Wie geht Sniffing + Man-In-The-Middle?

Wolltest Du nicht schon immer einmal, wissen was dein Freund(in) im Internet treibt?

Wie könne Hacker Passwörter abgreifen und Informationen fehlleiten?

Diese Tutorial zeigt Dir, wie ein Man-In-The-Middle (MITM) Attake funktioniert und wie Du Dich schützt.

Um was geht’s? – Man-In-The-Middle

Wireshark ist ein Netzwerkanalyse Tool, welche den Netzwerkverkehr mitschneiden kann. Die Datenpakete bereitet das Tool visuell auf, um Netzwerkprobleme zu entdecken.

Knappe Einordnung

Wireshark gehört zu den Sniffern. Sniff (deusch: schnüffeln) bedeutet, dass das Tool den gesamten Traffic überwachen und einsehen kann.

Im Promiscuous Mode kann das Tool zusätzlich allen Traffic mitschneiden, der über das Gerät empfängt, aber aufgrund der MAC-Adresse für das Gerät nicht bestimmt ist.

Disclaimer für Sniffing

Beachte aber folgendes. Das hier Gelernte kann eine Anwalt als Straftat deklarieren:

§ 202c Vorbereiten des Ausspähens und Abfangens von Daten

(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
(2) § 149 Abs. 2 und 3 gilt entsprechend.

IT einfach erklärt

Spoofing (deusch: Manipulation) nennt sich Veränderung und Fehlleitung von Internet Paketen. Der Angreifer versucht unbemerkt Daten auszutauschen, sodass das Opfer meint, dass der Inhalt von einer zertifizierten Quelle stammt. Diese Arten von Spoofing gibt es:

• IP Spoofing – ein Hacker gaukelt Dir vor von einen namenhaften Webseite durch eine gefälschte IP zu stammen. Dabei kann der Hacker die Datenpakete so abändern, dass das Opfer denkt, es würde von dem namenhaften Webseite stammen
• DNS Spoofing – ein Hacker versucht die Anfrage von z. B. Deine Bank Webseite auf seinem Server umzuleiten, sodass das Opfer auf einer gefälschten Webseite die Passwörter eingibt.
• E-Mail Spoofing – SMTP ist nicht sicher und benötigt keine Authentifizierung. Deshalb kann der Hacker einfach den Kopf der Mail austauschen und sich als eine Autoritätsperson ausgeben. Diese Art von Spoofing nutzen Spam-Mailer und Hacker, die Daten abgreifen wollen.
• ARP Spoofing – Das Address Resolution Protokoll (ARP) dient dazu ein Gerät in einem LAN-Netz zu erkennen: Via MAC-Adresse melden sich die Geräte beim Rooter an und dieser leitet die Daten weiter. Wenn nun Hacker ihre MAC-Adresse manipulieren und sich als ein anderes Gerät ausgeben kann der Rooter die Daten fehl leiten.

Praxis – Man-In-The-Middle heutzutage

Stell Dir vor, Du gehst in ein Café und bestellst Dir ein Kaffee. Aus Langeweile (und gut eingeübter Routine) ziehst Du dein Smartphone aus der Tasche und fängst an zu tippen. Da es Ende des Monat ist und Du an Daten sparen willst, suchst Du nach einem öffentlichen W-LAN.

Du logst Dich in das nächst beste W-LAN ein und akzeptierst die AGBs ohne Nachzudenken. Hast Du schon einmal darüber nachgedacht, ob das auch sicher ist?

Es könnte sich auch ein Hacker in das Cafe gesetzt haben, eine W-LAN Hotspot eröffnet haben und mit einen Sniffer wie Wireshark Deine Daten überwachen, filtern und durchsuchen.

Falls Du dich auf ungeschützten Domains aufrufsts, kann er alles sehen. Fallst Du schon TSL verschlüsselte Webseiten nutzt ist seine Sicht etwas eingeschränkt, weiß aber immer noch,  wo du surfst.

Diese Art von Hacking nennst sich Man-In-The-Middle Attack.

Spurensuche – Wireshark Tutorail 1

Wie wir jetzt schon gelernt haben, schneidet Wireshark alles mit, was über das LAN-Kabel oder W-LAN Modul läuft. Die riesigen Datenmengen die Synchronisation von Clouds, E-Mail Programme oder Browser anfallen stellt das Tool Paket für Paket dar. Ein Paket enthält je nach Größe nur eine sehr kleinen Mengen an Daten.

ATTACKE! – Suche nach Daten

Wenn Du google.de in die URL-Leiste im Browser eingibst und dann Enter drückst, downloadet der Browser hunderte von Frames (Internetpakete). In Wireshark kann der Nutzer schnell die Übersicht über die Anzahl an Frames verlieren.

Aus diesem Grund gibt es Masken / Filter, mit dem der Nutzer nur die relevanten anzeigen lassen kann. Wenn der Nutzer Wireshark oben in die Filterleiste HTTP eingibt, dann sind nur noch alle Frames angezeigt, die etwas mit dem HTTP Protokoll zu tun haben.

Sicherungsmaßnahme

So vermiedst Du es Opfer einer MITM Attacke zu werden

Am sichersten ist es zu Hause sein eignes W-LAN zu nutzen, um so sicher zu sein, dass keiner zwischen Router und Netz steht. Das öffentliche W-LAN solltest Du daher meiden. Es ist nicht gleich offensichtlich, wer das W-LAN betreibt.

Jeder kann seine Handy nehmen, sich in ein Kaffee setzen, die Mobilen Daten aktivieren, einen Hotspot ohne Passwort eröffnen und das W-LAN  „Kaffeehaus Public“ nennen. Allen Traffic kann der Hacker nun tracken.

Wenn Du trotzdem in ein öffentliche W-LAN Nutzer willst, achte auf eine Ende-zu-Ende Verschüsselung, die mit TSL realisieren ist. Im Browser ist das erkennbar an „https“ oder einen grünem Schloss.