Passwort-Sniffing mit Ettercap und Wireshark
Dieses Tutorial ist rein theoretischer Natur und dient dem Verständnis von Netzwerksicherheit. Es soll niemanden dazu anstiften, illegale Dinge zu tun. Sniffing in fremden Netzen ist strafbar.
Ausgehend von meinem Ettercap-Tutorial wollte ich heute wissen, wie einfach oder schwer es ist, an Passwörter zu gelangen. Leider muss ich schon jetzt sagen: Es ist überhaupt kein Problem. Selbst SSL-verschlüsselte Logins sind kein großes Hindernis — auch wenn man dort ein wenig auf die Naivität der Nutzer angewiesen ist. Das erste Tutorial zum Thema Ettercap sollte man gelesen haben, denn wir agieren zum Sniffen der Passwörter wieder als MITM, damit Wireshark die fremden Pakete aufzeichnen kann.
Fangen wir also mit Ettercap an. Um SSL-gesicherte Passwörter zu finden, ist eine kleine Änderung in der etter.conf nötig. Hierzu mit einem Editor der Wahl die Datei /etc/etter.conf öffnen und folgenden Abschnitt suchen:
# if you use iptables:
#redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"
#redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"
Dort die Auskommentierung der beiden mit #redir beginnenden Zeilen entfernen (# löschen) und speichern. Ab jetzt nutzt Ettercap ein eigenes Fake-SSL-Zertifikat für die Authentifizierung.
Ettercap wird nun gestartet und das Unified Sniffing wie im ersten Tutorial beschrieben ausgewählt. Hosts werden gescannt und als Target 1 und 2 eingerichtet. Alles wie gehabt! Den einzigen Unterschied bildet das Dialogfenster beim Starten des ARP-Poisonings: Wo wir im ersten Teil noch beide Häkchen frei gelassen haben, setzen wir nun den Haken bei Sniff remote connections.

Ist alles eingerichtet und gestartet, müssen wir nur noch abwarten, bis sich das Opfer auf einer SSL-verschlüsselten Seite einloggt. Egal ob StudiVZ, eBay oder GMail — wir bekommen das Passwort. Der nächste Screenshot zeigt einen Loginversuch bei Googlemail.

Nun zum kleinen Haken: Wir brauchen ein etwas naives Opfer. Firefox will beim Aufrufen der Seite nämlich eine Sicherheits-Ausnahmeregel hinzufügen. Eigentlich keine große Sache, da einem diese Zertifikatsfehler immer mal wieder begegnen. Stutzig dürfte den erfahrenen Nutzer diese Meldung trotzdem machen.
POST-Method-Passwörter
Als Nächstes möchte ich zeigen, wie man an die nicht SSL-verschlüsselten Passwörter kommt, die von den meisten Foren oder Community-Portalen genutzt werden. Diese werden von Ettercap nämlich nicht erfasst. Wir lassen Ettercap also im Hintergrund weiterlaufen, damit jeglicher Traffic weiterhin über unseren PC geleitet wird, und starten Wireshark.
Über den Button oben links wählen wir das Interface, mit dem wir lauschen wollen — in den meisten Fällen eth0. Sobald das Interface ausgewählt wurde, beginnt Wireshark mit der Aufzeichnung. Von der Fülle an Paketen sollte man sich nicht abschrecken lassen; wir filtern im nächsten Schritt. Da wir es auf Login-Daten im Browser abgesehen haben, wollen wir zunächst nur HTTP-Traffic sehen. Dafür genügt es, in der Filterleiste http einzugeben. Login-Daten werden in der Regel als POST-Request an den Server geschickt. Unser endgültiger Filter sieht also so aus:

Nun bekommen wir wirklich nur noch Pakete zu sehen, die über ein POST-Formular übertragen wurden. Klickt man auf ein solches Paket, gibt es seinen Inhalt preis.

Der Witz an der Sache ist, dass dieses Vorgehen auch über WLAN möglich ist. Ich kann daher nur jedem dringend raten, das eigene Netz gescheit gegen Eindringen von außen zu sichern. In öffentlichen Netzen sollte man tunlichst vermeiden, Passwörter einzugeben oder sich auf Webseiten einzuloggen. Die einzige Möglichkeit, sich dort sicher zu bewegen, dürfte der Einsatz von VPN-Lösungen sein.