Account + Passwort mit Wireshark auslesen

  • Servus,


    bin neu hier und hab doch gleich mal eine Frage:


    Ich möchte mit Wireshark (neusten Version mit neustem WinPcap)
    mein Pop3 Passwort aus Thunderbird auslesen (v.2.0.0.4)


    Das funktioniert aber nicht. Er zeigt es mir nicht im Klartext an. (Im Screenshot zu sehen)
    Wenn ich das gleiche Pop3 Konto z.B. mit Outlook 2003 abrufe, kann ich den
    Benutzernamen und das Passwort einwandfrei mit Wireshark auslesen.


    In Thundbird habe ich keine Verschlüsselung und Authentifizierung aktiviert.
    Es steht bei Pop3 als auch unter SMTP auf "Nie", unter Verschlüsselung.


    Was macht Thunderbird anders als Outlook?
    Mal davon absehen, dass ich es ja gutfinde, dass man es nicht so einfach mitschneiden kann.


    Jemand eine Idee hierzu?


    Frohes neues Jahre euch allen!!


    Gruß
    Rainer


    Edit: Aus Sicherheitsgründen habe ich den Wireshark Screenshot gelöscht.

    Einmal editiert, zuletzt von TiTux ()

  • Hi Rainer,


    also, Thunderbird hält sich genau so strikt an die Protokolle wie Ausgugg und alle anderen Mailclients. Muss ja auch so sein, denn sonst würden die Server nicht mit ihm "sprechen".


    Wenn du wirklich KEINE Verschlüsselung und auch KEINE "Sichere Authentifizierung" aktiviert hast, dann musst du sowohl den String "password" (die Anforderung) als auch die Antwort "PASS" und selbiges sehen.
    Was mir unverständlich ist, ist die erste Zeile: "... StreamProxy ..." Was hast du da zu laufen, und hat "dieses" nicht vielleicht was gecached?


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • "TiTux" schrieb:

    ... Er zeigt es mir nicht im Klartext an. (Im Screenshot zu sehen)
    ...Wenn ich das gleiche Pop3 Konto z.B. mit Outlook 2003 abrufe, kann ich den
    Benutzernamen und das Passwort einwandfrei mit Wireshark auslesen.


    Hallo Rainer,


    auch *Servus* :) und Willkommen im Forum!
    Also Wireshark benötigt man bei Outlook (Express) bekanntermaßen noch nicht einmal!
    Da gibt es nette Progrämmchen, die gerademal ein paar Hundert KB haben um die Accounts auszulesen!
    {Ich nenne jetzt da nichts, schon weil wir die Forenregeln (?) nicht verletzen wollen. Auch gibt es da ja "gewisse" Ansichten ...}
     
    Ich habe auch mal gerade einen Mitschnitt gemacht, ws zeigt das "Gewünschte" bei mir an!
    Aus Deinem screenshot ersehe ich:
    ... [ = x] spricht mit ... [ = y ]
    (... is part of a special address block ( ... ) that is reserved for private networks.)


    ~ was auch mich etwas irritiert!
    Lebst Du im Ausland { ... da ja auch ... x }?


    MfG ... Vic


    edit: Benutzerspezifisches gelöscht (Datenschutz), da auch der Themenstarter seinen screenshot entfernt hat!

    2 Mal editiert, zuletzt von Vic~ ()

  • Hi,


    ich glaube mal, dem Rainer kam es bei seiner Frage weniger auf DAS Passwort an. Das hat er ja schon via Ausgugg auslesen können, wenn er es denn vergessen hätte.
    Ich glaube eher, dass es einfach eine "Machbarkeitsstudie" war.


    Etwas derartiges ist ja auch immer wieder interressant. Man lernt auch dabei sehr viel, wie die einzelnen Programme miteinander kommunizieren. Ich selbst verblüffe bei diversen Vorträgen "auf niederer Ebene" gern meine Zuhörer, wenn ich dieses vorführe und die Zuhörer dann das PW meines Dummiekontos sehen können. Besser kann man NACHDENKEN nicht erreichen.


    Unabhängig davon bin ich auf Rainers Antwort sehr gespannt. Mich wundert schon, warum er das PW nicht sieht, bzw. was es mit dem "...Proxy" auf sich hat.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • "Peter_Lehmann" schrieb:

    ... es einfach eine "Machbarkeitsstudie" war.
    ... dann das PW meines Dummiekontos sehen können. Besser kann man NACHDENKEN nicht erreichen.


    Hallo Peter,


    ja das denke ich auch! :cool:
    So mancher wiegt sich da in leichtfertiger Sicherheit. Leider wird *Sicherheit* in puncto Internet häufig als lästiges & zeitraubendes Übel angesehen!
    Und erst, wenn das Kind in den Brunnen gefallen ist wird bestürzt über das NACHDENKEN nachgedacht.


    Grüße ... Viktor

  • Da bin ich wieder.


    @Vic:


    Also die 213.165.64.22 Adresse ist die, des Internet-Providers, in meinem Fall GMX. Die 192.168.100.217 ist
    die von meinem eigenen Rechner im Lan, dass sollte nicht irritieren, da sie nur im internen Lan genutzt wird, wie es wohl
    in allen Privat-Netzen gemacht wird. Was auch ausser Acht gelassen werden kann ist der Punkt, dass es sich um eine
    .net Adresse handelt, dass bietet GMX an, ich hätte auch eine .de Adresse z.B. nehmen können. Die .net habe ich gewählt,
    da man dadurch schon durch einige Spam-Raster fällt, die standardmäßig erstmal alle .de Adressen abklappern.


    Peter :


    Der "StreamProxy" bezeichnet in diesem Fall nur den Hostnamen des POP3 Servers von GMX, warum auch immer der
    Server so heißt. Habe ich nochmal mit einer telnet session überprüft und sobald man sich am POP3 Server anmeldet,
    wird man vom StreamProxy begrüßt ;)


    Ich habe leider immer noch keine Ahnung, warum ich die Daten nicht angezeit bekomme. Aus dem Protokoll ist ersichtlich,
    dass der Client per CAPA nachfragt, auf welche Authentifizierung sie sich einigen wollen und das klappt ja auch, aber
    eben nicht im Klartext. Ist schon seltsam.


    Die Geschichte mache ich hier auch nur, um ein besseres Verständis für die ganzen Zusammenhänge zu erfahren, denn es interessiert
    mich als Admin einfach :-)


    Aufgegeben wird jedenfalls nocht nicht, vielleicht finde ich ja noch den entscheidenen Punkt, warum das nicht klappt.


    Danke schonmal für Eure Antworten,


    Rainer

  • TiTux :


    Lese bitte die PM, die ich dir geschickt habe!


    [edit]
    Da der Screenshot jetzt weg und das Passwort geändert ist, hier die Auflösung:


    Die Logindaten wurden sehr wohl mitgesnifft. Allerdings sendet Thunderbird sie im Gegensatz zu Outlook base64-kodiert, weshalb sie im Screenshot nur als kryptisch anmutende Zeichenketten auftauchten.
    [/edit]


    Karla