---

Hej

Vi har diskuteret hvordan man opfanger passwords over internettet.
Alle skriver at det er vigtigt at et password er krypteret hvis det sendes
over internettet men hvordan er det muligt for en person der for eksempel
sidder i Odense, at læse et ukrypteret password en bruger i Esbjerg sender
af sted for at blive godkendt til at redigere et website på en server i
København ?
Jeg kan godt se hvordan det er muligt hvis personen (hackeren) har fysisk
adgang til nettet hos enten brugeren i Esbjerg eller internet udbyderen i
København. Men hvordan dælen er det muligt at kunne opfange et password
over internettet, også selvom han (hackeren) kender ip adresserne på
brugeren i Esbjerg og internet udbyderen i København ?
Håber I har forstået mit spørgsmål.

Mvh

Den uvidende.

---

Den 29 Jun 2002 02:40:07 GMT skrev Den uvidende:
>Hej
>
>Vi har diskuteret hvordan man opfanger passwords over internettet.
>Alle skriver at det er vigtigt at et password er krypteret hvis det sendes
>over internettet men hvordan er det muligt for en person der for eksempel
>sidder i Odense, at læse et ukrypteret password en bruger i Esbjerg sender
>af sted for at blive godkendt til at redigere et website på en server i
>København ?
>Jeg kan godt se hvordan det er muligt hvis personen (hackeren) har fysisk
>adgang til nettet hos enten brugeren i Esbjerg eller internet udbyderen i
>København. Men hvordan dælen er det muligt at kunne opfange et password
>over internettet, også selvom han (hackeren) kender ip adresserne på
>brugeren i Esbjerg og internet udbyderen i København ?
>Håber I har forstået mit spørgsmål.

Husk på at internettet ikke er bygget ved at lægge kabler fra hver
computer til alle de andre computere. Hvis brugeren i Esbjerg er
forbundet til en ISP i Esbjerg, som er forbundet til en ISP i kolding,
som er forbundet til Odense Universitet, som er forbundet til en ISP
i københavn, så kan passwordet læses på alle punkter undervejs. Det
betyder altså at (i dette teoretiske tilfælde) at alle der har (remote)
adgang til det rigtige punkt på netværket på Odense Universitet kan
aflytte passwordet.

For at se hvor mange sådanne punkter passwordet passerer, bruges
kommandoen traceroute[1] - fx:

traceroute www.yahoo.com

Hver linie repræsenterer en form for router, som kan læse al
(ukrypteret) trafik der passerer den.

Mvh
Kent

[1] For windows-brugere med CP/M 8.3 filnavne: TRACERT.EXE
--
If you think about it, Windows XP is actually the OS that
started as "Microsoft OS/2 NT 3.0"

---

Jeg ved ikke om det er rigtigt det jeg skriver, så ret mig endelig hvis det
er forkert.

Jeg tror ikke man får så meget ud af at lytte på selve routerne, jo
selvfølge den første og den sidste router, det er jo ikke sikkert at alle
pakkerne passere de samme routere.
Jeg tror at den måde man får fat i ukryteret password på, er ved at man har
et sniffer program, der står og sniffer på forskellige IP adresser efter
ordene user og password, når det dukker op er det bare at logge hvad der
står.

Mvh
Thomas

---

TVN wrote:
>
> Jeg ved ikke om det er rigtigt det jeg skriver, så ret mig endelig hvis det
> er forkert.
>
> Jeg tror ikke man får så meget ud af at lytte på selve routerne, jo
> selvfølge den første og den sidste router, det er jo ikke sikkert at alle
> pakkerne passere de samme routere.

Ikke nødvendigvis, men det er meget sandsynligt, at store dele af
ruten er ens fra gang til gang. Men, det er jo også ligegyldigt,
om man får alle pakkerne, hvis blot der dukker et password op en
gang i mellem. Jeg vil tro, at hovedparten af den sniffning, der
foregår, er ikke særlig målrettet. Man tager nok bare, hvad man
kan få fat på.

> Jeg tror at den måde man får fat i ukryteret password på, er ved at man har
> et sniffer program, der står og sniffer på forskellige IP adresser efter
> ordene user og password, når det dukker op er det bare at logge hvad der
> står.

Hvad mener du med at sniffe på en IP addresse?

Udover knuder på routen skal man også være opmærksom på, om der
er trådløse forbindelser noget sted på routen.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

---

Den uvidende wrote:
> Jeg kan godt se hvordan det er muligt hvis personen (hackeren) har fysisk
> adgang til nettet hos enten brugeren i Esbjerg eller internet udbyderen i
> København. Men hvordan dælen er det muligt at kunne opfange et password

Hvad med at hackeren fortælle brugeren i Esbjerg at ISP'en IP er
angriberens IP adresse?

Dvs. at brugeren kontakter angriberen, fordi han tror denne er ISP'en.
Angriberen vidersender sessionen til ISP'en, således at angriberen ikke
kan se forskel.

På denne måde er det trivielt at se passwordet.

Metoden kan også bruges med andre tyder forbindelser end TCP/IP
forbindelser. Fx hører man i øjeblikket om personer med store
telefonregniner :)

---

Christian E. Lysel wrote:

> Angriberen vidersender sessionen til ISP'en, således at angriberen
> ikke kan se forskel.

Catch 22?

--
Niels Callesøe - nørd light
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
"Again and again they struck him on the head with a
patch cable and spat upon him." - Book of THOL, verses

---

Jeg forstår stadig ikke helt hvordan man vil opfange passwordet.
Selvom man finder ud af adressen på routeren som ISP'eren bruger,
kan man så få et program der aflytter/sniffer alt dens trafik,
når man ikke har fysisk adgang til routeren.
Et eksempel: Jeg kender IP adressen på en router, kan jeg opfange
alle pakker der sendes og modtages via dens WAN interface ?

---

Den uvidende <abc@mymail.dk> wrote:
> Jeg forstår stadig ikke helt hvordan man vil opfange passwordet.

Man skal kunne befinde sig mellem de to punkter der sendes i mellem.
Dette er ofte lettest paa et lokal net, og som situationen ser ud i dag
er det nok ikke svaert at bryde ind i en maskine taet paa klienten eller
modtageren, og bruge den LAN adgang man nu kan faa derfa.

> Et eksempel: Jeg kender IP adressen på en router, kan jeg opfange
> alle pakker der sendes og modtages via dens WAN interface ?

Sikkert ikke uden at bryde ind i routeren.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Den uvidende wrote:
> Jeg forstår stadig ikke helt hvordan man vil opfange passwordet.
> Selvom man finder ud af adressen på routeren som ISP'eren bruger,
> kan man så få et program der aflytter/sniffer alt dens trafik,
> når man ikke har fysisk adgang til routeren.

Hvis du ikke har fysisk adgang, kan du ikke direkte aflytte, men
indirekte kan du måske godt hvis du er heldig.

Nogle ISP'er tænker ikke over sikkerheden og man kan gætte sig til deres
password. Ellers kan ringe til dem og udgive sig for at være en anden.
Jeg har selv oplevet at få password til mine egne internet routere uden
at ISP'en viste hvem jeg var (ud over hvem jeg udgav mig for at være).

Dog vil ovenstående være ulovligt (hvis det ikke er din egen
forbindelse, og måske også selvom det er din egen forbindelse).

Herefter kan routeren omkonfigureres så den sender det interessante
traffik til angriberen.

Ovenstående kan laves i mange forskellige varianter, og er muligt selv i
dag.

> Et eksempel: Jeg kender IP adressen på en router, kan jeg opfange
> alle pakker der sendes og modtages via dens WAN interface ?

Ja.

Reelt kan du slå IP adressen op i RIPE, finde den fysiske adresse, tage
ud på adressen og finde en blå kasse der står på vejen. I kassen smider
du nu noget udstyr. Jeg har tidligere arbejdet i et firma hvor vi havde
udstyr til at lave fejlsøgning af WAN forbindelser. Dette udstyr kan
også bruges til aflytning.

Igen er ovenstående udlovligt, også selv det er din forbindelse, da det
blå skab er TDC's ejendom.


I min tidligere mail snakkede jeg om at angriberen sætter et relay op,
som du sender din trafik til, relayet vidersender nu trafiken til
serveren. Dette er en nemmere metode, hvis du kan udnytte andre
svagheder i fx DNS.


En helt anden metode kan være hvis man kan se routerens lysdiode, der er
faktisk nogle det er lykkes for at aflytte netværkstrafik blot ved at
kikke på dioden.

---

Christian E. Lysel wrote in <3D1EFC63.8030004@example.net>:
> En helt anden metode kan være hvis man kan se routerens lysdiode, der er
> faktisk nogle det er lykkes for at aflytte netværkstrafik blot ved at
> kikke på dioden.

Æh, den må du vist uddybe lidt. Et blink betyder mig bekendt bare, at der
lige er passeret en eller flere pakker. Hvordan i alverden kan du analysere
på dette og finde frem til pakkernes data?

--
Mvh.

Niels Andersen
(la nels. anersyn.)

---

Niels Andersen wrote:
> Æh, den må du vist uddybe lidt. Et blink betyder mig bekendt bare, at der
> lige er passeret en eller flere pakker. Hvordan i alverden kan du analysere
> på dette og finde frem til pakkernes data?

Mange producenter blinker pr. bit, du og jeg kan blot ikke se det med øjet!

---

Christian E. Lysel wrote in <3D1F02E5.5020909@example.net>:
>> Æh, den må du vist uddybe lidt. Et blink betyder mig bekendt bare, at der
>> lige er passeret en eller flere pakker. Hvordan i alverden kan du
>> analysere på dette og finde frem til pakkernes data?
> Mange producenter blinker pr. bit, du og jeg kan blot ikke se det med
> øjet!

Pr. bit? Wow, så er der knald på. :)
Men ud fra det ved vi stadig ikke andet, end hvor meget der bliver sendt.
Hvad indeholder bitene så?

Jeg kigger lige på de urler Peder sendte. :)

--
Mvh.

Niels Andersen
(la nels. anersyn.)

---

Niels Andersen <niels-usenet@myplace.dk> wrote:

>Christian E. Lysel wrote in <3D1F02E5.5020909@example.net>:
>>> Æh, den må du vist uddybe lidt. Et blink betyder mig bekendt bare, at der
>>> lige er passeret en eller flere pakker. Hvordan i alverden kan du
>>> analysere på dette og finde frem til pakkernes data?
>> Mange producenter blinker pr. bit, du og jeg kan blot ikke se det med
>> øjet!
>
>Pr. bit? Wow, så er der knald på. :)
>Men ud fra det ved vi stadig ikke andet, end hvor meget der bliver sendt.
>Hvad indeholder bitene så?

De indeholder jo netop alle de data der bliver sendt.

--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

---

Niels Andersen wrote:
>>Mange producenter blinker pr. bit, du og jeg kan blot ikke se det med
>>øjet!
> Pr. bit? Wow, så er der knald på. :)

Det kommer an på hvor tit der kommer en bit, en lysdiode er ikke
uendelig hurtig til at skifte tilstand. Ved for høje hastigheder kan man
ikke skelne bit'ene fra hinanden.

Det er interessante er dog at det kan bruges på netværkskort, hub,
routere, modem, fax, telefon systemer, ectetera. Endvidere kan det
"anflyttes" i lang afstand med den rette optik.

Man kan undre sig over, hvorfor så mange producenter går noget der så dumt?

> Men ud fra det ved vi stadig ikke andet, end hvor meget der bliver sendt.
> Hvad indeholder bitene så?

To tilstande, tænd og sluk... hvilket typisk er nok til at aflytte
trafikken :)

> Jeg kigger lige på de urler Peder sendte. :)

Godt.

---

Christian E. Lysel skrev:

Emnelinien er tilrettet, så det bedre svarer til hvad jeg skriver om.

> Man kan undre sig over, hvorfor så mange producenter går noget der så
> dumt?

Det er vel de færreste som opsætter vinduer i serverrummet/krydsfelter-
ne?

Det ville jo være tosset, alene på grund af den potentielle varmefor-
skel der kan være når årstiderne skifter.

Song Networks har ret store vinduer i Århus, der er glas omkring deres
servere og brun-tonet glas imod vejen der går tæt forbi (hvor man kan
se direkte ind til serverrummet (på 1. sal)). Jeg har ikke set efter
om man kan se optisk aktivitet, fra netværksenhederne, i serverrummet
fra vejen.
--
Fix Outlook Express 5.*:
<URL: http://home.in.tum.de/~jain/software/quotefix.php >

---

Peder Vendelbo Mikkelsen wrote:
>>Man kan undre sig over, hvorfor så mange producenter går noget der så
>>dumt?
> Det er vel de færreste som opsætter vinduer i serverrummet/krydsfelter-
> ne?

Det har vel ikke noget med producenten at gøre?

> Det ville jo være tosset, alene på grund af den potentielle varmefor-
> skel der kan være når årstiderne skifter.

Problemet er ikke begrænset til serverrum eller krydsfelter, det kan
også være kontor landskab.

> Song Networks har ret store vinduer i Århus, der er glas omkring deres
> servere og brun-tonet glas imod vejen der går tæt forbi (hvor man kan
> se direkte ind til serverrummet (på 1. sal)). Jeg har ikke set efter
> om man kan se optisk aktivitet, fra netværksenhederne, i serverrummet
> fra vejen.

Hos CyberCity, kan man se deres PC'er fra gaden.

Jeg kan finde en del kunder hvor man kan se dioder udefra.

Men på den anden side, der er så mange andre problemer med sikkerheden,
det er trivielt hos mange at få fysisk adgang til netværket, og så er
der de nye trådløse keyboards (dog ved jeg ikke hvor nemme de er at
aflytte).

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in message
news:3D205E3F.4070709@example.net

> Men på den anden side, der er så mange andre problemer med sikkerheden,
> det er trivielt hos mange at få fysisk adgang til netværket, og så er
> der de nye trådløse keyboards (dog ved jeg ikke hvor nemme de er at
> aflytte).

http://online.securityfocus.com/bid/2738

Ved ikke hvor nemt det er i den virkelige verden

---

Christian E. Lysel skrev:

>> Peder Vendelbo Mikkelsen wrote:

>>> Man kan undre sig over, hvorfor så mange producenter går noget der
>>> så dumt?

>> Det er vel de færreste som opsætter vinduer i serverrummet/kryds-
>> felterne?

> Det har vel ikke noget med producenten at gøre?

Nej, bortset fra at jeg forsøgte at se på det med producentens øjen.

> Problemet er ikke begrænset til serverrum eller krydsfelter, det kan
> også være kontor landskab.

Ja, jeg glemte SOHO-produkterne som er beregnet til at opstille der.
--
Fix Outlook Express 5.*:
<URL: http://home.in.tum.de/~jain/software/quotefix.php >

---

Christian E. Lysel wrote in <3D1F8993.9010008@example.net>:
>>>Mange producenter blinker pr. bit, du og jeg kan blot ikke se det med
>>>øjet!
>> Pr. bit? Wow, så er der knald på. :)
> To tilstande, tænd og sluk... hvilket typisk er nok til at aflytte
> trafikken :)

Den blinker altså kun ved "tænd"-bits?
Hvad æh... Er de designet til at blive "aflyttet"?

>> Jeg kigger lige på de urler Peder sendte. :)
> Godt.

Jeg kan ikke læse pdf'en, ghostview siger der er fejl i den, så jeg må
nøjes med Google's cache.
Den er så ikke meget værd her, men vi kan da konkludere at det kan lade sig
gøre under de rette somstændigheder, selv om jeg stadig ikke forstår
hvordan det kan lade sig gøre. :)

--
Mvh.

Niels Andersen
(la nels. anersyn.)

---

Niels Andersen wrote:
> Den blinker altså kun ved "tænd"-bits?

Ja.

> Hvad æh... Er de designet til at blive "aflyttet"?

Ja?!?

Hvis man nu er rigtig parnoid, så er det nok NSA der har en aftale med
de førende producenter :)

> Den er så ikke meget værd her, men vi kan da konkludere at det kan lade sig
> gøre under de rette somstændigheder, selv om jeg stadig ikke forstår
> hvordan det kan lade sig gøre. :)

Det virker _for_ trivielt ikk'?

---

Niels Andersen skrev:

>> Christian E. Lysel wrote:
>> En helt anden metode kan være hvis man kan se routerens lysdiode,
>> der er faktisk nogle det er lykkes for at aflytte netværkstrafik
>> blot ved at kikke på dioden.

> Æh, den må du vist uddybe lidt. Et blink betyder mig bekendt bare, at
> der lige er passeret en eller flere pakker. Hvordan i alverden kan du
> analysere på dette og finde frem til pakkernes data?

<URL: http://applied-math.org/optical_tempest.pdf >

Fundet på:
<URL: http://www.eskimo.com/~joelm/tempest.html >
--
How to Remove Linux and Install Windows 2000 or Windows NT:
http://support.microsoft.com/support/kb/articles/q247/8/04.asp

---

Den uvidende wrote in <Xns923D1A04D1705rexmymaildk@193.88.15.201>:
> Jeg forstår stadig ikke helt hvordan man vil opfange passwordet.
> Selvom man finder ud af adressen på routeren som ISP'eren bruger,
> kan man så få et program der aflytter/sniffer alt dens trafik,
> når man ikke har fysisk adgang til routeren.

Husk lige, at der vil altid være nogen, som har adgang til enhver router.
Fx. det tænkte eksempel, hvor trafikken går gennem et universitet. Måske er
det muligt at sniffe trafik der går gennem universitet hvis bare man sidder
på samme broadcast-domæne som routeren der håndterer det. Er du uheldig nok
er der et elev-lokale der er det. Så er det bare at hooke sin bærbare på,
og så skal der nok komme flere passwords i minuttet.

Det er ikke noget enhver kan gøre, men det er noget mange kan gøre.

--
Mvh.

Niels Andersen
(la nels. anersyn.)