Vergiß das Geschwafel über Brute Force und daß das nur eine Scripty-Attacke ist und ein ?wahrer Hacker? das nicht macht ? blah.
Zu einem Penetrationstest gehört es auch, die Qualität der Passworte zu überprüfen. Und ein schlechtes Passwort stellt auf jeden Fall eine Sicherheitslücke im System dar. Der Anwender ist die Sicherheitslücke schlechthin. Also Brute Force?e was das zeug hält und versuche vor allem Deine Routinen immer zu verbessern. Das erhöht Dein Verständnis für diese Materie und macht vor allem Dich später gegen solche Attacken immun.
Allerdings solltest Du Dich, wie bereits gesagt, nicht nur darauf konzentrieren.
Erarbeite Dir ein Konzept. Zunächst solltest Du Dir über die konkreten Aufgaben im Klaren sein. Eine Attacke kann sehr viele Formen annehmen:
- Sollt Ihr den Server Lahmlegen?
- Sollt Ihr auf irgendwelche Daten zugreifen?
- Sollt Ihr einen Account hacken?
- ?
Dann gilt es die Bedingungen zu analysieren. Habt Ihr Zugriff auf die Konsole (also physikalischen Zugriff auf den Rechner), wie sieht die Netzstruktur aus, welche Werkzeuge stehen euch zur Verfügung, etc.?
Denke nicht so kompliziert. Schreibe Dir zunächst die Szenarien auf, die Dir einfallen den Rechner ausser Gefecht zu setzen bzw. die Daten zu übernehmen, von denen Du aber glaubst, daß sie möglicher Weise nicht im Sinne des Erfinders sind. Warum sollte man z.B. einen DoS starten, wenn man die Möglichkeit hat, das Netzwerkkabel zu kappen oder gar die Stromzufuhr zu unterbinden, etc.? Dabei ist allerdings Vorsicht geboten. Du könntest Dich beim Prof damit unbeliebt machen (man, da werden Erinnerungen in mir wach ?
). Also notiere Dir diese Möglichkeiten nur. Vermutlich erhältst Du so Eingebungen, an die Du jetzt noch nicht denkst.
Was ich meine, kann ich am folgenden Beispiel besser erklären: Es viel auf, daß ein ehemaliger Kollege von mir ein ewig langes Anmeldepasswort eingegeben hat. Wir kamen ins Gespräch und er meinte, daß auf diese Weise niemand in der Lage wäre, sein Passwort zu ermitteln. Nun ja, ich war jung und brauchte das Geld ? 8) Also habe ich in seiner Abwesenheit kurzerhand seine Tastatur an meinen PC angeschlossen und meine Tastatur an seinen PC geklemmt. Auf meinem PC lief notepad. So konnte ich seine Tastatureingaben wunderbar sehen und musste sie lediglich auf meiner Tastatur nachtippen. Das ging sogar viel länger gut, als ich erwartet hatte. Auf jeden Fall war sein geheimes Passwort dadurch hin und das ohne jegliche Hackertools. Verstehst Du worauf ich hinaus will? Hacken bedeutet nicht starr an die Wege zu denken, die dir jemand eingetrichtert hat. Analysiere Deine Umgebung und mache Dir Deine eigenen Gedanken. Denke auch an die Möglichkeiten, die andere übersehen. Dazu ist es sehr hilfreich, bei den simpelsten Dingen anzufangen.
Wenn es in eurem Test lediglich um das Ausnutzen der Systemschwächen von w2k geht, dann ist diese Art der Kreativität allerdings weniger gefragt. Auch das solltest Du vorher mit dem Dozenten klären.
Erst wenn all diese Rahmenbedingungen geklärt sind, und wenigstens ein grobes Konzept Deinerseits vorliegt, solltest Du anfangen zu hacken. Ein planloses Unterfangen ist hingegen mit hoher Wahrscheinlichkeit zum Scheitern verurteilt. Denn hacken hat nur sehr selten etwas mit Glück zu tun.
Na dann, vieeeel spaß!
Bye, nz
![[HaBo]](/styles/default/logoklein.png){kind=small}
)