Hack-Wettbewerb PWN to OWN: MacBook Air als Erstes geknackt

[magheinz]

ist der router gut konfiguriert gehen pinganfragen aus dem netz ins leere und die gegenstelle glaubt, dass die ip-adresse nicht vergeben ist.

Wenn pinganfragen ins leere gehen dann ist der Angreifer sogar sicher das die IP vergeben ist!

telnet arbeitet meist auf port 23, ftp auf 21... und der webbrowser auf 80, nur dieser bekommt bei einer anfrage auch daten aus dem wan.

Naja, ganz so einfach ist das nicht. Erstens arbeitet der webbrowser nicht "auf port 80" und zweitens, wieso sollte nicht auch ein anderer Prozess Daten aus dem WAN bekommen? Du vermischt hier wild Clients und Server!

 

[magheinz]

Ich mache mir über Hacker keine Gedanken. Bei mir gibt es auf dem Mac nichts zu holen. Warum sollte sich jemand die Arbeit machen

Um einen weiteren bot fürs spammen oder DDOS zu haben z.B.
Deine Daten will vermutlich wirklich niemand, aber deine Leitung ist interessant.

 

[Shetty]

Die Schwachstelle war bereits vor dem Hacker-Wettbewerb bekannt. Es ist also nicht wahr, dass ein Haufen mäßig begabter Rumtreiber nur zwei Minuten gebraucht hat, weil OS X so dermaßen lückenhaft ist, dass einem die Schwachstellen direkt ins Gesicht springen. Sondern die Lücke war bekannt und man musste deswegen nur noch die Webseite entsprechend einrichten und den Browser dorthin leiten.

Das beruhigt mich jetzt ja ungemein, dass die Lücke schon seit Ewigkeiten bekannt war und die das nicht spontan rausgefunden haben.

 

[thaLuke]

Wenn pinganfragen ins leere gehen dann ist der Angreifer sogar sicher das die IP vergeben ist!

Also du pingst einen Rechner an und wenn dieser nicht antwortet, dann existiert die IP?

Das musst du mir jetzt mal genauer erklären.

 

[maba_de]

Das beruhigt mich jetzt ja ungemein, dass die Lücke schon seit Ewigkeiten bekannt war und die das nicht spontan rausgefunden haben.

Nein, war sie nicht, zumindest Apple nicht.
Deshalb haben die Spezialisten (das sind sie in der Tat und nicht wie beschrieben "mäßig begabte Herumtreiber") die Schwachstelle nicht veröffentlicht sondern Apple gemeldet.

 

[Shetty]

Also du pingst einen Rechner an und wenn dieser nicht antwortet, dann existiert die IP?

Das musst du mir jetzt mal genauer erklären.

So ungefähr, ja.

Frage: Wie kann ich mich unsichtbar machen?

Antwort: Um "unsichtbar" zu sein, müßtest Du mit der IP Adresse Deines nächsten Routers "ICMP - Host/Network unreachable" senden.
Merke: Bei ICMP ist keine Antwort gleichbedeutend mit "ich bin hier". Weil wenn Du nicht da wärst, würde jemand anderes sagen "Der ist nicht da". Nämlich der nächste Router. (Der steht bei Deinem Provider und Du hättest kein Internet.)

 

[sgmelin]

ganz einfach: wenn der Rechner nicht existiert meldet der Ping ein "Host down" zurück. Wenn er nur nicht antwortet, kommt ein "Host not responding". Damit weißt Du, daß die Maschine nur nicht auf einen pjng reagieren will, aber dennoch existiert.

 

[magheinz]

Also du pingst einen Rechner an und wenn dieser nicht antwortet, dann existiert die IP?
Das musst du mir jetzt mal genauer erklären.

Wenn du die IP 192.168.0.10 anpingst und er Rechner nicht extistiert, dann schickt der letzte router vor diesem eine "Destination unreachable" -> Rechner existiert nicht
Kommt dieses Paket aber nicht -> Rechner existiert, Aber IP-Stack defekt/destktopfirewall eingeschaltet.

Eigentlich ganz einfach und schon tausendfach hier erklärt.
stealth-mode war schon bei Windows reine Kundenverarschung und ist es unter jedem anderen IP-fähigen OS genauso.

 

[magheinz]

ganz einfach: wenn der Rechner nicht existiert meldet der Ping ein "Host down" zurück. Wenn er nur nicht antwortet, kommt ein "Host not responding". Damit weißt Du, daß die Maschine nur nicht auf einen pjng reagieren will, aber dennoch existiert.

Wenn der Rechner die IP-Pakete einfach verschluckt, dann bekomme ich gar nix zurück. Dadurch weiss ich aber ja auch das der Rechner existiert. Ich weiss sogar noch mehr: Der IP-Stack des Rechners ist defekt oder es läuft eine Desktopfirewall(meiner Meinung nach das selbe). Daraus kann ich dann diverse Schlüsse ziehen für die nächsten Stufen eines Angriffes.

 

[sgmelin]

Genau. Deshalb ist der Steakth Modus auch schlimmer als gar keine Firewall.

 

[TCS]

also entweder habe ich in meinem studium was falsches gelernt, oder wir reden aneinander vorbei.
entweder der router blockt eine anfrage oder im cloaked modus geht sie ins leere.
beim blocken sieht die gegenstelle: da ist jemand, geht aber nichts durch. hier lohnt ein angriff
ist die gegenstelle nicht zu erreichen --> ping geht ins leere kann es entweder sein, dass die ip nicht vergeben ist, oder der router die pings ins nirvana schickt.

 

[TCS]

... Erstens arbeitet der webbrowser nicht "auf port 80" und zweitens, wieso sollte nicht auch ein anderer Prozess Daten aus dem WAN bekommen? Du vermischt hier wild Clients und Server!

mal langsam, port 80 ist der http port, wie überall nachzulesen ist.

natürich kann jeder prozess daten aus dem wan bekommen, aber wenn sie nicht angefordert werden, lässt der router nichts durch, sonst wär eine firewall unsinnig

wieso vermische ich clients und server?

 

[maba_de]

was Ihr in der ganzen Discussion vergesst ist, das Cracker auch verstärkt Angriffe auf DSL Router unternehmen.
Auch hier ist wieder der Faktor Mensch wichtig.
Erste Erfolge wurden bereits gemeldet:
http://www.viruslist.com/de/news?id=201611769

 

[MacMännchen]

http://www.viruslist.com/de/news?id=201611769

(...) Die Angriffe sind nur dann erfolgreich, wenn der Anwender das Standardkennwort des DSL-Routers nicht geändert hat. (...)

Ich würde sagen, das läuft dann unter der Rubrik "grob fahrlässig".

 

[maba_de]

ja richtig, aber es ist imho nur eine Frage der Zeit, bis die letzte Bastion, der DSL Router, auch fällt. Dann wird es lustig .

 

[MacMännchen]

@ mabe_de

Schau dir die Meldung von Viruslist doch mal genau an. Dort heisst es:
"IT-Sicherheitsspezialisten warnen vor betrügerischen Angriffen auf gut geschützte DSL-Router."

Wie ist denn ein DSL-Router mit dem Standard PW gut geschützt?
Wie passt das denn zusammen?
Und man darf nicht vergessen, woher der ursprüngliche Bericht kam: Symantec.

Hier prallen wirtschaftliche Interessen (Symantec) und Sensationslust (Viruslist) zusammen mit dem Resultat, dass Nutzer mit wenig Fachwissen leicht in Panik geraten können ...

 

[Cathul]

also entweder habe ich in meinem studium was falsches gelernt, oder wir reden aneinander vorbei.
entweder der router blockt eine anfrage oder im cloaked modus geht sie ins leere.

Im Cloak Modus (ist das der geheimnisumwitterte Stealth-Modus?) weiss die Gegenstelle ebenfalls das da ein Rechner ist, auch wenn der nicht antwortet, denn wenn wirklich kein Rechner da wäre, würde der Provider-Router ein "Host unreachable" zurück geben.

Weiss gar nicht was daran so schwer zu verstehen ist, grade wo das schon etliche Leute genau richtig erklärt haben.

"Cloak", "Stealth" oder wie auch immer das von den Firmen verkauft wird, gibt es nicht, das ist ein Fakt.

 

[TCS]

naja, die vorlesung netzwerke ist schon einige jahre zurück, habe danach auch nichts mehr damit zu tun gehabt, lasse mich dann gerne eines besseren belehren.

abgesehen davon bieten heise auf ihrer seite einen test für portscans, dort steht, dass wenn ein system nicht auf icmp pakete reagiert die ip als nicht aktiv erscheint. ich halte diesen verlag für seriös, welcher nichts verkaufen will (genaueres selber nachlesen, man soll ja nicht von heise zitieren )

 

[Cathul]

naja, die vorlesung netzwerke ist schon einige jahre zurück, habe danach auch nichts mehr damit zu tun gehabt, lasse mich dann gerne eines besseren belehren.

Nunja, das ganze ist in den RFC's definiert, welche die Grundlage für sämtlichen Netzwerkverkehr darstellen.
Und Heise ist nicht in allem gut.

 

[maba_de]

@ mabe_de

Schau dir die Meldung von Viruslist doch mal genau an. Dort heisst es:
"IT-Sicherheitsspezialisten warnen vor betrügerischen Angriffen auf gut geschützte DSL-Router."

Wie ist denn ein DSL-Router mit dem Standard PW gut geschützt?
Wie passt das denn zusammen?
Und man darf nicht vergessen, woher der ursprüngliche Bericht kam: Symantec.

Hier prallen wirtschaftliche Interessen (Symantec) und Sensationslust (Viruslist) zusammen mit dem Resultat, dass Nutzer mit wenig Fachwissen leicht in Panik geraten können ...

Naja, ich habe den erst besten Link genommen.
Natürlich ist ein Router mit Standardpasswort nicht gut geschützt.
Aber ich denke, das Cracker auch irgendwann Zugriff auf Router erhalten, deren Passwort geändert wurde. Ist imho nur eine Frage der Zeit.
Genügend "Opfer" zum üben gibt es ja.