[HaBo]

elite-noob

Anzeige

ERST LESEN DANN VERSCHIEBEN ^^

Hallo erstmal,
wir haben neulich bei uns in der Klasse über sicherheit von PC´s geredet und wie man sich schützen kann etc. Später habe ich dann meinen Lehrer gefragt ob es ihm was ausmacht wenn ich seinen server versuchen würde zu übernehme (ohen Bruteforce etc. und ohne ihn zu zerstören) nun wollte ich euch fragen was ihr von der Idee haltet. Findet ihr sowas schwachsinnig, oder meint ihr man kann viel draus lernen etc?

Schreibt mal eure Meinung dazu, aber bitte (damit es kein illegaler Thread wird) nicht WIE man es machen könnte.

christian

Elderan

Hallo,
also wer dies bei uns auf der Schule macht, also HDD-Guard umgehen/deaktivieren, Server knacken, PWs ausschnüffeln, wird von der Schule verwiesen.

Überleg es dir lieber doppelt, ob du das machst.

Ein weiteres Problem ist wenn du, evt. ungewollt, Schaden anrichtest, dann werden die betreffenden Personen auf dich zurück kommen.


Vorallem stell dir die Demütigung vor, wenn du nicht in das System kommst. ^^


Besser wäre es: XP auf einem extra PC ganz normal neu installieren, evt. auf einem virtuellem PC, und dann über einen zweiten Computer diesen lahm legen, um zu zeigen, wie unsicher ein sauberes, neues XP ist. Allerdings solltest du nicht auf Schulinventar zurückgreifen sondern lieber die Computer privat stellen o.ä.

Ein weiteres Problem wäre dein Image Verlust an der Schule. Personen, die in andere Computersysteme eindringen, werden normalerweise mit Mißtrauen behandelt, sofern der Hack nicht vor Fachpublikum vorgeführt wird. Und sobald irgend etwas mit dem Computersystem an deiner Schule passiert, stehst du unter Generalverdacht.

Ich würde dir also davon abraten und lieber schön bei der Theorie bleiben.

elite-noob

ähm, habe mich wohl leider zu undeutlich ausgedrückt, ist der lehrerserver von meinem lehrer selber und der steht bei dem zuhause, und der hat es mir ausdrücklich erlaubt. er hat gemeint das schaffe ich die nächsten drei jahre (also während der lehre) sowieso nicht. ^^

Und üben schadet ja net, oder?

Elderan

Hallo,
naja ich würde dies mir erst schriftlich geben lassen, denn du begehst dort eine Straftat und vor Gericht haben mündliche Aussagen wenig wert.

Aber sonst, probieren kannst du es. Dabei musst dir aber über jeden Schritt im klaren sein, denn sehr schnell können üble Nebenwirkungen auftreten und ich glaube nicht, dass dein Lehrer es gut heißen würde, wenn du ihm sein System zerstörst.


PS: Das leichteste währe wahrscheinlich per Sozial Engineering, einfach ihm unter einem anderem Schülernamen/Kollege eine Email schreiben, dass man ein Super Programm für euer Anwendungsgebiet gefunden hat, oder halt irgend so ein Vorwand. E
In Wirklichkeit ist das Programm allerdings dann einfach eine Exe, welches eine Message-Box öffnet, und ihn darauf hinweist, dass das Programm auch ein Trojaner hätte sein können, schöne Grüße by elite-noob. Allerdings solltest du davon absehen, irgendwelche Schadsoftware mitzuliefern, denn das würde sich wahrscheinlich negativ auf dein Arbeitsverhältnis auswirken.

Cyberm@ster

Ich finde deine Idee ja gut, aber dann könnte er immer noch argumentieren, dass sein Superduperklickibuntiantivirusprogramm DAS dann aber sicher gemerkt hätte usw.

elite-noob

ne es geht halt darum direkt vom rechner was runterzuladen was ich eigentlich hätte gar nicht sehen dürfen. damit er nen beweise hat das ich es wirklich geschafft habe.

christian

Elderan

Hallo,
dann ne Möglichkeit:
Das Programm liest aus, welche Dateien er z.B. im Ordner Eigene Dateien hat, oder je nachdem was ihr vereinbart habt.
Dann öffnet es eine Internet-Seite im Standard-Browser und übergibt per GET Argument die ausgelesenen Daten.
Die aufgerufene Seite gibt dann aus:
Hallo Herr xyz,
sie haben in dem Ordner xyz folgende Dateien:
....

Grüße von ...

Prometheus

Ja du kannst dabei schon lernen.
Aber du solltest schon wissen was du da tust. Also wenn du dir ein Exploit zulegst, was eine bestimmte Sicherheitslücke ausnutzt, so solltest du schon wissen was es überhaupt tut.
Du kannst aber auch so lernen, wenn du dir selbst einen Server auf deinen Rechner aufsetzt und diesen dann versuchst zu knacken. So weißt du was für Sicherheitsprogramme laufen, kannst evtl. den Rechner sicherer machen, da du weißt wie ein bestimmter Angriff funktioniert.
So ersparst du deinen Lehrer auch einigen Ärger, den er aber nicht unbedingt haben muss, wenn sein Rechner zu sicher ist.

Ich weiß zwar nicht wie dein Kenntnisstand im IT-Bereich ist, aber du solltest schon vorher einige Grundlagen beherrschen um dich in der Computersicherheit zu bewähren. So ein "bisschen Hacken" ist nicht so leicht wie es immer dargestellt wird und benötigt meist ein besseres Wissen als die Programmierer des besagten Servers. Zwar ist es mal einfach ein Exploit anzuwenden was eine Sicherheitslücke in dem Server ausnutzt, aber ohne zu wissen was dies tut lernt man nix. Meistens greifen da aber noch andere Komponenten ineinander z.B. Sicherheitsprogramme/-maßnahmen, die auch erstmal umgangen werden müssen und in und auswendig gekannt werden sollte.
Deswegen empfehle ich dir halt erstmal selber etwas auf einer eigenen Umgebung zu probieren und die Grundlagen zu lernen, damit du besser in die Sicherheit einsteigen kannst - wenn du etwas lernen willst.

elite-noob

dann werde ich mal die selbe software auf meinen rechner laufen lassen und den "knacken" das wissen was ich daraus bekomme kann ich dann ja für den richtigen server benutzen. Das es net einfach ist ist mir bewusst, aber ich meine ich habe ja immerhin 3 jahre zeit dafür *lach*

Wenn von euch jemand ein schönes e-book zu dem Thema hätte, oder nen link wäre supi, muss aber net sein wenn das zu nahe am regelverstoß ist.

greetz chris

ERit

also ich würde verschiedene methoden über einen größeren zeitraum ausprobieren. eventuell über 2 monate, beobachte ihn schärfer, wie viele mails er kriegt, wer ihm schreibt usw wenn das möglich ist. anders würde ich mir mal ein paar echt gute fragen zulegen, um ihm über ein monat verteilt einige sachen rauszulocken. ich hab es auch mal geschafft, meinem lehrer bei einem kreuzerltest (ja oder nein) die richtige antwort zu entlocken, ohne dass er was gemerkt hat. exploits würde ich mal zuerst bei seite lassen. wichtig ist, dass du alles zusammenträgst, was dir auffällt, seine gewohnheiten usw. ist nicht sehr schwer und ihm fällt nichts auf (provider, viell hat er icq, msn -> damit bekommst du mal seinen hostnamen usw) und schön langsam hast du dann so viel beisammen, dass der weg über exploits sowieso keinen sinn mehr machen würde. wenns wirklich nicht anders geht, würde ich mal ans metasploit framework denken. wenn man genügen zeit dafür hat dürfte das kein problem sein.
lg

C/C++

Hi

Also ich hatte auch zusammen mit ein paar Freunden, genau das gleiche vor Es hat auch geklappt nach viel Arbeit

Vill Glück

Prometheus

Da gibt es ein rießige Auswahl hier: Die besten Tutorials

Elderan

Hallo,
Einem Angreifer reicht 1 Sicherheitslücke, ein Verteidiger muss allerdings alle denkbaren Sicherheitslücken entdecken und ggf. schließen.

Wie du siehst, hat der Angreifer einen enormen Vorteil gegenüber des Verteidigers, dem Programmierer des Servers.

Und wenn das Programm > 100 000 Programmzeilen hat, kann es sehr sehr sehr schnell vorkommen, dass dort eine Sicherheitslücke drin ist, die auch jmd. evt. mit wenig Kentnissstand entdecken kann (z.B. unbehandelte Variable in einem SQL Befehl => SQL Injection).

Deswegen sollte man den Programmier einer solchen Software nicht als "dumm" abstempeln und den Entdecker der Lücke als l33t.

Aber sonst, dass Cracken von anderen, speziellen Rechner nicht so leicht ist wie in der Werbung. Evt. hat man Glück und das Kiddy-Tool funktioniert dort, aber oft hat man auch Pech.

Prometheus

Aber mal davon ausgegangen, das der Angreifer erstmal selbst die Sicherheitslücke finden sollte. Also ohne irgendwelchen Exploitssammlungen und Hinweißen auf Sicherheitslücken. Aber auch wenn du mal in Zeitschriften wie hakin rumblätterst, wirst du auch lesen das man einen bestimmten Kenntnisstand mitbringen solltest um z.B. die Angriffsmöglichkeit zu begreifen die erklärt wird.
Meiner Meinung sind nur wenige Kenntnisse wie abverlangt werden noch nicht ausreichend.
Es ist ja nicht allein die Software die es zu hacken gilt oder zu überwinden werden muss, denn es gibt Sicherheitssoftware und Einstellungen, die Steine in den Weg stellen.
Nimm mal einfach ein Kiddytool oder Exploit und Jemanden mit wenigen Kenntnissen her. Er macht alles wie es beschrieben ist und knallt evtl. in ein Honeypot oder verzweifelt an ein Sicherheitstool. Zudem kann es auch passieren das solche Angriffe meist sehr laut sind und den Administrator förmlich aus dem Log anspringen.

Hacken ist nicht ein einfaches drauflos, sondern bedarf viele Grundlagen und ein zeitaufwendiges Scannen und Vorbereiten. Auch wenn es viele "Hackertools", Exploits etc. gibt und Leute die, diese auch noch mit ihren wenigen Kenntnissen bedienen können, passen einfach nicht zum Hacking. Die Aufgabe des Hackens sollte nicht sein andere Leute zu ärgern, fremde Daten auszuspähen usw., sondern soll die Leute vor solchen Maßnahmen schützen und die IT-Welt sicherer machen. Deswegen braucht man als Hacker nicht nur das Wissen Löcher zu bohren, sondern auch diese zu stopfen.

elite-noob

@Prometheus, das meine "angriffe" in direkt aus dem log anspringen werden wenn ich angreife ist nicht weiters wild, denn ich versuche es dann ja mit erlaubnis meines lehrers, die möglichkeit in den server zu kommen ist für mich verlockend da ich mich schon sehr lange für hacken bzw. cracken wenn man so will interessiere, einfach nur weil mich das wissen fasziniert was da dahinter steckt. Endlich habe ich die gelegenheit mich mal aktiv zu betätigen ohne mich dabei strafbar zu machen. Was natürlich genial wäre, wäre wenn ich erst ein loch finde, dann reingehe um es zu beweisen und danach zusammen mit meinem lehrer eine lösung finde um das loch zu flicken. WENN ich das wirklich schaffen SOLLTE, dann denke ich werde ich schon einiges dabei lernen ^^

Greetz

Christian