Hacken leicht gemacht: Angreifen in virtueller Trainingsumgebung

Hacking ist keine schwarze Magie, sondern eine Fähigkeit, die man sich mit etwas Erfahrung und viel Übung aneignen kann. Und es gibt viele gute Gründe, das zu tun: Wer versteht, wie ein Hackerangriff üblicherweise abläuft, kann sich davor schützen und die größten Leckagen rechtzeitig stopfen. Wer Feuer fängt und Spaß am Aufdecken von Sicherheitsproblemen hat, dem eröffnen sich berufliche Perspektiven, etwa als gut bezahlter Penetration Tester.

Mit einer virtuellen Trainingsumgebung können Sie die Angriffstechniken der Hacker in Ihrem eigenen Tempo erlernen und müssen keine juristischen Konsequenzen fürchten, da Sie Ihre Fingerübungen am virtuellen Objekt statt an fremden Rechnern machen. Als Übungsziel dienen virtuelle Maschinen, die eigens für angehende Hacker angeboten werden. Die nötigen Hacking-Tools stellt Ihnen die Linux-Distribution Kali Linux bereit. In dem Artikel "Hacking-Tools: Werkzeuge für Experten" stellten wir diese sowie ein paar Hacking-Werkzeuge und Szenarien dafür bereits vor. Dieser Artikel beleuchtet weitere Möglichkeiten.

Trainingsumgebung aufbauen

Die Trainingsumgebung bauen Sie in der Virtualisierungssoftware VirtualBox auf. Die Open-Source-Software läuft unter Linux, Windows und macOS; besondere Anforderungen muss Ihr Rechner nicht erfüllen. Ein großer Arbeitsspeicher (mindestens 8 GByte) und eine SSD sind von Vorteil, aber nicht unbedingt notwendig.

Laden Sie VirtualBox (Download) von der Herstellerseite herunter und installieren Sie es. An den vorgeschlagenen Einstellungen brauchen Sie nichts zu ändern. Falls Sie VirtualBox bereits auf dem Rechner haben, sollten Sie darauf achten, dass Sie die aktuelle Version verwenden.

Als Angriffswerkzeug eignet sich das einsteigerfreundliche Kali Linux. Von Haus aus enthält es mehr als 300 gängige und exotische Hacking-Tools – mehr als genug, um die VM ordentlich einzuheizen. Über die Herstellerseite können Sie Kali (Download) einfach herunterladen. Wählen Sie im Downloadbereich "Virtual Machines" aus und anschließend die 64-Bit-Version für VirtualBox, die etwa 4 GByte groß ist. Abhängig von der Übertragungsrate Ihrer Internetverbindung überbrücken Sie die Wartezeit am besten mit einer Kaffeepause.

Nach erfolgtem Download importieren Sie die virtuelle Kali-Maschine per Doppelklick auf die OVA-Datei in VirtualBox. Die Virtualisierungssoftware fragt anschließend in einem weiteren Fenster einige Parameter der VM ab, Sie benötigen aber im Normalfall nichts zu ändern. Bestätigen Sie die Einstellungen mit Klick auf "Importieren". Danach akzeptieren Sie noch die Software-Lizenzbestimmungen der VM (in diesem Fall die GPL v3) mit "Zustimmen". Kurze Zeit später ist der Import abgeschlossen.

Angriffsziel wählen

Jetzt fehlt nur noch ein geeignetes Angriffsziel. Verwundbare VMs bekommen Sie in Hülle und Fülle von der Website VulnHub.com. Diese bietet virtuelle Maschinen für VirtualBox und VMWare kostenlos und anmeldefrei zum Download an. Professionelle Pentester und Sicherheitsfirmen haben diese Maschinen als Übungsziele entwickelt und teilen sie mit der Hacking-Community. Viele der VMs enthalten Webserver und sind mit absichtlich hinterlegten Lücken gespickt.

Die virtuellen Maschinen sind häufig wie Rätselspiele aufgebaut: Die Entwickler belohnen Sie während des Hacks mit Meilensteinen. Oft sind das Zahlenkombinationen mit dem Kürzel "Flag" davor, etwa "Flag: 63742d6d6167617a696e". Die sind in der Übungsmaschine versteckt und wollen entdeckt werden, beispielsweise im Verzeichnis des Admins. Manche Flags liegen im Klartext als Textdatei auf dem Server, andere müssen Sie erst aufbrechen, weil sie verschlüsselt sind. Bei VulnHub gibt es tausende VMs unterschiedlicher Schwierigkeit, sodass sowohl Anfängern als auch Profi-Hackern das Futter nicht so schnell ausgeht. Wie zuvor bei Kali, installieren Sie die VMs wieder mit Doppelklick auf die OVA-Datei.

Für blutige Anfänger ist zum Beispiel die Maschine "Basic Pentesting: 1" gut geeignet. Der Webserver ähnelt einem Schweizer Käse und verspricht daher schnelle Erfolgserlebnisse. Hier führen gleich mehrere Wege zum Ziel, weshalb sich die VM zudem perfekt eignet, um unterschiedliche Tools und Angriffstechniken auszuprobieren. Auch die QUAOAR-VM ist sehr einsteigerfreundlich. Deren Flaggen können Sie mit wenigen Tools und überschaubarem Aufwand einsammeln.

Weitere empfehlenswerte Übungsziele sind "the necromancer" mit elf Flags und "the Wall". Beide erzählen eine fortlaufende Geschichte und sind gut dokumentiert. Wenn Sie fündig geworden sind, laden Sie Ihr zukünftiges Angriffsobjekt über "Download (Mirror)" herunter. Falls Sie noch unentschlossen sind, können Sie einfach zu "Mr. Robot" greifen. Inspiriert von der gleichnamigen Serie sind in der VM außer drei Flaggen auch noch einige Easter Eggs versteckt. Die Schwierigkeit steigt mit jeder erlangten Flagge. Da sich diese VM großer Beliebtheit erfreut, gibt es viele Walkthroughs, also Schritt-für-Schritt Anleitungen von Nutzern, welche die Flaggen bereits erfolgreich erobert haben.

Sicherheitsvorkehrungen treffen

Lassen Sie die Maschinen aber noch eine Weile ruhen, denn bevor Sie loshacken können, müssen Sie noch eine Sicherheitsvorkehrung treffen. Damit echte Hacker die durchlöcherten Übungsmaschinen nicht als Einfallstor in Ihr Netzwerk missbrauchen, müssen Sie die VMs isoliert betreiben. Das bedeutet, dass Kali Linux und die Übungs-VM getrennt von Ihrem System in einem virtuellen Netz miteinander kommunizieren. So ist außerdem sichergestellt, dass aus dem Übungsnetz keine Zugriffe auf Ihren Rechner oder Ihr Netz möglich sind und Sie nicht versehentlich das falsche Ziel attackieren.

Wählen Sie mit Linksklick in VirtualBox die noch ruhende Kali-VM aus und klicken Sie mittig oben auf das Zahnradsymbol ("Ändern"). Daraufhin ploppt ein Fenster mit mehreren Optionen auf. In dem Menü können Sie jederzeit an der VM herumschrauben, beispielsweise die Maschine umbenennen oder ihr mehr Arbeitsspeicher zuweisen. Einige Einstellungen können Sie nur verändern, während die Maschine nicht läuft.

Wählen Sie in dem Menü "Netzwerk" aus. Klappen Sie unter "Angeschlossen an" das Drop-down-Menü auf und wechseln Sie zu "Internes Netzwerk". Direkt darunter füllt VirtualBox das Feld "Name" automatisch mit "intnet" aus. An dieser Stelle können Sie dem virtuellen Netz einen Namen Ihrer Wahl geben (zum Beispiel "Hacking-Umgebung"). Fügen Sie die andere VM mit den Übungsaufgaben nach dem gleichen Prinzip dem Hacking-Netz hinzu.

Die VMs befinden sich jetzt zwar in einem internen Netzwerk, können aber noch nicht miteinander sprechen. Die virtuellen Maschinen benötigen dafür eine IP-Adresse, die sie am besten von einem DHCP-Server bekommen. VirtualBox startet einen solchen Server, wenn Sie es darum bitten. Falls Sie die Umgebung unter Windows aufgesetzt haben, müssen Sie dafür zuerst zum VirtualBox-Speicherort gelangen. Öffnen Sie die Kommandozeile – etwa durch Windows-Taste+R und Eingabe von cmd – und tippen Sie

cd "\Program Files\Oracle\VirtualBox"

ein. Mit dem Befehl

vboxmanage dhcpserver add --network=Hacking-Umgebung --server-ip=10.10.1.1 --lower-ip=10.10.1.2 --upper-ip=10.10.1.20 --netmask=255.255.255.0 --enable

erstellt die Virtualisierungssoftware einen DHCP-Server für das virtuelle Netzwerk. Der Server bekommt die IP-Adresse 10.10.1.1 und verteilt Adressen im Bereich von 10.10.1.2 bis 10.10.1.20. Unter macOS und Linux können Sie den Befehl direkt ausführen, ohne zuvor in das Programmverzeichnis zu wechseln.

Erste Schritte mit Kali

Zurück zu VirtualBox: Starten Sie per Doppelklick auf Kali Linux Ihr Angriffswerkzeug. Sobald der Anmeldeschirm erscheint, tippen Sie als Benutzername und Passwort "kali" ein. Es kann passieren, dass die Oberfläche der VM recht klein und zerknautscht aussieht, insbesondere wenn Sie einen 1440p- oder 4K-Bildschirm benutzen. Um das zu korrigieren, können Sie die Oberfläche skalieren. Klicken Sie hierzu in der Menüleiste des VM-Fensters auf "Anzeige/Virtueller Monitor 1" und wählen Sie zum Beispiel "Auf 200 Prozent skalieren". Falls Sie die Auflösung ändern möchten, erledigen Sie dies am besten später über die "Anzeige"-Einstellungen innerhalb der laufenden VM.

Bevor Sie mit Kali loshacken, sollten Sie zuerst prüfen, ob die VM auch wie gewünscht eine IP-Adresse vom DHCP-Server erhalten hat. Öffnen Sie dafür eine Konsole, indem Sie innerhalb der Kali-VM oben links auf der Leiste das schwarze Terminalsymbol anklicken. Alternativ klappt das auch mit der Tastenkombination Strg+Alt+T. Merken Sie sich, wie das geht, beim Hacken ist die Konsole Ihr bester Freund.

Tippen Sie ip address ein und bestätigen Sie die Eingabe mit Enter. Unter eth0 steht in Lila eine IP-Adresse. Diese sollte in dem Bereich von 10.10.1.2 bis 10.10.1.20 aus dem DHCP-Befehl liegen. Stimmt die angezeigte IP-Adresse nicht, müssen Sie sich wohl oder übel auf die Fehlersuche machen. Zuerst sollten Sie den Befehl zur Einrichtung des DHCP-Servers auf Tippfehler untersuchen. Manchmal muss man auch in der Menüzeile der Kali-VM unter Geräte/Netzwerk das Netzwerk noch einmal neu verbinden.

Kali benutzt als Standardkonfiguration ein QWERTY-Tastaturlayout. Doch das können Sie schnell ändern, genauso wie die Sprache der Oberfläche. Klicken Sie einfach ganz oben links auf das Menüsymbol, das sich als kleiner Drache tarnt. In dem jetzt geöffneten Menü befindet sich links unten der Eintrag "Settings". Halten Sie den Mauszeiger darauf und wählen Sie anschließend aus der rechten Spalte "Keyboard" aus.

Klicken Sie in den Keyboard-Einstellungen auf "Layout" und deaktivieren Sie "Use system defaults". Unten links fügen Sie über "+Add" das deutsche Tastaturlayout hinzu. Über die Untervarianten brauchen Sie sich nicht den Kopf zu zerbrechen, ein Doppelklick auf "German" genügt. Abschließend können Sie das ursprünglich eingestellte US-Tastaturlayout löschen, indem Sie auf "English (US)" klicken und danach auf "Remove".

Falls Sie die Sprache der Oberfläche auf Deutsch ändern möchten, müssen Sie noch mal eine Konsole öffnen und

sudo localectl set-locale LANG=de_DE.UTF-8

eintippen. Wenn Sie nach dem Passwort für "kali" gefragt werden, geben Sie wieder "kali" ein und bestätigen die Eingabe mit Enter. Das System übernimmt die Änderungen erst mit der nächsten Anmeldung. Melden Sie sich daher über den Logout-Knopf ganz oben rechts ab und anschließend wieder an. Kali fragt noch nach, ob es die Namen der Standardverzeichnisse übersetzen soll, was Sie bestätigen können. Weitere Anpassungen und Tricks, damit Sie sich in Kali wohlfühlen, lesen Sie im Artikel "Hacking-Tools: Hacking-Stick mit Kali Linux einrichten".

Angriffsobjekt hacken

Jetzt gehts endlich in die Vollen: Starten Sie die verwundbare VM per Doppelklick in der VirtualBox-Oberfläche, zum Beispiel Mr. Robot. Die Ziel-VM können Sie danach minimieren, da die angreifbaren Server jetzt den Dienst aufgenommen haben und es hier nichts weiter zu sehen gibt. Wechseln Sie zurück zu Kali und scannen Sie Ihr virtuelles Netzwerk mit dem Konsolenbefehl sudo netdiscover -r 10.10.1.0/24. Nachdem Sie das kali-Passwort eingetippt haben, macht sich netdiscover an die Arbeit.

Bei Mr. Robot sollte netdiscover die IP-Adresse 10.10.1.3 entdecken, neben der IP des DHCP-Servers. Wenn die IP-Adressen aufploppen, können Sie den Scan mit der Taste q beenden.

Als Erstes sollten Sie das Angriffsobjekt genau untersuchen, sprich: So viele Informationen wie möglich sammeln. Um nicht den Überblick zu verlieren und um sich doppelte Arbeit zu ersparen, sollten Sie Ihre Erkenntnisse von Anfang an dokumentieren. Erstellen Sie dafür am besten einen Ordner auf dem Desktop plus eine Textdatei zu Mr. Robot. Schreiben Sie alle im Laufe der Übung gewonnenen Informationen und Erkenntnisse in das Dokument. Sollten Sie die Maschine am Ende erfolgreich hacken, haben Sie mit der Textdatei nicht nur eine Schritt-für-Schritt-Anleitung erstellt, sondern auch eine Ansammlung aller benutzten Befehle, die zum Lösen weiterer Übungs-VMs äußerst hilfreich sein können.

Mit dem Netzwerkscanner nmap [3] tasten Sie sich langsam an die Maschine heran und klopfen ab, auf welchen Ports Server auf der anderen Seite lauschen. Nach Eingabe des Befehls nmap 10.10.1.3 spuckt der Scanner gleich drei erreichbare Ports aus:

Nmap scan report for 10.10.1.3
(...)
PORT    STATE  SERVICE
22/tcp  closed ssh
80/tcp  open   http
443/tcp open   https

Üblicherweise verbergen sich hinter den Ports 80 (http) und 443 (https) Webserver, die Sie einfach über den Webbrowser inspizieren können. Die Website auf dem HTTP-Port 80 rufen Sie auf, indem Sie den Browser über das Kali-Menü starten und http://10.10.1.3 in seine Adressleiste tippen.

Als würde man einen Theatervorhang lüften, spielt die Website eine kleine Show ab: Eine interaktive Konsole öffnet sich und Mr. Robot persönlich begrüßt Sie. Es gibt viele spannende Dinge auf der Konsole zu entdecken, von kleinen Videos bis Textausschnitten ist alles dabei. Probieren Sie einfach mal die gelisteten Befehle durch.

Das ist zwar unterhaltsam, eine offensichtliche Angriffsfläche zur Übernahme des Servers bietet diese Konsole aber nicht. Daher sollten Sie wieder einen Schritt zurück in die Kali-Shell gehen und weitersuchen. Erneut ist nmap das Werkzeug der Wahl. Denn der Netzwerkscanner kann viel mehr als nur Ports abklopfen: Mit dem mitgelieferten Skript http-enum versucht er etwa, versteckte Dateien und verborgene URLs aufzustöbern, indem er eine Liste gängiger Pfadnamen wie /admin/ durchprobiert. Um das Skript zu nutzen, müssen Sie den Scan-Befehl nur um den Parameter --script und das gewünschte Skript erweitern:

nmap 10.10.1.3 --script=http-enum

Nmap scannt zunächst wieder nach offenen Ports und probiert bei den entdeckten Webservern anschließend etliche URL-Pfade aus. Bei Mr. Robot wird der Scanner nach einiger Zeit gleich mehrfach fündig.

Nmap-Scan

Nmap scan report for 10.10.1.3
(...)
PORT    STATE  SERVICE
22/tcp  closed ssh
80/tcp  open   http
| http-enum: 
|   /admin/: Possible admin folder
|   /admin/index.html: Possible admin folder
|   /wp-login.php: Possible admin folder
|   /robots.txt: Robots file
|   /feed/: Wordpress version: 4.3.1
|   /wp-includes/images/rss.png: Wordpress version 2.2 found.
|   /wp-includes/js/jquery/suggest.js: Wordpress version 2.5 found.
|   /wp-includes/images/blank.gif: Wordpress version 2.6 found.
|   /wp-includes/js/comment-reply.js: Wordpress version 2.7 found.
|   /wp-login.php: Wordpress login page.
|   /wp-admin/upgrade.php: Wordpress login page.
|   /readme.html: Interesting, a readme.
|   /0/: Potentially interesting folder
|_  /image/: Potentially interesting folder
443/tcp open   https
(...)

Ein ausführlicherer Scan mit nmap und dem Skript http-enum enthüllt viele Informationen über die Übungs-VM "Mr. Robot". Das Skript hat durch Erraten mehrere URLs aufgespürt, darunter Log-in-Seiten, Textdateien und HTML-Seiten.

Die Ausgabe des Scans liefert viele spannende Informationen, doch bevor Sie diesen nachgehen, sollten Sie das Scanergebnis per Zwischenablage in Ihre Textdatei einfügen. Am besten markieren Sie dazu den Text und kopieren ihn nach einem Rechtsklick und Auswahl von "Auswahl kopieren" oder durch Strg+Umschalt+C.

Der Scan liefert viele neue Ansatzpunkte: Sie wissen jetzt zum Beispiel, dass auf dem Server höchstwahrscheinlich eine Wordpress-Installation läuft und kennen außerdem die dazugehörigen URL zum Einloggen (/wp-login.php). Falls Sie später mal an einen gültigen Wordpress-Benutzernamen kommen, können Sie hierüber eine Brute-Force-Attacke auf das Passwort starten.

Steuern Sie alle entdeckten URL über den Browser an, um sich einen Überblick zu verschaffen. Interessant sehen etwa /readme.html und /robots.txt aus. Erstere entpuppte sich jedoch als Sackgasse: Beim Aufruf speist Sie Mr. Robot mit folgendem Satz ab: "I like where your head is at. However im not going to help you."

Die Textdatei robots.txt ist nicht unüblich bei Wordpress-Installationen. Auch wenn der Name so wirkt, als hätten sich die Entwickler den für Mr. Robot ausgedacht, stammt die Bezeichnung noch aus den Neunzigerjahren des Internets. Die Textdatei schreibt Suchmaschinen- und anderen Bots vor, welche Bereiche des Webservers sie indexieren dürfen – und welche nicht. Hacker interessieren sich natürlich für genau die Bereiche, die der Webmaster aus den Suchmaschinen fernhalten will. Es lohnt sich daher oft, einen Blick auf die Datei zu werfen. So auch in diesem Fall: Steuern Sie http://10.10.1.3/robots.txt im Browser an. Auf der weißen Seite finden Sie drei kurze Zeilen.

User-agent: *
fsocity.dic
key-1-of-3.txt

Zeile zwei und drei sind besonders interessant, sie liefern Hinweise zu zwei weiteren Dateien. Sowohl fsocity.dic als auch key-1-of-3.txt befinden sich im Hauptverzeichnis des Webservers. Sie können auch diese Dateien mit dem Browser öffnen, am besten nutzen Sie aber gleich den wget-Befehl auf der Shell, um die Dateien zu speichern. Für key-1-of-3.txt lautet er zum Beispiel:

wget http://10.10.1.3/key-1-of-3.txt

Der Befehl speichert die Textdatei in das aktuelle Arbeitsverzeichnis. Öffnen Sie die Datei key-1-of-3.txt per Doppelklick im Datei-Explorer. Sie werden feststellen, dass Sie gerade Ihre erste Flagge erobert haben – herzlichen Glückwunsch! In "Mr. Robot" heißen die Flaggen "keys". Das geübte Auge erkennt, dass die Flagge 073403c8a58a1f80d943455fb30724b9 hexadezimal kodiert ist. Eine Umwandlung nach ASCII ergab aber nur Kauderwelsch, das keinen tieferen Sinn zu haben scheint.

Weitere Tools

Laden Sie auch die Datei fsocity.dic mit wget herunter. Es handelt sich offenbar um ein Wörterbuch: Es enthält hunderttausende Einträge mit bisher unbekanntem Zweck. Das könnten Nutzernamen oder Passwörter sein. Das bringt Sie jetzt zwar nicht weiter, die Datei könnte jedoch später noch mal nützlich sein.

Also zurück zur Kali-Shell. Um weitere Informationen über den Server zu sammeln, können Sie das auf Webserver spezialisierte Scan-Tool nikto benutzen. Das fast 20 Jahre alte Tool kennt mehr als 7500 der gängigsten URLs und Schwachstellen, die es nacheinander durchprobiert. Tippen Sie dafür

nikto -host 10.10.1.3

in die Konsole. Nach einer Weile präsentiert nikto seine Ergebnisse. Viele Informationen sind deckungsgleich mit dem Ergebnis des nmap-Scans, aber es scheint, als sei nmap unter anderem die Datei license.txt durch die Finger geglitten.

Nikto-Scan

- Nikto v2.1.6/2.1.5
(...)
+ OSVDB-3092: GET /admin/: This might be interesting...
+ OSVDB-3092: GET /readme: This might be interesting...
+ GET Uncommon header 'link' found, with contents: <http://10.10.1.3/?p=23>; rel=shortlink
+ GET /wp-links-opml.php: This WordPress script reveals the installed version.
+ OSVDB-3092: GET /license.txt: License file found may identify site software.
+ GET /admin/index.html: Admin login page/section found.
+ GET Cookie wordpress_test_cookie created without the httponly flag
+ GET /wp-login/: Admin login page/section found.
+ GET /wordpress: A Wordpress installation was found.
+ GET /wp-admin/wp-login.php: Wordpress login found
+ GET /wordpresswp-admin/wp-login.php: Wordpress login found
+ GET /blog/wp-login.php: Wordpress login found
+ GET /wp-login.php: Wordpress login found
+ GET /wordpresswp-login.php: Wordpress login found

Die Suchergebnisse des Website-Scanners nikto decken sich größtenteils mit denen von nmap. Das Tool arbeitet aber etwas gründlicher und entdeckt zusätzlich die Datei license.txt auf dem Server, die sich als äußerst nützlich erweist.

Leider stellt sich auch diese Datei als totes Ende heraus. Beim Aufruf dieser URL beleidigt "Mr. Robot" Sie recht unhöflich mit: "what you do just pull code from Rapid9 or some s@#% since when did you become a script kitty?". Oder ist das etwa doch keine Sackgasse? Hartnäckigkeit zahlt sich beim Hacking oft aus: Im Gegensatz zu /readme.html können Sie auf der Seite scrollen. Nach einer Weile fragt die Seite: "do you want a password or something?". Schön wärs. Ganz unten auf der Seite überreicht "Mr. Robot" Ihnen ein Präsent als Base64-kodierte Zeile ZWxsaW900kVSMjgtMDY1Mgo=. Dass es sich wahrscheinlich um Base64 handelt, erkennen Sie an dem Gleichheitszeichen am Ende der Zeichenkette.

Jetzt sind Sie gefragt!

An dieser Stelle lassen wir Sie mit Mr. Robot allein. Sie haben jetzt einen guten Eindruck davon, wie Sie vorgehen können, um die Flags zu erobern und die Übungs-VM zu bezwingen. Versuchen Sie die Base64-Zeile über die Konsole oder einen Webdienst zu dekodieren. Benutzen Sie alle gesammelten Informationen einschließlich der Wörterbuchdatei fsocity.dic, um Zugriff auf den Server zu bekommen.

Wenn Sie mal nicht weiterkommen, schauen Sie einfach in einem der zahlreichen Walkthroughs nach. Das ist etwas wie Schummeln, aber der Lerneffekt ist trotzdem da. Und darum geht es bei dem Übungs-Hacking ja letztlich.

Fröhliches Hacken!

Im Beitrag "Hacken am Beispiel lernen: Programme geschickt austricksen" können Sie an einem Beispiel-Hack Schritt für Schritt nachvollziehen, wie Hacker vorgehen, wenn sie ein Angriffsziel im Visier haben.

c’t – Europas größtes IT- und Tech-Magazin

Alle 14 Tage präsentiert Ihnen Deutschlands größte IT-Redaktion aktuelle Tipps, kritische Berichte, aufwendige Tests und tiefgehende Reportagen zu IT-Sicherheit & Datenschutz, Hardware, Software- und App-Entwicklungen, Smart Home und vielem mehr. Unabhängiger Journalismus ist bei c't das A und O.

• c’t-Ausgaben online lesen
• c’t im heise-Shop kaufen

(wid)