Hacken leicht gemacht: Angreifen in virtueller Trainingsumgebung

Wer sich vor Hackern schützen will, muss verstehen, wie diese arbeiten. Also schlüpfen Sie in die Rolle eines Angreifers und lernen die Tricks der Hacker!

In Pocket speichern vorlesen Druckansicht 11 Kommentare lesen

(Bild: Andreas Martini)

Lesezeit: 19 Min.
Von
  • Wilhelm Drehling
Inhaltsverzeichnis

Hacking ist keine schwarze Magie, sondern eine Fähigkeit, die man sich mit etwas Erfahrung und viel Übung aneignen kann. Und es gibt viele gute Gründe, das zu tun: Wer versteht, wie ein Hackerangriff üblicherweise abläuft, kann sich davor schützen und die größten Leckagen rechtzeitig stopfen. Wer Feuer fängt und Spaß am Aufdecken von Sicherheitsproblemen hat, dem eröffnen sich berufliche Perspektiven, etwa als gut bezahlter Penetration Tester.

Mit einer virtuellen Trainingsumgebung können Sie die Angriffstechniken der Hacker in Ihrem eigenen Tempo erlernen und müssen keine juristischen Konsequenzen fürchten, da Sie Ihre Fingerübungen am virtuellen Objekt statt an fremden Rechnern machen. Als Übungsziel dienen virtuelle Maschinen, die eigens für angehende Hacker angeboten werden. Die nötigen Hacking-Tools stellt Ihnen die Linux-Distribution Kali Linux bereit. In dem Artikel "Hacking-Tools: Werkzeuge für Experten" stellten wir diese sowie ein paar Hacking-Werkzeuge und Szenarien dafür bereits vor. Dieser Artikel beleuchtet weitere Möglichkeiten.

c't kompakt
  • Mit einer virtuellen Trainingsumgebung können Sie ohne rechtliche Konsequenzen das Hacken üben.
  • Die dafür benötigten Tools laufen in einer VM auf Windows, macOS und Linux.
  • Die VM "Mr. Robot" bietet einige Aufgaben, mit denen Sie Hacking-Techniken ausprobieren können.

Die Trainingsumgebung bauen Sie in der Virtualisierungssoftware VirtualBox auf. Die Open-Source-Software läuft unter Linux, Windows und macOS; besondere Anforderungen muss Ihr Rechner nicht erfüllen. Ein großer Arbeitsspeicher (mindestens 8 GByte) und eine SSD sind von Vorteil, aber nicht unbedingt notwendig.

Laden Sie VirtualBox (Download) von der Herstellerseite herunter und installieren Sie es. An den vorgeschlagenen Einstellungen brauchen Sie nichts zu ändern. Falls Sie VirtualBox bereits auf dem Rechner haben, sollten Sie darauf achten, dass Sie die aktuelle Version verwenden.

Kali Linux bringt mehr als 300 Hacking-Tools zur Schlacht mit.

Als Angriffswerkzeug eignet sich das einsteigerfreundliche Kali Linux. Von Haus aus enthält es mehr als 300 gängige und exotische Hacking-Tools – mehr als genug, um die VM ordentlich einzuheizen. Über die Herstellerseite können Sie Kali (Download) einfach herunterladen. Wählen Sie im Downloadbereich "Virtual Machines" aus und anschließend die 64-Bit-Version für VirtualBox, die etwa 4 GByte groß ist. Abhängig von der Übertragungsrate Ihrer Internetverbindung überbrücken Sie die Wartezeit am besten mit einer Kaffeepause.

Nach erfolgtem Download importieren Sie die virtuelle Kali-Maschine per Doppelklick auf die OVA-Datei in VirtualBox. Die Virtualisierungssoftware fragt anschließend in einem weiteren Fenster einige Parameter der VM ab, Sie benötigen aber im Normalfall nichts zu ändern. Bestätigen Sie die Einstellungen mit Klick auf "Importieren". Danach akzeptieren Sie noch die Software-Lizenzbestimmungen der VM (in diesem Fall die GPL v3) mit "Zustimmen". Kurze Zeit später ist der Import abgeschlossen.

Mehr zu: Hacking und -Tools

Jetzt fehlt nur noch ein geeignetes Angriffsziel. Verwundbare VMs bekommen Sie in Hülle und Fülle von der Website VulnHub.com. Diese bietet virtuelle Maschinen für VirtualBox und VMWare kostenlos und anmeldefrei zum Download an. Professionelle Pentester und Sicherheitsfirmen haben diese Maschinen als Übungsziele entwickelt und teilen sie mit der Hacking-Community. Viele der VMs enthalten Webserver und sind mit absichtlich hinterlegten Lücken gespickt.

Die virtuellen Maschinen sind häufig wie Rätselspiele aufgebaut: Die Entwickler belohnen Sie während des Hacks mit Meilensteinen. Oft sind das Zahlenkombinationen mit dem Kürzel "Flag" davor, etwa "Flag: 63742d6d6167617a696e". Die sind in der Übungsmaschine versteckt und wollen entdeckt werden, beispielsweise im Verzeichnis des Admins. Manche Flags liegen im Klartext als Textdatei auf dem Server, andere müssen Sie erst aufbrechen, weil sie verschlüsselt sind. Bei VulnHub gibt es tausende VMs unterschiedlicher Schwierigkeit, sodass sowohl Anfängern als auch Profi-Hackern das Futter nicht so schnell ausgeht. Wie zuvor bei Kali, installieren Sie die VMs wieder mit Doppelklick auf die OVA-Datei.

Die virtuelle Maschine QUAOAR richtet sich an Einsteiger. Ihr Webserver liefert eine schicke Grafik in Hacker-Ästhetik.

Für blutige Anfänger ist zum Beispiel die Maschine "Basic Pentesting: 1" gut geeignet. Der Webserver ähnelt einem Schweizer Käse und verspricht daher schnelle Erfolgserlebnisse. Hier führen gleich mehrere Wege zum Ziel, weshalb sich die VM zudem perfekt eignet, um unterschiedliche Tools und Angriffstechniken auszuprobieren. Auch die QUAOAR-VM ist sehr einsteigerfreundlich. Deren Flaggen können Sie mit wenigen Tools und überschaubarem Aufwand einsammeln.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Weitere empfehlenswerte Übungsziele sind "the necromancer" mit elf Flags und "the Wall". Beide erzählen eine fortlaufende Geschichte und sind gut dokumentiert. Wenn Sie fündig geworden sind, laden Sie Ihr zukünftiges Angriffsobjekt über "Download (Mirror)" herunter. Falls Sie noch unentschlossen sind, können Sie einfach zu "Mr. Robot" greifen. Inspiriert von der gleichnamigen Serie sind in der VM außer drei Flaggen auch noch einige Easter Eggs versteckt. Die Schwierigkeit steigt mit jeder erlangten Flagge. Da sich diese VM großer Beliebtheit erfreut, gibt es viele Walkthroughs, also Schritt-für-Schritt Anleitungen von Nutzern, welche die Flaggen bereits erfolgreich erobert haben.