1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

SSL bei Stern TV

Dieses Thema im Forum "WLAN, Airport & TimeCapsule" wurde erstellt von ApplePope, 07.06.07.

  1. ApplePope

    ApplePope Cripps Pink

    Dabei seit:
    21.01.07
    Beiträge:
    148
    Guten Morgen,

    gestern wurde bei Stern TV ein recht interessantes Thema angesprochen. Ein IT Fachmann saß mit einem Notebook und einer Verstärkerantenne in einem Café und konnte die Daten, die von den umsitzenden Rechnern (vorwiegend Apple) losgeschickt wurden, ablesen. Keine SSL Verschlüsslung! Entourage, Passwörter auf Webseiten USW.

    Nun meine Fragen:
    Wie sicher ist Safari?
    Wird beim einloggen auf Apfeltalk SSL verwendet, oder postet mein "Nachbar" im Café 5 min später unter meinem Namen?
    Wo kann man LEGAL diese aushorch Softwares bekommen und warum sind die legal?

    Vielen Dank
    Gruß
     
  2. Geigaman

    Geigaman Macoun

    Dabei seit:
    17.03.06
    Beiträge:
    116
    Ein bisschen Theorie vorweg. Und nochmal Theorie.
    Https, also die sichere Erweiterung des normalen Http Protokolls verwendet meistens/immer ssl zur Verschlüsselung. Https wird meistens nur bei Shops o.ä. eingesetzt, der Safari zeig dann auch irgendwo ein Vorhängeschloss (entweder in der Adresszeile oder in der Statuszeile unten, ich benutze kein Safari).
    Allerdings bringst du glaube ich zwei Dinge durcheinander und irgendwie ist es ja auch klar, dass RTL seinen Zuschauern gerne ein X für ein U vormacht. Mit einer WPA verschlüsselten Verbindung kann der "Fachmann" - vorausgesetzt er kennt das WPA Passwort nicht - nur schwer deine Verbindung abhören.
    Wo man allerdings aufpassen sollte sind öffentlich HotSpots oder offene Funknetzwerke. Um da relativ sicher zu sein müsste man eine ssh Verschlüsselte VPN Verbindung zu einem vertrauenswürdigen Rechner aufbauen, der am Besten per Kabel angebunden ist und dann wiederum über diesen vertrauenswürdigen Rechner die "richtige" Internetverbindung aufbauen, aber das wäre mir zu kompliziert.
    Https/SSL greifen einfach auf einer ganz anderen Ebene, als das vorgeführte WLAN Problem.
     
  3. MasterofDistres

    MasterofDistres Kleiner Weinapfel

    Dabei seit:
    07.12.06
    Beiträge:
    1.139
  4. groove-i.d

    groove-i.d Grünapfel

    Dabei seit:
    10.01.05
    Beiträge:
    7.085
    das fatale und dumme an diesem stern-tv-beitrag war, daß mit keinem wort gesagt wurde, daß https und ssl beide sichere zugänge (auch bei einem offenen/lesbaren netzwerk) sind.

    bei web.de hat sich der "experte" bedeckt gehalten. dort allerdings surft man über https.

    eine verständnisfrage: meint ssl und https eigentlich das gleiche?
    auch das blieb gestern offen im bericht.

    wegen "2 häkchen" so einen gedehnten beitrag.o_O
     
  5. MasterofDistres

    MasterofDistres Kleiner Weinapfel

    Dabei seit:
    07.12.06
    Beiträge:
    1.139
    Ach, ich hab ihn nur angeguckt, weil mal wieder ein paar schöne Macbooks (Pro) zusehen waren :)
     
  6. quarx

    quarx Hadelner Sommerprinz

    Dabei seit:
    17.04.05
    Beiträge:
    8.541
    SSL und HTTPS sind beides Protokolle zur sicheren Datenübertragung via Internet. Im OSI-Schichtenmodell liegt SSL eine Ebene tiefer als HTTPS (welches SSL einfach benutzt). Das SSL-Protokoll wird auch von anderen "höheren" Protokollen verwendet wie z.B. bei POP3/SMTP/IMAP für Emails oder auch bei NNTP zur Uhrzeit-Synchronisierung.
     
  7. plaetzchen

    plaetzchen Kaiserapfel

    Dabei seit:
    21.10.05
    Beiträge:
    1.729
    Die Software heißt Wireshark und sie ist legal, da sie nichts knackt oder so.
     
  8. ApplePope

    ApplePope Cripps Pink

    Dabei seit:
    21.01.07
    Beiträge:
    148
    Das hat er aber gesagt, dass es sich nur um offene Funknetzwerke/Hotspots handelt!!!

    Ich fasse zusammen:
    Wenn ich hier im Café um die Ecke, die einfachheitshalber keine Absicherung haben, kostenlos ins Internet gehe und auf apfeltalk surfe kann jeder mein PW sehen, da apfeltalk werde ssl noch https verwendet! Das ist doch ziemlich beunruhigend. Was kann ich denn da machen (schützen).
    Hat der ITler gestern Cain & Abel verwendet? Das ist jetzt nämlich illegal?!

    WOHHHH! So ist das in diesem kranken Land!!!!
     
  9. MasterofDistres

    MasterofDistres Kleiner Weinapfel

    Dabei seit:
    07.12.06
    Beiträge:
    1.139
    Das klingt aber etwas anders. Nach dem neuen Entwurf wirds wohl illegal sein. (Auch z.B. für Systemadministratoren, die die Sicherheit des Netzwerks prüfen wollen)
     
  10. Mark.3k

    Mark.3k Angelner Borsdorfer

    Dabei seit:
    03.01.07
    Beiträge:
    618
    ja aber der sieht doch das passwort nur wenn ich es eingebe oder?
     
  11. Appleboy

    Appleboy Neuer Berner Rosenapfel

    Dabei seit:
    04.12.05
    Beiträge:
    1.976
    Du kannst Apfeltalk über "https://www.apfeltalk.de" aufrufen, dann ist die Verbindung vom Browser zu den AT Servern verschlüsselt.

    Viele Grüße

    Timo
     
  12. ApplePope

    ApplePope Cripps Pink

    Dabei seit:
    21.01.07
    Beiträge:
    148
    Ja, aber um bei apfeltalk etwas schreiben zu können, musst du dein Passwort eingeben.

    Aber die Datenübermittlung ist doch öffentlich, wenn das Wlan / Hotspot nicht gesichert ist und man kein SSL oder https verwendet.

    //
    Ok, das funktioniert mit der Startseite. Wenn ich dann aber auf Forum klicke, dann steht nur noch http da und das Schloss rechts oben ist weg :(
     
  13. Appleboy

    Appleboy Neuer Berner Rosenapfel

    Dabei seit:
    04.12.05
    Beiträge:
    1.976
    Wenn der Seitenbetreiber ein SSL Zertifikat installiert, ist eine verschlüsselte Verbindung möglich.
     
  14. tjp

    tjp Baldwins roter Pepping

    Dabei seit:
    07.07.04
    Beiträge:
    3.255
    Wenn Du SSL Verbindungen hast, kann man nicht mehr so einfach per Software und normaler PC-Hardware abhören. Aber dann bist Du immer noch nicht sicher. Jeder normale PC sendet kompromittierende Abstrahlungen aus, die jeder mit passender Empfangsanlage mithören kann. Alle notwendigen Bauteile kann man vollkommen legal kaufen. So kann man zum Beispiel sehr leicht das Bild Deines Laptops sehen, ohne Dir über die Schulter schauen zu müssen. Prinzipiell sind auch die Tastendrücke abzufangen. Es gibt spezielle Computer die abgeschirmt sind, damit man das nicht mehr machen kann. Aber die sind extrem teuer und fallen die Rubrik Rüstungstechnik.

    Richtig geil sind IMSI Catcher, mit den Dingern macht man eine Man-in-the-Middle-Angriff auf GSM Handys, und kann so problemlos die Gespräche abhören.

    Wenn Du irgend wo unterwegs bist, gilt immer: Bluetooth komplett aus, WLAN aus. WLAN nur bei Bedarf aktivieren, Bluetooth gar nicht. Das gilt für Laptop wie auch Handy. Beim Handy auch die IrDA-Schnittstelle abstellen. Die Bluetooth Headsets für Handys lassen sich ganz einfach abhören, da die meisten Dinger nicht verschlüsselt sind.

    Rohde&Schwarz stellen passende Geräte zum Verschlüsseln von Handy-Verbindungen her. Der Treppenwitz sie liefern auch die IMSI-Catcher.
     
  15. tjp

    tjp Baldwins roter Pepping

    Dabei seit:
    07.07.04
    Beiträge:
    3.255
    Ich habe das gerade ausprobiert, da meckert FireFox gleich herum, daß die Inhalte nicht komplett abgesichert sind. Irgend was stimmt da nicht.
     
  16. Hilarious

    Hilarious Gelbe Schleswiger Reinette

    Dabei seit:
    10.08.05
    Beiträge:
    1.759
    Mal ein wenig zur Aufklärung, an was man denken sollte, wenn man den Milchkaffee mit WLAN genießt:

    Surfen im Internet
    ... ist solange unverschlüsselt, bis in Safari oben rechts ein kleines Schloss-Symbol zu sehen ist. Gibt man Benutzername/Passwörter irgendwo ein, wo dieses Symbol nicht zu sehen ist (also die Übertragung nicht verschlüsselt läuft), wird alles im Klartext übertragen. »Abhören« ist sehr einfach.

    Abrufen von E-Mails
    ... ist in den allermeisten Fällen ebenfalls eine Klartext-Übermittlung. Das wohl weit verbreiteste Protokoll POP3 übermittelt alles unverschlüsselt. Ebenso unverschlüsselt wird zu Beginn des E-Mail-Abrufes Dein Benutzername und Dein E-Mail-Konto-Passwort im Klartext übermittelt. Ob Dein E-Mail-Provider auch verschlüsselte Zugänge erlaubt, ist nicht selbstverständlich, aber Du solltest ihn einfach fragen. Für die wichtigsten E-Mail-Protokolle (POP3 und IMAP4 für den Abruf, sowie SMTP für den Versand) existieren auch hoch-verschlüsseltet Varianten. In diesen Fällen ist die Kommunikation zwischen Dir und Deinem Mail-Server komplett verschlüsselt und »abhören« ist für den Angreifer fruchtlos, aber was zwischen Deinem Mail-Server und dem des Empfängers passiert, oder ob dieser die Mails wiederum im Klartext empfängt, ist dadurch nicht geschützt. Zumindest schwirren Deine Zugangsdaten nicht im Klartext über den Äther, was ja auch schon mal sehr wertvoll ist.

    Up- und Download via FTP zu eigenen WebSite
    Was viele nicht wissen (wollen): Auch bei FTP werden die Zugangsdaten im Klartext übermittelt. Dadurch hat sicher schon so manche Community ihr blaues Wunder erlebt. Interessanterweise gaukeln einige FTP-Programme vor, die Passwörter wären sicher untergebracht, indem sie das Eingabefeld für das Passwort mit Sternchen maskieren. Wird dann jedoch eine Verbindung zum Server hergestellt, wird alles wieder im Klartext übertragen. Klar, wenn man sein Passwort vergessen hat, und das FTP-Programm selbiges nicht mehr herausrücken will, dann schaut man sich mit einem Protokoll-Rekorder einfach selbst über die Schulter. Ebenso einfach hat es der Angreifer.

    Bonjour und das lokale Netzwerk
    Weniger gefährlich aber schon zum Schmunzeln ist es, wenn man sich ein größeres Café setzt, welches mit WLAN ausgestattet ist, und mit einem Bonjour Browser, oder einfach mit iTunes mal »in die Runde schaut«, wer im selben Funknetz ebenfalls einen Bonjour-fähigen Rechner betreibt (meist wohl ein Mac). Hat dort jemand iTunes eingeschaltet und die entsprechenden Freigaben erteilt, erscheint neben der eigenen Playlist auch die des anderen Rechners (»Musik von ...«). Wenn mich also im Starbucks jemand mit meinem Namen auf meinen kruden Musikgeschmackt anspricht, weis ich, ich sollte einige Dienste abschalten, wenn ich meine Ruhe haben will.

    Personal Web-Sharing
    Vielleicht bastele ich ja gerne an datenbankgetriebenen WebSites herum. Und vielleicht habe ich ja darauf verzichtet meine Web-Datenbank-Schnittstelle »phpMyAdmin« mit einem Passwort zu versehen. Hat jemand im selben WLAN mich gefunden (einfacher Adressen-Scan), kann er's ja mal via Port 80 versuchen. Da ich mit iTunes gerade meinem kruden Musikgeschmack fröhne, kennt er ja meinen Namen und kann damit auf meinen Benutzernamen schließen. Eventuell wird ihm dieser ja auch im Netzwerkbrowser angezeigt (»otto-normalverbrauchers-macbook.local«). Also schaut er doch mal schnell über seinen Webbrowser, ob unter meiner Adresse der eingebaute WebServer läuft. Selbst wenn, keine Schande, da ich aber versäumt habe, meine Datenbanken per Passwort zu schützen, macht er mal eben einen kleinen Tabellen-Dump. Bestimmt spannend, was dabei herauskommt.

    iChat/AIM, MSN, Jabber, ICQ, etc.
    ... läuft »per se« auch erst einmal unverschlüsselt. Wobei es für viele dieser Dienste auch verschlüsselte Varianten gibt. Apple bietet eine starke Verschlüsselung an, allerdings muss dann (und das gilt für Tiger) ein OS X-Server im Spiel sein. Jabber als Open-Source-Protokoll wird ebenfalls gern verschlüsselt betrieben, aber man braucht dazu einen entsprechenden Jabber-Dienst. Und wenn ich im Café sitze, kann ich ja auch gleich mal schauen, ob dieses knusprige Girl am Ende des Saales nicht auch iChat und Bonjour offen hat. Wenn ich Glück habe, ist dieses knusprige Girl meine Frau und macht gerade Mittagspause. Wenn nicht, kommt sie bestimmt gleich um die Ecke, und dann ...

    Fazit
    Hör auf, mit Deinem MacBook im Café die große Nummer zu spielen, es sei denn, Du kennst Dich wirklich mit Funknetzen und Deinen Firewall- und Netzwerkeinstellungen gut aus. Und solltest Du so hirnreduziert sein, und glauben, Du müsstest mit Deinem MacBook im Café die Laptops der Girls hacken, vergiss nicht, dass alles deutliche Spuren hinterlässt.
     
    ApplePope gefällt das.
  17. tjp

    tjp Baldwins roter Pepping

    Dabei seit:
    07.07.04
    Beiträge:
    3.255
    In so einem Fall ist es dringend angeraten den Webserver und das DBMS so zu konfigurieren, daß sie nur lokale Sockets nutzen, so daß niemand aus dem Internet überhaupt auf sie zugreifen kann. Ob man sie dann noch per Passwort absichern will, muß man selbst entscheiden. Wenn das notwendig ist, hat man eh einen Angreifer auf dem eigenen Rechner drauf.
     
  18. groove-i.d

    groove-i.d Grünapfel

    Dabei seit:
    10.01.05
    Beiträge:
    7.085
    gibt es dazu schon stellungnahmen oder ergebnisse?
    das is bei mir nämlich ebenso.
     
  19. Hilarious

    Hilarious Gelbe Schleswiger Reinette

    Dabei seit:
    10.08.05
    Beiträge:
    1.759
    Wie ich ja schrieb, kann der Angreifer meine DB-Web-Schnittstelle »phpMyAdmin« nutzen, was ja auch recht verbreitet ist und nicht schwer zu finden sein dürfte. Wenn dann die Datenbank nach der Installation nicht mit einem root-Passwort versehen wurde, wird es einfach.
     
  20. ApplePope

    ApplePope Cripps Pink

    Dabei seit:
    21.01.07
    Beiträge:
    148
    Danke an Hilarious. So eine ausführliche Erklärung habe ich gesucht. Jetzt weiß ich wenigstens was Sache ist.

    Ich hab gerade meinen WinXP Laptop neben mein MacBook gestellt und bin nach dem Tutorial vorgegangen. Wireshark findet aber nur etwas, wenn ich Email mit Outlook vom WinXP Rechner hole. Nichts aber beim MacBook, obwohl mein Provider kein SSL unterstützt. Mach ich was falsch oder ist tatsächlich nichts per Wireshark zu finden?
     

Diese Seite empfehlen