Workshop-Reihe: Sicherheitslücken und Passwörter entschlüsseln

leandro2010 · 23. August 2023 um 18:54

Hallo,

Ich wollte lernen wie man Passwörter „knackt“ wie z.B. in einem Spiel hat man die Anmeldedaten vergessen und deshalb kann man das Spiel nicht mehr spielen
oder man ist an einem Campingplatz und niemand ist da um das WLAN Passwort zu geben.

Ich habe erfahren das das nicht einfach ist.

Aber ich möchte lernen warum das nicht so einfach geht und ob es Sicherheitslücken gibt durch die das doch geht.

Wer Lust hat mit zu machen meldet sich einfach

Ablauf

Wir wollen uns drei Mal jeweils etwa 1½ Stunden lang online treffen, um uns mit dem Thema zu beschäftigen. @nik als Experte für das Thema wird diese Sessions vorbereiten.

Die Termine sind:

Dienstag, 19. September, 16 Uhr
Freitag, 22. September, 15 Uhr

Wiederholungstermin für Termin 2: Montag, 25. September, 17 Uhr

Fortsetzung nach dem 3. Oktober

Bitte meldet euch hier an, wenn ihr beim jeweils nächsten Termin dabei sein wollt:

Die Videokonferenz findet in diesem BigBlueButton-Raum statt.

Vorbereitung / Vorwissen

Wer mitmachen möchte, sollte ein paar grundlegende Vorkenntnisse haben:

Umgang mit URLs (“Internet-Adressen”) und dem Web-Browser
Umgang mit der Tastatur
Erfahrung mit Websites/Spielen/usw., die mit einem persönlichen Passwort geschützt sind

Außerdem sollte ein Linux-Rechner vorhanden sein und ein funktionierendes Headset mit Mikrofon für die Videokonferenz.

Inhalt

Wir wollen uns in drei Online-Workshops die folgenden Themen anschauen:

Passwörter, Hashes, Crypto-Keys – WTF?
- Was ist eigentlich ein Passwort?
  - Ein Passwort ist irgendein Text den man benutzt um etwas vor unbefugtem Zugriff zu schützen
    (z.B. Accounts)
  - Passwörter sollten immer stark (vor allem: nicht zu einfach zu erraten) sein, da Raten oft das Einfallstor für Angreifer ist (siehe Hash)
- Wie verarbeiten Server und Websites Passwörter?
  - Passwörter werden gehasht
    - Heißt: Sie werden mathematisch in eine große Zahl umgewandelt, die nicht mehr zurückgerechnet werden kann. Bei gleicher Eingabe kommt aber immernoch diegleiche Zahl raus
    - Wenn jemand sich einloggen will überprüft der Server ob der Hash der Eingabe und der gespeicherte Passwort-Hash gleich sind. Falls ja wird man angemeldet.
- Wie funktioniert Verschlüsselung?
  - Verschlüsselung kann entweder symmetrisch oder asymmetrisch sein.
    - Symmetrische Verschlüsselung heißt: Wir haben einen Schlüssel (z.B. ein Passwort oder ein Alphabet) und mit diesem Schlüssel können wir Klartext (also das vor der Verschlüsselung) in eine Cipher (also das nach der Verschlüsselung) umwandeln. Heißt wir können sowohl ver- also auch entschlüsseln.
      - Beispiel: Caesar-Chiffre (Verschiebung) oder Vigenere-Chiffre
  - Verschlüsselungen kann man auf verschiedenen Wegen angreifen. Zum Beispiel in dem man nach Wiederholungen sucht oder sich anschaut wie häufig einzelne Buchstaben vorkommen und errät welcher Buchstabe welcher seien könnte (Häufigkeitsanalyse)
Hacker, Cracker, Malware – Wer will da an meine Daten?
- Was ist eigentlich Hacken? Und ist das überhaupt legal?
- Wertvolle Geheimnisse – Wir haben ja nichts zu verbergen!
There is no cloud (just other people’s computers)
- Was sind das für Wolken, von denen alle reden?
- Der große Microsoft-Hack oder: Wie viele kleine Fehler alle Microsoft-Accounts offenlegten

Das Ziel ist, dass alle, die mitmachen, danach grundlegend verstanden haben, wie Systeme im Internet abgesichert werden, wer sie angreift und was man darf und was nicht.

mwinter · 26. August 2023 um 14:57

Hallo Leandro,

zunächst möchte ich dich recht herzlich hier im Forum begrüßen. Schön, dass du den Weg hierhin gefunden hast. Dein Session-Vorschlag klingt schon mal sehr interessant.
Ich denke, dass da bestimmt auch einige anderen Interesse daran haben. Ich habe mal deinen Beitrag um eine entsprechende Umfrage ergänzt.

Aus meiner Sicht wäre ein spannender Teil bei dem Thema wäre, was man eigentlich angreifen darf und wann man Sicherheitslücken ausnutzen darf. Hättest du auch Interesse daran mehr darüber zu lernen oder soll das nur ganz kurz angerissen werden?

Wir haben auch schon ein anderes Thema, welches mit IT-Sicherheits-Themen befasst. Siehe Session-Vorschlag: IT-Security-Session bzw. Dinge lernen
Vlt. hast du an diesen Themen ja auch Interesse.

An Alle:
Wer kann kann den zu diesem Thema beitragen und erzählen?

leandro2010 · 27. August 2023 um 14:10

Hallo Martin,

Ich würde sehr gerne noch mehr über das Thema lernen und ob man Sachen ausnutzten oder auch nicht ausnutzen darf.

LG
Leandro

nik · 7. September 2023 um 13:02

Ich habe mir mal überlegt, wie man das aufbauen könnte.

Ablauf und Format

Wir nehmen drei Termine zu je 90 Minuten, irgendwann nachmittags, online.

@leandro2010 Möchtest du das auch bei einem Online-Treffen mit anderen lernen und ausprobieren? Oder möchtest du dich lieber alleine damit beschäftigen, und wir suchen dir zusammen Material (Texte, Videos, oder sowas) dafür raus? Falls du das mit anderen zusammen bei Online-Treffen machen möchtest, an welchen Wochentagen und zu welchen Uhrzeiten hättest du normalerweise Zeit?

Inhalt

Falls wir die drei Online-Sessions nehmen, würde ich folgende Inhalte vorschlagen

Passwörter, Hashes, Crypto-Keys – WTF?
- Was ist eigentlich ein Passwort?
- Wie verarbeiten Server und Websites Passwörter?
- Wie funktioniert Verschlüsselung?
Hacker, Cracker, Malware – Wer will da an meine Daten?
- Was ist eigentlich Hacken? Und ist das überhaupt legal?
- Wertvolle Geheimnisse – Wir haben ja nichts zu verbergen!
There is no cloud (just other people’s computers)
- Was sind das für Wolken, von denen alle reden?
- Der große Microsoft-Hack oder: Wie viele kleine Fehler alle Microsoft-Accounts offenlegten

leandro2010 · 8. September 2023 um 18:48

Mit anderen zusammen lernen,

Montag 17:00 Uhr
Dienstag 15:30 oder 16:00 Uhr
Freitags 14:00 oder 14:30 Uhr

robert · 14. September 2023 um 16:43

Am Di hab ich wohl noch nen Arzttermin. Sollte aber nicht lange gehen, ich würde einfach ca. 45 Minuten später kommen

mwinter · 18. September 2023 um 20:27

Zu dem Dienstags-Termin kann ich leider nicht kommen. Ab Freitag bin ich dann dabei.

greenem · 19. September 2023 um 05:06

Ich hätte interesse, habe aber heute AG. Danach fahre ich mit dem Fahrrad nach hause und weiß nicht ob ich rechtzeitig da bin.

macked47 · 19. September 2023 um 12:26

Mir fällt grade auf das ich am Dinstag Scouting habe, könnte am Dinstag nur um 15:30

nik · 21. September 2023 um 14:00

Übungsaufgabe

Hier sind zwei kleine Übungsaufgaben zum Thema Verschlüsselung:

Eine bessere Rotationschiffre

Wir haben am Dienstag die Caesar-Chiffre kennengelernt. Dabei war der Schlüssel im Wesentlichen eine Zahl, um deren Wert die Buchstaben im Alphabet verschoben wurden. Diese Verschlüsselung ist sehr leicht zu knacken – im Wesentlichen muss man ja nur maximal 26 Versuche machen.

Um das zu verbessern, wollen wir stattdessen ein Schlüsselwort benutzen. Überlegt doch mal, wie man das Wort “KEKSDOSE” mit dem Schlüssel “KAESEDIP” verschlüsseln könnte!

Caesar-Chiffre knacken

Hier ist ein geheimer Text:

VLAFKTYPCLQQPY DTYO XTEEPWRCZßP ACTXLEPY. DTP PCCPTNSPY
PTYP VZAQCFXAQWäYRP GZY 31 MTD 56 KPYETXPEPC, OPC DNSHLYK
HTCO 30 MTD 56 KPYETXPEPC WLYR. OTP HPTMNSPY DTYO XTE PEHL
2 MTD 3 VTWZRCLXX OPFEWTNS WPTNSEPC LWD OTP XäYYNSPY, OTP
3 MTD 4 VTWZRCLXX HTPRPY. OPC CFXAQ TDE DNSWLYV, OTP GZCOPC-
FYO STYEPCRWTPOXLßPY DTYO LYYäSPCYO RWPTNS WLYR. OTP QTYRPC
DTYO VFCK FYO OPC OLFXPY TDE ZAAZYTPCMLC, HZOFCNS OTPDP
ACTXLEPY XLYFPWW DPSC RPDNSTNVE DTYO. OPC DNSHLYK TDE
RCPTQQäSTR, LMPC VPTY GZWW LFDRPMTWOPEPC RCPTQDNSHLYK
XTE FYMPSLLCEPX SLFEQPWO, HTP PC MPT OPY VWLXXPCDNSHLYKLQQPY
GZCVZXXE.

Wer kann ihn entschlüsseln? Habt ihr Ideen, wie man es schaffen kann, nicht ganz so viele Versuche machen zu müssen?