Schlagwort-Archiv: Hacker

Raspberry Pi als Access-Point

Bisher erst von anderen ausprobiert, nun bin ich auch selbst im Besitz eines eigenen Raspberry Pi. Meine Absicht dahinter, eine Box zu schaffen, welche über ein Battery-Pack betrieben und über ein Wifi-Dongle kommunizieren kann. Im Funktionsumfang schwebt mir etwas in Richtung Man-in-the-Middle- oder Deauth-Attacken vor, welche vollautomatisch nach dem Einschalten gestartet werden sollen. Doch erst mal zum Grundsetup:

Ich habe einen gewöhnlichen Pi (das stärkere Modell), einen Zyxel Wifi Dongle und mein bereits bekanntes Adata Battery-Back. Auf der SDCard läuft ein Raspbian und folgend will ich mal beschreiben, wie ich das Ding zu einem Access-Point umgewandelt habe.

Zuerst beginnen wir mit dem Herunterladen:

sudo apt-get update
sudo apt-get upgrade
sudo apt-get dist-upgrade
sudo apt-get install hostapd isc-dhcp-server vim

Nun können in der Datei /etc/dhcp/dhcpd.conf die ersten Anpassungen vorgenommen werden. Die folgende Zeile muss dabei auskommentiert werden:

#option domain-name "example.org";
#option domain-name-servers ns1.example.org, ns2.example.org;

Und der folgende Punkt dafür einkommentiert werden:

authoritative;

Weiterlesen

Defcon One für Whatsapp

Ich überlege mir gerade ernsthaft, ob ich Whatsapp wirklich noch weiternutzen will, denn auf was ich heute gestossen bin, das bereitet mir sehr grosse Sorgen!
Man hat ja in letzter Zeit viel über Whatsapp gehört, da zuerst alle Nachrichten unverschlüsselt versandt wurden und somit problemlos abgehört werden konnten. Nach längerem hin und her wurde das behoben und alle waren wieder glücklich. Doch kürzlich ging es wieder los; es stellte sich heraus, dass unter fremdem Namen beliebig Nachrichten versandt werden können… Ich weiss klingt schlimm, aber normalerweise sind solche Sicherheitslücken von sehr vielen Gegebenheiten und Zufällen abhängig, doch heute morgen bin ich auf ein Video gestossen, welches ich euch nicht vorenthalten möchte:

Alles was also getan werden muss, ist die MAC auszulesen und sich ein Opfer auszusuchen – sehr bedenklich, denn dank der Whatsapp API können Nachrichten von Computer aus versandt werden ohne dass das Opfer etwas merkt davon, und das ganz ohne Vorkenntnisse…

Passwort zurücksetzen mit TRK

Heute hatte ich eine Windows-Maschine, von welcher dummerweise das Passwort nicht mehr bekannt war. Also habe ich zuerst versucht das ganze mit dem Offline NT Password & Registry Editor zurückzusetzen, wie ich das sonst eigentlich immer mache.
Dummerweise aber waren die Treiber für die Festplatte von meinem HP ELitebook 8530p nicht integriert und ich konnte auch nirgends passende nachliefern.
Der Verzweiflung nahe habe ich dann nochmals Google befragt und bin über TRK, also das Trinity Rescue Kit gestolpert.

Dieses habe ich mit dem Tool tazusb zuerst auf meinen USB Stick kopiert und die Maschine dann von da her gestartet. Da ich nun einen USB Stick anstatt einer CD verwende, musste ich, als mich das System danach fragte, explizit angeben, dass TRK unter sdb1 zu finden sei.

Danach verlief alles problemlos und ich konnte das Passwort leeren, indem ich der einfachen Menüführung folgte und mich danach ohne Passwort auch gleich einloggen :) Eine super Alternative also zu Offline NT Password & Registry!

Kassensturz hackt E-Banking-Konten

Soeben bin ich auf der Seite von sf.tv über ein Beitrag mit dem obigen Titel gestossen. Also bitte keine Ausrufe über “das ist aber kein hacking” ;)
Wie es scheint hat Kassensturz die Sicherheit von einzelnen eBanking-Portalen geprüft, doch seht selbst:

Kassensturz vom 31.05.2011

Naja, dass der Beitrag ein bisschen fragwürdig ist, muss ich nicht noch speziell erwähnen. Der Trojaner war ja schon installiert. Und wer dumm genug ist, einfach ein Anhang zu installieren, der sollte auch kein eBanking machen!
Und da das System über einen Trojaner geknackt wird, läuft der Angriff durch den Computer und nicht durch das Portal selbst. Somit bin ich der Meinung, dass die Bank nicht mehr verantwortlich ist für die Sicherheit. Jeder muss selbst wissen, auf welchem Computer er sich in sein eBanking einloggt!

Und in meinen Augen ist der ganze Angriff ein Witz: Welcher Computer blockiert denn bei einem Windows Update? Wäre ich im eBanking, so würde ich das Update wegklicken und später nochmals starten!

Ganz lustig ist ja auch noch die Reaktion der Banken! Ich wette, weder die Migrosbank, noch Raiffeisen werden auf Grund dieses Beitrages etwas ändern!