[SR4] Die WiFi-Welt -Exploit & Spoofen ?!?

  • "Occma" schrieb:

    hallo
    ....


    p.s. kurze extrafrage: ist das programm ausnutzen das selbe wie exploit?



    Das Exploit-Programm(englisch) entspricht dem Ausnutzen-Programm.


    Und ja, man kann den Slave spoofen, da man automatisch den Master sieht, und sich damit seine Access-ID anschauen kann. Man kann sich aber nicht ohne weiteres in den Slave einloggen, dass ist der große Vorteil von Master-Slave-Verbindungen.
    Bei Slaves ist spoofen oft das Mittel der Wahl, dass sie meistens eine relativ niedrige Stufe haben, und damit leichter gespooft werden können.


    Grüße Zeddicus2


    [mod]Post zum Abtrennen geändert


    HougH!
    Medizinmann[/mod]

  • "Cajun" schrieb:

    Den Slave also hacken?


    ich weiss nicht genau, was du meinst, Cajun.
    Aber den Slave kann man erstmal nicht hacken, sondern muss über den Mastern gehen. Das ist des Sinn des slavens.


    Grüße Zeddicus2

  • Aber wenn man in Spoofen kann, kann man ihn auch Hacken. Sollte mit einem einfachen Spoof -> Terminate Slave-Master Connection, und danach einem erfolgreichen Hack getan sein. Natuerlich halbwegs auffaellig, da ploetzlich die Verbindung zum Master weg ist. :mrgreen:
    Aber gegen sowas gibt es ja Skinlink. Dadurch kann man die Slave-Master Connection ueber einen sicheren nicht einfach Spoofbaeren Kanal abwickeln. (ausser man schuettelt sich oft die Haende, dann sollte man gleich Kabel nehmen)
    Wenn man dann das Wlan des Masters abschaltet und nur den Slave fuer Aussenconnections benutzt, oder die Connection des Masters dadrueber Routet sollte man ein recht einfaches aber in SR-Regeln eigentlich Unhackbares System haben (zumindestens ueber WIfi). Bei gleichzeitig voller Einsatzfaehigkeit.


    (Ich hoffe ich habe da nichts durcheinander gebracht)


    Edit:
    Mir faellt grade auf, ich habe kompletten Stuss geschrieben und so einiges durcheinander gebracht. Das Hacken des Masters funktioniert ja noch ganznormal, da ueber das Wlan des Slave alle eingehenden Connections an den Master weitergeroutet werden, sonst koennt man ja auch nichts in der Matrix machen.

    Ray: Elf mit schwarzen langen Haaren. Ehemals Kampftaucher der australischen Marine mittlerweile Pirat.
    Bonepicker: Aelterer leicht desillusionierter ehemaliger Militaerarzt. Hinkt leicht.
    Vagabond: Junger Squatter und Rumtreiber, immer auf Achse, ehemals in einem Zirkus als Messerwerfer aktiv.
    -------------------------------------------------------------------------------------------------------------
    Datenschützer sind empört, die Regierung aber beschwichtigt: Das alles geschehe sowieso längst.

  • "Ultra Violet" schrieb:

    Nicht ganz es gibt Möglichkeiten ihn auch so zu hacken. (siehe Unwired > Slaving, p. 55)


    Deswegen meinte ich auch "erstmal" nicht hacken ;)
    Es ist einfach umständlicher.


    Grüße Zeddicus2


    Merlin : So dachten wir uns das früher auch, bis uns bewusst wurde, das man den Master immer sehen kann... doof

  • "Zeddicus2" schrieb:


    Deswegen meinte ich auch "erstmal" nicht hacken ;)
    Es ist einfach umständlicher.


    Merlin : So dachten wir uns das früher auch, bis uns bewusst wurde, das man den Master immer sehen kann... doof


    "kueppe" schrieb:

    ja, aber nur via Kabel(TM's zählen nicht;)) oder eben per gefälschten Befehl nen Account erstellen bzw, das Gerät an nen eigenen Knoten slaven.


    Per gespooften Befehl einen Account erstellen geht IMHO nicht, dafür muss man auf dem Server eingeloggt sein, würde ich sagen.


    Grüße Zeddicus2

  • "allanlaigh" schrieb:

    Doch, man kann mit Spoofing auch einen Account anlegen. Was alles geht steht im Unwired unter "Expanded Command Spoofing" recht gut beschrieben drin.


    Zeddicus2 hat recht, auch deine zitierte Stelle (btw: UW, p. 98-99) sagt nicht das man einen Account erstellen kann. Wie auch man benutzt ja schon einen aktiven Account, und seit wann kann ein Account einen Anderen erstellen? Doch der zweite Teil ist richtig, Zeddicus2 hat auch nichts anderes behauptet, nur eben die "Account erstellen"-Geschichte passt nicht ins Bild.

  • Nachdem ich die Textstelle gelesen habe, muss ich allanlaigh leider zustimmen, es steht explizit dabei: Man kann mit Spoofen Accounts anlegen, ändern oder löschen. Allerdings muss der Account, der zum spoofen genutzt wird, auch diese Rechte haben. Wenn man also so tut, als wäre man ein User mit Adminaccount, ist das Anlegen eines neuen Accounts machbar, allerdings bekommt man einen Würfelpoolmodifkator von -6, was schon ziemlich heftig ist. Natürlich braucht man dafür auch die Access-ID des Adminaccounts, den man spoofen will.


    Grüße Zeddicus2

  • "Zeddicus2" schrieb:

    Nachdem ich die Textstelle gelesen habe, muss ich allanlaigh leider zustimmen, es steht explizit dabei: Man kann mit Spoofen Accounts anlegen, ändern oder löschen.


    Nein, man kann welche nutzen, und die Nutzung gibt einem die Privilegien des Accounts, was aber ähnlich dem Hacken einen Modifikator beinhaltet. Aber das ist dann ein existierender Account den man spoofed, es ist kein neuer Account. Da liegt der kleine feine Unterschied.
    Einen neuen Account zu erstellen, wäre mMn eine Hacking Action, was Spoofing ja ausschließt.

  • "Ultra Violet" schrieb:


    Nein, man kann welche nutzen, und die Nutzung gibt einem die Privilegien des Accounts, was aber ähnlich dem Hacken einen Modifikator beinhaltet. Aber das ist dann ein existierender Account den man spoofed, es ist kein neuer Account. Da liegt der kleine feine Unterschied.
    Einen neuen Account zu erstellen, wäre mMn eine Hacking Action, was Spoofing ja ausschließt.


    Ich finde es auch nicht richtig, per spoofen einen Account erstellen zu können, leider steht es wirklich ziemlich explizit dabei:


    "Unwired p.98" schrieb:

    To add, alter, or delete an account, you would almost certainly need to spoof a command from someone with admin privileges.


    Die Stelle bezieht sich darauf, dass man für das Ändern eines Accounts eben auch einen Account spoofen muss, der die jeweiligen Rechte besitzt. Damit wird aber ziemlich deutlich gesagt, dass man genau das auch mit Spoofen tun kann, eben Accounts anlegen.


    Ich persönlich würde das als SL nicht zu lassen, da man sich einfach mit einem Befehl einen Account spooft und sich dann reinhackt, was das ganze etwas redundant macht, aber nach RAW gehts.


    Grüße Zeddicus2

  • Nein, es sagt nur aus das man einen existierenden Account manipulieren, editieren oder löschen kann. Nicht aber das man einen NEUEN erstellen kann.
    Hierzu sollte man sich dann auch mal das Erstellen eines Accounts anschauen.

    "Unwired (p. 97)" schrieb:

    Legitimate Accounts
    [...]
    A hacker who has hacked the node may also create a “legit” account on the system (see Hackers & Editing, p. 225, SR4) and then hide the fact that they created it.


    Die Limits von Spoofing sind auch klar definiert:

    "Unwired (p. 99)" schrieb:

    Spoofing commands for actions that are illegal for those access privileges is simply not possible. To bypass access restrictions, you have to hack in.


    Sagen wir es doch mal anders selbst wenn der Hacker per Spoofing einen Account erstellen könnte (was er mMn einfach nicht kann, siehe obrige Zitate) kann er die Spuren nicht verwischen, denn das ist ganz klar Hacking! Und somit würde ganz schnell auffallen das jemand den Adminaccount benutzt hat um einen neuen Account zu erstellen, welcher dann darauf folgend gelöscht werden würde.


    Btw: Man kann nicht alles Spoofen und die Geräte oder Dinge die in Frage kommen, sind eben Peripherie Geräte oder Pilotensysteme und diese Arten von Nodes sind nicht gerade für ihre vielen Accounts bekannt, eher im Gegenteil...

    "Unwired (p. 48 )" schrieb:

    Peripheral nodes can only run one persona at a time, they are not designed for multiple users.

  • Was aber eindeutig geht und auch in den meisten Fällen viel besser ist als einen Account zu erstellen, ist das geslavete System einfach dem eigenen Commlink zu unterstellen, denn das kann man wenn man einen Adminaccount gespooft hat ganz sicher.
    Das hat dann zur Folge das man der Herr über das geslavete System wird und der frühere Besitzer es erst einmal zurück erobern müsste. Bei Drohnen ist dies relativ effektiv.

  • "Ultra Violet" schrieb:

    Nein, es sagt nur aus das man einen existierenden Account manipulieren, editieren oder löschen kann. Nicht aber das man einen NEUEN erstellen kann.


    "Unwired p.98" schrieb:

    To add, alter, or delete an account, you would almost certainly need to spoof a command from someone with admin privileges.


    Da steht "to add [...] an account", das bedeutet, einen Account hinzufügen, also erstellen.



    "Ultra Violet" schrieb:

    Die Limits von Spoofing sind auch klar definiert:


    Das bedeutet nur, dass man auch die Access-ID eines Accounts braucht, die man vortäuschen kann, damit man die entsprechenden Befehle eines z.B. Adminaccounts auch ausführen kann.
    Wenn man keinen Adminaccount kennt, der Zugriff auf das jeweilige System hat, kann man auch keine Adminbefehle ausführen. Dann muss man sich reinhacken.




    Aber für uns ist die Diskussion ja irgendwie sinnlos, da wir beide finden, dass man per spoofen Accounts nicht so ausführlich beeinflussen können sollte :)


    Grüße Zeddicus2

  • ganz egal ob es durchsetztbar ist oder nicht wie würde so eine aktion(für so einen neuling wie mich verständlich) aussehen.
    ich meine damit welche würfel würden mir zur verfügung stehen und was hätte der knoten dem entgegenzustetzen

  • Kurzer Abriss:
    Wenn du dich in einen Knoten reinhacken willst (z.B. in den Pornobibliotheks-Server von nebenan), dann machst du eine Probe auf Eiliges Hacken (Hacking + Ausnutzen, Schwelle [Firewall]), der Host würfelt dagegen System + Firewall, Schwelle [dein Schleicherprogramm]). Wenn du gewinnst, bist du im Host, und dann gehts weiter.


    Wenn du einer Eismaschine ein kostenloses Eis entlocken willst, dann kannst du "Befehl vortäuschen" machen, also eine vergleichende Probe Hacking + Spoof gegen System + Firewall der Eismaschiene. Wenn du gewinnst, spuckt die Eismaschine ein Eis für dich, Glückwunsch :)
    Davor musst du aber erst noch eine Matrixwahrnehmungsprobe auf einen authorisierten Benutzer der Eismaschine machen, z.B. den Reparaturmann, damit du der Eismaschine auch vortäuschen kannst, das du jemand bist, der ihr Befehle erteilen darf.


    Da gibts noch einiges anderes zu beachten, das steht aber alles ganz gut im GRW drin, für die Matrix muss man sich ein gutes Stück einlesen bevor es losgehen kann.


    Grüße Zeddicus2

  • Warum sollte man mit dem Spoofen eines Admin Accounts keinen neuen Account erstellen koennen?
    Mit Spoofen geht doch eigentlich alles, was der Account auch selber machen kann. Ist nur halt aufwendiger, da man immer wieder Spoofen muss.
    Man also ueber einen Adminaccount den Befehl z.b. useradd mit den richtigen Parametern Spooft, dann wird der User erstellt, als wuerde der Admin diesen Befehl ausfuehren.


    Sehe nichts was dagegen spricht.

    Ray: Elf mit schwarzen langen Haaren. Ehemals Kampftaucher der australischen Marine mittlerweile Pirat.
    Bonepicker: Aelterer leicht desillusionierter ehemaliger Militaerarzt. Hinkt leicht.
    Vagabond: Junger Squatter und Rumtreiber, immer auf Achse, ehemals in einem Zirkus als Messerwerfer aktiv.
    -------------------------------------------------------------------------------------------------------------
    Datenschützer sind empört, die Regierung aber beschwichtigt: Das alles geschehe sowieso längst.