Hackmeck – hack was?
Jeden zweiten Mittwoch ist „Hackmeck“ im ZTL, dem Hacker- und Makerspace in Landau. Aber was passiert da genau, was ist das „Hackmeck“?
Das Hackmeck ist unsere Version eines Hacktreffs. Wir beschäftigen uns dort ganz konkret mit dem Thema IT-Security, Schwachstellen und deren Ausnutzung. Ziel des Ganzen soll natürlich nicht das Erlernen von kriminellen Aktivitäten sein, sondern das sensibilisieren für Fehlkonfigurationen oder Sicherheitslücken.
Die Idee zu dieser Veranstaltunsgreihe (mittlerweile der am längsten laufenden Reihe im ZTL) hatte Mona, als sie angefangen hatte in einem Unternehmen als Sicherheitsspezialistin zu arbeiten. Um die eigene Kompetenz auf- und auszubauen war schnell die Idee geboren einen gemeinschaftlichen Treffpunkt zu bieten, wo sich alle mit diesem „Hacking“ auseinandersetzen können.
Das Thema ist extrem spannend. Einerseits arbeitet man ständig an der vordersten Front der Softwareentwicklung, man beobachtet aktuelle Entwicklungen und testet sie im geschützten Bereich. Andererseits probiert man selber solche Systeme auf Schwachstellen abzuklopfen. Was lag näher, als im Verein (dem ZTL e.V.) dieses Wissen weiterzugeben?
Im ZTL sind Menschen aller Interessen versammelt, junge und alte, Profis und Laien. Der eine schraubt an 3D-Druckern herum, die andere fräst Formen aus Metall, wieder andere befassen sich mit der Elektronik, dem Programmieren oder dem Lasercutter. Was uns vereint ist das Interesse an Technik und der Spaß am Entdecken, am kreativen Umgang mit der Technik.
Und damit sind wir beim Hackmeck. Mona stellt uns regelmäßig (meist Mittwochs, alle 2 Wochen) eine Aufgabe wie zum Beispiel: „Hier ist die IP-Adresse eines Rechners, der möglicherweise angreifbar ist. Ihr sollt bestimmte Daten entdecken und kopieren, dann ist die Aufgabe gelöst. Was unternehmt ihr also?“. Und dann geht es los. Wir nutzen die gleichen Software-Werkzeuge wie weniger gutmeinende Hacker. Passwort-Cracker, Directory-Fuzzer, Reverse-Shells – alles was die Werkzeugkiste eines Hackers hergibt. Damit finden wir dann erstmal heraus um was für einen Rechner es geht, wozu der dient und was mögliche Schwachstellen sein könnten. Und wenn wir einen möglichen Angriffsvektor gefunden haben, versuchen wir damit dann auf das System zu kommen. Dabei arbeiten wir im Team, die gesamte Gruppe spinnt Ideen und schlägt mögliche Angriffswege vor. Einer oder eine von uns setzt das dann am Rechner um, manchmal auch von mehreren Angreifern gleichzeitig aus. Das ist manchmal schön chaotisch, und oft sitzen wir da und wissen nicht weiter. Dann kommt Mona als „Spielleiterin“ und gibt uns hoffentlich kleine Tipps und weist darauf hin, wo wir unsere Zeit besser nicht verschwenden sollten.
Die Aufgaben (also die zu hackenden Systeme) stammen aus professionellen Quellen, die sich auf solche Maschinen spezialisert haben (HackTheBox, TryHackMe, etc…). Dabei handelt es sich immer um Simulationen, wir greifen keine echten Systeme an. Was wir aber lernen, ist wie wir unsere eigenen Rechner, sei es zu Hause oder im Betrieb schützen können. Die Szenarien unterscheiden sich oft in den Details, und das ist einer der spannenden Aspekte dieses Hackens – man muss manchmal sehr tief in die Systemwelt (Linux oder Windows) einsteigen, um die Schwachstelle zu verstehen und auszunutzen. Das ist äußerst faszinierend und lehrt uns wirklich viel. Und Spaß macht es auch noch.
Gelegentlich berichtet mal eine andere Person aus unserer Gruppe von Spezialthemen. Da geht es dann um Verschlüsselung, um Funksysteme oder um Werkzeuge wie den Flipper-Zero. Aber immer geht es um das Hacken, daran zu lernen und miteinander Spaß zu haben.
Mitmachen kann und soll jede:r. Das Niveau ist manchmal schon etwas abgehoben, und reihum gibt es immer wieder den Fall, das jemand nur nioch Bahnhof versteht. Aber das ist teil des Spiels – wir erklären uns dann gegenseitig was gerade passiert ist, finden dabei immer wieder andere Formulierungen und schaffen es am Ende doch, jeder/jedem verständlich zu machen, wie gerade dieser Trick funktioniert hat.
Also – guck doch mal rein. Termine stehen im Kalender des ZTL, hier: https://events.ztl.space