Fingerabdruck statt Passwort – WebAuthn

Die aktuelle Windows Version unterstützt den BioPass FIDO2 USB Stick von FEITIAN. Dadurch ist es möglich, auf WebAuthn unterstützten Webseiten mit dem Fingerabdruck einzuloggen. Die Funktion habe ich im Edge-Browser sowie im Chrome-Browser erfolgreich getestet.

Auf der Webseite webauthn.org sieht der erfolgreiche Anmeldeversuch mit dem USB Stick wie folgt aus:

Phishing und man-in-the-middle Angriffe werden durch den FIDO2 Stick verhindert, was bei normalen Passworteingaben nicht der Fall ist. Dank des Fingerabdrucksensor ist ein abhanden gekommener Stick nutzlos. Jetzt fehlt nur noch die grosse Verbreitung von WebAuthn bei Webdiensten.

BioPass FIDO2 Manager Software:

TOR-Anonymizer Sniffer

Um anonym im Internet zu surfen existiert das TOR Netzwerk. Die Abkürzung TOR steht für „The Onion Router“. Netzwerkadministratoren wird das Leben schwer gemacht, die TOR Verbindungen zu detektieren, da die Datenverbindungen wie normaler HTTPS-Verkehr aussieht. Honeypot hat ein TOR-Sniffer entwickelt, der anhand der Entryserver-IP-Adressen den Verbindungsaufbau in Echtzeit loggt. Alternativ zum sniffen kann auch eine PCAP-Datei analysiert werden.

Der in Python geschriebene TOR-Sniffer benötigt Adminrechte, zudem muss das Netzwerkinterface den Internetverkehr sehen, z.B. mit einem managed Switch der Port-Mirroring unterstützt.

Und so sieht der Sniffer aus:

Web ohne Passwörter – Die Zukunft…

Mit WebAuthn existiert seit kurzem ein Standard, um sich ohne Passwort auf Webseiten einzuloggen. Unterstützt sind bereits die Browser von Chrome und Firefox, bald folgt Edge. Pro Account wird ein Private/Public Key-Paar in einem USB Device (FIDO2) generiert. Wobei der Webserver beim erstellen eines neuen Accounts den Public Key bekommt. Bei einfachen FIDO2 Devices muss man den Vorgang nur mit einem Tastendruck bestätigen, somit darf man den USB Stick nicht verlieren. Besser: Es existieren auch Geräte mit Fingerabdruck-Scanner.
Testseite für WebAuthn: https://webauthn.org/
Einfacher FIDO2-SecurityKey

Ist HTTPS sicher?

Von den 1 Million best besuchten Websites sind bereits 400’000 Seiten mit HTTPS als Standardzugang aufgeschaltet. Viele Benutzer fühlen sich mit einer HTTPS Verbindung sicher, und denken, Sie können nicht abgehört oder manipuliert werden. Damit der Browser das Zertifikat als sicher einstuft, muss er lokal über die nötigen Root-Zertifikate verfügen. Doch genau da liegt der wunde Punkt. Sind Root-Zertifikate z.B. von der Regierung hinterlegt, so kann diese die Zertifikate für beliebige Seiten ausstellen, also z.B. für https://www.MeineBank123.com, für den Benutzer sieht die Verbindung sicher aus, obwohl die Behörden die Verbindung mitschneiden und manipulieren kann.
Hier ein Beispiel eines Android-Telefon, auf dem einige verdächtige Root-Zertifikate zu finden sind:

Zertifikate im Android-Telefon, in der Mitte zu sehen ist ein verdächtiges Zertifikat: Government Root Certificate:
Und die Details dazu:

 

WPA3: Der nächste WiFi Standard steht vor der Tür

Noch dieses Jahr werden WLAN Produkte mit WPA3 erwartet, diese beheben die vorhandenen Schwächen von WPA2.

  • Offline knacken der Passwörter wird nicht mehr möglich sein, da zu Rechenintensiv.
  • Ein nachträgliches entschlüsseln der Daten ist nicht mehr möglich, auch wenn das Passwort bekannt ist (Perfect Forward Secrecy).
  • Deauthentication-Angriffe sind nicht mehr so einfach möglich wie bei WPA2.

Es wird damit gerechnet, dass WPA2 und WPA3 bei neu Geräten zwei Jahre lang parallel angeboten wird. Nach 2020 wird voraussichtlich WPA2 fehlen.

Zugriff durch die Hintertür

Sie verwenden eine drahtlose Maus oder Tastatur?
Durch eine Schwachstelle ist es möglich, Tastatureingaben bei einem Mausempfänger oder Tastaturempfänger einzuspeisen, jedoch nicht abzuhören. Dies aus einer Distanz bis zu 100 Meter.  Auf den ersten Blick scheint das Schadens-Potential begrenzt, doch der Schein trügt: Mit der Tastenkombination „Windows+R“, „cmd.exe“ kann eine Konsole geöffnet werden, in der ein Trojaner-Virus automatisiert eingegeben wird. Der Trojaner verbindet sich mit einem Hacker-Server übers Internet und kann dadurch komplett ferngesteuert werden (Datei-Zugriff, Screenshot, Webcam, etc.).

Logitech Receiver mit Maus

Welche Hersteller sind betroffen:

  • Logitech
  • Microsoft
  • Dell
  • Lenovo
  • HP
  • Gigabyte
  • AmazonBaiscs

Wie kann man sich dagegen schützen:

  • Den neusten Firmware Patch des Maus/Tastatur-Empfängers vom Hersteller herunterladen und den Empfänger updaten.
  • Bildschirm bei nicht Gebrauch mit Passwortschutz sperren.

Crazyradio PA Long Range Adapter

IoT Referenzdesign

Honeypot GmbH hat auf der Basis des ESP8266 WiFi Chips ein Beispiel Referenzdesign eines „Internet of Things“ Gerät erstellt.

IoT WiFi Print

Die Platine wird an die Festnetz-Telefonleitung angeschlossen und sendet die eingehende Rufnummer übers das Wireless-LAN ins Internet (Cloud). Dadurch ist es möglich, die eingehenden Anrufnummern von überall einzusehen.

Der eingesetzte ESP8266 WiFi Chip ist optimal für kostengünstige Designs. Bei diesem Referenzdesign wird kein zusätzlicher Mikrocontroller mehr benötigt.

Die Konfiguration (WiFi Netzwerkname/Passwort) wird wie folgt durchgeführt: Der WiFi Chip ist im Konfiguration-Mode selbst ein Access-Point, der vom Smartphone oder Notebook ansprechbar ist. Zudem läuft auf dem WiFi Chip ein Webserver, über den die Konfiguration vorgenommen wird. Noch komfortabler geht es, wenn die Konfiguration über eine Smartphone-App erfolgt.

Benötigen Sie ein IoT Platinen Design, mit Cloud Anbindung, dann sind Sie bei Honeypot an der richtigen Adresse.

RipGrep – Auf die schnelle Art

Das Problem: 44GB Daten von geleakten Accounts sollen möglichst schnell durchsucht werden. Zur Verfügung steht eine Workstation mit 128GB RAM und dual Xeon CPU. Ein Ubuntu 16.04 läuft in einer VM mit 12 zugewiesenen Cores, die Account Daten sind in einer RAM-Disk abgelegt.

Mit Grep sind 4min 15s fällig um die Daten einmal komplett zu durchsuchen, da nur ein Core verwendet wird.

RipGrep läuft im Gegensatz zu Grep auf allen Cores, und durchkämmt die RAM Disk in nur 5 Sekunden! Dank SSH Zugang auch vom Handy aus.

Versuche die Daten in eine MariaDB zu importieren waren nicht sehr erfolgreich: Der Import aus den Text Dateien führte zu vielen Fehlern, und die Such-Performance überzeugte nicht.