:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/31/d6/31d6c005205f8dde8b88c2130c4b64ce/0115047701.jpeg "Bei einer Variablen richtet sich die Wahl des optimalen Datentyps nach dem zu erwartenden Inhalt. (Bild: <a href=https://pixabay.com/users/kuszapro-369349/>Christopher Kuszajewski</a>)")
:quality(80)/p7i.vogel.de/wcms/e8/b6/e8b6693b9252e7474c62ffadbdee385c/0115564730.jpeg "Veracode möchte dazu beitragen, Sicherheitsverletzungen in Webanwendungen zu vermeiden. (Bild: Veracode)")
:quality(80)/p7i.vogel.de/wcms/51/b7/51b7a7d69e16959c4e7dbe416c279173/0115397256.jpeg "Frank Karlitschek (2. von links) spricht als Keynote Speaker der SFSCON im NOI Techpark in Bozen. (Bild: Daniele Fiorentino)")
:quality(80)/p7i.vogel.de/wcms/e8/10/e8103ad3c912d1b400312f5b58c2eddd/0114050691.jpeg "Der Autor: Andrej Nikonov ist KI-Experte und Geschäftsführer von Cloudflight München (Bild: Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/d1/a4/d1a47ae3556763bfb51056eac6eac031/0115379618.jpeg "Gerade jüngere Generationen wünschne sich mehr Interaktion im Team, wollen aber gleichzeitig nicht unbedingt ins Büro kommen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/37/cc/37cc97b232d286b4a8d91b1588545b21/0115289837.jpeg "Die KI-Suite GitLab Duo wird sukzessive ausgebaut, Chat und Code-Vervollständigung sind die nächsten Neuerungen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/ee/71/ee7167e6c8ba4f0af6075f0aedb53d94/0115097582.jpeg "Zwar entfällt das Infrastruktur-Management beim Serverless Computing weitestgehend, doch das wirft wiederum auch Nachteile auf. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>Roman</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/3d/a83d193abb5ef91d666c1e785facf293/0114675276.jpeg "(Bild: Suse Software Solutions)")
:quality(80)/p7i.vogel.de/wcms/7e/90/7e90a1c3f6f7f92db53c0d3a7d4d290b/0114716740.jpeg "Die Verwaltung von Containern mit Kubernetes ist nicht trivial. Administratoren brauchen viel Geduld und Know-how, um beliebte Fehler bei der Verwendung von Probes sowie der Ressourcenverteilung zu vermeiden. (Bild: Ulrike Ostler)")
:quality(80)/p7i.vogel.de/wcms/88/94/88946f4dedd1bf482b02fd8885d8eae0/0115579192.jpeg "Vielen Unternehmen fehlt der Überblick, welche APIs es gibt und wohin genau welche Daten mit welcher Kritikalität über diese Schnittstellen fließen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7a/66/7a66a7339fb3df4f3b74358ae8157182/0111426638.jpeg "Mit Hilfe der Cast-Cloud-Applikation können Anwender ihre Software modernisieren, sicherer und umweltfreundlicher gestalten. (Bild: Cast Software)")
:quality(80)/p7i.vogel.de/wcms/02/bf/02bf661fea289930b4840db93b7f32d3/0115381672.jpeg "Ein kostenloses Tool der Wortliga hilft beim Verfassen barrierefreier Texte. (Bild: Karolina Grabowska)")
:quality(80)/p7i.vogel.de/wcms/fb/59/fb59f05dc4213bea05b55a5c557e5c02/0115122038.jpeg "Konfigurieren des Code-Analyse-Tools PMD in Eclipse. (Bild: Joos / Eclipse Foundation)")
:quality(80)/p7i.vogel.de/wcms/a7/a7/a7a7a7fb4f177ed66b19de7da5774b0c/0114537681.jpeg "IBM hat einige KI-basierte Neuheiten rund um seine IBM-Z-Plattform angekündigt. (Bild: IBM)")
:quality(80)/p7i.vogel.de/wcms/f1/8a/f18a4e8a90cedb82ec157f48150c97c5/0115353158.jpeg "Der Kontrol Hub soll sicherstellen, dass die Funktionen Software-definierter Fahrzeuge immer den aktuellen regulatorischen Vorgaben entsprechen. (Bild: <a href=https://pixabay.com/users/ken19991210-333782/>ken19991210</a>)")
:quality(80)/p7i.vogel.de/wcms/96/41/96410d07dd40694b8b473af9054e730c/0115019701.jpeg "Vor dem Ausführen wird Code in eine maschinell lesbare Form gebracht – und hierfür sind feste Regeln sinnvoll. (Bild: <a href=https://pixabay.com/users/johnsonmartin-724525/>Johnson Martin</a>)")
:quality(80)/p7i.vogel.de/wcms/2f/8e/2f8ede1d9d1dc4ae64f9d1fdd8cffb8f/0115091212.jpeg "In seinem Selbstverständnis als DevSecOps-Anbieter bietet GitLab über die reine Code-Verwaltung mit Git hinaus viele weitere Funktionen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/fe/d2/fed27eb813d94f3512c74fee8380567d/0114893074.jpeg "Codeberg bietet Git-Hosting und andere Services für freie und quelloffene Software, Inhalte und Projekte an. (Bild: Codeberg)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Hacking mit Python, Teil 1 Grundlagen des Ethical Hacking
In diesem Workshop verwenden wir die Programmiersprache Python, um ein Passwort zu entschlüsseln. Genauer gesagt prüfen wir einen auf irgendeine Weise erlangten Passwort-Hash durch einen Vergleich mit dem MD5-Hash eines gegebenen Wörterbucheintrages auf Übereinstimmung.
Gegen das Verwenden der in diesem Beitrag gezeigten Python-Befehle und Bibliotheken ist rechtlich nichts einzuwenden. Allerdings sind im Kontext des „Ethical Hacking“ (z. Dt.: „ethisch korrektes Hacking“) in Bezug auf die hier rein hypothetische Vorgeschichte zu unserem Beispiel-Szenario ein paar Worte der Warnung angebracht.
Wir müssen schon deshalb kurz auf den so genannten Hacker-Paragraphen hinweisen, um auf der rechtlich einwandfreien Seite zu stehen. Das heißt, dieser Artikel dient zu Lehrzwecken, um den Leser für die Unzulänglichkeit schwacher Passwörter zu sensibilisieren und die Mächtigkeit der Sprache Python hinzuweisen.
Die gedachte Vorgeschichte für unserer Beispiel-Szenario würde allerdings noch andere Werkzeuge wie z. B. einen Netzwerk-Sniffer einschließen. Deren Verwendung fällt ebenfalls unter den Hacker-Paragraphen §202c des Strafgesetzbuchs, der bereits das Vorbereiten des Ausspähens und Abfangens von Daten unter Strafe stellt.
Angriffe auf Passwörter
Vergegenwärtigen wir uns kurz, welche Angriffsformen auf Passwörter denkbar sind. Hierbei unterscheiden wir zwischen dem „Erlangen“ von Passwörtern bzw. Passwort-Hashes und dem „Ermitteln“ des Passwort-Klartextes aus einem vorhandenen bzw. abgefangenen Hash.
Für das „Erlangen“ von Passwörtern kommen prinzipiell folgende Methoden in Frage:
Erraten: Dies setzt einen direkten physischen Zugang zum anzugreifenden System voraus. Das klassische Hollywood-/James-Bond-Szenario, in dem der Held spätestes beim dritten Versuch das Passwort errät, weil es der Name oder der Geburtstag von Partner(in), Kind, Hund oder Wellensittich ist.
Stehlen der Passwort-Datei: Das bietet den Vorteil, nahezu endlos lang Zeit für den Angriff zu haben. Liegt die Passwort-Datei nicht in ge-hash-ter Form, sondern im Klartext vor (soll immer noch vorkommen), sind alle im Folgenden beschriebenen Maßnahmen ohnehin obsolet.
Sniffing: Das Passwort bei der Übermittlung über das Netzwerk im Kontext des jeweiligen Authentifizierungs-Handshakes mit Netzwerk-Sniffern wie Wireshark über das WLAN oder LAN abfangen. Das ist besonders erfolgversprechend bei FTP, HTTP und Telnet (ohne SSL/TLS), da diese Dienste mit Klartext-Passwörtern arbeiten.
Reply: Abfangen des kompletten „Login-Prozesses“, um damit einen Reply-Angriff starten zu können. Ist man durch Abfangen im Besitz des Nutzernamens und des Passwort-Hashes ist es durch erneute Anforderung eines Login-Prozesses und wiederholte Übermittlung des Hashs, der ja dem verschlüsselten Passwort entspricht möglich, sich erfolgreichen anzumelden. Moderne Systeme prüfen allerdings meist auch, ob die Quelle des Login-Versuches (IP-Range, Layer-2-Segment, VLAN) überhaupt zur Anmeldung bei diesem Server berechtigt ist.
Kommen wir zur Frage, wie man das Passwort herausfinden kann. Hier sind prinzipiell die Methoden Keylogger, Brute-Force-Angriff, Dictionary-Angriff und Rainbow Tables denkbar. Keylogger gehören zu den perfidesten Methoden und sind praktisch kaum zu entdecken. Allerdings braucht der Angreifer physischen Zugang zum anzugreifenden System, um den Keylogger initial zu platzieren. Brute-Force-Angriffe funktionieren prinzipiell immer, brauchen aber Zeit und immense Rechenpower.
Wir konzentrieren uns im folgenden Szenario auf einen Wörterbuch-Angriff. Ein solcher ist umso vielversprechender, je größer die Wörterbuch-Datei (kann bis in den TB-Bereich gehen) und je simpler das Passwort ist. Im folgenden Beispiel unterstellen wir, dass wir bereits im Besitz des Passwort-Hashes sind. In der Praxis müsste man die Passwort-Datei stehlen oder den Hash wie oben erwähnt z. B. durch Einsatz eines Netzwerk-Sniffers wie Wireshark abfangen.
In der vorangestellten Abbildung haben wir mit Wireshark lediglich den TCP-Handshake zum Aufbau einer klassischen FTP-Verbindung mitgeschnitten. Das Klartext-Passwort „ftpuser“ für den User „ftpuser“ ist schon unten im Rohdaten-Feld sichtbar
Hackerparagraph
Bevor wir mit dem Hacken von Passwörtern mit Hilfe von Python beginnen, müssen wir aus rechtlichen Gründen auf den Hacker-Paragraphen „Vorbereiten des Ausspähens und Abfangens von Daten“ (§202c des deutschen StGB) aus dem Jahr 2007 hinweisen. Er stellt die Beschaffung und Verbreitung von Zugangscodes zu geschützten Daten sowie auch die Herstellung und den Gebrauch von Werkzeugen, die diesem Zweck dienlich sind, als Vorbereitung einer Straftat unter Strafe (maximal zwei Jahre).
Eine juristische Stellungnahme der European Expert Group for IT Security (EICAR) geht davon aus, dass konstruktive Tätigkeiten (im Dienste der IT-Sicherheit) bei ausführlicher Dokumentation nach diesem Paragraphen nicht strafbar sind. Wer Tools wie z. B. Wireshark im Sinne des White- bzw. Ethical-Hackings beispielsweise zur Analyse und Absicherung der eigenen IT-Infrastruktur oder zu Lehr- und Demonstrationszwecken einsetzt, bewegt sich in einer in der Regel geduldeten Grauzone.
Um zu hundert Prozent auf der sicheren Seite sein, darf man z. B. Wireshark ausschließlich zur Analyse eigener Rechner und Netze bzw. im Auftrag eines Eigners einsetzen, und zwar so, dass andere Netzwerkressourcen davon nicht tangiert sind. Wer als IT-Consultant oder Arbeitnehmer offiziell mit Netzwerkanalysen oder Pentests beauftragt wird, sichert sich am besten vorher rechtlich ab (möglichst schriftlich) und dokumentiert akribisch, was er tut.
Anaconda und Jupyter
Für die Demos im zweiten Teil dieses Workshops nutzen wir im Unterschied zu unserem Python-Einführungskurs keinen Online-Interpreter, keine Kommandozeile und auch keine Python-IDE wie z. B. PyCharm. Zum Einsatz kommt dabei iPython in Form der Webapplikation Jupyter Notebook unter dem Dach der Python-Distribution Anaconda.
Bei Anaconda handelt es sich um eine so genannte Freemium-Open-Source-Distribution für die Programmiersprachen Python und R. Anaconda bringt unter anderem die Entwicklungsumgebung Spyder, den Kommandozeileninterpreter IPython und ein webbasiertes Frontend für Jupyter mit. Anaconda wird häufig dann gerne eingesetzt, wenn es um die Verarbeitung von großen Datenmengen, die Vorhersageanalyse oder wissenschaftliches Rechnen und Kryptographie geht.
Anaconda vereinfacht vor allem das Paketmanagement und die Softwareverteilung, wobei Paketversionen von der eigenen Paketverwaltung “conda“ verwaltet werden. Die Installation und Inbetriebnahme ist einfach und weitgehend selbsterklärend. Für weitere Informationen verweisen wie auf die hervorragende Anaconda Community.
Anaconda bzw. Jupyter bietet vor allem den Vorteil, dass man Code in unabhängigen „Zellen“ ausführen kann, denen jeweils eine eigene Notebook-Instanz zugrunde liegt. Trotzdem bleiben Runtime, Namensräume und Variablen beim Erzeugen einer neuen Zelle erhalten. Da es zudem den Zell-Typ-Markup gibt, dienen Jupyter Notebooks vor allem auch dazu, Code und Markups in einem eigenen „Paket“ zu bündeln und dieses im Ganzen weitergeben zu können, was besonders im Umfeld von Machine Learning sehr populär ist.
(ID:45923143)
:quality(80)/p7i.vogel.de/wcms/b3/9a/b39aa13cc05be9327f07e65ce13d19dd/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/37/9d/379dc824f9fa5329284926a630bebd85/0112390705.jpeg "Die Philosophie hinter Django lautet „Keep it simple“. (Bild: Djangoproject.com)")