Toon posts:

Veiligheidsproblemen netwerk

Pagina: 1
Acties:
  • 617 views

Onderwerpen

Arp Veiligheid

donderdag 24 november 2011 01:02

Acties:
  • 0 Henk 'm!
  • iboowtje
  • Registratie: November 2010
  • Laatst online: 03-09 18:17

iboowtje

Topicstarter
Beste Tweakers,

Wat vinden jullie ervan dat met simpele programma's zoals Cain & Abel en Firesheep mogelijk maakt om wachtwoorden te achterhalen en sessies over te nemen. Ik vind het nogal vreemd dat het zo makkelijk is om het verkeer binnen je netwerk te 'monitoren'. En heel vreemd vind ik dat zelfs https sessies niet veilig zijn. En het raarste is dat de meeste internetgebruikers niet op de hoogte zijn van dit soort praktijken. Ik heb als voorbeeld een youtube filmpje gemaakt: knip. Ook heb ik een website opgericht genaamd knip.

Wat vinden jullie hiervan ?

[ Voor 11% gewijzigd door iisschots op 24-11-2011 07:08 ]

donderdag 24 november 2011 01:03

Acties:
  • 0 Henk 'm!
  • Biersteker
  • Registratie: Juni 2009
  • Laatst online: 01:58

Biersteker

Compleet mee eens, en ben nu bezig met een tool die dat herkent :)
hoewel https sessies wel veilig zijn in verhouding. Aangezien cain and abel gebruik maakt van self signing certificates, die natuurlijk niet altijd als geldig worden ervaren. Na een shitload aan testen kwam ik erachter dat de machtigste optie van cain and abel dns spoofing is. In combinatie met virtual box met een backtrack5 en SET. Hoewel natuurlijk dit soort informatie niet op tweakers mag. (Iets met hacking = not allowed). Maar misschien kunnen we wel iets doen met een test programma van me. Ik ga binnenkort me programma (als hij af genoeg is) testen op een middelbare school. (Btw, me proggie herkent arp poisening binnen 1 sec, want timer is 1000) Als je een test versie wilt, moet je me ff dmen. Het is uiteindelijk wel bedoeld voor de verkoop namelijk.

@hieronder :). Comodo moet het ook kunnen, maar de optie staat standaard uit. Maar tooltje dat ik aan het maken ben herkent iedere verandering in de arp table, en geeft een melding.

Nog een edit. Linux kernel 2.3.7 dacht ik, heeft al ingebouwde arp detection.

[ Voor 97% gewijzigd door Biersteker op 24-11-2011 01:11 ]

Originally, a hacker was someone who makes furniture with an axe.

donderdag 24 november 2011 01:05

Acties:
  • 0 Henk 'm!
  • iboowtje
  • Registratie: November 2010
  • Laatst online: 03-09 18:17

iboowtje

Topicstarter
Biersteker schreef op donderdag 24 november 2011 @ 01:03:
Compleet mee eens, en ben nu bezig met een tool die dat herkent :)
Xarp is een tool die het herkent binnen een netwerk. Ook heb ik gemerkt dat Eset Smart Security 5 het door heeft :+

donderdag 24 november 2011 01:14

Acties:
  • 0 Henk 'm!

Verwijderd

In het filmpje wordt een gebruikersnaam+wachtwoord ingevuld op een pagina met een vette foutmelding over het certificaat. Niet zo handig.

Je praat dus onzin. Het is niet zomaar mogelijk om wachtwoorden te achterhalen of sessies over te nemen. Daar heb je ook nog een eindgebruiker voor nodig die geen verstand heeft van beveiliging en die geen flauw idee heeft wat hij doet. Ja, daar zijn er genoeg van, maar leg eens uit hoe mensen die "3 keer kloppen" snappen hier in zouden trappen?

donderdag 24 november 2011 01:14

Acties:
  • 0 Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Laatst online: 12-09 14:11

Thralas

iboowtje schreef op donderdag 24 november 2011 @ 01:02:
En heel vreemd vind ik dat zelfs https sessies niet veilig zijn.
Ik zie toch echt een waarschuwing van IE "U wordt aangeraden om dit venster te sluiten en niet naar deze webpagina te gaan". Als je er toch voor kiest om een niet-vertrouwd certificaat te accepteren, dan is dat je eigen fout. In Firefox is het accepteren van een niet-vertrouwd certificaat (terecht) nog moeilijker gemaakt.

donderdag 24 november 2011 01:14

Acties:
  • 0 Henk 'm!
  • iboowtje
  • Registratie: November 2010
  • Laatst online: 03-09 18:17

iboowtje

Topicstarter
Biersteker schreef op donderdag 24 november 2011 @ 01:03:
Compleet mee eens, en ben nu bezig met een tool die dat herkent :)
hoewel https sessies wel veilig zijn in verhouding. Aangezien cain and abel gebruik maakt van self signing certificates, die natuurlijk niet altijd als geldig worden ervaren. Na een shitload aan testen kwam ik erachter dat de machtigste optie van cain and abel dns spoofing is. In combinatie met virtual box met een backtrack5 en SET. Hoewel natuurlijk dit soort informatie niet op tweakers mag. (Iets met hacking = not allowed). Maar misschien kunnen we wel iets doen met een test programma van me. Ik ga binnenkort me programma (als hij af genoeg is) testen op een middelbare school. (Btw, me proggie herkent arp poisening binnen 1 sec, want timer is 1000) Als je een test versie wilt, moet je me ff dmen. Het is uiteindelijk wel bedoeld voor de verkoop namelijk.

@hieronder :). Comodo moet het ook kunnen, maar de optie staat standaard uit. Maar tooltje dat ik aan het maken ben herkent iedere verandering in de arp table, en geeft een melding.
Juist daarom vind ik het nogal vreemd omdat je ervoor kan kiezen om de certificaten toch te accepteren en wnr internetgebruikers dit soort schermpjes krijgen : knipgaat 90% toch door 8)7 . En zo merkt je ook dat hotspots scholen en bedrijven niet veilig zijn de meeste aanvallen gebeuren vanuit binnen. Ook een functie binnen Cain is DNS spoofing wat helemaal vreemd is dat het kan :?

[ Voor 2% gewijzigd door iisschots op 24-11-2011 07:08 ]

donderdag 24 november 2011 01:16

Acties:
  • 0 Henk 'm!
  • Biersteker
  • Registratie: Juni 2009
  • Laatst online: 01:58

Biersteker

Ach, als je wireshark combineert met cain and abel, dan maakt je zo een facebook cookie na. https is ook soms maar een grap. (iets met abn.nl)

[ Voor 6% gewijzigd door Biersteker op 24-11-2011 01:17 ]

Originally, a hacker was someone who makes furniture with an axe.

donderdag 24 november 2011 01:18

Acties:
  • 0 Henk 'm!
  • iboowtje
  • Registratie: November 2010
  • Laatst online: 03-09 18:17

iboowtje

Topicstarter
Thralas schreef op donderdag 24 november 2011 @ 01:14:
[...]


Ik zie toch echt een waarschuwing van IE "U wordt aangeraden om dit venster te sluiten en niet naar deze webpagina te gaan". Als je er toch voor kiest om een niet-vertrouwd certificaat te accepteren, dan is dat je eigen fout. In Firefox is het accepteren van een niet-vertrouwd certificaat (terecht) nog moeilijker gemaakt.
Ik zou zeggen probeer maar eens uit op een aantal mensen geloof me je zult versteld staan. Zelfs systeembeheerders negeren het |:( . Het leuke is je kan kiezen om de site te verlaten wat groen is waar mensen automatisch op klikken waarna Internet word afgesloten daarna gaan ze er toch maar in :'(

donderdag 24 november 2011 01:19

Acties:
  • 0 Henk 'm!

Verwijderd

Biersteker schreef op donderdag 24 november 2011 @ 01:16:
Ach, als je wireshark combineert met cain and abel, dan maakt je zo een facebook cookie na. https is ook soms maar een grap. (iets met abn.nl)
Zonder private key ga je echt geen HTTPS verkeer decrypten, tenzij de gebruiker zo stom is om een ongeldig certificaat te accepteren.

donderdag 24 november 2011 01:20

Acties:
  • 0 Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Laatst online: 12-09 14:11

Thralas

iboowtje schreef op donderdag 24 november 2011 @ 01:14:
[...]


Juist daarom vind ik het nogal vreemd omdat je ervoor kan kiezen om de certificaten toch te accepteren
Gelukkig maar, ik kom nog wel eens een expired of self-signed certificaat tegen; daar ik weet waar ik mee bezig ben wil ik die graag kunnen accepteren.
en wnr internetgebruikers dit soort schermpjes krijgen :knip gaat 90% toch door 8)7 .
Mwa, de browser meldt toch echt duidelijk dat er geen garantie meer is dat je verkeer veilig is. Heb je harde cijfers? :)
En zo merkt je ook dat hotspots scholen en bedrijven niet veilig zijn de meeste aanvallen gebeuren vanuit binnen. Ook een functie binnen Cain is DNS spoofing wat helemaal vreemd is dat het kan :?
Tja, VPN en (ooit) DNSSEC...

In de thuis/werksituatie zou ik me eerder zorgen maken om trojans als ZeuS/SpyEye (aka. Man in the Browser). Publieke WiFinetwerken blijven echter inderdaad een lastig punt (sslstrip/firesheep etc.) - niets is veilig, een VPN opzetten te complex, en men wil toch internetten..

security = usability-1

[ Voor 16% gewijzigd door iisschots op 24-11-2011 07:09 ]

donderdag 24 november 2011 01:29

Acties:
  • 0 Henk 'm!
  • iboowtje
  • Registratie: November 2010
  • Laatst online: 03-09 18:17

iboowtje

Topicstarter
In de thuis/werksituatie zou ik me eerder zorgen maken om trojans als ZeuS/SpyEye (aka. Man in the Browser). Publieke WiFinetwerken blijven echter inderdaad een lastig punt (sslstrip/firesheep etc.) - niets is veilig, een VPN opzetten te complex, en men wil toch internetten..

security = usability-1
Waarom krijg je dan ook de keuze om de certificaat-fout toch te negeren. Moeten de browsers geen manier vinden om het tegen te gaan ? :?

donderdag 24 november 2011 01:29

Acties:
  • 0 Henk 'm!
  • Biersteker
  • Registratie: Juni 2009
  • Laatst online: 01:58

Biersteker

Verwijderd schreef op donderdag 24 november 2011 @ 01:19:
[...]

Zonder private key ga je echt geen HTTPS verkeer decrypten, tenzij de gebruiker zo stom is om een ongeldig certificaat te accepteren.
Klopt, maar abn.nl gaat toch een gedeelte via http. Maar facebook, die zijn echt crappy.

Originally, a hacker was someone who makes furniture with an axe.

donderdag 24 november 2011 01:34

Acties:
  • 0 Henk 'm!
  • iboowtje
  • Registratie: November 2010
  • Laatst online: 03-09 18:17

iboowtje

Topicstarter
Verwijderd schreef op donderdag 24 november 2011 @ 01:14:
In het filmpje wordt een gebruikersnaam+wachtwoord ingevuld op een pagina met een vette foutmelding over het certificaat. Niet zo handig.

Je praat dus onzin. Het is niet zomaar mogelijk om wachtwoorden te achterhalen of sessies over te nemen. Daar heb je ook nog een eindgebruiker voor nodig die geen verstand heeft van beveiliging en die geen flauw idee heeft wat hij doet. Ja, daar zijn er genoeg van, maar leg eens uit hoe mensen die "3 keer kloppen" snappen hier in zouden trappen?
Ik zou zeggen probeer het : cain en abel inc met firesheep. Ik heb het getest op hotmail.com en wanneer ik probeer uit te loggen krijg ik een melding sorry het is niet mogelijk om u af te melden. En hierbij merk je echt niks ;)

donderdag 24 november 2011 01:35

Acties:
  • 0 Henk 'm!
  • iboowtje
  • Registratie: November 2010
  • Laatst online: 03-09 18:17

iboowtje

Topicstarter
Biersteker schreef op donderdag 24 november 2011 @ 01:29:
[...]

Klopt, maar abn.nl gaat toch een gedeelte via http. Maar facebook, die zijn echt crappy.
Is het niet beter dat ing.nl niet inlogt net als rabobank via een random reader ?

donderdag 24 november 2011 01:38

Acties:
  • 0 Henk 'm!
  • iboowtje
  • Registratie: November 2010
  • Laatst online: 03-09 18:17

iboowtje

Topicstarter
@Biersteker probeer eens ook netcut ;)

donderdag 24 november 2011 01:39

Acties:
  • 0 Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Laatst online: 12-09 14:11

Thralas

iboowtje schreef op donderdag 24 november 2011 @ 01:29:
Waarom krijg je dan ook de keuze om de certificaat-fout toch te negeren. Moeten de browsers geen manier vinden om het tegen te gaan ? :?
Ik val wel een beetje in herhaling - omdat men slechts tot op zekere hoogte rekening houdt met onhandige gebruikers. Als je het advies dat IE je voorschotelt negeert is dat jouw probleem/risico.
Biersteker schreef op donderdag 24 november 2011 @ 01:29:
Klopt, maar abn.nl gaat toch een gedeelte via http. Maar facebook, die zijn echt crappy.
Als ik direct naar https://www.abnamro.nl/ browse dan gaat je het niet lukken om traffic te onderscheppen.

Helaas doet bijna niemand dat, en zodra je een http-pagina opvraagt is er een veel effectievere methode dan een niet-vertrouwd certificaat voorschotelen (levert uiteraard een grote warning op) - van alle links https strippen en via HTTP alsnog de banking interface MITM'en.

(Wat betreft je Facebook-voorbeeld: session cookies die toch op de een-of-andere manier over HTTP verstuurd worden is ook een leuke ja)

EDIT: Facebook zelf heeft het allang(?) verholpen

donderdag 24 november 2011 01:41

Acties:
  • 0 Henk 'm!
  • Biersteker
  • Registratie: Juni 2009
  • Laatst online: 01:58

Biersteker

Tsja, zoals ik zei; Zolang je out of the box blijft denken kan je altijd net iets te veel.
Rabo en abn gebruiken een security token systeem. ING daarintegen gebruikt een inlog systeem gecombineerd met een TAN code via sms.
Stel je deze situatie eens voor:
Cain & Abel + DNS spoof + SET maakt mijn.ing.nl na (met alleen HTTP arp poisening aan). Jij logt in, dan krijg je geen foutmelding, en je HTTPS verkeer komt wel gewoon normaal aan. Als je dan een nummerbehoud doet, dan heb je inlognaam, wachtwoord en een mobiel waar tancodes op komen.

Edit: Nou, nee. Facebook heeft wat aanpassingen gedaan, maar door de crappy entropie (berekenbaar) kom je er uiteindelijk toch.

[ Voor 10% gewijzigd door Biersteker op 24-11-2011 01:43 ]

Originally, a hacker was someone who makes furniture with an axe.

donderdag 24 november 2011 01:43

Acties:
  • 0 Henk 'm!
  • iboowtje
  • Registratie: November 2010
  • Laatst online: 03-09 18:17

iboowtje

Topicstarter
Biersteker schreef op donderdag 24 november 2011 @ 01:41:
Tsja, zoals ik zei; Zolang je out of the box blijft denken kan je altijd net iets te veel.
Rabo en abn gebruiken een security token systeem. ING daarintegen gebruikt een inlog systeem gecombineerd met een TAN code via sms.
Stel je deze situatie eens voor:
Cain & Abel + DNS spoof + SET maakt mijn.ing.nl na (met alleen HTTP arp poisening aan). Jij logt in, dan krijg je geen foutmelding, en je HTTPS verkeer komt wel gewoon normaal aan. Als je dan een nummerbehoud doet, dan heb je inlognaam, wachtwoord en een mobiel waar tancodes op komen.
Wat je wel kan doen is een paypal account koppelen je ziet namelijk wel de bedragen 8)7
Bedankt Paypal _/-\o_

donderdag 24 november 2011 01:46

Acties:
  • 0 Henk 'm!
  • Biersteker
  • Registratie: Juni 2009
  • Laatst online: 01:58

Biersteker

We beginnen trouwens wel echt de verkeerde kant op te gaan met dit topic ;). Zoals al gezegd, dit soort discussies vinden de mods meestal niet zo relaxed. Niet omdat hun persoonlijke interesse er niet is, maar omdat VNU niet verantwoordelijk wil zijn voor hacking activity. Misschien moeten we het toch op preventie houden ;)

Hoewel goedbedoeld, gaan we toch ongemerkt alle mogelijk exploits opzoeken. Ben bang dat ik voor de Mods al te veel heb gezegd in dit topic ;) (sorry lieve mods, ik dacht dat ik ontopic bleef)

Hoewel ik ARP poisening doodeng blijf vinden, en daarom ook maar een tooltje heb gemaakt, dat het blijft checken, met serverside oplossing, die per direct de client kan blocken, en de arp tables kan herstellen.

[ Voor 40% gewijzigd door Biersteker op 24-11-2011 01:50 ]

Originally, a hacker was someone who makes furniture with an axe.

donderdag 24 november 2011 01:57

Acties:
  • 0 Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Laatst online: 12-09 14:11

Thralas

Biersteker schreef op donderdag 24 november 2011 @ 01:41:
Edit: Nou, nee. Facebook heeft wat aanpassingen gedaan, maar door de crappy entropie (berekenbaar) kom je er uiteindelijk toch.
Entropie van wat? :?

donderdag 24 november 2011 02:02

Acties:
  • 0 Henk 'm!
  • Biersteker
  • Registratie: Juni 2009
  • Laatst online: 01:58

Biersteker

Thralas schreef op donderdag 24 november 2011 @ 01:57:
[...]


Entropie van wat? :?
Encryptie van PHP coockies. Er zwerft volgens mij nog een leuk filmpje rond van defcon over de entropie van de encryptie van facebook. Uit me hoofd, dus pin me er niet op vast, kon de entropie verlaagd worden van 512 bit naar iets van 34 bit. Aan de hand van, date/time server op millisecond, en nog een paar dingen. Ik ga even voor je zoeken. How to date your girlfriend heette het dacht ik. Ben zo terug met een linkie. YouTube: DEFCON 18: How I Met Your Girlfriend 1/3 There it is.

[ Voor 18% gewijzigd door Biersteker op 24-11-2011 02:07 ]

Originally, a hacker was someone who makes furniture with an axe.

donderdag 24 november 2011 02:29

Acties:
  • 0 Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Laatst online: 12-09 14:11

Thralas

offtopic:
Ah, die ken ik.

In PHP 5.3.2 is dit ook al aangepast; men heeft de entropie van de LCG (gebruikt in session ID-generatie) verhoogd. Session hijacken dmv. voorspellen van 'seed values' lukt je nu dus (rederlijkerwijs) niet meer. Nevertheless een erg leuke talk.

donderdag 24 november 2011 07:07

Acties:
  • 0 Henk 'm!
  • iisschots
  • Registratie: November 2002
  • Laatst online: 21-08 08:48

iisschots

De discussie in dit topic is leuk, vind het nog niet over de schreef zijn geweest. Zit er wel tegenaan.

Waar ik meer problemen mee heb in dit topic is het promoten van een eigen website. Daarom zal hij ook op slot gaan. Zie: Het algemeen beleid #verbodenspam

Mocht men een los topic willen starten over technieken die gebruikt worden (zolang er niet te veel in details getreed word) en wat gedaan kan worden om het te voorkomen vind ik dat prima.

Hackerspace in Friesland | www.frack.nl | Bezig met opzetten, help mee!

Pagina: 1

Dit topic is gesloten.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq