Christian F
- Forum-Beiträge: 16
21.05.2012, 17:28:08 via Website
21.05.2012 17:28:08 via Website
Hallo zusammmen,
Für diejeningen, die keine Zeit haben die ganze Leidensgeschichte zu lesen, hier die Frage vorab:
"Gibt's ne Möglichkeit die TLSv1 Pakete aus dem Traffic meines Smartphones, die ich mit Wireshark aufzeichne, mit Hilfe des jeweiligen Account-Passworts zu entschlüsseln? Wenn ja, wie?"
Ich hab mir gestern die Nacht um die Ohren geschlagen, mit der Frage was mein Telefon denn so alles den ganzen lieben langen Tag in der Gegend rumsendet. Also dachte ich, könnte ich einfach mit Wireshark auf dem PC den Verkehr meines Smartphones mit schneiden und ihn mir dann zu Gemüte führen. Das war aber nicht so leicht...
Der Versuchsaufbau war recht simpel:
1.) Normaler WLAN-Router mit Anschluss zum Internet (Thomson Speedtouch) und WLAN mit WPA gesichert
2.) Ubuntu PC per WLAN mit Router verbunden
3.) HTC Hero Smartphone per WLAN mit Router verbunden.
Beim ersten Versuch habe ich in Wireshark nur Broadcast-Nachrichten anderer Netzwerkteilnehmer gesehen. Nach einiger Recherche bin ich zum Entschluss gekommen, dass mein Router wohl nicht im Promiscous-Mode arbeitet und deshalb jede Nachricht nur an den jeweiligen Teilnehmer sendet, für den das Paket bestimmt ist. Wie er das macht (mit Kanalwechsel oder durch Zauberei) weiß ich leider nicht. Nach weiterer Recherche habe ich herausgefunden, dass man seine WLAN Karte mit etwas Glück auch in den sog. "Monitor Mode" schalten kann, damit nicht schon die Hardware die Pakete, die nicht für einen selbst bestimmt sind wegwirft. Das habe ich mit airmon-ng gemacht und wenn ich in Wireshark das daraus entstandene virutelle Device mon0 abfrage, sehe ich leider nur jede Menge 802.11 Pakete, aus denen ich nicht schlau werde. Auch wenn ich Wireshark den WPA Key meines WLANs mit gebe ändert sich daran nichts.
Also habe ich die Trickkiste weiter geöffnet und habe einen Man in the Middle Angriff auf mein Handy durchgeführt. Mit Hilfe von arpspoof und ettercap. Damit konnte ich tatsächlich den Traffic meines Smartphones sehen. Aber: Ein Großteil der Pakete - eigentlich alle, in denen ich mir interessante Informationen erwarte, sind verschlüsselt und tauchen in Wireshark als TLSv1 Pakete auf. Ich vermute dahinter stecken die eigentlichen HTTP-Requests der einzelnen Apps. Darauf hin habe ich sslstrip angeworfen um die SSL Sessions entschlüsseln zu können. Mit mäßigem Erfolg: Ich schaffte es mein Facebook und mein Google Passwort bei einer Authentifizierung über den Browser des Handys mit zu sniffen... Die Passwörter kannte ich natürlich schon. Aber interessant, dass es funktioniert :-) Interessant ist auch, dass ich mich in Google-Mail nicht einloggen konnte - in Facebook schon, nachdem ich sämtliche Zertifikatsmeldungen ignoriert habe. Google scheint da noch einen kleinen Sicherungsmechanismus drin zu haben. Vielleicht mit Cookies oder so?
Die dazu gehörigen Apps (googleMail und Facebook for Android) haben übrigens während dem MITM-Angriff ihren Dienst versagt und mir mitgeteilt, es gäbe keine Verbindung.
So und hier stehe ich nun... Ich möchte wissen, was die einzelnen Apps so an Daten an Ihre Schöpfer senden. Das ist doch nur gut und recht. Es sind schließlich meine Daten. Meine Geo-Daten, mein Nutzerverhalten, mein WLAN, meine Accounts. Da kann ich doch erwarten, dass ich mitlesen darf, welche Daten von wem wann wohin geschickt werden! Nun zur eigentlichen Frage: Gibt's ne Möglichkeit diese TLSv1 Pakete, die ich in Wireshark sehe mit Hilfe des jeweiligen Passworts zu entschlüsseln? Wenn ja, wie?
Ich habe gesehen, dass Wireshark zum Entschlüsseln von SSL Verbindungen die Option bietet Passwort, Keyfiles etc. mit zu geben. Aber welche Keyfiles soll ich denn da angeben? Wo liegen die denn auf meinem Handy? Liegen da überhaupt welche?
Ich habe mir auch Paketsniffer-Apps für Android angeschaut. Aber ich muss sagen, ich finde das unpraktisch. Viel lieber wäre es mir live meinen Verkehr am PC mitsehen zu können. Außerdem enthalten die Mitschnitte von diesen Paketsniffer Apps auch verschlüsselte Pakte und nur geringfügig mehr Informationen, soweit ich das bisher gesehen habe.
Ich möchte weder meine Nachbarn, meine Freundin, meine Mitbewohner oder sonst wen ausspionieren. Nur meinen eigenen Traffic! Wie gesagt, ich habe das WPA Kennwort und natürlich die Passwörter und Benutzernamen der auf dem Handy verwendeten Accounts. Daran gibt es meiner Meinung nach nichts Verwerfliches. Also bitte keine Antworten á la "wir bilden hier keine Hacker aus", etc.
Ich bin auf dem Gebiet noch ein ziemlicher Newbie, daher kann es gut sein, dass ich die verwendeten Programme einfach falsch bedient habe.
Wäre schön, wenn mir jemand weiter helfen kann!
Schönen Gruß!
Für diejeningen, die keine Zeit haben die ganze Leidensgeschichte zu lesen, hier die Frage vorab:
"Gibt's ne Möglichkeit die TLSv1 Pakete aus dem Traffic meines Smartphones, die ich mit Wireshark aufzeichne, mit Hilfe des jeweiligen Account-Passworts zu entschlüsseln? Wenn ja, wie?"
Ich hab mir gestern die Nacht um die Ohren geschlagen, mit der Frage was mein Telefon denn so alles den ganzen lieben langen Tag in der Gegend rumsendet. Also dachte ich, könnte ich einfach mit Wireshark auf dem PC den Verkehr meines Smartphones mit schneiden und ihn mir dann zu Gemüte führen. Das war aber nicht so leicht...
Der Versuchsaufbau war recht simpel:
1.) Normaler WLAN-Router mit Anschluss zum Internet (Thomson Speedtouch) und WLAN mit WPA gesichert
2.) Ubuntu PC per WLAN mit Router verbunden
3.) HTC Hero Smartphone per WLAN mit Router verbunden.
Beim ersten Versuch habe ich in Wireshark nur Broadcast-Nachrichten anderer Netzwerkteilnehmer gesehen. Nach einiger Recherche bin ich zum Entschluss gekommen, dass mein Router wohl nicht im Promiscous-Mode arbeitet und deshalb jede Nachricht nur an den jeweiligen Teilnehmer sendet, für den das Paket bestimmt ist. Wie er das macht (mit Kanalwechsel oder durch Zauberei) weiß ich leider nicht. Nach weiterer Recherche habe ich herausgefunden, dass man seine WLAN Karte mit etwas Glück auch in den sog. "Monitor Mode" schalten kann, damit nicht schon die Hardware die Pakete, die nicht für einen selbst bestimmt sind wegwirft. Das habe ich mit airmon-ng gemacht und wenn ich in Wireshark das daraus entstandene virutelle Device mon0 abfrage, sehe ich leider nur jede Menge 802.11 Pakete, aus denen ich nicht schlau werde. Auch wenn ich Wireshark den WPA Key meines WLANs mit gebe ändert sich daran nichts.
Also habe ich die Trickkiste weiter geöffnet und habe einen Man in the Middle Angriff auf mein Handy durchgeführt. Mit Hilfe von arpspoof und ettercap. Damit konnte ich tatsächlich den Traffic meines Smartphones sehen. Aber: Ein Großteil der Pakete - eigentlich alle, in denen ich mir interessante Informationen erwarte, sind verschlüsselt und tauchen in Wireshark als TLSv1 Pakete auf. Ich vermute dahinter stecken die eigentlichen HTTP-Requests der einzelnen Apps. Darauf hin habe ich sslstrip angeworfen um die SSL Sessions entschlüsseln zu können. Mit mäßigem Erfolg: Ich schaffte es mein Facebook und mein Google Passwort bei einer Authentifizierung über den Browser des Handys mit zu sniffen... Die Passwörter kannte ich natürlich schon. Aber interessant, dass es funktioniert :-) Interessant ist auch, dass ich mich in Google-Mail nicht einloggen konnte - in Facebook schon, nachdem ich sämtliche Zertifikatsmeldungen ignoriert habe. Google scheint da noch einen kleinen Sicherungsmechanismus drin zu haben. Vielleicht mit Cookies oder so?
Die dazu gehörigen Apps (googleMail und Facebook for Android) haben übrigens während dem MITM-Angriff ihren Dienst versagt und mir mitgeteilt, es gäbe keine Verbindung.
So und hier stehe ich nun... Ich möchte wissen, was die einzelnen Apps so an Daten an Ihre Schöpfer senden. Das ist doch nur gut und recht. Es sind schließlich meine Daten. Meine Geo-Daten, mein Nutzerverhalten, mein WLAN, meine Accounts. Da kann ich doch erwarten, dass ich mitlesen darf, welche Daten von wem wann wohin geschickt werden! Nun zur eigentlichen Frage: Gibt's ne Möglichkeit diese TLSv1 Pakete, die ich in Wireshark sehe mit Hilfe des jeweiligen Passworts zu entschlüsseln? Wenn ja, wie?
Ich habe gesehen, dass Wireshark zum Entschlüsseln von SSL Verbindungen die Option bietet Passwort, Keyfiles etc. mit zu geben. Aber welche Keyfiles soll ich denn da angeben? Wo liegen die denn auf meinem Handy? Liegen da überhaupt welche?
Ich habe mir auch Paketsniffer-Apps für Android angeschaut. Aber ich muss sagen, ich finde das unpraktisch. Viel lieber wäre es mir live meinen Verkehr am PC mitsehen zu können. Außerdem enthalten die Mitschnitte von diesen Paketsniffer Apps auch verschlüsselte Pakte und nur geringfügig mehr Informationen, soweit ich das bisher gesehen habe.
Ich möchte weder meine Nachbarn, meine Freundin, meine Mitbewohner oder sonst wen ausspionieren. Nur meinen eigenen Traffic! Wie gesagt, ich habe das WPA Kennwort und natürlich die Passwörter und Benutzernamen der auf dem Handy verwendeten Accounts. Daran gibt es meiner Meinung nach nichts Verwerfliches. Also bitte keine Antworten á la "wir bilden hier keine Hacker aus", etc.
Ich bin auf dem Gebiet noch ein ziemlicher Newbie, daher kann es gut sein, dass ich die verwendeten Programme einfach falsch bedient habe.
Wäre schön, wenn mir jemand weiter helfen kann!
Schönen Gruß!
Empfohlener redaktioneller Inhalt
Mit Deiner Zustimmung wird hier ein externer Inhalt geladen.
Mit Klick auf den oben stehenden Button erklärst Du Dich damit einverstanden, dass Dir externe Inhalte angezeigt werden dürfen. Dabei können personenbezogene Daten an Drittanbieter übermittelt werden. Mehr Infos dazu findest Du in unserer Datenschutzerklärung.