Hallo. Also ich habe mir jetzt bestimmt 50 Videos angesehen von Sempervideo auf Youtube. Bei jedem Video ist der Windowsrechner das Opfer und der Linux der Angreifer. Warum wird Linux benutzt um solche Sachen zu machen?
Man könnte das doch alles mit Windows CMD machen, anstatt Termial.
Was ist der wirkliche Grund? Benutzen alle Hacker Linux?

1) Linux ist OpenSource und bietet viele Möglichkeiten Dinge relativ leicht umzusetzen (Monitor Mode der Netzwerkkarte, usw usf).. zudem sind Dinge wie Python et.c vorinstalliert = leichtere Handhabung ohne erst zig Dinge zu installieren müssen und rumzufummeln.

2) Dank 1. besitzt Linux viele Leute die Software dafür basteln (=tools die man oft brauch).. gibt zwar auch einige dieser Tools für Windows, aber ich würde mal schätzen 80% werden für Linux entwickelt

3) Windows hat zig Möglichkeiten für Exploits (Flash, andere Browser Plugins usw usf) und zig Einfallstore wo man "leicht" reinkommt

4) Windows ist sehr verbreitet, was es attraktiver macht dieses Betriebsystem als Opfer auszuwählen weil man so viele Vicitims bekommen kann durch größer angelegte Aktionen

5) Linux ist halt einfach toll :redface: Zusätzlich gibt es spezielle Linux Betriebsysteme (Kali, Backtrack usw) die speziell aufs Pentesting usw ausgelegt sind.. und eine große Anzahl an Software mitliefert, so das man z.b Kali einfach von USB oder CD booten kann und direkt loslegen.. ohne erst groß rumzudoktorn bei Windows (Python installieren, Libs installen für Monitor Mode usw usf).


Kurz gesagt: Linux hat ne große Anzahl an Software fürs Pentesting, Windows ist ein großartiges Opfer das sich lohnt anzugreifen. Das ist auch schon alles :P

Man muss aber auch sagen das jetzt mittlerweile nach und nach auch mehr Angriffe auf Linux und Mac gemacht werden.. hat also nichts spezifisch mit dem Betriebsystem zu tun, sondern mit mehreren Faktoren die da zusammen kommen.


IMHO

grüße

Vielen Dank Cystasy. Aha das sind also die Gründe, da wäre ich nicht drauf gekommen. Habe mich nur immer gewundert. Ich finde das klingt auch alles sehr toll, aber wenn ich mir die Videos so ansehe, stelle ich fest: Das ich keinen Plan habe was der da für Befehle eingibt ins Terminal. Das muss wohl eine Progamiersprache sein die man erstmal lernen muss. Sicherlich könnte ich jetzt hingehen und das alles nachmachen, aber so wirklich verstanden habe ich es dann doch nicht :P Alles das was wir mit Windows machen, wird dort (wie ich es verstanden habe) mit Befehlen über dieses Terminal Fenster gemacht.

Vielen Dank Cystasy. Aha das sind also die Gründe, da wäre ich nicht drauf gekommen. Habe mich nur immer gewundert. Ich finde das klingt auch alles sehr toll, aber wenn ich mir die Videos so ansehe, stelle ich fest: Das ich keinen Plan habe was der da für Befehle eingibt ins Terminal. Das muss wohl eine Progamiersprache sein die man erstmal lernen muss. Sicherlich könnte ich jetzt hingehen und das alles nachmachen, aber so wirklich verstanden habe ich es dann doch nicht :P Alles das was wir mit Windows machen, wird dort (wie ich es verstanden habe) mit Befehlen über dieses Terminal Fenster gemacht.


Das was Sempervideo da macht, hat nichts mit Programmieren zu tun :P
Sempervideo ruft meistens nur Konsolenbefehle auf und Nutzt Programme über die Konsole (die meistens dann halt bestimmte Parameter wollen, die man per Konsole übergibt).

Da musst du auch nicht Programmieren lernen damit du im Terminal arbeiten kannst, das ist im Grunde das selbe wie unter Windows.. nur mit anderen Befehlen.

Beispiel: In Windows nutzt du "dir" um dir die Dateien & Ordner anzuzeigen für den Pfad (z.b C:\ in Windows) wo du grade bist.. in Linux nutzt du hierfür einfach "ls".

Vom Grundsätzlichen ist das was du im Terminal mit Linux tun kannst das selbe wie in Windows, nur das du unter Linux mehr möglichkeiten hast & sich die einzelnen Befehle unterscheiden.
Das einzige was du tun musst,ist dir anzuschauen wie die einzelnen Dinge gehen.. also was du aufrufen musst, und was für parameter du übergeben musst.

Kleine Übersicht: https://wiki.ubuntuusers.de/shell/befehls%C3%BCbersicht

Also du siehst - Programmieren musst du dafür nicht können^^

Ansonsten, wenn du dich ein bisschen mit dem ganzen Programmieren / Scripten beschäftigen möchtest, kann ich dir für den Anfang Batch (windows) oder halt Bash (linux) empfehlen. Damit kannst du die Befehle die du im Terminal oder CMD machst automatisiert nach der Reihe abarbeiten lassen.
So kannst du dann mittels kleinen Scripts auch kleine "Programme" basteln die dir Dinge abnehmen (umbenennen von Dateien z.b mit Aktuellem Datum oder Random Zahlen, löschen von veralteten Dateien usw). Mit Batch hatte ich damals z.b angefangen gehabt um ein bisschen die "Denkweise" vom Programmieren zu bekommen.

grüße

Danke für diese Top Antwort, echt klasse. Ich habe hier noch einen Laptop rumliegen. Da könnte ich Linux Ubuntu installieren und dann mit deiner geposteten Übersicht diese Befehle üben :eek: Ich hoffe nur das ich keine Treiber Probleme bekomme, da ich glaube, das es keine mehr gibt für meinen. Vielen Dank erstmal. Ich denke für RootKali, Backtrack bin ich noch zu weit entfernt^^

Die Seite ubunutuusers.de hat zu dem Theman einen, wie ich finde, leicht verständlichen Artikel verfasst, siehe: Sicherheitskonzepte - wiki.ubuntuusers.de (https://wiki.ubuntuusers.de/Sicherheitskonzepte)

Dem lässt sich nur noch hinzufügen, dass die meisten Sicherheitslücken unter Windows wirklich erst durch Drittanbieter-Software entstehen. Das haben bereits mehrere Statistiken gezeigt.

Ansonsten würde ich mir "Cystasy's" Tipp zu Herzen nehmen und ein bisschen mit der Kommandozeile rumspielen, gibt auf jeden Fall einen guten Einstieg.

~Mfg

Mantrayana

Hi,

Ich bsp nutze nicht nur Beruflich sondern auch Privat Ausschließlich Linux als OS für meine EDV!
- Zocken geht auch unter Linux ;) Steam u. Co machen es möglich genauso wie unter Windows!

Grund hierfür war nicht nur der einstieg ins Berufliche Sysadmin Leben vor ca 6Jahren
sondern auch der große vorteil den eine Linux Distribution wie Arch u. Co mit sich bringt:

- Eine Zentralle Packetverwaltung mit der ich Software auf einfachste weise aus dem internet beziehen kann.
- Sicherheit (Wurde oben schon schön umschrieben . Windows ist einfach weit verbreitet und damit für Malware Entwickler Lukrativer!)
- Stabilität!!!! Meine Kisten laufen oft länger als 24st bsp mein Desktop System ist nun aktuell 32Tage Online! - Ohne Neustart - Ohne Absturz!
- Die Allermeiste Software die für Linux Entwickelt wird ist OpenSource und somit Kostenlos inc. Sourcecode!

Wenn du also wert drauf legst zu verstehen was dein system eigendlich macht / kann ist linux ein guter einstieg.

Um die Videos *Ohne jetzt sie persönlich zu kennen* zu verstehen muss man zwahr nicht Programmieren können aber
um erfolgreich im Penetrationsumfeld zu sein unabdingbar!

- Python / Perl / Luna sind Sprachen die einem das leben echt erleichtern ;)

Bezüglich deinem Labtop und Treibern:
- Linux kennt nicht wie windows Treiber für Hardware sondern spizelle Kernel Module die den "Kernel" <Linux> Erweitern
und somit dem System die Kommunikation zwischen OS und Hardware Ermöglichen.

In den allermeisten fällen solte aber auch alte Hardware mit dem Standart Kernel laufen!
- ggf kann auch ein älterer Kernel bsp der 2.6er alte Hardware bedienen wenn in den Aktuellen Quellen bsp bestimpte Hardware rausgeflogen ist
- dies sind aber oft exotische Hardware die als Altlast galten und somit aus dem Kernel Quellcode entfernt wurden.

Kleiner Überblick der genutzten Linux Distributionen:
- Gentoo -_- muss man selber compilern
- Arch -.- gut für note / netbooks
- Ubuntu -.- gut für die einsteiger und Desktop Systeme
- Fedora -.- fürs Profisuenelle Arbeiten mit Linux (Linux T. nutzt es als Umgebung ;) )
- FreeBSD -.- Eine Kostenlose Variante eines Echten Unix!
- Kali -.- Ein auf Ubuntu Basierendes System das alles mögliche an Tools mitbringt (Pentesting Suite)
- Knoppix -.- Eine Sehr Gute LiveOS Variante mit KDE / Gnome Desktop bsp für Datenrettung u. Co geieignet!
- u.v.m

Im Server Umfeld:
- Debian Stable
- openSuse
- Ubuntu Server
- BSD / FreeBSD

Danke euch für die hilfreichen Antworten. Ich habe vorhin gleich mal Linux installiert auf meinem Laptop. Habe aber gleich, Karli Linux benutzt und es ging problemlos. Werde in nächste Zeit erstmal Befehle üben um das alles zu verstehen.
Nun ja ich hatte mit Windows ehrlich gesagt nie Probleme, da ich nicht gerade ein Noob bin. Betreibe schon seit Jahren Internetseiten und SEO und baue meine PC`s selbst. Allerdings fazinieren mich diese Videos von SemperVideo was man doch alles machen kann. Ehrlich gesagt finde ich es total interessant diese Dinge was er da macht. Und da merke ich erstmal, das ich so von der Kernsoftware sei es Windows oder Linux absolut keinen Plan habe. Aber das soll sich ja ändern. :D Am genialsten fand ich, diese Proxychains wo er mehrere Proxys benutzt die immer dazwischen hängen, total genial :D Bei Windows gibt es dafür dieses Tool von JoeDoe oder so ähnlich.

Ich hab das Buch Hacking mit Kali gelesen. Ich fand das Buch eigentlich ganz gut, nur etwas teuer für die 318 Seiten. Man sollte allerdings schon etwas Linuxerfahrung haben um damit etwas anfangen zu können. Ich google auch nach Anleitungen von den Programmen die da vorgestellt wurden und bin ziemlich gut in die Materie reingekommen.

Ich habe auch Bücher wie Hacken für Dummies gelesen, würde ich aber nicht empfehlen, die arbeiten da zu viel mit proprietärer Software (wie Metasploit Pro) und Windows.

Was Linux angeht empfehle ich auch den von Michael Kofler das Buch: Linux das umfassende Handbuch. Das Buch ist das Standartwerk für Linux. Ich hab es mir aus einer Biblitohek ausgeliehen und kann es nur weiterempfehlen.

So ich habe jetzt doch lieber Ubuntu installiert, ich denke das ist erstman besser für den Anfang. Funzt einwandfrei, schreibe auch gerade diesen Post unter Ubuntu :D

Und ich konnte es nicht lassen. Habe gleich mal Proxychains via Terminal installiert und meinen Firefox über 3 IP Adressen gejagt. Total Genial :D
http://fs5.directupload.net/images/151126/97tb79dx.png

- Kali -.- Ein auf Ubuntu Basierendes System das alles mögliche an Tools mitbringt (Pentesting Suite)

Kali basiert auf Debian, nicht auf Ubuntu.
Hier nachzulesen: http://docs.kali.org/policy/kali-linux-relationship-with-debian

Windows ist übrigens immer das Opfer weil es so verbreitet ist. Währe Linux Marktführer, würden wir jetzt sagen, dass man dort leicht reinkommt. Es würde dann einfach lukrativer sein dafür Exploitz zu suchen. Das Linux verendet wird zum Hacken liegt denke ich daran, dass es so offen ist und man wirklich alles machen kann. Wenn du jetzt aber Zocken oder Designen willst (beides ernsthaft) dann installier dir Linux neben deinem Windows und ersetz es nicht einfach. Zocken ist zwar möglich, aber es funktioniert halt (noch) nicht so super wie auf Windows.

@David19: Das Verschleiern deiner IP via Proxychains ist sicher keine schlecht Sache, aber du hast dich ja mit deiner anonymisierten IP in einen Account eingeloggt, der vorher über deine normale IP-Adresse lief. Das ist, rein aus dem Blickwinkel der OPSec, nicht die beste Vorgehensweise.


Naja nur am Rande, willkommen in der Linux-Welt, enjoy your stay! ;)

Alternativer Threadname:
David entdeckt die große weite Welt der IT :cool:

Danke für die vielen Antworten. Ich komme wirklich sehr gut klar. Ubuntu gefällt mir. Aber ich muss mich noch reinarbeiten in diese ganzen neuen Sachen.
Ich habe das alles nur auf meinen Laptop gemacht, weil ich diese ganzen Hacker Programme interessant finde. Gleichzetig stelle ich mehr fest, das es so viele Lücken gibt das ist echt der Wahnsinn. Der Gedanke das ein Javascript ausreicht um eine Webseite zu infizieren und dazu noch die Besucher gleich mit, da platzt mir die Hutschnur:confused: Von jetzt an surfe ich nur noch mit disable-Java oder so ähnlich für firefox.

[...]Der Gedanke das ein Javascript ausreicht um eine Webseite zu infizieren und dazu noch die Besucher gleich mit, da platzt mir die Hutschnur:confused: Von jetzt an surfe ich nur noch mit disable-Java oder so ähnlich für firefox.
Java != JavaScript. Dass die beiden Sachen nicht gleich sind sollte dir klar sein und wenn nicht einfach mal Wikipedia oä. befragen.
Mittels JavaScript Webseiten oder Besucher zu infizieren ist ohne weiteres nicht möglich. Natürlich kann es Lücken geben, aber selbst wenn gibt es nur bestimmte Anwendungsbeispiele, die daraus folgen können. Bspw Cookies stealen und Phising-Weiterleitungen. Also am besten nochmal nachschauen, was wie genutzt werden kann und welche möglichen Folgen daraus entstehen können.

MfG

Bspw Cookies stealen und Phising-Weiterleitungen.

Genau das habe ich gemeint:) Danke :D

Dann sollte dir mit noscript geholfen sein.

MfG

Dann sollte dir mit noscript geholfen sein.

MfG
Genau noscript hieß das addon, hatte den Namen vergessen ;)

Mittels JavaScript Webseiten oder Besucher zu infizieren ist ohne weiteres nicht möglich.


Doch, ist möglich.
Gabs schon öfters, und wird noch öfters vorkommen.
Vorallem jetzt, wo mittlerweile immer komplexere Implementierung mittels Javascript vorgenommen werden (komplexe 3D Games usw) - dort könnten sich dann auch wieder mit steigender Komplexität ganz nette Bugs auffinden lassen denke ich mal.

(Ich beschäftige mich intensiv mit Javascript.. ist quasi mein Haupt-Gebiet womit ich mich beschäftige.. und es gab schon öfters Fälle wo Javascript das Einfalltor war und dann Shellcode per JS auf PC's gelangt war. Gibt / Gab auch Proof of Concepts wo als Beispiel des Exploits nur der Windows Taschenrechner geöffnet wurde oder der Rechner zum Absturz gebracht wurde.. Beim Iphone & Ipod's (+Ipads?) wurde sogar einmal Javascript benutzt um es zu Jailbreaken. Das andere mal lag glaub an nem Bild-Exploit, da bin ich mir aber nicht mehr zu 100% sicher).

Ansonsten.. Javascript = Geile Sache.. man kann enorm viel damit anfangen, und es macht tierisch spaß Webanwendungen zu reversen & manipulieren die auf HTML5 & JS basieren. Javascript ist tierisch genial wenn man spaß haben möchte ohne erst Tools (Compiler usw) zu benötigen. Man kann sogar Webseiten damit defacen wenn mans drauf anlegt & die entsprechende Webanwendung entsprechende Lücken aufweist. JS Bots für Datingportale und so Kram sind auch lustig^^

Aber ansonsten ja.. david -> Javascript ist kein Java, da solltest du dich wirklich nochmal einlesen. Es kann zwar beides im Browser ausgeführt werden, bei Java hast du aber direkt kompletten Zugriff auf den Computer des Anwenders.. das heißt wenn der entsprechende Internetuser dein Applet aktiviert, kannst du allen möglichen Schabernack machen. Bei Javascript benötigst du keine explizite "zustimmung" des Besuchers, dafür kannst du dann aber nicht komplexere Dinge machen wie Dateizugriff auf die Festplatte etc.. (Dateien löschen, schreiben usw). Wobei man sagen muss das mittlerweile immer mehr API's hinzukommen, so das man auch Zugriff auf Webcam, Mikrofon, Dateisystem (lesend) usw hat.


grüße

Danke Cystasty :)
vorallem man sieht diese Scripts gar nicht wenn diese in Position -999 sind. Das ist ausserhalb vom bildschirm.
und zag ist man infiziert. Es gibt viele webseiten die infiziert sind, und die meisten seitenbetreiber wissen das nicht mal.
Ihr seit echt top was hilfe anbelangt. Durch euch macht der start unheimlich spaß.
Ich habe in meinen Thread Social Engieer Toolkit noch 2 Fragen geschrieben. Vielleicht kannst du da helfen :D

Danke Cystasty :)
vorallem man sieht diese Scripts gar nicht wenn diese in Position -999 sind. Das ist ausserhalb vom bildschirm.

Naja, du kannst Scripte auch einfach so schreiben, das sie keine Sau ohne großen Aufwand versteht.
Zusätzlich kannst du Scripte verschachteln, so das ein Script ein anderes läd, was dann wieder ein anderes läd.. und soweiter und so fort.
Und zusätzlich Obfuscadest die einzelnen Scripte noch, dann blickt da kaum noch jemand durch.. da brauch mans garnicht wirklich verstecken.
Vorallem da eh kaum jemand (außer Leute die sich Interessenmäßig damit beschäftigen) anschaut was da an Scripts geladen wird^^

Mal ein Beispiel für Obfuscaten..

Normaler Code:


function Messagebox(nachricht)
{
alert(nachricht);
console.log("Nachricht erfolgreich ausgegeben!");
}


Obfucated (By Myself ;P):


function $E2DXQ(ED21H)
{
var $E2D5Q = [' erfolgreich',alert,'Nachricht',console.log,' ausgegeben!'];
$E2D5Q[1].call(window, ED21H);
$E2D5Q[3].call(console, ($E2D5Q[2]+$E2D5Q[0]+$E2D5Q[4]));
}


Wichtig hierbei ist: Beide Scripts die du siehst tun das selbe.
Nur ist beim ersten sehr leicht für außenstehende sichtbar was es tut, beim zweiten schon weniger einfach.

Ist jetzt natürlich nur ein Beispiel (habs mir gespart die Strings usw zu obfuscaten).. man kanns noch viel viel weiter treiben & noch komplexer gestalten.
Beispielweise halt übers verschachteln von Dateien, Laden von Code von externen Servern aus "Bild-Dateien", usw usf..
Das mit den 999 Leeren Zeilen macht Heutzutage aber keiner.. weil man halt einfach runterscrollen kann :P

p.s: Bei meinem kleinem Code oben lässt sich das ganze noch sehr leicht entwirren, wenn du dann aber mal ein Script hast das hunderte oder tausende Zeilen hat.. wird das ziemlich aufwändig für denjenigen der da die Funktionsweise rausfinden möchte. Vorallem wenn du dann die Variablen Namen noch mehr verschachtelst, und eventuell noch dann länger machst so das es für einen Menschen schwerer wird da durchzublicken was nun welche Variable ist (desto längere Variablen Namen = desto Schwerer / Anstrengender da durchzublicken).

grüße

Das ist echt krass, da blickt man echt kaum durch ;)
nein ich meine position high: -999 width:-999 :) das ist oben links ausserhalb vom bildschirm :D

Unendlichzeichen
∞

Danke Cystasty :)
vorallem man sieht diese Scripts gar nicht wenn diese in Position -999 sind. Das ist ausserhalb vom bildschirm.

Glaube du hast dich da noch zu wenig Informiert^^
Scripte sind nicht im Browser sichtbar wie Text o.ä.. höchstens eventuell Applets für Java.
Aber egal wie du es löst - bei Java Applets benötigst du die Zustimming des Besuchers der Webseite den Code ausführen zu dürfen.
Da kommt dann eine Messagebox die um erlaubnis frägt ;) Das kannst nicht umgehen indem du das -999px außerhalb des Bildschirms plazierst.
Und bei Javascript hast du garnichts sichtbares wo Leute sehen würden "das ist ein Script".. das wird im Hintergrund ausgeführt.
Solang das Script nichts macht, was irgendwelche Elemente der Webseite beeinflusst (Bilder verändern, Layout ansich usw) siehst du das nicht.

Naja anyway, du kannst Scripte auch einfach so schreiben, das sie keine Sau ohne großen Aufwand versteht.
Zusätzlich kannst du Scripte verschachteln, so das ein Script ein anderes läd, was dann wieder ein anderes läd.. und soweiter und so fort.
Und zusätzlich Obfuscadest die einzelnen Scripte noch, dann blickt da kaum noch jemand durch.. da brauch mans garnicht wirklich verstecken.
Vorallem da eh kaum jemand (außer Leute die sich Interessenmäßig damit beschäftigen) anschaut was da an Scripts geladen wird^^

Mal ein Beispiel für Obfuscaten..

Normaler Code:


function Messagebox(nachricht)
{
alert(nachricht);
console.log("Nachricht erfolgreich ausgegeben!");
}


Obfucated (By Myself ;P):


function $E2DXQ(ED21H)
{
var $E2D5Q = [' erfolgreich',alert,'Nachricht',console.log,' ausgegeben!'];
$E2D5Q[1].call(window, ED21H);
$E2D5Q[3].call(console, ($E2D5Q[2]+$E2D5Q[0]+$E2D5Q[4]));
}


Ist jetzt natürlich nur ein Beispiel.. man kanns noch viel viel weiter treiben & noch komplexer gestalten (verschachteln von Dateien, Laden von Code von externen Servern aus "Bild-Dateien", usw).

grüße

ich hab jetzt lange kein windoof mehr benutzt deswegen bin ich mir über die aktuellen versionen nicht sicher, jedoch ist ein wesentlicher vorteil von linux gegenüber windows in sachen sicherheit die strikte rechte unterteilung. somit können sich auch irgendwelche schädlichen geschichten viel schwerer bis gar nicht im normalen desktop betrieb (ohne root) einschleichen bzw. installieren.
Ich kann ohne root rechte .bashrc verändern und versteckte Dateien in ~ anlegen. Viel besser versteckt sich auch Windows malware nicht. Die Rechteverteilung von Linux bringt da gar nichts (ganz abgesehen davon das Windows mit ACL ja auch eine sehr gute Rechteverwaltung anbietet).


Aufgrund dessen ist auch der Code öffentlich einsehbar und potenzielle Backdoors können sehr zeitnah erkannt und beseitigt werden.Könnten. Linux ist schon sehr groß, wenn ich mich jetzt mit dem Ziel hinsetzen würde Sicherheitslücken zu finden würde das exakt gar nichts bringen. Ich behaupte nicht das Hobbycoder niemals in Linux Sicherheitslücken finden aber die festangestellten Experten bei Microsoft und Google Project Zero finden auch genug.



Doch, ist möglich.
Gabs schon öfters, und wird noch öfters vorkommen.
Vorallem jetzt, wo mittlerweile immer komplexere Implementierung mittels Javascript vorgenommen werden (komplexe 3D Games usw) - dort könnten sich dann auch wieder mit steigender Komplexität ganz nette Bugs auffinden lassen denke ich mal.

(Ich beschäftige mich intensiv mit Javascript.. ist quasi mein Haupt-Gebiet womit ich mich beschäftige.. und es gab schon öfters Fälle wo Javascript das Einfalltor war und dann Shellcode per JS auf PC's gelangt war. Gibt / Gab auch Proof of Concepts wo als Beispiel des Exploits nur der Windows Taschenrechner geöffnet wurde oder der Rechner zum Absturz gebracht wurde.. Naja, es wurde nicht wirklich ein Fehler in der Javascript Implementierung ausgenutzt sondern JS wird genutzt um einen Heapspray zu machen und dann einen Bug in der HTML engine auszunutzen.