Wer das Gerät etwa auf dem Firmenparkplatz findet und leichtfertig in den Rechner steckt, erlebt sein blaues Wunder: Der Rubber Ducky tippt in Windeseile vom Angreifer zuvor einprogrammierte Tastenbefehle runter — und das kann fatale Folgen haben. So kann das Gerät etwa per Tastaturbefehl die mächtige Kommandozeile öffnen und dort alle Befehle ausführen, die auch der angemeldete Nutzer ausführen darf. Der Rechner kann so zum Beispiel mit Schadsoftware infiziert werden. Aber auch harmlosere Aktionen sind möglich: Ein Pentester könnte zu Demonstrationszwecken etwa das Windows-Hintergrundbild ändern oder die Maustasten vertauschen.
Prinzipiell eignet sich der Rubber Ducky auch, um wiederkehrende Admin-Aufgaben zu automatisieren.
Kritisch ist auch das Auslagern in die Cloud, um von überall Zugriff darauf zu haben, weil man die Sicherheit aller Codes einem Dienst anvertraut. Meizu verkaufte 22 Mio. Ganz zu schweigen von einem vor Jahren verschlüsselten Zip-Archiv oder den diversen Internetzugängen, die sich im Laufe der Jahre so angesammelt haben. Wie in einem vorherigen Bericht bereits beschrieben, wird das Keylogger Keyboard von keylogger. Etwas aufwendiger ist es, das Sperrmuster des Mobilgerätes per Android Debug Bridge zu entfernen; dazu haben wir einen ausführlichen Ratgeber. Der Wurm infizierte ein System, versteckte sich mit einem Rootkit und erkannte dann, ob der infizierte Computer sich mit dem Automatisierungssystem Siemens Simatic verbindet.
Programmiert wird der Stick in einer simplen Skriptsprache namens DuckyScript, mit der eine Abfolge von Tastatureingaben beschrieben wird. Im offiziellen Git-Repository ct. Ferner kann er sich auch als Netzwerkkarte oder serielle Schnittstelle am Rechner melden. Pentester lassen einen Bash Bunny nicht irgendwo liegen — dafür ist er zu auffällig und auch etwas zu teuer —, vielmehr dient er ihnen als Werkzeug, um PCs im Vorbeigehen zu übernehmen. Das geht auch spurlos.
So genügen einige wenige Befehle, um beispielsweise Daten wie alle im Rechner gespeicherten Passwörter direkt auf den Stick zu kopieren. Eine LED signalisiert dabei, wann das Gerät wieder herausgezogen werden kann. Das Gerät arbeitet transparent; eine Verzögerung beim Tippen spürt man nicht. Dann meldet sich der Keylogger als Massenspeichergerät am Rechner an und gewährt Zugriff auf die Tastaturmitschnitte. Für diese ist im vier GByte fassenden internen Speicher ordentlich Platz.
Dort findet man auch diverse Konfigurationsdateien, mit denen sich der Keylogger umfassend konfigurieren lässt. Zudem kann man die Mitschnitte jederzeit über die KL Tools abholen, wenn man sich im gleichen Netz befindet und das Passwort kennt. Man hängt ihn zwischen Netzwerk-Client und Netzwerk und kann fortan sämtliche übertragene Daten passiv mitlesen. Dazu werden die Sendeleitungen der beiden überwachten Ports einfach elektrisch zu den Analyse-Ports geführt. Einen dieser beiden Analyse-Ports verbindet man mit einem Rechner, auf dem ein Packet Sniffer wie Wireshark oder tcpdump läuft. An den Analyse-Ports sind lediglich die Empfangsleitungen verbunden.
Selbst wenn der Auswertungs-Rechner etwas sendet, werden diese Daten nicht verschickt. So kann man den Netzwerkverkehr verkabelter Geräte untersuchen, ohne dass Client oder Netz etwas davon mitbekommen können. Die von uns getestete Pro-Variante steckt komplett zusammengebaut in einem robusten Plastikgehäuse. Pentester demonstrieren mit ihr Angriffe auf das lokale Netz und installieren etwa im Vorbeigehen eine aus dem Internet erreichbare Backdoor ins Firmennetz.
Aber auch als smarte Netzwerkkarte kann das vielseitige Gerät dienen. In dem unspektakulären Gehäuse steckt ein Embedded-Rechner, der die volle Kontrolle über den durchgeleiteten Datenverkehr hat.
Damit kann man der Sicherheit von Netzwerken und Clients auf den Zahn fühlen. Alternativ kann man das Gerät auch autark betreiben, dann wird sie über USB lediglich mit Strom versorgt und auf der anderen Seite mit dem Zielnetzwerk verbunden. Auf diese Weise hat ein Pentester einen optisch unauffälligen Client im Netz seiner Wahl, der unter seiner Kontrolle steht. Dabei wird eine ausgehende Verbindung zu einem System im Internet hergestellt. Wir konnten mit der Turtle erfolgreich einen solchen Tunnel bauen. Weiterhin ist unter anderem der Netzwerk-Scanner nmap vorinstalliert, der detaillierte Informationen über die Clients und Server im Netz liefert und deren Schwachstellen auskundschaftet.
Für den Fall, dass man eines einmal vergessen hat und keine andere Möglichkeit findet, es zurückzusetzen, gibt es Programme, die das Passwort hacken. Habt ihr den Urlaub genossen oder eine Webseite länger nicht besucht, kann es schnell passieren, dass ihr euer Login vergesst. Sucht ihr nun ein Programm, um euer Passwort zu hacken? Scheitert ihr am Sperrbildschirm eures Handys? Winload iTunes Passwort vergessen Video. Die folgenden Tools sind nur dafür gedacht, das eigene vergessene Passwort zu knacken.
In allen anderen Fällen macht man sich durch die Benutzung der Tools strafbar. Es gibt eine Vielzahl an verschiedenen Programmen für die unterschiedlichen Anwendungsfälle. Wir raten dringend davon ab, aus Quellen herunterzuladen, die nicht zweifelsfrei als seriös eingestuft werden können. Browser unterstützen in der Regel jedoch die automatische Passwortspeicherung eurer Online-Accounts.
Was bequem ist, führt dazu, dass man das Passwort selten abruft und somit leichter vergisst. Wurde der Passwortmanager selbst mit einem Kennwort verschlüsselt, kann das Programm allerdings nicht helfen. Eine weitere Methode wird von den Online-Diensten selbst angeboten: Ihr erhaltet dann an die gewählte E-Mailadresse einen Link, der euch den Weg ebnet, euer Passwort zurückzusetzen.
Ihr solltet also für eure Mailadresse ebenfalls ein besonders sicheres Passwort wählen, um es Hackern durch das Abgreifen dieser Mail nicht zu leicht zu machen und euren Account zu kapern.
Embed from Getty Images. Wenn ihr das Windows-Anmeldepasswort vergessen habt, wird es knifflig. Das ist zwar richtig, allerdings nur in der Theorie. Denn die Hacker verwenden längst andere Methoden, und selbst Rainbow-Tabellen, die eine Vielzahl von Passwort-Hashwerten bereits gespeichert und damit die Zeit für einen Angriff erheblich verkürzt hatten, haben an Bedeutung verloren. Nicht zuletzt aufgrund der zahlreichen Online-Einbrüche der vergangenen Jahre, bei denen die Daten von Millionen Kunden teilweise mit den Zugangscodes im Klartext gestohlen und später geleakt wurden, kennt man eine Unmenge gängiger Passwörter.
Ein paar Millionen Ausdrücke sind eben schneller abgearbeitet als eine Billiarde systematischer Versuche. Doch damit nicht genug, denn die erbeuteten Listen zeigen auch vielverwendete Muster. Darüber hinaus existieren unsichere Systeme: So blockiert Android den Lockscreen für nur 30 Sekunden, wenn fünf Mal ein falscher Entsperrcode eingegeben wurde.
Führt man die Eingaben automatisiert aus, ist eine 4-Ziffern-Kombination nach spätestens 17 Stunden überlistet. Erst die neue Android-Version 6. Einige Hintergründe zu Passwörtern inklusive Angriffen haben wir nun vorgestellt, die verschiedenen Möglichkeiten zum Erstellen von Passwörtern erläutert der Kasten unten. Hier geht es nun ums Zurücksetzen von Kennwörtern. All diese Dienste erlauben, das Passwort über die hinterlegte Mailadresse zurückzusetzen.
Der dann in einer automatisch generierten Nachricht enthaltene individuelle Link gibt dem Nutzer die Möglichkeit, einen neuen Zugangscode zu setzen. Das verdeutlicht die zentrale Bedeutung des verwendeten Postfachs: Kennt nämlich ein Angreifer das Passwort für diesen Account, bekommt er über die Zurücksetzen-Funktion leicht Zugriff auf andere Dienste. Wählen Sie gerade hier einen besonders sicheren Schutz. Das stellt einen vom PC und Internet unabhängigen Weg dar.
Google und andere Unternehmen ermöglichen eine solche Zwei-Faktor-Anmeldung sogar als Standardmethode, sie lässt sich jeweils in den Kontoeinstellungen einrichten. Kaum wirksamen Schutz bieten dagegen Standardfragen, also solche nach dem Lieblingsessen, dem Namen der Mutter oder der Grundschule.
Deutlich mehr Gefahr droht, wenn Diebe in die IT-Systeme solcher Firmen eindringen, dabei Kundendaten erbeuten und dann unbemerkt offline attackieren. Hier haben sie dann alle Werkzeuge und Zeit der Welt. Das gilt auch für entsprechende Software: