HurricanX
19.04.2005, 17:25
Das nicht ganz typische Hacker Tutorial
by Delax^Sundancer Inc.
Hacken mit Hirn
In der Bevölkerung scheint sich in etwa folgende Vorgehensweise von Hackern in den Köpfen festgesetzt zu haben: Ein Typ sitzt vor dem Rechner, wählt sich in ein fremdes Computersystem ein und probiert dann gemütlich stundenlang Passwörter aus. Wer ganz schlau ist, der behauptet: "Die haben da so Programme, die probieren Hunderte Passwörter pro Minute ganz von allein".
Das ist schön und gut, aber an diesem romantisch/ naiven Bild stimmen einige Details nicht. Zum einen hat wohl kaum jemand Lust Hunderte Passwörter einzugeben und was diese Programme betrifft: man ist immer nur so schnell wie seine Telefonleitung.
Abgesehen davon, sind die meisten Systeme heutzutage gegen diese "Brute Force" Methoden abgesichert. So wird zum Beispiel nach 3 Fehlversuchen das Nutzerkonto gesperrt, oder man hat erst nach 10 Minuten wieder die Chance sich anzumelden. Alle dazwischen liegenden Versuche wären somit nutzlos. Ganz nett sind die Systeme, die nach ein paar erfolglosen Versuchen nur noch eine "Pseudoeinwahl" gestatten, die zwar den Anmeldebildschirm zeigt, aber nicht wirklich etwas tut (außer vorzutäuschen, man könne sich noch anmelden).
Wie auch immer, ob Maßnahme oder nicht: dem Systemadministrator fällt es meistens auf, wenn ein User ein paar tausend Fehlversuche brauchte, bis er sich endlich anmelden konnte. Was nützt es einmal kurz im System gewesen zu sein, wenn morgen eine komplette Sicherheitsüberprüfung mit Änderung aller Passwörter stattfindet? Und noch viel wichtiger ist: hält man Hacker eigentlich für Leute, die den Tag nix besseres zu tun haben, als Passwörter zu tippen?!
Der Computerbildleser tritt jetzt wissend hervor und meint: "Nein, Hacker nutzen Trojaner!" Oh. Meint er etwa diese Fernwartungstools, die oft per Mail verschickt werden und den Zugang auf den Empfänger ermöglichen sollen? Eben jene, die nur funktionieren wenn der Empfänger keinen Mailscanner, keinen laufenden Virenscanner, keine Firewall, kein exotisches Netzwerk und ein populäres Betriebssystem hat und sonst nicht? Ah - stimmt - eben jene, die man dann auch als laufenden Task in der Prozessliste hat, den man weder aufgerufen noch genehmigt hat. Genau die? Nun, sind die nicht ein wenig auffällig und unzuverlässig? Denke ich auch. Wieder einmal deckt sich hier das Bild der Medien einfach nicht mir der Realität.
Also wie bekommen denn Hacker nun Passwörter? Tja, die erste Frage, die sich ein Hacker stellt wäre eher: BENÖTIGT man überhaupt ein Passwort für das System? Wem das jetzt vielleicht absurd vorkommt, dem sei gesagt: Systeme sind nie ganz perfekt. Programmierer lassen sich Hintertüren offen, ebenso die Administratoren. Das ist keine Unvorsichtigkeit, sondern vielmehr eine Versicherung für sie: wenn das System einmal ganz verrückt spielen sollte, hat man immer noch seinen Hintereingang.
Und einmal angenommen man findet keine Hintertüren, dann gibt es immer noch Fehler im System selbst. Seien dies nun Fehler bei der Installation, bei der Konfiguration oder im Programm an sich - es gibt sie, denn kein System ist perfekt.
Was aber, wenn man wirklich ein Passwort benötigt um in ein Computersystem zu gelangen? In diesem Falle probiert man tatsächlich Passwörter durch. Aber nicht wahllos irgend etwas, sondern nur diejenigen die sinnvoll sind.
Jetzt kommt ganz automatisch die Frage auf: "Was sind denn sinnvolle Passwörter?". Die Antwort ist einfach und kompliziert zugleich: sinnvoll sind die, welche der eigentliche Nutzer gewählt haben könnte. Und um das zu beurteilen muss man ein bisschen was von dem rechtmäßigen Besitzer wissen. Zum Beispiel: was hat er/ sie für Hobbys? Was für Vorlieben? Wie lautet der Name seiner/ihres Frau/ Freundin/ Mannes/ Freundes? Hat er/ sie weitere Vornamen? Hat er/ sie ein Haustier?
Wer das für ein Klischee hält, der sollte sich vor Augen führen, das der durchschnittliche Nutzer keine Ahnung von Computersicherheit hat. Er kann nicht beurteilen, ob und wann ein Passwort sicher ist. Und selbst wenn der Administrator versucht darauf zu achten, dann ist da immer noch die natürliche Faulheit der Menschen und die Abneigung gegen moderne Technologie. Versucht einfach mal einer Sekretärin klar zu machen, dass ihr Passwort "KxY38Dkf(72" lauten sollte und dass sie sich das merken muss und auf keinen Fall aufschreiben darf. Sie wird euch an den Hals springen. Und oftmals sind es genau diese unscheinbaren Personen, die mehr Zugriff haben als die Geschäftsleitung.
Selbiges gilt aber auch für den etwas erfahreneren 0815 User. Der ist technikbegeistert, hat eine handvoll E-Mail Adressen und ist bei Dutzenden Internetforen angemeldet. Und muss sich von allen die Passwörter merken. Alles klar. Früher oder später wird er einfach ein Standardpasswort wählen und diese immer wieder benutzen - wieder besseres Wissen, aber gemäß der Faulheit der Menschen. Ich habe schon mehr User mit den Namen ihrer Freundinnen als Passwort gesehen, als Star Trek Folgen im Fernsehen. Traurig, aber für Hacker ganz klar von Vorteil.
Konversation als Waffe
Wenn man jetzt mit den ersten paar Versuchen keinen Erfolg hatte, lohnt es sich auch gar nicht lange nach dem Passwort zu suchen, sondern man geht einen anderen Weg. Das Stichwort lautet hier "Social Engineering". Salopp gesagt ist es die Kunst, bei den Leuten anzurufen, sie nach dem Passwort zu fragen und es auch noch zu bekommen.
Ihr haltet das für einen Witz? Nein, das ist es ganz und gar nicht. Es erfordert zwar eine gewisse Vorbereitung und ein gewisses Maß an Selbstkontrolle, aber es lohnt sich.
Nehmen wir einmal an, das Objekt der Begierde ist ein Firmennetzwerk. Nun sollte man sich fragen, welche die Computersysteme das Unternehmen nutzt. Wer stellt die Telefonleitungen des Unternehmens zur Verfügung (Telekom, Viag, ...)? Welche ISDN/ Telefonanlage benutzen sie? Wie viele Anschlüsse hat sie? Wie viele Mitarbeiter hat das Unternehmen in der entsprechenden Niederlassung? Wie ist der Umgangston innerhalb des Unternehmens (Duzen sich die Mitarbeiter?) und so weiter. Wie sind die Namen der Personen im Vorstand des Unternehmens? Ein guter Tipp ist auch, man ergattert ein internes Telefonverzeichnis des Unternehmens (die meistens alle paar Monate erneuert werden und die alten in den Müll wandern. Alles klar?).
Jetzt ein Beispiel was ihr mit diesen Informationen anfangen könnt: ihr kennt den Provider der Telefonleitungen des Unternehmens. Sagen wir mal XY COM. Nun ruft ihr dort an und meldet euch unter dem Namen eurer Zielfirma. Ihr wollt ganz dringend den zuständigen Herrn für eure Firma sprechen. Wenn er dran ist, notiert euch seinen Namen und erfindet irgend ein Problem, für welches er ganz bestimmt NICHT zuständig ist.
Bsp: "Die Telefonanlage blinkt so komisch" - Standardantwort: "Rufen sie den Service des Herstellers an!" Das kann man ihm nicht übel nehmen - immerhin hat er recht.
Dann ruft ihr unter dem Namen des Zuständigen als XY COM bei der Firma an und sagt ihnen, dass du untröstlich wärst, aber ihr ein Problem mit den Leitungen hättet, und du das überprüfen müsstest. "Gab es Probleme? Wie lauten denn die Nummern ihrer Datenleitungen? Und was hängt da dran? Welche IP's verwenden sie? Alles könnte wichtig sein und so weiter. Übrigens - wie lautet die Servicenummer ihrer Telefonanlage und das Passwort dazu?"
Sagt ihr etwa "Das funktioniert nie?". Irrtum! Die Leute sind immer nett und hilfsbereit, wenn jemand versucht ihre Probleme zu lösen, selbst wenn sie gar keine haben. Allerdings ist euer Auftreten entscheidend - seid ihr höflich und glaubwürdig stehen euch alle Türen offen.
Vielen Leuten fällt diese Art von hacken schwer. Es geht darum ganz gezielt eine Unterhaltung zu steuern und den Gegenüber so zu manipulieren, dass er euch vertraut. Das ist in der Tat nicht einfach. Wenn ihr Probleme damit habt, meldet euch an der lokalen Uni zu einigen Rhetorikkursen an. Geht in Schulungen für Vertreter - die verkaufen ihre Waren nach dem gleichen Prinzip. Arbeitet in einem Helpdesk oder einer Telefonzentrale. Diese Tätigkeiten haben alle das gleiche Grundprinzip: auf Anhieb vertrauenswürdig gegenüber Fremden wirken.
Noch ein Beispiel. Macht eine Ausschreibung an eurer örtlichen Universität. Schreibt in etwa folgendes: "Sehr geehrte Mitstudenten! Wie von der Fachschaft [Hier Studienfach einsetzen] planen ein umfassendes Informationsnetz für die Hochschule. Da dieses Netz nur mit eurer Mithilfe entstehen kann, bitten wir um eure Unterstützung. Wer Interesse hat, bekommt einen Account und kann sich anschließend frei im Informationsnetz bewegen. Bitte mailt eine kurze Nachricht mit eurem Namen, gewünschtem Usernamen und eurem gewünschten Passwort an folgende Adresse...". Und dann folgt eure (möglichst offiziell klingende) Mailadresse. Viele Personen sind zu faul sich für jeden Account ein neues Passwort auszudenken und nehmen einfach das alte. Und selbst wenn nicht, bekommt ihr doch einen Eindruck der Passwörter, welche die User wählen.
So - damit hätten wir auch die Frage geklärt, wie man ohne Computer hacken kann. Was zu beweisen war.
Eurer Phantasie sind bei dieser Variante keine Grenzen gesetzt. Es geht nur darum auf eine Idee zu kommen und diese zu nutzen. Das gilt für alles im Bereich hacken. Es geht nicht darum Tools zu nutzen, sondern nach Möglichkeiten zu suchen. Jeder Hack ist anders und jeder Hacker wird verschieden an ihn herangehen.
Eins solltet ihr euch aber klar machen: ihr missbraucht das Vertrauen einer Person. Und hier wären wir wieder beim letzten Teil - wer sich bereits Gedanken gemacht hat: gut. Wer nicht, sollte das nachholen. Ihr könnt nicht vertauensvoll sein, wenn ihr euch selbst nicht sicher seid, dass alles richtig ist was ihr tut.
Ich denke es fällt Leuten, die so etwas zum ersten Mal lesen, wirklich schwer das alles zu begreifen. Die meisten glauben auch zu wissen was ein Hacker ist und hören nun etwas, das gar nicht mit diesem Bild übereinstimmt. Ich kann nur raten euch erst frei von dem zu machen, was ihr zu wissen glaubt und alles noch einmal zu lesen. Denkt darüber nach. Ihr werdet sehen, es macht nicht nur Sinn, sondern ist auch erschreckend einfach. Kein Computer, nur eine Idee und eins, zwei Gespräche. Und die ermöglichen den Zugang zu allem.
"What are they going to come out with next? `Microsoft Bubblesort?'" --
Kaz Kylheku (in comp.lang.c, but just had to include it here ;-)
Delax^Sundancer Inc.
[delax@sundancerinc.de]
by Delax^Sundancer Inc.
Hacken mit Hirn
In der Bevölkerung scheint sich in etwa folgende Vorgehensweise von Hackern in den Köpfen festgesetzt zu haben: Ein Typ sitzt vor dem Rechner, wählt sich in ein fremdes Computersystem ein und probiert dann gemütlich stundenlang Passwörter aus. Wer ganz schlau ist, der behauptet: "Die haben da so Programme, die probieren Hunderte Passwörter pro Minute ganz von allein".
Das ist schön und gut, aber an diesem romantisch/ naiven Bild stimmen einige Details nicht. Zum einen hat wohl kaum jemand Lust Hunderte Passwörter einzugeben und was diese Programme betrifft: man ist immer nur so schnell wie seine Telefonleitung.
Abgesehen davon, sind die meisten Systeme heutzutage gegen diese "Brute Force" Methoden abgesichert. So wird zum Beispiel nach 3 Fehlversuchen das Nutzerkonto gesperrt, oder man hat erst nach 10 Minuten wieder die Chance sich anzumelden. Alle dazwischen liegenden Versuche wären somit nutzlos. Ganz nett sind die Systeme, die nach ein paar erfolglosen Versuchen nur noch eine "Pseudoeinwahl" gestatten, die zwar den Anmeldebildschirm zeigt, aber nicht wirklich etwas tut (außer vorzutäuschen, man könne sich noch anmelden).
Wie auch immer, ob Maßnahme oder nicht: dem Systemadministrator fällt es meistens auf, wenn ein User ein paar tausend Fehlversuche brauchte, bis er sich endlich anmelden konnte. Was nützt es einmal kurz im System gewesen zu sein, wenn morgen eine komplette Sicherheitsüberprüfung mit Änderung aller Passwörter stattfindet? Und noch viel wichtiger ist: hält man Hacker eigentlich für Leute, die den Tag nix besseres zu tun haben, als Passwörter zu tippen?!
Der Computerbildleser tritt jetzt wissend hervor und meint: "Nein, Hacker nutzen Trojaner!" Oh. Meint er etwa diese Fernwartungstools, die oft per Mail verschickt werden und den Zugang auf den Empfänger ermöglichen sollen? Eben jene, die nur funktionieren wenn der Empfänger keinen Mailscanner, keinen laufenden Virenscanner, keine Firewall, kein exotisches Netzwerk und ein populäres Betriebssystem hat und sonst nicht? Ah - stimmt - eben jene, die man dann auch als laufenden Task in der Prozessliste hat, den man weder aufgerufen noch genehmigt hat. Genau die? Nun, sind die nicht ein wenig auffällig und unzuverlässig? Denke ich auch. Wieder einmal deckt sich hier das Bild der Medien einfach nicht mir der Realität.
Also wie bekommen denn Hacker nun Passwörter? Tja, die erste Frage, die sich ein Hacker stellt wäre eher: BENÖTIGT man überhaupt ein Passwort für das System? Wem das jetzt vielleicht absurd vorkommt, dem sei gesagt: Systeme sind nie ganz perfekt. Programmierer lassen sich Hintertüren offen, ebenso die Administratoren. Das ist keine Unvorsichtigkeit, sondern vielmehr eine Versicherung für sie: wenn das System einmal ganz verrückt spielen sollte, hat man immer noch seinen Hintereingang.
Und einmal angenommen man findet keine Hintertüren, dann gibt es immer noch Fehler im System selbst. Seien dies nun Fehler bei der Installation, bei der Konfiguration oder im Programm an sich - es gibt sie, denn kein System ist perfekt.
Was aber, wenn man wirklich ein Passwort benötigt um in ein Computersystem zu gelangen? In diesem Falle probiert man tatsächlich Passwörter durch. Aber nicht wahllos irgend etwas, sondern nur diejenigen die sinnvoll sind.
Jetzt kommt ganz automatisch die Frage auf: "Was sind denn sinnvolle Passwörter?". Die Antwort ist einfach und kompliziert zugleich: sinnvoll sind die, welche der eigentliche Nutzer gewählt haben könnte. Und um das zu beurteilen muss man ein bisschen was von dem rechtmäßigen Besitzer wissen. Zum Beispiel: was hat er/ sie für Hobbys? Was für Vorlieben? Wie lautet der Name seiner/ihres Frau/ Freundin/ Mannes/ Freundes? Hat er/ sie weitere Vornamen? Hat er/ sie ein Haustier?
Wer das für ein Klischee hält, der sollte sich vor Augen führen, das der durchschnittliche Nutzer keine Ahnung von Computersicherheit hat. Er kann nicht beurteilen, ob und wann ein Passwort sicher ist. Und selbst wenn der Administrator versucht darauf zu achten, dann ist da immer noch die natürliche Faulheit der Menschen und die Abneigung gegen moderne Technologie. Versucht einfach mal einer Sekretärin klar zu machen, dass ihr Passwort "KxY38Dkf(72" lauten sollte und dass sie sich das merken muss und auf keinen Fall aufschreiben darf. Sie wird euch an den Hals springen. Und oftmals sind es genau diese unscheinbaren Personen, die mehr Zugriff haben als die Geschäftsleitung.
Selbiges gilt aber auch für den etwas erfahreneren 0815 User. Der ist technikbegeistert, hat eine handvoll E-Mail Adressen und ist bei Dutzenden Internetforen angemeldet. Und muss sich von allen die Passwörter merken. Alles klar. Früher oder später wird er einfach ein Standardpasswort wählen und diese immer wieder benutzen - wieder besseres Wissen, aber gemäß der Faulheit der Menschen. Ich habe schon mehr User mit den Namen ihrer Freundinnen als Passwort gesehen, als Star Trek Folgen im Fernsehen. Traurig, aber für Hacker ganz klar von Vorteil.
Konversation als Waffe
Wenn man jetzt mit den ersten paar Versuchen keinen Erfolg hatte, lohnt es sich auch gar nicht lange nach dem Passwort zu suchen, sondern man geht einen anderen Weg. Das Stichwort lautet hier "Social Engineering". Salopp gesagt ist es die Kunst, bei den Leuten anzurufen, sie nach dem Passwort zu fragen und es auch noch zu bekommen.
Ihr haltet das für einen Witz? Nein, das ist es ganz und gar nicht. Es erfordert zwar eine gewisse Vorbereitung und ein gewisses Maß an Selbstkontrolle, aber es lohnt sich.
Nehmen wir einmal an, das Objekt der Begierde ist ein Firmennetzwerk. Nun sollte man sich fragen, welche die Computersysteme das Unternehmen nutzt. Wer stellt die Telefonleitungen des Unternehmens zur Verfügung (Telekom, Viag, ...)? Welche ISDN/ Telefonanlage benutzen sie? Wie viele Anschlüsse hat sie? Wie viele Mitarbeiter hat das Unternehmen in der entsprechenden Niederlassung? Wie ist der Umgangston innerhalb des Unternehmens (Duzen sich die Mitarbeiter?) und so weiter. Wie sind die Namen der Personen im Vorstand des Unternehmens? Ein guter Tipp ist auch, man ergattert ein internes Telefonverzeichnis des Unternehmens (die meistens alle paar Monate erneuert werden und die alten in den Müll wandern. Alles klar?).
Jetzt ein Beispiel was ihr mit diesen Informationen anfangen könnt: ihr kennt den Provider der Telefonleitungen des Unternehmens. Sagen wir mal XY COM. Nun ruft ihr dort an und meldet euch unter dem Namen eurer Zielfirma. Ihr wollt ganz dringend den zuständigen Herrn für eure Firma sprechen. Wenn er dran ist, notiert euch seinen Namen und erfindet irgend ein Problem, für welches er ganz bestimmt NICHT zuständig ist.
Bsp: "Die Telefonanlage blinkt so komisch" - Standardantwort: "Rufen sie den Service des Herstellers an!" Das kann man ihm nicht übel nehmen - immerhin hat er recht.
Dann ruft ihr unter dem Namen des Zuständigen als XY COM bei der Firma an und sagt ihnen, dass du untröstlich wärst, aber ihr ein Problem mit den Leitungen hättet, und du das überprüfen müsstest. "Gab es Probleme? Wie lauten denn die Nummern ihrer Datenleitungen? Und was hängt da dran? Welche IP's verwenden sie? Alles könnte wichtig sein und so weiter. Übrigens - wie lautet die Servicenummer ihrer Telefonanlage und das Passwort dazu?"
Sagt ihr etwa "Das funktioniert nie?". Irrtum! Die Leute sind immer nett und hilfsbereit, wenn jemand versucht ihre Probleme zu lösen, selbst wenn sie gar keine haben. Allerdings ist euer Auftreten entscheidend - seid ihr höflich und glaubwürdig stehen euch alle Türen offen.
Vielen Leuten fällt diese Art von hacken schwer. Es geht darum ganz gezielt eine Unterhaltung zu steuern und den Gegenüber so zu manipulieren, dass er euch vertraut. Das ist in der Tat nicht einfach. Wenn ihr Probleme damit habt, meldet euch an der lokalen Uni zu einigen Rhetorikkursen an. Geht in Schulungen für Vertreter - die verkaufen ihre Waren nach dem gleichen Prinzip. Arbeitet in einem Helpdesk oder einer Telefonzentrale. Diese Tätigkeiten haben alle das gleiche Grundprinzip: auf Anhieb vertrauenswürdig gegenüber Fremden wirken.
Noch ein Beispiel. Macht eine Ausschreibung an eurer örtlichen Universität. Schreibt in etwa folgendes: "Sehr geehrte Mitstudenten! Wie von der Fachschaft [Hier Studienfach einsetzen] planen ein umfassendes Informationsnetz für die Hochschule. Da dieses Netz nur mit eurer Mithilfe entstehen kann, bitten wir um eure Unterstützung. Wer Interesse hat, bekommt einen Account und kann sich anschließend frei im Informationsnetz bewegen. Bitte mailt eine kurze Nachricht mit eurem Namen, gewünschtem Usernamen und eurem gewünschten Passwort an folgende Adresse...". Und dann folgt eure (möglichst offiziell klingende) Mailadresse. Viele Personen sind zu faul sich für jeden Account ein neues Passwort auszudenken und nehmen einfach das alte. Und selbst wenn nicht, bekommt ihr doch einen Eindruck der Passwörter, welche die User wählen.
So - damit hätten wir auch die Frage geklärt, wie man ohne Computer hacken kann. Was zu beweisen war.
Eurer Phantasie sind bei dieser Variante keine Grenzen gesetzt. Es geht nur darum auf eine Idee zu kommen und diese zu nutzen. Das gilt für alles im Bereich hacken. Es geht nicht darum Tools zu nutzen, sondern nach Möglichkeiten zu suchen. Jeder Hack ist anders und jeder Hacker wird verschieden an ihn herangehen.
Eins solltet ihr euch aber klar machen: ihr missbraucht das Vertrauen einer Person. Und hier wären wir wieder beim letzten Teil - wer sich bereits Gedanken gemacht hat: gut. Wer nicht, sollte das nachholen. Ihr könnt nicht vertauensvoll sein, wenn ihr euch selbst nicht sicher seid, dass alles richtig ist was ihr tut.
Ich denke es fällt Leuten, die so etwas zum ersten Mal lesen, wirklich schwer das alles zu begreifen. Die meisten glauben auch zu wissen was ein Hacker ist und hören nun etwas, das gar nicht mit diesem Bild übereinstimmt. Ich kann nur raten euch erst frei von dem zu machen, was ihr zu wissen glaubt und alles noch einmal zu lesen. Denkt darüber nach. Ihr werdet sehen, es macht nicht nur Sinn, sondern ist auch erschreckend einfach. Kein Computer, nur eine Idee und eins, zwei Gespräche. Und die ermöglichen den Zugang zu allem.
"What are they going to come out with next? `Microsoft Bubblesort?'" --
Kaz Kylheku (in comp.lang.c, but just had to include it here ;-)
Delax^Sundancer Inc.
[delax@sundancerinc.de]