Login: ( registrieren / neues Passwort )
  Cookies müssen aktiviert sein!

Navigation
Main-Content
» News-Center
» Hacking-Zone
» Forum
» IT-Quiz
» IRC-Webchat

Features / Downloads
» Krypto-Lab
» Digital-Library
» Anonymous?
» HS-Decoder
» Linkliste
» Download-Center
» HackTV-Center

Community-Infos
» Hall of Fame
» Hall of Lame
» Mitglieder
» Skill-Suche

About HS
» Happy-Shop
» Infos & Hilfe
» Partner-Seiten
» HS unterstützen!
» Gästebuch (add)
» Statistiken

1. Begriff markieren
2. Button anklicken
Statistik
Online : (19 User)
IRC Nimda
sowie 18 Gäste

IRC-Chat : (19 User)

Voting
Auf welche Art lest Ihr Fachliteratur?
als richtiges Buch
in HTML-Webpages
als PDF
lese eigentlich nicht
egal wie, hauptsache Stoff
 
   Umfrage-Seite

Partner-Seiten

Partner werden

INDEX » Microsoft Windows » Neue Funktionen für MSN    Seite: 1
Mit dem Betreten dieses Forum, werden alle Boardregeln ausnahmslos anerkannt. Es dürfen weder komplette Lösungswege noch Teile von Passwörtern zur Hacking-Zone hier getauscht werden. Auch sind alle illegalen Themen streng verboten. Bitte zu erst versuchen selbst eine Lösung zu finden und die Suchfunktion zu benutzen. Beiträge der letzten 24 Stunden
Alle ungelesenen Beiträge anzeigen
Alle Beiträge als gelesen markieren
Alle Beiträge als ungelesen markieren
 

 Author  Thema: Neue Funktionen für MSN 
12.05.2009 22:22
Vellas
*Moderator*

Postings: 1062
Hackits: 157 von 183

Hi!

Allen Leuten die MSN benutzen möchte ich nachfolgende Seite nicht vorenthalten:
(Link entfernt)
Man erhält über diese Seite neue Funktionen für sein MSN. Ich will aber nicht alles verraten (und hoffe mal, dass dies auch kein anderer tut, daher schließe ich diesen Thread auch direkt). Ich wünsche euch viel Spass mit den neuen Funktionen.
Da diese Aktion, wie ich aus sicherer Quelle erfahren habe, nur über einen begrenzten Zeitraum verfügbar ist, kann ich euch nur empfehlen nicht zu lange zu warten.

// Edit:
Wie viele sicher sofort gemerkt haben war die ein Fake. Ich habe zu dieser Aktion jetzt einen kleinen Artikel auf der Seite veröffentlicht. Berechtigterweise wurde ich gefragt ob ich die Leute für dumm halte, wie nachzulesen ist, tue ich das selbstverständlich nicht. Und obwohl man denken könne, darauf fällt keiner rein, sind doch einige darauf reingefallen. Auch von dieser Seite aus kamen eine Hand voll Leute und haben das Formular ausgefüllt. Sicher ist das nicht viel. Hätte ich eine große Menge haben wollen, hätte ich eine ganz andere Community zur Verbreitung wählen müssen. Das ist mir bewusst. Nur bin ich in keiner Community so aktiv, dass dies jemand unterstützt hätte. Dennoch fand ich es interessant, dass mir durch die direkte Verbreitung in MSN so einige sogar ohne Nachfrage auf den Leim gegangen sind. Das ist eigentlich bedenklich. Einige haben nämlich nicht nachgefragt. Für die Verbreitung hätte genauso gut ein Bot zuständig sein können und nicht ich. Ich habe teilweise Vertrauen in meine Person missbraucht, dennoch fand ich es interessant zu sehen, dass es doch einige gibt, die daran teilgenommen haben. In einer Umfrage hätten mir viele dieser Personen gesagt, dass sie es nicht getan hätten. Ein Experiment ist hier zwar rechtlich gesehen sehr kritisch (weshalb ich Bots von der index-Seite per robots.txt abgewiesen habe), dennoch war es, wie ich finde, deutlicher zu sehen, dass sich nicht jeder an das hält was überall wo man Passwörter eingeben muss gepredigt wird. Und das nur, weil der Link von mir kam. Impressum war nicht vorhanden und im whois kann auch jeder andere stehen.

Letztendlich muss ich sagen, dass viele naiver sind, als gedacht. Vor allem dann, wenn sie eine Person mehr oder weniger kennen. Social Engineering Angriffe sehe ich daher nicht als sehr großes Problem an, schon gar nicht, wenn man den Messenger als direkte Verbreitungsquelle nimmt. Obwohl der Link-Spam bekannt sein sollte, scheint es immer wieder Fälle zu geben in denen doch darauf vertraut wird, dass der Link wirklich von der Person die hinter dem Kontakt steht kommt. Und selbst wenn man nachhilft und sagt die Seite sei sicher, ist es ja eigentlich kein Grund auf einer Seite die mit MSN nichts zu tun hat (abgesehen von einem Link auf live.com) einfach sein Passwort einzugeben.

Vielleicht haben ja einige Leute daraus gelernt. Man kann sich sowas zwar auch selbst zusammenreimen. Sowas aber mal experimentell gemacht zu haben, war dennoch ganz interessant und hat genau das widergespiegelt, was ich mir gedacht habe (es hätte ja widererwarten anders ausfallen können).

Greetz


Dieser Beitrag wurde am 15.05.2009 - 17:38 von Vellas editiert.
  Quote | Edit | Delete | Alert!!!  #001
15.05.2009 20:59
Tsutomu
*Administrator*

Postings: 1841
Hackits: 149 von 183

Hallo Vellas,

wie schlimm, vom statistischen Standpunkt aus, ist denn nun diese Community im Passwörter rumschleudern und wie ist die Resonanz nach Auflösung gewesen?

Es war auf jeden Fall gut, das ganze per JS zu realisieren... obwohl auch sonst niemand drüber nachgedacht hatte, wie die Daten denn übertragen werden.

Gruß
Tsutomu



weitere Informationen: Webhosting, Security & Japan
  skype Quote | Edit | Delete | Alert!!!  #002
15.05.2009 22:06
Vellas
*Moderator*

Postings: 1062
Hackits: 157 von 183

Hi!

Also die Community kommt nichtmal auf eine Teilnahme von 5%. Hab ich auch nicht wirklich erwartet. Das ganze kannst du an 2 Händen abzählen. Bei 500-600 Besuchern täglich...1%.

Bei MSN war es leichter. Egal ob die Leute mich persönlich kannten oder nicht, so war es recht ausgewogen. Allerdings waren auch nie alle Kontakte online. Eine Person hat den Link auch verbreitet. Die Teilnehmerzahl schätze ich insgesamt als zu gering ein, für eine absolut gültige Aussage. 30-40% die on waren in der Zeit und den Link hatten haben mitgemacht. In beiden Nutzerlisten waren es davon ca. 10-20% die ohne Nachfrage den Link benutzt haben.

Also aus technischer Sicht gesehen, ließe sich das ganze mit einem Bot recht gut automatisieren. Es würde auf jeden Fall die Runde machen und sich verbreiten. Selbst wenn es pro Liste nur 2 Leute immer sind die ohne Nachfrage einfach mitmachen, verbreitet sich sowas gut.

Viel interessanter fand ich jedoch, wieviel Aufwand man in Arbeit mit Social Engineering stecken musste. Einige haben mich noch nie gesehen. Ab und zu plaudert man mal ein wenig und das wars. Social Communities und Chats vereinfachen den Aufbau von Vertrauen deutlich. Es gibt da diverse Möglichkeiten. Neben Gesprächen kann man auch Bilder einsetzen, um vielleicht sympathischer zu wirken. Sicher klappt das nit mit jedem, aber es funktioniert und das nicht gerade schlecht. Und wirklich aufwendig ist es auch nicht, sich einen Account anzulegen und etwas zu plaudern. Für einen gezielten Angriff, ist da durchaus mit vertretbarem Aufwand was machbar. Unabhängig vom Design (was vor dem letzten ja echt grottig war) ließen sich einige recht leicht einlullen und für die neuen Funktionen begeistern.

Am krassesten war eine Person, die mir freiwillig ihr Passwort von 2 Accounts gegeben hat. Ich habe die History daraufhin gelöscht, nachdem ich feststellte das die Passwörter funktionierten. Sowas interessiert mich nicht. Es war aber von einer Person mit der ich nicht viel zu tun habe und die mich noch nie gesehen hat. Da hieß es nur, sie vertraue mir. Das war eigentlich der krasseste Fall. Ich denke sowas kommt nicht oft vor, aber ich denke, wenn die Person mir so vertraut, dann will ich nicht wissen, wie diese Person anderen vertraut. Und alles kann mal in negative Absichten umschlagen und sei es nur ein Streit. Ich finde das sehr bedenklich.

Achja. Angeregt hat mich der Versuch eigentlich, weil ich es unglaublich leicht fand immer die Passwörter von Systemen bei Kunden zu erhalten. Wenn man diese aufschreibt und die Putzfrau sie entwendet ist das nicht unbedingt vorteilhaft (zumal es eigentlich nie temporäre Zugänge sind). In diesem Fall braucht der Kunde hilfe, was laut Mitnick ja eine noch bessere Voraussetzung ist, wenn ein Opfer in die Lage versetzt wird, dass es Hilfe braucht. In diesem Fall wollte ich aber nicht Hilfe erzeugen, sondern sehen wie gut es klappt, wenn man einer Person nur mal ein paar nette Sätze geschrieben hat. Ich finde es lief schon recht gut. Würde man eine dieser Personen in die Lage versetzen, dass sie Hilfe braucht, würde das ganze vermutlich noch deutlich besser funktionieren. Dann hat man neben Vertrauen noch einen guten Vorwand um weiteres aus der Situation herauszuholen.

Es war letztendlich eine interessante Erfahrung ohne jemandem zu schaden. Auf die breite Masse würde ich keine Aussage treffen ob das nun für oder gegen die Lobbyarbeit spricht die viele Seiten machen, indem sie immer darauf hinweisen, dass man seine Daten nicht weitergeben soll. Irgendwer tut es wahrscheinlich immer. ein gezielter Angriff, optimiert auf eine Person, sollte sich aber noch leichter umzusetzen lassen, als ein allgemeiner Angriff auf mehrere. Da ist der Nachteil, dass zuviele Bots kursieren und immer mehr Nutzer wahrscheinlich immunisiert werden. Mit mehr Aufwand springt bei sowas sicher mehr bei raus. Zugegeben war der Aufwand alles andere als optimal und dennoch zum Teil erfolgreich. Eigentlich schon fast erstaunlich.

Greetz


Dieser Beitrag wurde am 15.05.2009 - 22:14 von Vellas editiert.
  Quote | Edit | Delete | Alert!!!  #003
 INDEX » Microsoft Windows » Seite: 1

    ! GESPERRT !  


  

Need help? visit the IRC-Chat or Message-Board
© 2004 - 2020 happy-soft
"Der Computer rechnet mit allem, nur nicht mit seinem Besitzer."