hallooo
Ich hätte da eine frage zu telnet:
Soviel ich weiss wird bei telnet alles klartext versendet/empfangen.
Das würde heissen das ein sniffer in einem Netzwerk, jedes passwort mitsniffen könnte solange die tcp/ip packete an seinem knoten "vorbeiflitzen" würden.
Stimmt das ?
Um mich zu vergewissern habe ich es mal versucht. D.h ich habe 2 Rechner per crossoverkabel verbunden und auf einem der Rechner lief der telnet dienst.
Auf dem client habe ich gesnifft(sniffit), doch wenn ich mir die gesnifften daten anschaue ist nirgends das passwort, dort wo das passwort sein sollte ist irgend ein unidentifizierbares byte. Das wars.
Wo ist das passwort ?
Wird heute überhaupt noch telnet genutzt ? Oder nur noch ssh ?
Ach ja, wie ist es bei email ?
Wird dort auch alles klartext versendet ?
Wenn das alles einigermassen stimmen würde, dann könnte eigentlich jeder provider, die daten(passwörter,emails) seiner kunden mitsniffen.
Kenn jemand einen fall bei dem das public wurde ?
(Die daten könnten wiederrum an firmen verkauft werden, zur marktforschung)
Kennt jemand gute links zum thema sicherheit ?
danke
bye
telnet
Re: telnet
Hi,
bei Telnet und Mail wird alles im Klartext übertragen. Die Konsequenzen sind erschütternd. Die Amis spionieren nahezu den gesamten Email-Verkehr aus (Echolon). Ob sie die gewonnenen Daten auch alle verarbeiten können, ist eine andere Frage. Sicher ist, daß die Geheimdienste enorme Rechnerkapazitäten haben.
Eigentlich müßte man alle Emails verschlüsseln. Weiß jemand, ob das bei CC: und Mailinglisten ein Problem ist? Man benötigt schließlich die Public Keys aller Empfänger.
Das Paßwort in telnet hast du verpaßt, weil jedes Zeichen in einem eigenen Paket übertragen wird. Es ist ein Leichtes, aus den Paketen das Paßwort zu extrahieren.
Gruß,
hjb
bei Telnet und Mail wird alles im Klartext übertragen. Die Konsequenzen sind erschütternd. Die Amis spionieren nahezu den gesamten Email-Verkehr aus (Echolon). Ob sie die gewonnenen Daten auch alle verarbeiten können, ist eine andere Frage. Sicher ist, daß die Geheimdienste enorme Rechnerkapazitäten haben.
Eigentlich müßte man alle Emails verschlüsseln. Weiß jemand, ob das bei CC: und Mailinglisten ein Problem ist? Man benötigt schließlich die Public Keys aller Empfänger.
Das Paßwort in telnet hast du verpaßt, weil jedes Zeichen in einem eigenen Paket übertragen wird. Es ist ein Leichtes, aus den Paketen das Paßwort zu extrahieren.
Gruß,
hjb
Pro-Linux - warum durch Fenster steigen, wenn es eine Tür gibt?
Re: telnet
@deedah
> Das würde heissen das ein sniffer in einem Netzwerk, jedes passwort mitsniffen könnte solange die tcp/ip packete an seinem knoten
>"vorbeiflitzen" würden.
Genau.
>Wird heute überhaupt noch telnet genutzt ? Oder nur noch ssh ?
Jeden Tag steht ein "dummer" auf <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
>Wird dort auch alles klartext versendet ?
Ja
>Wenn das alles einigermassen stimmen würde, dann könnte eigentlich jeder provider, die daten(passwörter,emails) seiner kunden
>mitsniffen.
Dazu fällt mir hjb Signatur ein: warum durch Fenster steigen, wenn es eine Tür gibt? <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
Aber um das mal auszuführen:
Dein Provider braucht keine Sniffer, Mails werden sowieso in Mail abgelegt, dort kann er sie direkt lesen, oder er sendet sich selbst eine Kopie, oder oder oder
>Kennt jemand einen fall bei dem das public wurde ?
Nein, das wäre einem deutschen Provider aus Datenschutzrechlichen Gründen auch nicht anzuraten.
>Kennt jemand gute links zum thema sicherheit ?
Ja (SCNR)
was interessiert dich im speziellen? Sicherheit, ist kein kleines Gebiet. Als Einstiegspunkt, kann dir vielleicht www.bsi.de dienen
@hjb:
>Eigentlich müßte man alle Emails verschlüsseln. Weiß jemand, ob das bei CC: und Mailinglisten ein Problem ist? Man benötigt schließlich
>die Public Keys aller Empfänger.
Frage und Antwort in einem.
Es gibt natürlich noch die Möglichkeit symmetrische Verschlüsselung zu verwenden. Dabei gibt es aber immer noch das Problem mit dem Schlüsselempfang/Schlüsselaustausch. Evtl (sofern die Mailclients das unterstützen), könnte das Mail Programm aufgrund einer Datenbank für jeden Empfänger eine "separate Mail" erzeugen. Ich weiss allerdings nicht ob es so etwas schon gibt, aber aufgrund von PKI bin ich aber sicher das an so einer Sache gearbeitet wird (werden sollte).
Für Mailinglisten, ist eine Verschlüsselung normalerweise nicht notwendig. Man will ja ein breites Publikum ansprechen. Wie will man also "legale" Nutzer von "illegalen" unterscheiden. Sollte unter den Nutzern sich auch nur ein einziger "illegaler" befinden, ist die ganze Kryptogeschichte umsonst.
> Das würde heissen das ein sniffer in einem Netzwerk, jedes passwort mitsniffen könnte solange die tcp/ip packete an seinem knoten
>"vorbeiflitzen" würden.
Genau.
>Wird heute überhaupt noch telnet genutzt ? Oder nur noch ssh ?
Jeden Tag steht ein "dummer" auf <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
>Wird dort auch alles klartext versendet ?
Ja
>Wenn das alles einigermassen stimmen würde, dann könnte eigentlich jeder provider, die daten(passwörter,emails) seiner kunden
>mitsniffen.
Dazu fällt mir hjb Signatur ein: warum durch Fenster steigen, wenn es eine Tür gibt? <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
Aber um das mal auszuführen:
Dein Provider braucht keine Sniffer, Mails werden sowieso in Mail abgelegt, dort kann er sie direkt lesen, oder er sendet sich selbst eine Kopie, oder oder oder
>Kennt jemand einen fall bei dem das public wurde ?
Nein, das wäre einem deutschen Provider aus Datenschutzrechlichen Gründen auch nicht anzuraten.
>Kennt jemand gute links zum thema sicherheit ?
Ja (SCNR)
was interessiert dich im speziellen? Sicherheit, ist kein kleines Gebiet. Als Einstiegspunkt, kann dir vielleicht www.bsi.de dienen
@hjb:
>Eigentlich müßte man alle Emails verschlüsseln. Weiß jemand, ob das bei CC: und Mailinglisten ein Problem ist? Man benötigt schließlich
>die Public Keys aller Empfänger.
Frage und Antwort in einem.
Es gibt natürlich noch die Möglichkeit symmetrische Verschlüsselung zu verwenden. Dabei gibt es aber immer noch das Problem mit dem Schlüsselempfang/Schlüsselaustausch. Evtl (sofern die Mailclients das unterstützen), könnte das Mail Programm aufgrund einer Datenbank für jeden Empfänger eine "separate Mail" erzeugen. Ich weiss allerdings nicht ob es so etwas schon gibt, aber aufgrund von PKI bin ich aber sicher das an so einer Sache gearbeitet wird (werden sollte).
Für Mailinglisten, ist eine Verschlüsselung normalerweise nicht notwendig. Man will ja ein breites Publikum ansprechen. Wie will man also "legale" Nutzer von "illegalen" unterscheiden. Sollte unter den Nutzern sich auch nur ein einziger "illegaler" befinden, ist die ganze Kryptogeschichte umsonst.
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)