Sniffen im Non-Promiscuous Mode?

[kleinerspast]

Hi Leude,

ich habe folgendes vor, weiß aber leider noch nicht genau wie es geht: Ich habe in meinem thunderbird (zwischenzeitlich) die Verschlüsselung (TLS/SSL) deaktiviert. Nun will ich mit Wireshark sehen ob ich das Email-Passwort beim sniffen auslesen kann. Da es ja nicht verschlüsselt ist denke ich das es im Klartext irgendwo auftauchen müsste. (Richtig?) Also startete ich den Wireshark und fing an aufzuzeichnen. Mit der Suche STRG+F suchte ich dann nach den Strings "Password" und dem eigentlichen Passwort was allerdings in keinem Paket auftauchte. In der Wireshark Grafik konnte man erkennen, daß im Promiscous Mode gesnifft wurde. Beim zweiten Scannen habe ich dann den Promiscous Mode deaktiviert, was allerdings auch nicht zum gewünschten Erfolg führte. Also um es kurz zu machen: Hat das auch mal jemand von euch verscucht, und wenn ja mit welchen Einstellungen fkt das ganze? Muss ich vielleicht vorher in der Shell mit einem bestimmten Befehl einen anderen Modus aktivieren? Oder ist es falsch das ich alles auf einem Rechner versuche? Müsste ich evtl. mit einem Rechner sniffen und mit einem anderen rechner im WLAN emails abrufen?

Gruss
kleinerspast

[reox]

such einfach mal nach Traffic auf dem Port auf dem der Mailserver rennt, also 443 oder so, je nach dem was du fürn Protokoll verwendest

[kleinerspast]

Hi reox,

ich glaube wir kommen der Sache schon näher, ich habe nun einmal mit aktivierten promiscuous mode gescannt, und einmal ohne, wobei man schon mal den Inhalt der ersten gelesenen Mail im Wireshark in einem Paket sehen konnte. Habe als Capture Filter "tcp port 143" angegeben, was ja mein email Port ist. Nur das Passwort ist noch nirgends durchgesickert. Habe aber das Gefühl da fehlt nicht mehr viel, vielleicht müssen nur 1 oder 2 Sachen anders eingestellt werden.

Gruss und danke für die Tipps
kleinerspast

[kleinerspast]

so, mir ist es mittlerweile gelungen das Passwort bei der Einwahl in ein unverschlüsseltes Forum mitzusniffen. Dazu habe ich als Filter "tcp port 80" eingegeben und habe nicht im prom.-modus gescannt. Eigentlich müsste dies nun auch beim Scanvorgang im Thunderbird so gehen, wenn ich die entsprehcenden Ports eingebe, was es aber nicht tut. Jemand noch ne Idee?

Gruss

[nepos]

Hm, ich glaube, nach "Password" zu suchen, führt nicht unbedingt zum Erfolg.
Wenn du IMAP ohne SSL/TLS machst, dann einfach alles von und zu port 443 sniffen. Dann im Wireshark auf eines der Pakete gehen und "Follow TCP Stream" benutzen. Da kriegst du dann die komplette Kommunikation in einem Fenster. Das übergeben von Username und Passwort an den Server müsste dann ziemlich am Anfang stehen.

[kleinerspast]

Hi nepos,

habs gerade genauso gemacht wie du sagtest und dabei ist mir was aufgefallen: obwohl ich keinerlei verschlüsselung aktiviert habe, steht unten im thunderbird "sende authentifizierte Login-Daten". dementsprechend findet also eine Art Authentifizierung trotzdem noch statt. Da wo eigentlich das Passwort stehen müsste ist ein wirrer String in Form von sowas: 7[/?EVP@@)sosBe7<jlsEAGptaWNoZTJzAGFsZsfokc29uZmlyZQ==.

Also ich denke deswegen könnte es nicht funzen! Würd ich genauso Outlook abscannen würdeich wahrsch. das Password sehen. Was denkt ihr darüber?

Gruss

[badera]

Also ich denke mit Outlook hat das direkt nichts zu tun. Es ist eher die Frage, mit was für Mail-Server / Transmissions-Standards Du arbeitest. Wenn Du nativ POP3 zum Abrufen verwendest (Port 110) wirst Du sicher auch bei Verwendung mit Thunderbird das Passwort sehen!

[kleinerspast]

Hi badera,

ich verwende aber IMAP auf Port 143 und SMTP auf Port 25. Für Testzwecke alles ohne TLS/SSL, aber komischerweise trotzdem mit einer Authentifizierung.

Gruss
kleinerspast

[badera]

Also so wie ich Dich verstehe willst Du das Passwort beim Empfangen der Mails sehen. Das heisst: Beim Empfangen arbeitest Du mit IMAP. IMAP kenne ich zu wenig, da ist es durchaus denkbar, dass das Passwort nicht als Cleartext übertragen wird, eben genau dazu, dass nicht gerade jeder alles sieht. Allerdings wäre es wohl einfach, den String zu entschlüsseln, da Infos über IMAP einfach zu erhalten sind.
Anders würde es aussehen, wenn Du Mails SENDEN würdest über SMTP (falls Dein Mailserver eine Passwort-Autorisierung vor dem Verschicken sehen will). Bei SMTP würde das Passwort auch nicht im Cleartext übertragen.

Aber bei IMAP - wie gesagt - ist das hoffentlich anders (und so wie Du schreibst ist es ja tatsächlich so). Schliesslich ist IMAP auch etwa 20 Jahre jünger als POP und SMTP!

[nepos]

Da kannst du mal nachlesen: http://tools.ietf.org/html/rfc3501
Da steht auch, dass es AUTHENTICATE und LOGIN gibt, wobei nur bei letzterem wohl User plus Passwort unverschlüsselt über die Leitung gehen. Aber ich habs nur mal grob überflogen.

[kleinerspast]

So Leude,

habs mal gerade mit Office 07 und Pop3 probiert. Da konnte man direkt das Passwort mitlesen, ohne Probleme. Kann also echt am IMAP Protokoll liegen.

Gruss

[armin]

TLS hast du bei Imap auch definitiv deaktiviert?
Imap schickt nämlich Passworte auch in Textform. Siehe 6.2.3. in oben verlintem RFC. Wird TLS verwendet, ist der ganze Spaß jedoch verschlüsselt (6.2.2).

Note: Use of the LOGIN command over an insecure network
(such as the Internet) is a security risk, because anyone
monitoring network traffic can obtain plaintext passwords.
The LOGIN command SHOULD NOT be used except as a last
resort, and it is recommended that client implementations
have a means to disable any automatic use of the LOGIN
command.

[kleinerspast]

Jup, TLS war auch deaktiviert

[badera]

habs mal gerade mit Office 07 und Pop3 probiert. Da konnte man direkt das Passwort mitlesen, ohne Probleme. Kann also echt am IMAP Protokoll liegen.

Kannst es auch mit Thunderbird und Pop3 versuchen! Hat nix mit Office zu tun...