Blog

Atmel Mega 128 USB Eval Board

|

Für jeden der von Zeit zu Zeit ein kleines flexibles Mikrocontroller Board benötigt gibt es hier das passende DIY Eagle Projekt.

Ein doppelseitiges SMD Board mit Mega128 und FTDI USART -> USB Bridge. Die ISP Schnittstelle liegt auf einem Wannenstecker. Alle I/O Pins sind nach außen geführt und können für eigene Projekte genutzt werden. Die Spannungsversorgung erfolgt über einen 5V Festspannungsregler.

Eagle Board Top
Eagle Board Bottom
Ressources

schematics

Android Modder v1

|

Demnächst wird es eine neue Version des Android Modders von mir geben. Das Tools arbeitet mit dem Android-SDK und erlaubt direkte File Zugriffe über die ADB-Shell. Im Anhang ein kleiner Vorgeschmack:

Android Modder
Android Modder

Passwort Sniffing mit Ettercap und Wireshark

|

Ausgehend von meinem Ettercap Tutorial, habe ich heute wissen wollen, wie einfach oder schwer es ist an Passwörter zu gelangen. Ich muss leider jetzt schon sagen, es ist überhaupt kein Problem. Selbst SSL verschlüsselte Logins sind kein großes Hinderniss. Auch wenn man dort ein wenig auf die Naivität der User angewiesen ist. Das erste Tutorial zum Thema Ettercap sollte man gelesen haben, denn wir werden zum sniffen der Passwörter wieder als MITM agieren damit Wireshark die fremden Pakete aufzeichnen kann.

Fangen wir also mit Ettercap an. Um SSL gesicherte Passwörter zu finden, ist eine kleine Änderung in der etter.conf nötig. Hierzu mit einem Editor der Wahl die Datei /etc/etter.conf öffnen und folgenden Abschnitt suchen:

    if you use iptables:
    # redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp -dport %port 
    -j REDIRECT -to-port %rport"

    # redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp -dport %port 
    -j REDIRECT -to-port %rport"

Dort die Auskommentierung der beiden mit #redir beginnenden Zeilen entfernen (# löschen) und speichern. Ab jetzt nutzt Ettercap ein eigenes fake SSL Zertifikat für die Authentifizierung.

Ettercap wird nun gestartet und das 'unified sniffing' wie im ersten Tutorial beschrieben ausgewählt. Hosts werden gescannt und als Target 1 und 2 eingerichtet. Alles wie gehabt! Den einzigen Unterschied bildet das Dialogfenster beim starten des ARP Poisonings. Wo wir im ersten Teil noch beide Häkchen frei gelassen haben, setzen wir nun den Haken bei 'Sniff remote connections'.

Ettercap

Ist soweit alles eingerichtet und gestartet, müssen wir nur noch abwarten bis sich das Opfer auf einer SSL verschlüsselten Seite einloggt. Egal ob StudiVZ, ebay, gmail usw. wir bekommen das PW. Der nächste Screenshot zeigt einen Loginversuch bei googlemail.

Login credentials

Ettercap hat seine Boshaftigkeit also mal wieder unter Beweis gestellt.

Nun zum kleinen Haken. Wir brauchen hierzu wirklich ein etwas naives Opfer. Firefox will nämlich beim aufrufen der Seite eine Sicherheits-Ausnahme Regel hinzufügen. Eigentlich keine große Sache da einem diese Zertifikatsfehler immer mal wieder begegnen sobald ein Zertifikat von Mozilla noch nicht als vertrauenswürdig eingestuft wurde. Stutzig dürfte den erfahrenen User diese Meldung trotzdem machen.

Post Method Passwörter

Als nächstes möchte ich noch zeigen wie man an die nicht SSL verschlüsselte Passwörter kommt, die von den meisten Foren oder Communityportalen genutzt werden. Diese werden mit Ettercap nämlich nicht erfasst. Wir lassen Ettercap also im Hintergrund weiter laufen damit jeglicher Traffic weiterhin über unseren PC geleitet wird und starten Wireshark.

Die Wireshark Oberfläche ist eigentlich selbst erklärend. Über den Button oben links wählen wir das Interface mit dem wir lauschen wollen. In den meisten Fällen ist dies eth0. Sobald das Interface ausgewählt wurde, beginnt Wireshark auch schon mit der Aufzeichnung. Hier sollte man sich von der Fülle an Paketen die durchs Bild rauschen nicht abschrecken lassen. Wir Filtern diese im nächsten Schritt auf die für uns interessanten. Doch wonach sollen wir filtern? Welche Pakete sind für uns überhaupt interessant? Da wir es auf Login Daten im Browser abgesehen haben, wollen wir zunächst nur http Traffic zu sehen bekommen. Hierfür genügt es in der Filterleiste http einzugeben und schon haben wir 90% der unnötigen Datenpakete ausgeblendet. Um jetzt an die wirklich interessanten Pakete zu kommen müssen wir unseren Filter noch ein wenig verfeinern. Gibt jemand auf einer Webseite seine Login Daten an, werden diese in der Regel als POST Request an den Server geschickt. Unser endgültiger Filter sieht also wie folgt aus:

Wireshark Filter

Nun bekommen wir wirklich nur noch Pakete zu sehen, die Daten enthalten die über ein POST Formular auf einer Webseite übertragen wurden. Klickt man auf ein solches Paket, gibt es seinen Inhalt für uns Preis.

Login credentials

Der Witz an der Sache ist, dass dieses Vorgehen auch über WLAN möglich ist. Ich kann also nur jedem dringend raten sein eigenes Netz gescheit gegen eindringen von Außen zu sichern. Andernfalls hat man keine Chance dem Passwortklau zu entgehen. In jedem öffentlichen Netz sollte man tunlichst vermeiden Passwörter einzugeben oder sich auf Webseiten einzuloggen. Die einzige Möglichkeit sich sicher in diesen Netzen zu bewegen dürfte der gebraucht von VPN Lösungen sein. Ich jedenfalls werde meinen Datenverkehr außerhalb meines Lans ab jetzt tunneln.