Hacking Kali Linux
Hacking Kali Linux
Hacking Kali Linux
Hacking Kali Linux
Hacking Kali Linux

2019-08-28 5 Minuten

Storytime: der Tag, an dem wir bei einem Hacking-Wettbewerb versagt haben

Immerhin, 13 Punkte.

Kennst du eigentlich noch LAN-Parties? Auf denen sich 5 bis hunderte Gamer trafen, um gemeinsam und gegeneinander Counter-Strike zu spielen?

Auf denen es 3 Stunden dauerte, bis jeder die richtige Command & Conquer oder Warcraft 3 (hach, lang ists her 🥰) Version hatte?

So etwas gibt es auch für Hacker.

Und es ist viel spannender, als es eine LAN-Party wohl jemals sein könnte.

Das hier ist meine Geschichte, wie ich gemeinsam mit meinem Kollegen Ferdl Anfang 2018 bei so einem Wettbewerb – zugegeben, aus Spaß – mitgemacht habe.

Wir haben ziemlich versagt, insgesamt gesehen.

Capture the Flag (CTF)

heißt das Ganze. Und es gibt hier zwei Ausprägungen:

  • Jeopardy – hier hackt man nicht gegeneinander, sondern löst Rätsel für Punkte.
  • Attack-Defense – hier muss man wirklich Server verteidigen und angreifen.

Wer in der Kindheit mal gezockt hat weiß, was Capture the flag bedeutet: Es muss eine Flagge in die eigene Basis gebracht werden. Ganz ähnlich läuft es beim Hacking-CTF. Auf einem Computer sind Dateien mit kryptischen Nummern versteckt – die Flags.

Diese muss man als Angreifer finden, und beim “Schiedsrichter” einlösen. Dafür gibt’s Punkte. Wer die meisten Punkte hat, gewinnt.

Auf der größten Hackerkonferenz DEFCON findet jährlich die quasi-WM der Hacker statt. Erlaubt ist hier eigentlich fast alles. Einmal hat sich ein Spieler unter dem Tisch eines gegnerischen Teams versteckt, um deren Kommunikation abzuhören. War erlaubt.

Den Wettbewerb, den wir uns ausgesucht haben, ist ein Attack-Defense-CTF.

Nicht falsch verstehen – Rätsel zu lösen hat auch seinen Reiz. Aber vor einem Rechner zu sitzen, wissend, dass bald der gegnerische Angriff kommt.

Nice.

Die Ruhe vor dem Sturm

Bevor es losgeht, direkt der erste Intelligenztest: man muss einen Server aufsetzen, auf dem 7 verschiedene Dienste (Webseiten, Blockchain-Knoten, whatever) laufen. Dahinter hängen die Computer der jeweiligen Teams.

Jedes Team hat die selben Dienste – das heißt man muss sein eigenes Programm verteidigen, während man das der Gegner hackt.

Die Nervosität steigt. Werden wir Punkte machen? Unser Ziel ist es, zumindest ein paar Punkte im Angriff zu holen. Die anderen Teams klingen auf jeden Fall hochprofessionell. “Cyberwehr” (Österreicher sogar) , “Shellphish”, “BoostedBonobos”.

Zum Angst kriegen.

Tatsächlich haben einige der Teams mehr als 10 Leute – mit aufgeteilten Rollen. Automatisierung, Verteidigung, Angriff.

Dementsprechend managen wir unsere Erwartungen. Nach unten.

Der Startschuss

Es geht los. Unser Server wird freigeschalten, und wir können loslegen. Wir sehen uns die Dienste an, die wir verteidigen müssen. Auf einem Bildschirm neben uns laufen Logfiles, genau so wie man es von CSI Cyber kennt. So können wir erkennen, wenn wir angegriffen werden.

Es folgt direkt der erste Dämpfer: mit keiner der Technologien habe ich jemals gearbeitet. Eine Django-Webseite namens JODLGANG, Smart Contracts, alles dabei.

Da ich Web-Developer bin, rechne ich mir mit der Jodlgang die besten Chancen aus. Ich seh’s mir an, und werde mit einem Login begrüßt.

Keinem normalen Login.

Ein Login mit E-Mail (die man fürs gegnerische Team schnell findet) und einem Bild-Upload.

Ein Bild-Upload?

Während Ferdl an einem anderen Dienst arbeitet, versuche ich dieses Geheimnis zu lüften.

Eine künstliche Intelligenz

Tatsächlich. Dahinter steckt ein Framework für künstliche Intelligenzen. Der absurde Login funktioniert in etwa so:

Und wenn dann die Zahl genau die Zahl des gegnerischen Teams ist, ist man drin. So einfach ist das.

Oder auch nicht. Ich habe keine Chance herauszufinden, mit welchem Bild ich mich bei unseren Gegnern einloggen kann.

Es sei denn…

Gesichter Brute-Forcen

Bei einem Brute-Force Angriff wird einfach jede mögliche Kombination durchprobiert.

Normalerweise macht man das mit Passwörtern.

Wir machen das jetzt mit Fotos. Von Gesichtern.

Weil irgendwie muss die künstliche Intelligenz ja trainiert worden sein. Und für das Training braucht man? Viele Bilder. Wir suchen uns einen Trainingsdatensatz mit vielen Gesichtern.

Man könnte auch natürlich andere Dinge als Gesichter hier einspeisen. Haben wir gemacht, das Ergebnis war dürftig. Es scheint also schon irgendwie um Gesichter zu gehen.

Wir extrahieren die künstliche Intelligenz aus unserem Server (CSI lässt grüßen bei diesem Satz), und füttern sie mit Gesichtern.

Alles brennt

Inzwischen werden wir schon laufend angegriffen. Wir können das sehr gut nachvollziehen, nur allein fehlt uns die Zeit, uns zu verteidigen. Es brennt an allen Fronten.

Teilweise haben wir Schwierigkeiten, überhaupt unsere Dienste online zu halten (dafür gibt’s auch Punkte, sonst würde jeder den Stecker ziehen).

Dass es ein Live-Scoreboard gibt, auf dem wir immer weiter nach hinten rutschen, macht die Sache auch nicht lustiger. Die paar Biere, die wir in den letzten Stunden getrunken haben, allerdings schon (es ist immerhin Samstag).

HEUREKA!

Zurück zu unserer gesichterfressenden künstlichen Intelligenz. Die spuckt uns jede Minute eine Zahl aus. Wir checken diese manuell – es funktioniert nicht. Schön langsam zweifeln wir an dieser Idee – rückwirkend klingt sie für mich aber auch heute noch genial – und versuchen es weiter.

Letzte Zeile: mein Geisteszustand an diesem Punkt.

Bis…

Eine Zahl erscheint. Eine Zahl, die tatsächlich auf ein Team passt. Wir nehmen das Foto, laden es beim gegnerischen Team hoch und WIR HABEN DAS DING!

Unser erstes Flag. Wir schicken es zum Schiedsrichter – unser erster offensiver Punkt!

Wir machen noch ein wenig weiter und holen uns insgesamt 13 Angriffs-Punkte. Dann gehen wir ins Bett. Nach 10 Stunden intensivstem Hacking, ohne Pause. Der gesamte Wettbewerb dauert noch einmal 24 Stunden, das tun wir uns nicht mehr an. Eigentlich haben wir ja schon alles erreicht, was wir uns wünschen könnten.

Viel gelernt

Im Nachhinein wird öffentlich, dass es einen viel einfacheren Weg gegeben hätte.

Aber egal. Wir haben extrem viel lernen dürfen. Und wie viele Personen können schon folgenden Satz sagen:

Ich habe einen Login, hinter dem eine künstliche Intelligenz steckt, mit hunderten Bildern von Gesichtern gebruteforced.

Recht viel mehr als zwei Personen werden’s wohl nicht sein. Weltweit.

Also eigentlich auf voller Linie gewonnen, insgesamt gesehen.

Von Hackern, Wordpress, SEO & Co

  • Wo kommt mein Spam her?
  • Wie leicht ist es, eine Wordpress Seite zu hacken?
  • Wie Umzugsfirmen ihre Gaunereien mit SEO umsetzen

...wöchentlich in deiner Inbox! 🚀

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.