Kennwort-Pharming deluxe aus Linux-Magazin

[berlinerbaer]

Hallo,
sicher habt Ihr doch auch das Linux-Magazin? Wie ist das gemeint, dass über die Links von Gästebüchern und Internetforen, genauer über dort eingebundene Grafiken, Accountdaten und Passwörter von den Rechnern der Forenteilnehmer geklaut werden können?
Bisher hielt ich sowas im Linux für nicht möglich. So wie ich das verstehe, ist ja damit das Einbinden eines eigenen Avatars in einem Forum für mich schon ein Sicherheitsrisiko wenn ich an den falschen Foren-Admin geraten würde.
Habt Ihr den Artikel gelesen? Was sagt Ihr als Fachleute dazu?

Nachtrag: mein Freund sagte, dass in der aktuellen polnischen (aber in deutsch) Zeitschrift "hakin9" wohl sogar Scripte dafür zu finden sind, die man nur ausführbar machen muss und es kann losgehen. Ich habe diese Zeitschrift aber selbst nicht und die Scripte auch nicht gesehen. Wenn es so wäre, würde ich es ganz und gar nicht verstehen.

[armin]

Wer ein Passwort in eine Popup-Box eingibt, die er nicht angefordert hat, ist selbst schuld.

[berlinerbaer]

und ohne diese Aufforderung geht das nicht?
Dann wäre das für mich keine Gefahr, denn ich weiß, wo ich meine Passwörter eingebe. Ich habe die Zeitschrift bei meinem Freund gelesen, habe sie also selbst nicht mehr hier. Außerdem konnte ich es halt nur einmal lesen. Kommt dieses Popup-Fenster in jedem Browser? Wieso schreibt man in dem Artikel dass IE-Nutzer und Mozilla-Nutzer chancenlos wären, dass zu erkennen?

[eagle]

(Der Artikel ist aus dem Linux Magazin 10/05 auf Seite 102. )

Auf jeden Fall gibt es ein Login Fenster, da das zu ladende Bild auf einem Server mit HTTP-Authentifizierung liegt. Beim Mozilla oder IE sieht man nicht auf Anhieb, dass die Authentifizierung von einem anderen Server ausgeht.

Auf jeden Fall gilt beim Surfen immer Vorsicht walten zu lassen.

eagle

[cosmac]

Kommt dieses Popup-Fenster in jedem Browser?

Ja, auch in lynx und w3m; nur da halt nicht als Popup.

Wer ein Passwort in eine Popup-Box eingibt, die er nicht angefordert hat, ist selbst schuld.

und ohne diese Aufforderung geht das nicht?
Dann wäre das für mich keine Gefahr, denn ich weiß, wo ich meine Passwörter eingebe
Wieso schreibt man in dem Artikel dass IE-Nutzer und Mozilla-Nutzer chancenlos wären, dass zu erkennen?.

Es geht auch ohne direkte Anforderung und ob man es merkt, haengt stark davon ab,
wo die falsche Abfrage erscheint.
Wenn ich den Trick hier im Forum mit meinen Avatar machen wuerde, wuerde es
wohl jedem auffallen - gut dass ich keinen hab
Wenn ich aber hier ins Wiki einen neuen Artikel stellen wuerde, kaeme die Abfrage
genau fuer den neuen, halbfertigen Artikel, darauf koennte man schon reinfallen.
Wenn man keine eigenen Bilder ins Wiki stellen kann, geht der Trick dort nicht.

Eigentlich moechte ich es probieren, (es geht wirklich einfach, auch ohne fertiges script)
aber wie hindert man die Leute, da wirklich ein echtes Password einzugeben

[berlinerbaer]

indem man es gleich groß darüber schreibt, dass es ein Test ist. Der Test wäre es wert. Oder sich vorher mit bestimmten Leuten via PN absprechen, die dann ein falsches Passwort eingeben und du es testweise entzifferst. Ich mache meinerseits mit und gäbe dir ein Passwort zum Knacken

Morgen soll ich die hakin9 als Kopie bekommen, sie ist mir zur Zeit viel zu teuer zum Selbstkauf, dort wäre ein Script zum Passwortklau drin. Anleitung zum Handeln würde ich sowas nennen, wenn das so wäre oder vielleicht nennt man das dann sogar Beihilfe.

Der Trick mit dem Avatar dürfte doch m.E. nur möglich sein, wenn der Avatar direkt von deiner Festplatte aus angezeigt wird, oder? Hier sind die Bildchen doch auf dem Debianforum-Server hochgeladen worden. eine Verbindung zum Urheber-Computer besteht doch nicht mehr?
Oder nicht? Bin ich da zu blauäugig?

[cosmac]

Kennwort-Pharming Demo
KEINE ECHTEN KENNWORTE EINGEBEN!

Also gut, ihr habt es so gewollt Der Trick braucht ein Forum, in das jeder eigene
Bilder einfuegen kann. Hier geht's mit dem Avatar wohl echt nicht, weil man das Bild
vorher raufladen muss. Aber hier im Text geht's und hat noch den Vorteil, dass man auf
eine Kennwort-Abfrage mitten im Beitrag nicht ganz so leicht reinfaellt. Damit jeder gleich
sieht, dass das Passwort wirklich lesbar wird, erzeugt mein httpd daraus ein "pw.jpeg"
und liefert das aus:

Link zum HTTP-AUTH geschuetzten Bild entfernt
-Flo (godsmacker)

Weil ich keinen root-server hab', funktioniert das nur, solange meine DSL-IP noch stimmt.
Nach dem 03.10.2005 werd' ich die wohl nicht mehr updaten - wenn der Beitrag bis dahin
nicht sowieso geloescht ist [/b]

[eagle]

Der Trick mit dem Avatar dürfte doch m.E. nur möglich sein, wenn der Avatar direkt von deiner Festplatte aus angezeigt wird, oder?

Das haben dem Artikel auch so entnommen.

eagle

[berlinerbaer]

und was muss ich da jetzt machen, ein Bild von meiner WebSite-Adresse aus einbinden? Und dann fragt er mich nach dem Passwort?

[Manfred]

Und wo muß ich jetzt klicken, um das zu testen?

[cosmac]

Schau's dir nochmal an, wenn ich jetzt die Passwort-Abfrage wirklich einschalte.

[berlinerbaer]

so und konntest du jetzt lesen, was ich eingegeben habe?

[Manfred]

Ich konnte meinen Text jetzt in dem Beitrag von cosmac lesen

[berlinerbaer]

wo im Beitrag ??? Gleich während der Passworteingabe ?

[berlinerbaer]

das jpeg ist doch weg, nichts mit Passwort angucken
Schade, ich hätte es gerne probiert

Aber ok, zumindest habe ich es begriffen, war eine tolle Vorführung

[cosmac]

Na gut, irgendein ein Fehler wird schon noch drin sein, ist ja nur eine Demo
Wenn man "abbrechen" klickt, gibt es kein Bild zu sehen, aber mit Benutzer
und Kennwort geht's auch nicht

Ein Zugangsdaten hab' ich jedenfalls schon;)
Liffi:blubb
blabla:babalu
fridolin:achichweissnicht
hans:müller
ich würde hier:niemals ein PW eingeben
test:test

[Manfred]

Bei mir hat sich einmal, als ich den Thread öffnete, ein zusätzlisches Fenster mit der PW-Abfrage geöffnet.

[Snoopy]

Bei mir hat sich einmal, als ich den Thread öffnete, ein zusätzlisches Fenster mit der PW-Abfrage geöffnet.

Bis ich es den Admins gemeldet habe zwecks Abstellung....

[godsmacker]

Hallo,

das oben genannte Beispiel war zwar deutlich als fake gekennzeichnet, ich habe es aber dennoch entfernt, da es bereits beim aufrufen der Seite nach Authentifikation und der unbefangene Benutzer eventuell nicht weiss was er davonhalten soll, bevor er den thread nicht komplett lesen konnte.

Als Beispiel kann man die vom Autoren des Artikels im Linux-Magazin zur Verfuegung gestellte Seite auch verwenden: http://people.debian.org/~nomeata/xsa-sample.html

-Flo

[cosmac]

@peterschubert:
Das ist wieder typisch, alle Tests o.k., bei Test-Benutzern funktionierts, nur
beim Endkunden ist irgendwas anders Was hast denn du fuer einen Browser,
hat der vielleicht schon die neueste Sicherheitsausstattung gegen solche Angriffe?

[cosmac]

@godsmacker:

Ja, besser ist das. Entschuldigung und danke fuer die Muehe.
Ich hab den halben Sonntag ueberlegt, ob ich es wirklich machen soll.
Aber eine Demo in einem echten Forum ist halt doch was anderes
als eine extra eingerichtete Demo-Seite...

[berlinerbaer]

der Laptop (Konqueror) wollte nicht so, aber auf dem Großen (Mozilla) ging das einwandfrei. Ich bin fasziniert, so anschaulich habe ich das noch nie vorgeführt gekriegt




Das war mal Handfestes.

Die Admins sind richtige Spielverderber

[Manfred]

Bei mir hat sich einmal, als ich den Thread öffnete, ein zusätzlisches Fenster mit der PW-Abfrage geöffnet.

Bis ich es den Admins gemeldet habe zwecks Abstellung....

Spielverderber.

Es war ganz klar als TEST gekennzeichnet.

[charno]

es gibt auch foren, wo man die avas direkt von fremden Servern einbinden kann. Alternativ aknn man das auch in der Signatur einbauen.

MfG
Christof[/img]

[Manfred]

@godsmacker:

Ja, besser ist das. Entschuldigung und danke fuer die Muehe.
Ich hab den halben Sonntag ueberlegt, ob ich es wirklich machen soll.
Aber eine Demo in einem echten Forum ist halt doch was anderes
als eine extra eingerichtete Demo-Seite...

Ich fands gut.

Man hat mal gesehen, wie einfach das eigentlich ist.

ich würde hier:niemals ein PW eingeben

Ist übrigens von mir.