Disclaimer
Zunächst möchte ich betonen, dass das Betreiben von Hackingaktivitäten auf Webseiten, Servern, Apps usw. nur mit entsprechender Genehmigung erlaubt ist. Ohne diese Genehmigung kann es rechtliche Konsequenzen geben. Es gibt jedoch Plattformen, die kostenfrei Testsysteme bereitstellen und es dir ermöglichen, deine Fähigkeiten legal und sicher zu erweitern.
Einführung
Du bist in diesem Blogbeitrag gelandet, weil du Interesse daran hast, das Handwerk des Ethical Hackings zu lernen. Herzlichen Glückwunsch zu deiner Entscheidung! Bevor wir beginnen, müssen einige Punkte geklärt werden: Was ist Ethical Hacking? Was ist Penetration Testing? Unter welchen Bedingungen darf man Webseiten, Server, Smartphones oder Apps hacken?
Was ist Ethical Hacking und Penetration Testing?
Ethical Hacking und Penetration Testing sind eng miteinander verwandt, aber es gibt wesentliche Unterschiede zwischen den beiden Konzepten:
Ethical Hacking
Ethical Hacking ist ein umfassender Begriff, der alle Aktivitäten umfasst, die darauf abzielen, die Sicherheit von IT-Systemen zu bewerten und zu verbessern. Ein Ethical Hacker, oft auch als „White Hat“ bezeichnet, nutzt seine Fähigkeiten, um Schwachstellen in Computersystemen, Netzwerken oder Anwendungen zu identifizieren und zu beheben. Dabei hält er sich strikt an gesetzliche und ethische Richtlinien und arbeitet in der Regel im Auftrag der Systembesitzer, um deren Daten und Infrastruktur zu schützen. Ethical Hacking beinhaltet nicht nur technische Tests, sondern auch das Entwickeln von Strategien zur Sicherheitsverbesserung und die Schulung von Mitarbeitern.
Penetration Testing
Penetration Testing, oder Pentesting, ist ein spezialisierter Teilbereich des Ethical Hackings. Es handelt sich um einen gezielten, simulierten Angriff auf ein IT-System, um spezifische Schwachstellen zu identifizieren. Penetration Tests sind in der Regel zeitlich begrenzt und konzentrieren sich auf bestimmte Ziele und Systeme. Der Prozess umfasst die Planung und Durchführung von Tests, die Dokumentation der entdeckten Schwachstellen und die Empfehlung von Maßnahmen zur Behebung dieser Schwachstellen. Pentester arbeiten oft nach vorgegebenen Methoden und Standards, um sicherzustellen, dass die Tests reproduzierbar und die Ergebnisse nachvollziehbar sind.
Unter welchen Bedingungen darf man hacken?
Hacken darf man nur unter bestimmten Bedingungen:
- Mit ausdrücklicher schriftlicher Genehmigung des Eigentümers des Systems.
- Innerhalb von speziellen Plattformen und Testumgebungen, die dafür vorgesehen sind, wie z.B. Hack The Box oder Bug Bounty-Programme.
- Unter Beachtung aller gesetzlichen Vorschriften und ethischen Richtlinien.
Welche Themenfelder umfasst das Hacken?
Das Hacking umfasst eine Vielzahl von Bereichen, die jeweils spezielle Kenntnisse und Fähigkeiten erfordern. Hier einige Beispiele:
Penetration Testing: Simulierte Angriffe auf Computersysteme und Netzwerke, um Sicherheitslücken zu identifizieren und zu beheben.
Social Engineering: Manipulation von Personen, um vertrauliche Informationen preiszugeben. Dies kann durch Phishing, Pretexting oder andere Täuschungsmethoden erfolgen.
Red Teaming: Red Teaming ist ein umfassender Ansatz zur Sicherheitsüberprüfung, bei dem eine Gruppe von Sicherheitsexperten versucht, ein Unternehmen aus der Perspektive eines realen Angreifers zu kompromittieren.
Reverse Engineering: Analyse und Dekompilierung von Software, um deren Funktionsweise zu verstehen und Schwachstellen zu entdecken.
Network Security: Schutz von Netzwerken vor unbefugtem Zugriff, Datenverlust und anderen Bedrohungen durch die Implementierung von Firewalls, Intrusion Detection Systems (IDS) und anderen Sicherheitsmaßnahmen.
Web Application Security: Schutz von Webanwendungen vor Bedrohungen wie SQL Injection, Cross-Site Scripting (XSS) und anderen Schwachstellen.
Voraussetzungen
Es ist von Vorteil, wenn du einen technischen Hintergrund hast und mit Konzepten wie HTTP, HTTPS, TLS, RESTful APIs, Webservern, 2FA, Reverse Proxies und mehr vertraut bist. Solltest du diese Voraussetzungen nicht mitbringen, musst du dir diese Grundlagen aneignen, was mehr Mühe erfordern wird. Lass dich aber davon nicht abhalten. Es ist keine schwarze Magie und kann von jedem erlernt werden.
Schritt 0: Lerne so viel wie möglich über die technischen Konzepte
Solltest du bereits die technischen Konzepte kennen, kannst du zu Schritt 1 übergehen. Andernfalls empfehle ich dir, dir die Grundlagen anzueignen. Es gibt auf YouTube sehr gute Videos/Playlists zum Thema Ethical Hacking, IT-Sicherheit und weiteren technischen Themen, die kostenfrei sind:
Blog
- Open Redirect
- HTTPS
- Brute Force
- XSS mit XXStrike
- NMAP Schwachstellen Scanner
- OSINT
- Hacker Tools, die man kennen sollte
- Vhishing
- 2-Faktor-Authentifizierung
- SQL Injektion
- XSS
- Unterschied Cybersicherheit / Informationssicherheit / IT-Sicherheit
- Red Teaming
- CIA
- CVE
- Phishing
- Zero Day
- OWASP Top 10 Schwachstellen
- Pentesting
YouTube
Schritt 1: Lernen durch Nachmachen
Hacking ist ein Handwerk, das viel Übung erfordert. Nachdem du die Grundkonzepte kennengelernt hast, solltest du direkt anfangen, praktisch zu üben. Sollten währenddessen Konzepte oder anderes Wissen fehlen, kannst du diese einfach „just in time“ nachlernen, indem du einfach eine Suche in Google oder YouTube durchführst. Ich möchte dir HackTheBox (HTB) und die Videos von IppSec ans Herz legen. Diese Videos sind sehr ausführlich und IppSec erläutert das Vorgehen und die Denkweise sehr ausführlich:
Beginne damit und nimm dir die nötige Zeit, um dich weiterzubilden. Dein Durst nach Wissen und deine Begeisterung sind essentiell, um in diesem Bereich erfolgreich zu sein. Wichtig: Es wird Tage geben, an denen du keine einzige Schwachstelle findest und am Verzweifeln bist, aber hier gilt: „Wer dran bleibt, der findet irgendwann“. In diesem Sinne: Happy Hacking!
Weitere Blogbeiträge zu diesem Thema folgen bald. Sei gespannt und bleib am Ball!