Hacking ausprobieren Schritt für Schritt
Am Beispiel von vorbereiteten Webservern lernen Sie, wie ein Hacker denkt, wie er vorgeht und welche Tools er benutzt. Außerdem stellen wir noch den Website-Sicherheitsscanner ZAP vor, dazu ein praktisches Beispiel aus der echten Welt, und klären rechtliche Fragen rund ums Hacking.
8 Hacking lernen in Trainingsumgebung
16 Server-Hack Schritt für Schritt erklärt
24 Websites checken mit ZAP
30 ContiLeaks: Zip-Dateien knacken
34 Rechtliche Aspekte bei Hacking-Tools
Informationen gewinnen mit OSINT
Informationen aus öffentlichen Quellen sammeln und auswerten ist eine der gängigsten Praktiken eines Hackers. Wir stellen unterschiedliche Tools vor sowie eine Browsererweiterung, die OSINT-Werkzeuge bündelt. Abgerundet wird das Kapitel mit einem detaillierten Hack eines Pentesters, der hierfür einige der hier vorgestellten Werkzeuge eingesetzt hat.
40 OSINT-Tools für Security-Recherchen
48 Legaler Einbruch: Pentester im Einsatz
56 Security-Recherchen mit Mitaka
Malware-Tricks verstehen
Trojaner, Viren und andere Bazillen gehen ähnlich vor wie Hacker: Sie nutzen eine Sicherheitslücke aus, um sich im System einzunisten. Wer diese Tricks kennt, kann sich vor ihnen effektiv schützen. Dazu erklären wir, wie Sie eine sichere Analyseumgebung einrichten und Schadcode untersuchen.
58 Malware-Analyse für Anfänger
64 Analyse-VM konfigurieren
70 VM mit Analyse-Tools aufrüsten
76 Schadcode finden und sicher analysieren
Zum Heft
3 Editorial
6 Aktion: heise-Academy-Kurs "Angriffsszenarien im Netzwerk"
39 Impressum
82 Vorschau
Hacking ist keine schwarze Magie, sondern eine Fähigkeit, die man sich mit etwas Er-fahrung und viel Übung aneignen kann. Und es gibt viele gute Gründe, das zu tun: Wer versteht, wie ein Hackerangriff üblicherweise abläuft, kann sich davor schützen und die größten Leckagen recht-zeitig stopfen. Wer Feuer fängt und Spaß am Auf-decken von Sicherheitsproblemen hat, dem eröffnen sich berufliche Perspektiven, etwa als gut bezahlter Penetration Tester.
Mit einer virtuellen Trainingsumgebung können Sie die Angriffstechniken der Hacker in Ihrem eige-nen Tempo erlernen und müssen keine juristischen Konsequenzen fürchten (siehe S. 34), da Sie Ihre Fingerübungen am virtuellen Objekt statt an frem-den Rechnern machen. Als Übungsziel dienen virtu-elle Maschinen, die eigens für angehende Hacker angeboten werden. Die nötigen Hacking-Tools stellt Ihnen die Linux-Distribution Kali Linux bereit. Im Sonderheft c't Security-Tipps 2021 stellten wir diese [1] sowie ein paar Hacking-Werkzeuge und Szena-rien dafür bereits vor [2]. Der folgende Artikel be-leuchtet weitere Möglichkeiten.
Spielfeld aufklappen
Die Trainingsumgebung bauen Sie in der Virtualisie-rungssoftware VirtualBox auf. Die Open-Source-Soft-ware läuft unter Linux, Windows und macOS; beson-dere Anforderungen muss Ihr Rechner nicht erfüllen. Ein großer Arbeitsspeicher (mindestens 8 GByte) und eine SSD sind von Vorteil, aber nicht unbedingt not-wendig. Falls Sie der Anleitung visuell folgen möch-ten, können Sie die ersten Handgriffe auch im Aca-demy-Kurs lernen (siehe S. 6).
Laden Sie VirtualBox von der Herstellerseite he-runter (siehe ct.de/wswd) und installieren Sie es. An den vorgeschlagenen Einstellungen brauchen Sie nichts zu ändern. Falls Sie VirtualBox bereits auf dem Rechner haben, sollten Sie darauf achten, dass Sie die aktuelle Version verwenden.
Als Angriffswerkzeug eignet sich das einsteiger-freundliche Kali Linux. Von Haus aus enthält es mehr als 300 gängige und exotische Hacking-Tools - mehr als genug, um der VM ordentlich einzuheizen. Über die Herstellerseite können Sie Kali einfach herunter-laden (siehe ct.de/wswd). Wählen Sie im Download-bereich "Virtual Machines" aus und anschließend die 64-Bit-Version für VirtualBox, die etwa 4 GByte groß ist. Abhängig von der Übertragungsrate Ihrer Inter-netverbindung überbrücken Sie die Wartezeit am besten mit einer Kaffeepause.
Nach erfolgtem Download importieren Sie die virtuelle Kali-Maschine per Doppelklick auf die OVA-Datei in VirtualBox. Die Virtualisierungssoftware fragt anschließend in einem weiteren Fenster einige Para-meter der VM ab, Sie brauchen aber im Normalfall nichts zu ändern. Bestätigen Sie die Einstellungen mit Klick auf "Importieren". Danach akzeptieren Sie noch die Software-Lizenzbestimmungen der VM (in diesem Fall die GPL v3) mit "Zustimmen". Kurze Zeit später ist der Import abgeschlossen.
Figuren aufstellen
Jetzt fehlt nur noch ein geeignetes Angriffsziel. Ver-wundbare VMs bekommen Sie in Hülle und Fülle von der Website VulnHub.com. Diese bietet virtuelle Maschinen für VirtualBox und VMWare kostenlos und anmeldefrei zum Download an. Professionelle Pentester und Sicherheitsfirmen haben diese Ma-schinen als Übungsziele entwickelt und teilen sie mit der Hacking-Community. Viele der VMs enthalten Webserver und sind mit absichtlich hinterlegten Lü-cken gespickt.
Die virtuellen Maschinen sind häufig wie...
