hanseflow - Unternehmensberatung für Salesforce

Lernen Sie uns kennenLernen Sie uns kennen

Passend zum aktuellen NSA Hack: Ein Interview mit Matthias Ungethuem (unnex).

Du nennst dich einen Hacker? Warum?

Ja, ich nenne mich einen Hacker, denn ich bin nun mal ein IT – Interessierter, welcher mit Herz und Seele dabei ist. Ich versuche soviel wie möglich zu
lernen, weiter zu geben und zur Sicherheit des Internets beizutragen.
Ich finde, der gute Wille bzw. gute Taten im IT-Bereich und das Interesse
am selbigen machen einen guten “Hacker” aus.

Findest du das Wort “Hacker” für deine Arbeit passend?

Klar 🙂 Bei meiner Arbeit mache ich nichts anderes als hacken, user
in Sachen IT-Sicherheit zu beraten, gefundene Lücken zu Reporten oder
direkt zu beheben. Eine bessere Arbeit könnte ich mir gar nicht vorstellen.
Natürlich ist dieser Service immer an die entsprechende Entlohnung gekoppelt.
Ich habe jahrelang solche Tests auf den verschiedensten Seiten und für die
verschiedensten Firmen für lau gemacht, leider kam irgendwann der Tag an dem
ich mittels anderer Bezugsquellen nicht mehr genügend Geld verdienen konnte, um
über die Runden zu kommen. Also machte ich einfach mein Hobby des Hackens zum
Beruf, deswegen finde ich dass man meine Arbeiten, die freie und
kommerziellen Dinge gut zum Wort “Hacker” passen.

Wie kommst du zu deinem Nickname?

Ich nutze meinen Nickname “unnex” nun schon mindestens 7 Jahre Nur leider weiß ich
nicht mehr genau wie er entstanden ist…
Wer auf www.unnex.de oder www.blacknet.me
mal ins Impressum sieht, wird dort auf meinen etwas ungewöhnlichen Nachnamen
stoßen. Mein Nickname ist zum Teil aus diesem Nachname entstanden.

Hast du dich explizit auf IT-Sicherheit spezialisiert?

Spezialisiert schon, aber mein Interesse gilt aber natürlich allen Dingen des IT-Bereichs.
IT-Sicherheit beinhaltet den Großteil des ganzen IT Wesens, denn man muss möglichst viele,
Programmiersprachen können, die neuesten Systeme kennen und und und. Alles was von
Menschenhand gebaut wurde kann Fehler haben und besonders im IT-Bereich. Nicht zu vergessen,
dass die Menschen oft selbst die Fehler machen, welche man als Angreifer gebrauchen kann!
Ich versuche mich eben in allen Bereichen der Informationstechnik weiter zu bilden und speziell die Sicherheit hat es mir nun mal ganz besonders angetan.

Ist dir jeder Schritt klar während eines Hacks?

Um ehrlich zu sein, nein.
Es wäre wohl auch langweilig wenn man immer wüsste, was man gerade anstellt!
Natürlich weiß ich, dass ich hacke oder gerade versuche ein
Backdoor ein zu pflanzen oder jemand am Telefon weiß mache, dass es i.O. ist wenn er mir ein
paar Interlagen gibt, aber Hacks aus Eigeninitiative geschehen, jedenfalls bei mir,
so gut wie immer aus Neugier, denn wenn man ein unbekanntes System betritt, kann man sich zwar
ausmalen was einen dort erwartet, was aber genau passiert, weiß man vorher nie.
Es kann gut sein, dass man mit einem Hack auf einen scheinbar unbedeutenden Server einen
Schaden anrichtet, denn man vorher einfach nicht für möglich gehalten hätte.
Man kann vorsichtig sein, sodass man möglichst keinen Schaden anrichten kann, man
kann allerdings aber auch einfach ausprobieren und sehen was passiert, denn probieren geht nun mal
über studieren. Man muss eben vorsichtig sein bei dem was man macht und wie man es macht.
Dann sind einem zumindest der Großteil der Dinge und dessen Auswirkungen im Vorherein klar.

Welche war deine erste Hackerfahrung?

Weiß ich nicht mehr, aber vielleicht als ich mir das erste Mal einen Rechner zusammengeflickt hab
oder als ich meinen ersten kleinen Virus in qbasic programmiert hatte? Das ist alles schon
lange her, die Erfahrungen im Bereich Hacking kam einfach ohne das ich da damals groß drueber
nachgedacht habe.

Was hat dich damals dazu getrieben? Wieso bist du am Ball geblieben?

Neugier und Spaß an der Sache. Es gab und gibt einfach so viel zu entdecken.
Niemand hindert einen daran eine Programmiersprache zu lernen oder sonstwas, man kann alles
mit etwas suchen kostenlos im Internet in Erfahrung bringen. So kann man sich Fähigkeiten
aneignen, die extrem selten sind. Es hat mich einfach nicht mehr losgelassen diese Möglichkeit
des permanenten Lernens und daraus Erfolge zu erzielen.

Angenommen du dringst in einen Server ein. Was machst du dann?

Kommt drauf an wieso ich überhaupt erstmal in diesen Server eingedrungen bin.
Grundsätzlich versuche ich erstmal keinen Schaden anzurichten.
Zum einen weil ich nicht in Server eindringe, um sie zu zerstören, sondern
um dabei etwas zu lernen. Von Dingen die zerstört sind, kann man nichts mehr lernen.
Wenn ich per Auftrag dort bin ist ja klar was ich zu tun hab, alles sicherheitsrelevante
in Erfahrung bringen und fein Protokoll führen. Wenn ich aus Spaß in den Server eingedrungen bin
sehen meine Motive anders aus, denn je nach Server und Situation würde ich höchstwahrscheinlich die
meiste Zeit damit zubringen den Server bis aufs kleinste zu inspizieren, Tests durch zu führen
und vielleicht einen kleinen Bereich für mich ein zu richten, um später die Eigenschaften des Servers
erneut nutzen zu können, aber in der Regel Reporte (melden) ich allerdings einfach die betroffenen
Bugs die mir den Zugang verschaffen könnten oder würden. Kommt ganz drauf an um welches Internet
Präsenz, System… es sich handelt.

Würdest du dich eher als White Hat sehen? Wenn ja warum?

Ja, ich sehe mich als White Hat. White Hat deswegen weil ich mein Wissen im IT-Bereich nicht
einsetze um anderen zu schaden sondern um ihnen zu helfen.

Was sind deine Vorlieben? Welche Lücken suchst du immer zuerst?

Die die ich für meine späteren Ziele brauche. Ich hacke nicht grundlos, wenn ich irgendwo
nach Sicherheitsluecken suche, dann hat das einen Grund, sei es für die Arbeit also als Auftrag
oder aus anderen Gründen, die ich jetzt nicht unbedingt in der Welt raus posaunen möchte.
Je nach Situation kann mein Vorgehen beim Suchen nach Lücken also stark variieren.
Eine Vorliebe habe ich dann aber doch, Lücken zu finden die nicht alltäglich sind!
Also Kombinationen aus verschiedenen Hacking Methoden, Programmierfehler, die keiner direkten
Hackingmethode zu schreiben sind wie zb. Rechenfehler die man in Onlinegames oder Shops
nutzen könnte etc. etwas Abwechslung ist immer schön 🙂

Nutzt du Cheat Sheets?

Im Grunde nicht, es ist zwar schön das es Cheat Sheet Tabellen wie Sand am Meer gibt,
aber genutzt habe ich sie eigentlich nie.

Was würdest du einem Administrator raten, um sicher zu sein?

Was soll man da schon auf die Schnelle sagen? Es gibt keine ultimative Antwort
mit der man sich zu 100% Absichern kann. Das wichtigste ist aber sein System und
sich zu kennen. Wer sein System kennt, merkt auch wenn etwas schief läuft.
Ich würde ja auch nicht einfach Auto fahren ohne die Verkehrsregeln zu kennen,
einen Reifen wechseln zu können oder gelernt zu haben wie man sich verhält um
Unfalle möglichst zu vermeiden, einen erste Hilfe Kurs belegt zu haben und und und.
Man kauft sich einfach einen Rechner, nimmt sich eine Website dazu und los geht die
Wilde fahrt, dass dabei gewissenlos eigene sowie Daten anderer gefährdet werden ist
diesen Internetnutzern dann leider oft nicht klar. Jeder hat die Möglichkeit sich
ausreichend im Internet über das Internet und allem drum und dran zu informieren.
Je mehr man von dem versteht was man da eigentlich hat und nutzt desto sicherer
verfährt man auch.

Was ist, deiner Meinung nach, die größte Schwachstelle in Software?

Jede ausnutzbare Schwachstelle stellt ein Sicherheitsrisiko dar.
Dabei gibt es nun welche, die besonders gravierend sind aber irrelevante gibt es
nicht. Jede Lücke kann, wenn sie richtig bzw. “falsch (böswillig)” eingesetzt wird,
zu einer der größten und gefährlichsten Lücken ausarten.

Bist du stolz auf deine Taten im Internet?

Nun ja, auf vieles bin ich stolz, vieles habe ich schon lange wieder vergessen und wiederum auf
anderes bin ich nicht stolz. Stolz bin ich auf einige Programme und Projekte die ich allein
oder mit Freunden auf die Beine gestellt habe, wie das Hacking Browsergame blacknet.me oder
mein Hackers Blackbook (2011). Sehr stolz bin ich auch auf meine Referenzen die ich mir
während meiner bisherigen Laufbahn erarbeitet habe wie zu. News bei Gulli, MDR, Stern…

Stehst du zu all deinen Taten?

Natürlich stehe ich zu all meinen Taten im IT-Bereich. Auch wenn ich auf manche nicht
besonders stolz bin, wie z.B. die damalige Mitgliedschaft bei nnc, oder meine Hackinganfaenge mit
fertigen Trojanern, etwas qb und Standardexploits..
Nun ja, dahingehend hat wohl jeder so seine Leichen im Keller!

Suchst du gezielt nach Opfern wie z. B. T-Online oder die NASA Website?

Dazu möchte ich leider keine Auskunft geben.

Hattest du schon Probleme mit der Staatsanwaltschaft?

Ja.

Wenn ja welche?

Hacking, andere Sachen. Wir sind alle keine Engel, der eine mehr der andere weniger.
Mehr möchte ich dazu nicht sagen.

Dieses Interview wurde im September 2012 von mbitme.de geführt und wird hier
unverändert veröffentlicht.

Was tust du für deine Anonymität? Dein Name ist doch öffentlich?

Im Grunde mache ich nicht viel für meine Anonymität wenn ich zu anonym wäre
könnten mich auch keine Kunden oder Geschäftspartner mehr erreichen.
Für manche Dinge nutze ich falsche Daten, die ich regelmäßig wechsel wie z.B.
des Öfteren beim Surfen, damit nicht jeder Hinz und Kunz eine Statistik zu meinen
Bedürfnissen oder sonstwas im Netz erstellen kann.
Es wäre wahrscheinlich auch nicht gut für mich wenn ich jetzt detailliert auf meine
Methoden und Situationen eingehen bei denen ich mich anonymisiere.

Würdest du mit der Polizei kooperieren?

Wenn es sich um eine gute Sache handelt, natürlich. Allerdings ist es sehr
unwahrscheinlich, dass die Polizei mal was Gutes im Schilde führt wenn es um Hacking
und ähnliche Sachen gehen.

Möchtest du den Lesern etwas mitteilen?

Ja, ich würde den Lesern gern mit auf den Weg geben dass nicht alle Hacker Kreditkarten stehlende
13 jährige halbstarke Kiddys sind und ich möchte jedem ans Herz legen sich von solchen Leuten
also überwiegend dem deutschen Underground + Fraudscene (ich nenne es gern: Kiddyground) fern zu halten.
Diese Scene zieht nur den Ruf echter Hacker in den Dreck.

Ein paar Freunde würde ich gerne noch grüßen:
nitrama, l3w3x, lars sobiraj, soul, lauri$, ganz new-crew, bbking, staix, und alle
anderen die ich jetzt vielleicht vergessen habe zu nennen 🙂
…und natürlich noch schnell etwas Werbung: visit: www.unnex.de (Der Penetrationstest von
www.unnex.de findet die Löcher in Ihrer IT-Sicherheit)

Dieses Interview stammt vom mbitme.de (2012).

No Comments

Sorry, the comment form is closed at this time.