gmail hack @blackhat conference

der ein oder andere weiss sicher schon bescheid....aber dennoch wollt ich das hier mal posten. Echt interessant was dieser Robert Graham so drauf hat...
 
thx für den link, habe ich noch net gewusst, ist aber definitif interesannt.

greetz

Chris
 
Also macht das Tool nichts anderes, als alle Packete mit zu sniffen, die wichtigen herauszusuchen und, dann die Session auszugeben?
Session Hijacking mithilfe von mit gesnifften Packeten.. meines Wissens nach nichts wirklich neues... X(
 
Hallo,
@CLX:
Ist die Frage ob dies Session Hijacking ist oder ob man die Cookies auch verwenden kann, nachdem die Session abgelaufen ist.
Bei Boards mit Wiederkehrfunktion, z.B. das vom Habo verwendete wBB, dort kann man sich mit kopierten Cookies auch noch hier einloggen, wenn die Session verfallen ist.

Sonst:
Webmail-Konten per WLAN gehackt
Vortrag zur Conference

PS: Der Vortrag könnte auch in die Fun Section, ist lustig, einfach mal angucken ;)
 
öhm, ich weiss garnet warum ds von heise etc so hoch gepuscht wird. statt das man passwörter mitsnifft, snifft man halt cookies mit. beim sniffen kann man doch alles (sofern unverschlüsselt mitsniffen, die pushen das ja hoch als wenn es eine revolution wäre...

bei cross-site-scripting (xss) lücken die ja mehr oder weniger verbreitet sind/waren konnte man auch einfach das cookie kopieren und sich später damit authentifizieren.

also wenn man im lan/wlan snifft, kann man doch an alle daten (also auch cookies) kommen.

Ich möchte den Herrn Graham nicht kritisieren (sein programm is schon sehr praktisch), aber ich wäre nicht auf die Idee gekommen auf einer Konferenz einen Vortrag über das sniffen von cookies im lan/wlan, ich halte das gerade weil man alle daten im lan mitsniffen kann für selbstverständlich oO und ich weiß auch ehrlich net warum die sich speziell so auf gmail lehnen, würde doch auch in vielen anderen sytemen die cookies benutzen funktionieren.. oder etwa nicht?

Bitte klärt mich auf, wenn ich etwas falsch verstanden habe

mfg
 
Bitte klärt mich auf, wenn ich etwas falsch verstanden habe

Es geht nicht um technische Details, denn der Angriff IST simpel.
Es geht vielmehr darum das ein bekannter Name ene solche Attacke oeffentlich praesentiert bei einem der groeszten Mailaccount anbieter.

Oder kurzum: es weist einmal mehr darauf hin das die Webmail frontends der grossen der letze Dreck ist.

But if that wasn?t scary enough, Graham told us that he can even log in the next day or possibly several days later into the Gmail account. ?I can just copy the data to a file and replay it later. I?ve been able to log into Gmail accounts one day later,? said Graham.

Und DAS ist jawohl wirklich uebel.
 
Original von Gulliver
Und DAS ist jawohl wirklich uebel.

Naja, genau das ist ja der Sinn der AuthCookies, so übel ist es nicht.
Ich denke man will uns damit eher sagen man sollte nicht an jedem xbeliebigen Ort sein Notebook auspacken und mal eins drauflossurfen. Jedenfalls nicht klartext.

P.s. und für alle geängstigten... Firefox hätte eine Funktion alle cookies abzulehnen ;)
(sollte man sowieso machen, ich finde nicht dass mich google 5mal täglich wiedererkennen sollte..)
 
Naja, genau das ist ja der Sinn der AuthCookies, so übel ist es nicht.

Ja, ebendrum. Dem Benutzer wird komfort verkauft, auch wenn es bedeutet das eine andere Person sich das in entsprechender Weise zunutze machen kann (und wird).

Aber sicher ist die Information irgendwo vergraben. Man haetts ja nur lesen muessen.
 
Hallo,
@starfoxx: Alle Cookies abzulehnen ist auch keine Lösung, leider benötigen viele Dienste Cookies umd z.B. die Session ID weiterzugeben.
Lieber den Firefox so einstellen, dass sie nach dem Schließen des Browsers gelöscht werden.


Da ich keinen GMail Account habe (und auch nicht verwenden werde), frag ich einfach mal, ob das Webfronted eine Wiederkehrfunktion hat oder ob man durch andere Infos aus dem Cookie sich da wieder einloggen kann.

PS: Einfach mal den Vortrag (Powerpoint) angucken, dann wird evt. auch klarer, was er eigentlich damit bewirken möchte ;)
 
Elderan: das war eher nwitz ( ";)"). ich beschäftige mich etwas mit webprogrammierung und daher ist mir das natürlich klar. Ich halte es so, dass ich cookies nach beenden Lösche, ausser halt Ausnahmen wie eben dieses Board hier.

Wenn ich mobil ins internet gehe jedoch mache ich das häkelchen bei "Automatisch anmelden" raus oder, bei einem Board exisitert diese Funktion nicht, ignoriere ich die cookies ganz.
 
Was bringst Cookies nach dem Beenden zu löschen, wenn sie schon bei der Anmeldung per WLAN mitgesnifft werden?
Es geht hier darum dass der entsprechende Cookie noch nicht per https gesendet wird. Lässt sich also einfach umgehen, indem man anstatt http https://gmail.com zum anmelden benutzt.
So weit zu gehen, das ganze Frontend als Dreck zu bezeichnen, halte ich für sehr übertrieben.
 
Gmail uses https to protect your username and password sent through the cyberspace, but switch to http mode after the authentication. <br />This way the sniffer cannot know your credentials. <br />However after the authentication gmail uses cookies to store the session key. This key is sent over in each request you make to gmail, and if sniffed then can be used to do the attack like mentioned in this article. <br />Using https over ALL traffic between gmail and your computer makes that impossible. <br /> <br />Using wifi (well-configured) for e-banking or e-mailing is not unsafer than using wired net! Your communication for example with gmail goes through a dozen of computers even when using wired network, so there's plenty of space where someone can sniff that...

das heißt, auch wenn man die gmail seite von haus aus mit https:// aufruft, wird nach der anmeldung dann http verwendet.
lg
 
Original von Elderan
Hallo,
Original von sheepd
Was bringst Cookies nach dem Beenden zu löschen

(ich finde nicht dass mich google 5mal täglich wiedererkennen sollte..)

Wenn Firefox die erst nach dem beenden löscht, hat man zwar den Komfor den Cookies bringen (+alles läuft) und dennoch hinterlässt man keine riesen großen Datenspuren.
Da stimm ich dir zu, aus dem Grund sind mit meinem normalen Webbrowser auch Cookies für Google deaktiviert. Du hast aber mein Zitat aus dem Zusammenhang gerissen.
Ich bezog mich dabei darauf dass dieses Löschen der Cookies keinen Einfluss auf eventuelle Sniffer hat.
 
um sich zu schützen müsste mal also Thunderbird / Outlook oder so benutzen, weil es ja dort keine Cookies gibt. Oder nicht?
 
Original von thinsys
um sich zu schützen müsste mal also Thunderbird / Outlook oder so benutzen, weil es ja dort keine Cookies gibt. Oder nicht?

Meines Wissens unterstützt GMail keinen Email-Abruf über POP3S oder IMAPS und somit ist auch diese Verbindung nicht verschlüsselt und damit abhörbar bei einem Man-in-the-middle-Angriff.
 
Zurück
Oben