber das bleibt letztendlich jedem selbst überlassen. Ich fand es jetzt mal eine ganz nette Spielerei, und hab nebenbei kein einziges wichtiges Passwort auslesen können.

Chrissss Team-Icon

Anmeldungsdatum:
31. August 2005

Beiträge: 37971

Ich verstehe jeodch nicht, warum man bei Email Client Programmen die Verschlüsselung aktivieren muss. Beim Online Banking habe ich ja auch nicht einen extra Link "clicken sie hier um Verschlüsselung zu nutzen". Die Verbindung ist apriori veschlüsselt. So sollte es in meinen Augen auch bei Email Clients sein. Die Verschlüsselung sollte deaktivierbar sein, per default jedoch an...

Ein paar User mit einem steinzeitlich Emailanbieter werden zum Supportfall. Doch ich meine es wäre die Sache wert...

Tschuess
Christoph

otzenpunk Team-Icon

Avatar von otzenpunk

Anmeldungsdatum:
17. Oktober 2005

Beiträge: 8691

Wohnort: Hamburg-Altona

Chrissss hat geschrieben:

Doch ich meine es wäre die Sache wert...

Ich nicht. 😉

Emails sind sowieso Postkarten und werden es auch bleiben. Selbst wenn du SSL/TLS aktivierst gilt die Verschlüsselung nur bis zum ersten SMTP-Server und danach wird sowieso alles unverschlüsselt übertragen. Wer das nicht will, kommt um GnuPG nicht herum. SSL-Verschlüsselung ist also nur dann sinnvoll, wenn man in einer feindlichen Umgebung sitzt, (Internet-Café, Flughafen, Büro?) und dann kann man sie ja einschalten, wenn man möchte.

Verschlüsselung ist immer auch eine Performance-Frage. Zwar nicht auf Seite unserer heutigen hochgezüchteten Desktop-Boliden, aber bei den Massenmailern bestimmt. Würden auf einmal alle nur noch verschlüsselt ihre Mails abrufen, könnten Firmen wie GMX entweder ihren Serverpark verdoppeln - oder sie erklären Verschlüsselung einfach zum kostenpflichtigen Premium-Dienst. Damit wäre dann keinem geholfen, denn diejenigen, die bereit sind dafür Geld zu bezahlen, würden es auch jetzt aktivieren, wo es kostenlos ist.

Das einzige, was auf keinen Fall ungeschützt übertragen werden sollte, ist natürlich das Passwort, aber dafür gibt es geeignete Challenge-Response-Verfahren wie DIGEST-MD5 und CRAM-MD5. Ich hab mal ein bisschen herumprobiert und mit Erschrecken festgestellt, dass Thunderbird das nicht automatisch einschaltet, und man also bei der Erstellung eines neuen Kontos immer mindestens einmal das Passwort im Klartext überträgt. (Außer man bricht die Passwortabfrage ab und wühlt erstmal in den Accounteinstellungen rum, was man ja sowieso machen muss, denn von alleine schaltet sich die "sichere Authentifizierung" eben nicht ein.) Da werde ich wohl mal einen Bugreport schreiben, wenn's noch keinen gibt.

Sylpheed-Claws verhält sich dagegen mal wieder vorbildlich. Die Authentifizierungsmethode steht standardmäßig auf "automatisch", was bei meinem kleinen Test bedeutete, dass CRAM-MD5 ausgewählt wurde. Außerdem fragt der Wizard zur ersten Kontoerstellung auch gleich nach, ob man SSL-Verschlüsselung haben möchte. (Da die Anzahl der Sylpheed-Claws-Benutzer ja nicht so hoch ist, wird das die Massenmailer auch nicht so belasten. 😉 )

Also: Sylpheed-Claws rulez!!!11!!!!

Lunar

Anmeldungsdatum:
17. März 2006

Beiträge: 5792

otzenpunk hat geschrieben:

Chrissss hat geschrieben:

Das einzige, was auf keinen Fall ungeschützt übertragen werden sollte, ist natürlich das Passwort, aber dafür gibt es geeignete Challenge-Response-Verfahren wie DIGEST-MD5 und CRAM-MD5. Ich hab mal ein bisschen herumprobiert und mit Erschrecken festgestellt, dass Thunderbird das nicht automatisch einschaltet, und man also bei der Erstellung eines neuen Kontos immer mindestens einmal das Passwort im Klartext überträgt. (Außer man bricht die Passwortabfrage ab und wühlt erstmal in den Accounteinstellungen rum, was man ja sowieso machen muss, denn von alleine schaltet sich die "sichere Authentifizierung" eben nicht ein.) Da werde ich wohl mal einen Bugreport schreiben, wenn's noch keinen gibt.

Das kann aber schief gehen: T-Online und Arcor wären zwei der verbreiteten Provider, deren Gratismailaccounts (zumindest laut der Testmethode von KMail) nur Plaintext-Login anbieten. Arcor zumindest bietet noch SSL-Unterstützung, T-Online dagegen scheint nicht viel von Verschlüsselung zu halten.

Btw, was ist eigentlich APOP? Das wählt KMail bei meinem GMX Account automatisch aus...

otzenpunk Team-Icon

Avatar von otzenpunk

Anmeldungsdatum:
17. Oktober 2005

Beiträge: 8691

Wohnort: Hamburg-Altona

Lunar hat geschrieben:

Das kann aber schief gehen: T-Online und Arcor wären zwei der verbreiteten Provider, deren Gratismailaccounts (zumindest laut der Testmethode von KMail) nur Plaintext-Login anbieten. Arcor zumindest bietet noch SSL-Unterstützung, T-Online dagegen scheint nicht viel von Verschlüsselung zu halten.

Das ist zwar traurig, aber warum sollen die Leute auch darunter leiden, die einen verantwortungsvolleren Provider wie GMX verwenden? Es wäre doch kein Problem, einen Challenge-Response-Mechanismus zu verwenden, wenn einer verfügbar ist, und ansonsten auf Plain Login zurückzufallen. Am besten wäre, wenn in diesem Fall noch eine Warnung angezeigt würde und darauf hingewiesen, nach Möglichkeit SSL zu benutzen.
Lunar hat geschrieben:

Btw, was ist eigentlich APOP? Das wählt KMail bei meinem GMX Account automatisch aus...

Das ist auch ein Challenge-Response-Mechanismus: APOP

Bugreport ist übrigens erstellt: https://bugs.launchpad.net/ubuntu/+source/thunderbird/+bug/119358

Lunar

Anmeldungsdatum:
17. März 2006

Beiträge: 5792

otzenpunk hat geschrieben:

Lunar hat geschrieben:

Das kann aber schief gehen: T-Online und Arcor wären zwei der verbreiteten Provider, deren Gratismailaccounts (zumindest laut der Testmethode von KMail) nur Plaintext-Login anbieten. Arcor zumindest bietet noch SSL-Unterstützung, T-Online dagegen scheint nicht viel von Verschlüsselung zu halten.

Das ist zwar traurig, aber warum sollen die Leute auch darunter leiden, die einen verantwortungsvolleren Provider wie GMX verwenden? Es wäre doch kein Problem, einen Challenge-Response-Mechanismus zu verwenden, wenn einer verfügbar ist, und ansonsten auf Plain Login zurückzufallen. Am besten wäre, wenn in diesem Fall noch eine Warnung angezeigt würde und darauf hingewiesen, nach Möglichkeit SSL zu benutzen.

Das ist auch meine Meinung, aber man sollte sich trotzdem bewusst sein, dass es eben auch "schlechte" Anbieter gibt. Allerdings wäre es mir sowieso egal, weil ich ein Mailprogramm sowieso erstmal gründlich konfiguriere, und weiß, worauf ich achten muss. GPG Verschlüsselung geht ja auch noch nicht automatisch... konfigurieren ist folglich so oder so notwendig.

otzenpunk hat geschrieben:

Lunar hat geschrieben:

Btw, was ist eigentlich APOP? Das wählt KMail bei meinem GMX Account automatisch aus...

Das ist auch ein Challenge-Response-Mechanismus: APOP

Jo, das hab ich mittlerweile auch schon rausgefunden 😉 Aber danke für die Infos 😉

Antworten |