Überwindung von Sicherheitsmechanismen

#1
Ich würde gerne das Überwinden von Sicherheitsmechanismen lernen. Aber was sind alles Sicherheitsmechanismen? Spontan fällt mir das Knacken von Passwörtern ein. Was gibt's da noch anderes? Z.B. Firewalls?

Wie muss man das angehen, wenn man sich darauf spezialisieren möchte? Mit was muss man anfangen und was muss man sich genau ansehen?

Übrigens brauche ich das nicht für irgend welche kriminellen Zwecke.
 
#2
Jahrelanges lernen.
Ich empfehle mal mit dem Redbook von IBM fuer den TCP/IP-stack anzufangen.
Dann noch mal etwas lernen bzgl. Scripten, wie ein OS grunstaetzlich aufgebaut ist, und viel viel viel suchen und lesen von CVEs, und lesen von vielen vielen Buechern bzgl. Protokollen.

Cheers

Fluffy
 

end4win

Member of Honour
#4
Ich würde gerne das Überwinden von Sicherheitsmechanismen lernen.
Ich möchte gern
Aber was sind alles Sicherheitsmechanismen?
Ich weiß nicht was
Habe es mir angesehen und verstehe nicht, was es bringen soll und mit Sicherheitsmechanismen zu tun hat.
Logische Konsequenz==ich verstehe nichts

Wissen ist Macht, wir wissen nichts, Macht nichts.

Gruß
 

end4win

Member of Honour
#6
Das du kapierst, dass bevor man ein Auto auf einer Rennstrecke bewegen kann, erst einmal wissen muss was ein Auto ist, wie es funktioniert, was es zum funktionieren braucht, wie die Regeln auf dem Weg zur und auf der Rennstrecke sind und zu guter Letzt Schaden grundlegende Kenntnisse der Physik auch nicht.

Es gibt viel zu tun, pack es an.

Gruß
 
#7
Na und, irgendwie muss man halt anfangen. Außerdem ist bei mir ein Vorteil, dass ich genau weiß, was ich möchte.

Habe aber auch keine Lust, mir mit Grundlagen die Zeit zu verschwenden. Was Basics angeht, mache ich nur das absolut Notwendige, und nicht mehr.

Angenommen, man schafft es, einen Account zu hacken ohne Programmieren. Warum sollte ich dann Programmieren lernen? Ich will nur das Lernen, was ich auch wirklich brauche.
 
#10
Ok, ich bin mal so nett und versuche dir zu erklären warum diese Ansicht falsch ist, vielleicht kannst du da ja was von mitnehmen.

Na und, irgendwie muss man halt anfangen. Außerdem ist bei mir ein Vorteil, dass ich genau weiß, was ich möchte.
Du hast Recht, irgendwie fängt jeder an, und jeder fängt klein an. Allerdings haben dir Leute hier im Thread bereits gute Tips gegeben. Dein Argument das du genau weißt was du willst entbehrt jeder Logik. Je mehr man lernt, desto mehr versteht man wie wenig man eigentlich kann und wie groß und breit gefächert die Informatik ist. Mit deinem Argument lässt du völlig die Details außen vor, das ist als wenn man sagen würde ich will die Riemannsche Vermutung beweisen aber auf die Details und Grundlagen hat man keine Lust, ohne geht es nicht und das liegt in der Natur der Sache.

Habe aber auch keine Lust, mir mit Grundlagen die Zeit zu verschwenden. Was Basics angeht, mache ich nur das absolut Notwendige, und nicht mehr.
Mit dieser Einstellungen wirst du im 'Hacking' (was nicht das bedeutet was du denkst) dermaßen schnell vor die Wand laufen das dir direkt die Lust vergehen wird, wovon ich dir gleich auch ein Beispiel geben werde weiter unten. Details und Grundlagen sind das Salz in der Suppe. Sachen die jeder Informatikstudent im ersten Semester lernt, einfache Bit-Operation wie AND/OR/XOR etc.pp sind die Grundlage dafür das dein Post es überhaupt durchs Internet schafft. Sich vor den Basics zu verschließen heißt sich vor Wissen zu verschließen. Die Profis welche jahrelange Erfahrung haben können sich bei einem neuen Thema, einer neuen Sicherheitstechnik vielleicht nur die oberflächlichen Details ansehen und haben Ideen wie sie es umgehen, eben gerade WEIL sie jahrelange Erfahrung haben und die Basics im Schlaf runterbeten können.

Angenommen, man schafft es, einen Account zu hacken ohne Programmieren. Warum sollte ich dann Programmieren lernen? Ich will nur das Lernen, was ich auch wirklich brauche.
Das eine hat mit dem anderen nichts zu tun. Angenommen du kommst irgendwie an die Daten für den Account, das Passwort liegt nicht im Klartext sondern als Hash vor, was heute Standard ist. Wie willst du also an das Klartext Passwort kommen ? Richtig, indem man Hashcat anwirft und es probiert geschickt zu cracken. Das heißt aber wieder das du dich zumindest etwas mit Systemadministration auskennen musst um erstmal deine Tools am laufen zu haben. Jetzt bedeutet das unter umständen mehrere Listen mit Klartext<->Hash zu haben welche z.B. nach bestimmten Kriterien sortiert sind. Willst du dich jetzt ernsthaft hinsetzen und hunderttausende Einträge in Listen händisch zusammenfriemeln ? Ein findiger Hacker würde dich auslachen und dir in 15min. ein python Script bauen welches dir die Arbeit abnimmt. Und darum geht es. Programmieren ist ein Werkzeug um Ideen umzusetzen. Mehr nicht. Stelle dir mal für eine Sekunde einen Künstler vor welcher seine Ideen nicht auf Leimwand bringen kann weil er keine Ahnung hat (und sich weigert es zu lernen) wie man einen Pinsel hält. Das gleiche ist hier der Fall, du wirst absolut nicht drumherum kommen zumindest Code zu verstehen. Um bei deinem Beispiel zu bleiben, wie würdest du denn die Sicherheitslücke entdecken wenn du nicht programmieren kannst ? Klar gibt es Tools die einem teilweise Arbeit abnehmen, aber die werden dich schnell 0 weiterbringen.


---------------

Um nochmal einen kleinen Blick in die Materie zu geben, damit du vielleicht einen anderen Einblick bekommst und siehst wie wichtig winzig kleine Details sind. Es gibt eine Sicherheitstechnik (oder ehr gesagt eine Unsicherheitstechnik) die in den 90ern massenhaft benutzt wurde um Software zu manipulieren. Die nennt sich Stack Buffer Overflows. Hier kannst du sehen wie sie funktioniert http://phrack.org/issues/49/14.html
Dazu muss man wissen das diese Technik sehr alt ist. Das absolute Einsteigerbeispiel welches heute jeder kennt und keinen mehr vom Socken haut. Du kannst dich da ja mal ein bisschen mit auseinander setzen, du wirst recht schnell merken das es nicht nur auf die Details ankommt, Details sind das einzige was zählt. Jetzt fragst du dich sicherlich was das mit deinem 'Accounts hacken' auf sich hat, stelle dir jetzt einmal vor Facebook hätte ihre User-DB direkt am Internet hängen, öffentlich zugänglich für jeden, und die Software die diese Datenbank managed hätte eben diesen Stack Buffer Overflow dann könnte man damit Code auf dem Server ausführen. Um es gleich vorweg zu nehmen das Beispiel ist extrem aus der Luft gegriffen und absolut unrealistisch. Aber angenommen es wäre so, hättest du die Energie dich mit der Materie vertraut zu machen wenn du das Ziel vor Augen hast, oder würde es daran scheitern das du kein Bock auf Programmieren lernen und Basics hast ?

Ganz davon abgesehen ist Accounts hacken eine dermaßen schlechte Idee. Generell fällt sowas heutzutage unter den Begriff Cybercrime und wird nicht unerheblich bestraft. Und ja, du wirst mit 99%iger Sicherheit erwischt werden. Glaube ja nicht nur weil du den Tor Browser benutzt das du dich auf irgendwelchen dubiösen Foren rumtreiben kannst und mal eben anfangen kannst gehackte Accounts zu verkaufen und das große Geld zu machen. Das Leben ist wesentlich komplexer und die Menschen wesentlich fehleranfälliger als es Serien wie Mr.Robot vermuten lassen, und für gehackte Accounts interessiert sich eh niemand mehr, zumindest wenn es nicht gerade x Millionen auf einmal sind.
 
Zuletzt bearbeitet:

Chromatin

Moderator
Mitarbeiter
#11
Ich möchte dazu auch etwas ernstes schreiben.

Auch wenn ich als "alter Hase" auch immer der Meinung war, dass Grundlagen etwas sind, worauf man immer aufbauen kann, so sehe ich das heute etwas anders. Heute kann man komplexeste IT Anwendungen entwickeln ohne auch nur Ansatzweise die Prinzipien auf einem Low-Level zu verstehen.

Was musste man noch vor 15 Jahren können um unter Windows sauberes Multithreading hinzubekommen - oder unter *nix saubere IPC?
Heute (zB mit Perl6) muss ich mich NULL darum kümmern, denn die VM erledigt alles für mich. Das bedeutet ich kann richtig geile Multicore Anwendungen schreiben ohne auch nur ein bisschen darüber zu wissen. Wer erinnert sich noch daran als man sich selber ums Session Management/Logins in Webapps kümmern musste wo das heute die Frameworks machen und die meisten Entwickler gar nicht wirklich verstehen was da passiert, wer kennt noch die nervige Kernelconfig unter FreeBSD(oder Linuschiss), wenn man das Zeug halbwegs performant auf nem 486er laufen lassen wollte?

Ist das schlecht - oder ein Segen? Aus der Sicht des Anwendungsentwickler ist das ein Segen, denn ich kann mich auf die eigentliche Arbeit konzentrieren.

Was die Security angeht, so ist es dort genau so. Wo man früher Exploits (die es ausschließlich in C gab) selber compilen und auf die eigene und die Zielplattform anpassen musste gibt es heute hoch automatisierte Tools, die komplexe Angriffe ausführen. Der #phrack Artikel war eines DER Grundlagenpaper um den man schlecht herum kam - man BRAUCHTE das Wissen. Heute brauche ich das nicht, ich lade Metasploit, packe Plugins dazu und schon kanns losgehen.

Ich kann heutzutage als Pentester arbeiten und alles was ich brauche ist nen bisschen Skripting Kenntnisse.
Sprich: Für das Business Richtung Kunde ist das Hintergrundwissen völlig unerheblich geworden. Freilich, auf ner Blackhat ist man der Depp - aber wen juckt das der als Security Consultant 80K macht? Wieviele Leute arbeiten aktiv an ECHTER Protokollentwicklung bei der IETF? Ich bin in einigen Gruppen und 99% der Arbeit - und das ist die Grundlage des Netzes - werden nach meiner Schätzung von ein paar wenigen hundert Leuten getrieben.

Worauf will ich hinaus? Die Brandmarkung einer Person als Skiddy ist heute einfach obsolet und ist schon Kategorie "historischer" Begriff. Demnach wären 95% der Entwickler heute derartige Kiddys und wenn jeder sich erstmal mit den Grundlagen des IP Stracks herumschlagen müsste, dann würde keiner mehr dazu kommen eine Zeile Code zu schreiben.

Auf einer emotionalen Ebene sehe ich das ganz genau so. Und wenn ich auf meine IT Karriere zurückblicke, dann stelle ich fest, dass das Wissen, welches ich mir durch das wälzen von Büchern und praktischen Erfahrungen angeeignet habe, heute schlichtweg nutzlos ist.
Und noch schlimmer - unser IT "Wissen" ist im eigentlich Sinn überhaupt kein "Wissen", es sind lediglich gelernte Fakten mit einer beschränkten Lebensdauer.

Also - lasst uns nicht all zuviel darauf einbilden dass wir in Abschnitten unseres Lebens Maschinen besser bedienen können, als andere ;)
 
#12
Ich würde gerne das Überwinden von Sicherheitsmechanismen lernen.
Da steht aber nicht: "Ich such eine Software mit der ich mir was zusammenklicken kann, um mir auf anderen Computern/Servern mit bekannten Lücken Zugang zu verschaffen."
Selbst dabei ist noch einiges an Grundlagenwissen nötig, um aus dem Angebot die geeigneten Methoden auszuwählen, welches ich beim Threadersteller nicht nur vermisse, sondern eben auch die Bereitschaft sich dieses anzueignen.
Mein Tipp deshalb:
Wenn du an das Passwort deiner Exfreundin kommen willst, egal ob FB, Mail, Rechner, Handy ............., frag sie oder schau ihr über die Schulter, solange sie noch deine Freundin ist und dir vertraut.

Gruß
 
#13
Ich möchte dazu auch etwas ernstes schreiben.
Ich würde gerne auf das Technik-Grundwissen vs Abstraktions Argument nochmal eingehen.

Ich wage mal, als jemand der sicherlich kein alter Hase ist, die Behauptung aufzustellen, dass dies nur für den konkreten Anwendungsfall im wirtschaftlichen Kontext gilt und nicht für den wissenschaftlichen, wobei diese sich teilweise überlappen können. Der Grund liegt denke ich darin, dass die Abstraktionen einen genau dann nicht mehr weiterhelfen, wenn es eben nicht mehr darum geht aktiv mit der Technik zu produzieren, sondern die Technik an sich weiter zu entwickeln. Es gibt m.M.n. einen gewaltigen Unterschied zwischen Leuten die die Details und Grundlagen haben und Leuten die nur die Abstraktion kennen, und den gibt es auch in der Wirtschaft in beschränktem Maße.

Im Kontext des wirtschaftlichen Handelns mag es sicherlich stimmen dass es ausreicht die Abstraktion zu kennen bis zu einem gewissen Grad. Von keinem Webentwickler wird heute verlangt sich mit den Untiefen seines Systems auszukennen oder einen Transistor erklären zu können, und das ist wahrscheinlich auch gut so. Allerdings ist das Argument, dass es prinzipiell immer ausreicht die Abstraktionsebene zu kennen, selbst im wirtschaftlichen Kontext, genau dann hinfällig wenn es um Marktvorteile geht. Ich kann das alles immer nur aus meiner kleinen Bubble bewerten, also mal ein Beispiel.

Als vor ein paar Monaten die ganze BlueKeep/DejaBlue Sache aufkam konnte man das extrem gut beobachten fand ich, auf der einen Seite gab es genau die Leute (in Firmen), die nur Metasploit anwerfen konnten und sich mit ein paar Scripten ihren Kram zurecht basteln konnten. Auf der anderen Seite gab es aber diejenigen, die trotz nicht vorhandenen Informationen/Anleitungen, sich den Exploit selber entwickeln konnten und so einen direkten Marktvorteil hatten gegenüber den anderen (um z.B. beim Thema Pentest zu bleiben).

Ich denke der Knackpunkt ist der, welche Ansprüche man an sich stellt als Individuum, oder eben der Chef an seine Mitarbeiter. Man kann denke ich davon ausgehen das es vielen hier und in der Community auch einfach Spaß macht die Hintergründe zu kennen, weil nicht aus reinem wirtschaftlichen Interesse gehandelt wird sondern eben aus Leidenschaft und Neugierde. Es gibt denke ich Bereiche in denen es einen gewissen Vorteil hat sich mit Hintergründen vertraut zu machen bevor man versucht etwas neues zu entwickeln, eben weil die Techniken sich so oft überlagern bzw. aufeinander aufbauen. Mir fällt es schwer zu glauben das jemand heute im Bereich Security Research irgendwas substanzielles liefern kann ohne zumindest sich der Grundlagen bewusst zu sein, was ja schon aus der Definition klar werden sollte da Forschung ja prinzipiell immer heißt unbekanntes zu erforschen. Aber genau das gleiche Argument gilt eben auch wenn man im Markt konkuriert als Firma. Wenn ich Chef währe würde ich zumindest versuchen sicherzustellen das entsprechendes Wissen, bzw. die Fähigkeit sich dieses Wissen anzueignen, im Unternehmen vorhanden ist, alles andere währe wohl aus wirschaftlicher Sicht dumm. Ich denke man kann zusammenfassend sagen, dass es wesentlich einfacher ist die Abstraktion zu lernen, wenn man weiß warum man abstrahiert, und nicht die Abstraktion einfach alls Gott gegeben hin nimmt, und allein deshalb macht es denke ich Sinn sich zumindest bis zu einem gewissen Grad die Grundlagen anzueignen.


Um nochmal auf den Punkt emotionale Ebene einzugehen: Wahrscheinlich versuche ich nur irgendwie zu rechtfertigen dass ich im Moment jede freie Minute mit Klausuren lernen zubringe, also grain of salt und so ;)
 

Chromatin

Moderator
Mitarbeiter
#14
Im Kontext des wirtschaftlichen Handelns mag es sicherlich stimmen dass es ausreicht die Abstraktion zu kennen bis zu einem gewissen Grad. Von keinem Webentwickler wird heute verlangt sich mit den Untiefen seines Systems auszukennen oder einen Transistor erklären zu können, und das ist wahrscheinlich auch gut so. Allerdings ist das Argument, dass es prinzipiell immer ausreicht die Abstraktionsebene zu kennen, selbst im wirtschaftlichen Kontext, genau dann hinfällig wenn es um Marktvorteile geht. Ich kann das alles immer nur aus meiner kleinen Bubble bewerten, also mal ein Beispiel.
Ich sage nirgends dass es IMMER ausreicht High-Level Abstraktionsebenen zu kennen. Aber in den allermeisten Jobs eben schon.
Und wo ist IT denn nicht driven by money?

Als vor ein paar Monaten die ganze BlueKeep/DejaBlue Sache aufkam konnte man das extrem gut beobachten fand ich, auf der einen Seite gab es genau die Leute (in Firmen), die nur Metasploit anwerfen konnten und sich mit ein paar Scripten ihren Kram zurecht basteln konnten. Auf der anderen Seite gab es aber diejenigen, die trotz nicht vorhandenen Informationen/Anleitungen, sich den Exploit selber entwickeln konnten und so einen direkten Marktvorteil hatten gegenüber den anderen (um z.B. beim Thema Pentest zu bleiben).
Absolut - aber diejenigen, sie solche Forschung leisten sind ein winziger Bruchteil ;)
Und für Verkaufstaugliches Wald-und-Wiesen pentesting brauche ich keine Grundlagen. Ich präsentiere dem Kunden meine Paper, skizziere Angriffsvektoren (ganz wichtiges Wort) und dann lasse ich meine Tools gegen die Infrastruktur laufen und mache daraus schöne Reports.
Das haben von 20 Jahren schon Firmen mit "Nessus" oder "Satan" gemacht.

Ich denke der Knackpunkt ist der, welche Ansprüche man an sich stellt als Individuum, oder eben der Chef an seine Mitarbeiter. Man kann denke ich davon ausgehen das es vielen hier und in der Community auch einfach Spaß macht die Hintergründe zu kennen, weil nicht aus reinem wirtschaftlichen Interesse gehandelt wird sondern eben aus Leidenschaft und Neugierde.
Ich sehe da keinen "Knackpunkt" - ich sehe nur, dass heute komplexe Anwendungen entwickelt werden können und das mit einer viel geringeren Anforderung von Grundlagenwissen.

Mir fällt es schwer zu glauben das jemand heute im Bereich Security Research irgendwas substanzielles liefern kann ohne zumindest sich der Grundlagen bewusst zu sein, was ja schon aus der Definition klar werden sollte da Forschung ja prinzipiell immer heißt unbekanntes zu erforschen. Aber genau das gleiche Argument gilt eben auch wenn man im Markt konkuriert als Firma.
Das ist ein sehr spezieller Bereich der definitiv ein enormes Fachwissen verlangt. Aber auch hier liefert nur ein winziger Bruchteil der Leute und Firmen wegweisende Arbeit ab. Die meisten "Security Firmen" sind Berater, die anderen Firmen Lösungen in Form von Appliances verkaufen und da laufen Leute rum die dir nichtmal nen Mailheader erklären können (realtalk) und als Security-Experte gehandelt werden.

Wie gesagt - ich finde das mittlerweile prima einfach irgendwas mit drei clicks zu installieren und direkt losskripten zu können ohne mich um lästige Config zu kümmern. Ich kann in jeder Sprache die eine brauchbare IDE hat innerhalb einer Stunde kleine Programme schreiben. "Früher" musste man sich Handbücher über Fernleihe besorgen oder hoffen dass irgendjemand ein paar kopierte Seiten der wichtigsten Grundlagen der Sprache hat. Nichtsdestotrotz profitiere ich heute noch sehr von meinem Hintergrundwissen - ich arbeite allerdings in einem Bereich der IT der ziemlich träge ist und sich nur langsam wandelt :D

Um nochmal auf den Punkt emotionale Ebene einzugehen: Wahrscheinlich versuche ich nur irgendwie zu rechtfertigen dass ich im Moment jede freie Minute mit Klausuren lernen zubringe, also grain of salt und so
Hey - Ich meine das völlig wertfrei. Ich will ja nur dafür werben dass wir als ITler aufhören so zu tun als wenn wir über esoterisches Wissen verfügten was unsere Stellung irgendwie besonders macht (und ja - das war einmal so). Aber heutzutage sind WIR die Peripherie und nicht mehr die Maschinen ;)
 
#15
Ich sage nirgends dass es IMMER ausreicht High-Level Abstraktionsebenen zu kennen. Aber in den allermeisten Jobs eben schon.
Und wo ist IT denn nicht driven by money?
Ok, das hatte ich wohl falsch aufgenommen. Ich denke mal der einzige Bereich ist wirklich altruistische Softwareentwicklung ala FreeSoftware / OpenSource, und das auch nur in manchen wenigen Bereichen. Selbst viele große FOSS/OS Projekte sind ja letztenendes auf Geld angewiesen.

Absolut - aber diejenigen, sie solche Forschung leisten sind ein winziger Bruchteil ;)
Und für Verkaufstaugliches Wald-und-Wiesen pentesting brauche ich keine Grundlagen. Ich präsentiere dem Kunden meine Paper, skizziere Angriffsvektoren (ganz wichtiges Wort) und dann lasse ich meine Tools gegen die Infrastruktur laufen und mache daraus schöne Reports.
Das haben von 20 Jahren schon Firmen mit "Nessus" oder "Satan" gemacht.
Das stimmt, wobei wieder das Thema Bubble ins Spiel kommt bei mir. Ich habe nicht wirklich die lange Berufserfahrung um das beurteilen zu können, dazu kommt noch dass ich z.Z. in der Akademia Mühle mein Dasein friste, was ja nochmal eine Schicht Abstraktion und Realitätsabstand mit sich bringt :)

Ich sehe da keinen "Knackpunkt" - ich sehe nur, dass heute komplexe Anwendungen entwickelt werden können und das mit einer viel geringeren Anforderung von Grundlagenwissen.
Ok, Interpretation vs. Observation. Du hast sicherlich Recht.

Das ist ein sehr spezieller Bereich der definitiv ein enormes Fachwissen verlangt. Aber auch hier liefert nur ein winziger Bruchteil der Leute und Firmen wegweisende Arbeit ab. Die meisten "Security Firmen" sind Berater, die anderen Firmen Lösungen in Form von Appliances verkaufen und da laufen Leute rum die dir nichtmal nen Mailheader erklären können (realtalk) und als Security-Experte gehandelt werden.
Da gebe ich dir 100%ig recht, die Spitze der Pyramide ist sehr, sehr klein.
Ich habe von anderen, die deutlich länger in der Industrie tätig waren als ich, das auch genauso bestätigt bekommen, wie wenig Wissen teilweise bei Experten vorhanden ist. Was ich davon halten soll, wenn jemand 80k im Jahr verdient nur weil derjenige oder diejenige weiss wie man ein paar Scripte bedient weiss ich nicht so recht. Auf der einen Seite sicherlich ein smartes setup um mit relativ wenig Aufwand ein angenehmes Leben zu führen. Sicherlich ein lohnendes Optimierungsziel für manche, aber ich persöhnlich würde glaube ich extrem unter Imposter Syndrom leiden. Ich mein was macht man, wenn man bei einem Kunden eine Präsentation hält, man ist hochbezahlter Consultant und einem gegenüber sitzt die Geschäftsleitung, und weil sie gerade aus den Medien was aufgeschnappt haben heisst es : Erklären sie doch mal, Herr/Frau Consultant, wie funktioniert eigentlich Bitcoin ? Und dann sitzt am besten auch noch der CTO mit dabei, der den anderen C-levels dann prombt nach dem Meeting erklärt was für ein Idiot man doch sei. Natürlich hinkt das Beispiel, aber ich denke die Frage stellt sich mir schon, wie kann man vermeiden mit heruntergelassenen Hosen da zu stehen, wenn einem wirklich ein Experte auf die Finger guckt ? Ich würde intuitiv sagen nur mit tiefem Fachwissen in dem speziellen Bereich wo man als Experte angesehen werden will.

Hey - Ich meine das völlig wertfrei. Ich will ja nur dafür werben dass wir als ITler aufhören so zu tun als wenn wir über esoterisches Wissen verfügten was unsere Stellung irgendwie besonders macht (und ja - das war einmal so). Aber heutzutage sind WIR die Peripherie und nicht mehr die Maschinen
Da hast du den Nagel auf dem Kopf getroffen. Ich denke mal dieses Gefühl von 'esoterischem' Wissen kommt daher, weil die Durchdringung der IT einfach so rasant zugenommen hat. Jeder Bürger ist heutzutage umgeben von Technik, aber das Wissen um grundlegende Zusammenhänge hat nicht im gleichen Maße zugenommen. Da ist es sicherlich leicht sich zu denken das man mit arkaner Magie hantiert nur weil man ein Linux System bedienen kann, wo 99% der normalen Leute noch nie von gehört haben und dies auch nie in ihrem Leben brauchen werden.
 
#16
Ok, ich bin mal so nett und versuche dir zu erklären warum diese Ansicht falsch ist, vielleicht kannst du da ja was von mitnehmen.


.........................................

Um nochmal einen kleinen Blick in die Materie zu geben, damit du vielleicht einen anderen Einblick bekommst und siehst wie wichtig winzig kleine Details sind. Es gibt eine Sicherheitstechnik (oder ehr gesagt eine Unsicherheitstechnik) die in den 90ern massenhaft benutzt wurde um Software zu manipulieren. Die nennt sich Stack Buffer Overflows. Hier kannst du sehen wie sie funktioniert http://phrack.org/issues/49/14.html
Dazu muss man wissen das diese Technik sehr alt ist. Das absolute Einsteigerbeispiel welches heute jeder kennt und keinen mehr vom Socken haut. Du kannst dich da ja mal ein bisschen mit auseinander setzen, du wirst recht schnell merken das es nicht nur auf die Details ankommt, Details sind das einzige was zählt. Jetzt fragst du dich sicherlich was das mit deinem 'Accounts hacken' auf sich hat, stelle dir jetzt einmal vor Facebook hätte ihre User-DB direkt am Internet hängen, öffentlich zugänglich für jeden, und die Software die diese Datenbank managed hätte eben diesen Stack Buffer Overflow dann könnte man damit Code auf dem Server ausführen. Um es gleich vorweg zu nehmen das Beispiel ist extrem aus der Luft gegriffen und absolut unrealistisch. Aber angenommen es wäre so, hättest du die Energie dich mit der Materie vertraut zu machen wenn du das Ziel vor Augen hast, oder würde es daran scheitern das du kein Bock auf Programmieren lernen und Basics hast ?

Ganz davon abgesehen ist Accounts hacken eine dermaßen schlechte Idee. Generell fällt sowas heutzutage unter den Begriff Cybercrime und wird nicht unerheblich bestraft. Und ja, du wirst mit 99%iger Sicherheit erwischt werden. ..........................
zum letzten satz hätte ich mal ne frage: 99%iger Sicherheit erwischt werden...
Ist das deine einschätzung nur für diesen User? weil er offentsichtlich wenig erfahrung hat und deshalb entdeckt wird?
Beim googln erfuhr ich wie einfach hacken sein soll:
https://www.spyzie.com › hack › how-to-hack-someones-email
 
#17
zum letzten satz hätte ich mal ne frage: 99%iger Sicherheit erwischt werden...
Ist das deine einschätzung nur für diesen User? weil er offentsichtlich wenig erfahrung hat und deshalb entdeckt wird?
Beim googln erfuhr ich wie einfach hacken sein soll:
https://www.spyzie.com › hack › how-to-hack-someones-email
Naja, es ist eigentlich mehr eine Redewendung als ernst gemeinte Einschätzung, wobei der Ratschlag es einfach bleiben zu lassen sicherlich aus vielen Gründen ratsam ist.
Die Sache ist dass Leute sich oft in falscher Sicherheit wiegen weil sie auf ein Tool vertrauen und dann jede Vorsicht über den Haufen werfen. Ich habe schon mit Leuten gesprochen, die dann sagten so 'naja, ich kann ja ruhig meine Kreditkarten dumps auf diesem Forum verkaufen, solange ich Tor benutze'. Oder noch besser 'Ich kann ja ruhig meine Exploits gegen die Firma testen, ich habe ja ein VPN am laufen'.

Was machst du z.B. wenn deine DNS Requests nicht durch den VPN Tunnel gehen ? Kannst du sowas feststellen ?
Wie willst du bezahlt werden ? Per Bitcoin natürlich. Wie stellst du sicher dass die coins wieder in echtes Geld getauscht werden, ohne das die Behörden davon erfahren ? Wie bezahlst du dein VPN Anbieter ? Wie stellst du sicher das er nicht doch mehr loggt als angesagt (was sicherlich ein großteil der kommerziellen Anbieter tun) und im Zweifelsfalle dem behördlichem Druck nachgibt ? Ok, Billig-VPN kaufen blöde Idee, dann hoste ich mir eins selber. Gleiches Spiel hier nur das diesmal dein VPS/Cloud Hoster der single point of failure ist. Wie kannst du sicherstellen das deine persöhnlichen Daten nicht doch irgendwann, irgendwo, im Netz gelandet sind und auf deine wahre Identität schließen lassen ?

Es gibt Fragen über Fragen die man beantworten können sollte, wenn man ernsthaft plant damit sein Geld zu verdienen und es halbwegs weit bringen will. Die Wahrscheinlichkeit ist eben sehr hoch, das wenn man von jetzt auf gleich sagt ok ich will jetzt durch illegale Aktivitäten im Internet Geld verdienen, erwischt wird bevor überhaupt das große Geld auf dem Konto landet.

Die Leute unterschätzen einfach zu häufig wie blöd Menschen sind. Das Internet ist voll von Berichten von Leuten die es wirklich weit gebracht haben in dem Bereich, riesige Botnetze am laufen hatten, zig Millionen an irgendwelchen Kryptowährungen hatten, ein Team aus 20 Leuten, Kontakte in die reale Crime Szene im osteuropäischen Ausland um Geld zu waschen etc etc.

Und doch sind sie am Ende nach ein paar Jahren aufgeflogen weil sie versehentlich ein Selfie hochgeladen, eine falsche Email bei einer Hotelregistrierung angegeben, oder ein einziges mal mit einer falschen Kreditkarte bezahlt haben. Wenn man dann noch im richtigen Land wohnt ist es dann auch erstmal vorbei mit der Freiheit, und das Geld ist sowieso weg. Dann kommt man irgendwann nach 5-10 Jahren wegen so einem Scheiß aus dem Knast, und hat absolut nichts. Keine Aussichten jemals seine Talente legal einsetzen zu können, noch hat man bleibende Investments die einen in der Zeit nachher helfen. Und wofür das alles ? Nur damit sich ein paar Monate bis Jahre einreden kann man sei der große blackhat haxx0r.

Außerdem hat Chromatin weiter oben ja schon die weitaus bessere Methode gepostet: Werd einfach Pentester dann kannste das legal machen, wirst extrem gut bezahlt, kannst offen drüber reden und brauchst dir absolut keine Gedanken machen wenn du Abends ins Bett gehst ob nicht morgens das SEK dir die Tür eintritt ;)
 
Zuletzt bearbeitet:

Chromatin

Moderator
Mitarbeiter
#18
Da hast du den Nagel auf dem Kopf getroffen. Ich denke mal dieses Gefühl von 'esoterischem' Wissen kommt daher, weil die Durchdringung der IT einfach so rasant zugenommen hat. Jeder Bürger ist heutzutage umgeben von Technik, aber das Wissen um grundlegende Zusammenhänge hat nicht im gleichen Maße zugenommen.
Da hast du mich missverstanden: Zu "meiner" Zeit war "IT" durchaus überschaubar und wir hatten tatsächlich esoterisches Wissen - in dem Sinne dass der Normal gar nicht an relevante Infos gekommen ist. Heute durchdringt die IT eben keiner mehr - und selbst wir ITler sind nur noch dressierte Affen...
 
Oben