Warum Skript-Kiddies keine Hacker sind Marc Ruef | 14.06.2010 Ende der 90er Jahre ist ein wilder Streit um und in der Hacker-Kultur entbrannt. Es ging dabei nicht um technische Hintergründe, sondern um die soziokulturelle Wahrnehmung einer anarchistischen Subkultur. Die Begriffe Hacker und Cracker werden je nach sozialem Kontext anders verstanden. Für die Tagesmedien war jeder ein Hacker, der sich mit zwielichtigem Wissen und Vorgehen innerhalb technischer Mechanismen einen Vorteil verschafft bzw. anderen einen Nachteil beschert. Für die klassischen Hacker der alten Generation, die vorzugsweise aus Programmierern und Unix-Gurus bestand, waren dies jedoch die niederträchtigen Cracker. Ihr geliebter "Ehrentitel" wurde - so haben sie es jedenfalls wahrgenommen - durch die ignorante und oberflächliche Gesellschaft durch den Schmutz gezogen. Im Rahmen dieser immerwährenden und nie enden wollenden Diskussionen um die Definition von Begriffen musste der Ausdruck "Skript-Kiddie" (Abk. SK) ebenfalls berücksichtigt werden. Dadurch wurden durch erfahrene Hacker (Programmierer, Netzwerker, Betriebssystemler) ein meist junger und unerfahrener Nutzer verstanden, der sich ohne Skepsis und Kritizismus auf die Arbeiten anderer verlässt. Namentlich die Tools und Exploits, die durch andere mühselig entwickelt wurden, werden durch Skript-Kiddies in selbstsüchtiger und stumpfsinniger Weise verwendet. Natürlich habe auch ich eine Meinung zur Begriffsdefinition des klassischen Hackers, doch liegt mir eine Stabilisierung in diesem Bereich nicht so sehr am Herzen, alsdass ich hier nun umfassend argumentieren möchte. Worte sind Abbildungen von Gedanken und in erster Linie ist es mir wichtig zu verstehen, von was wird reden anstelle wie wir es benennen. Ob nun jemand Hacker oder Cracker sagt, ist für mich zwar nicht irrelevant (schliesslich kann man dadurch indirekt seine soziale Einbettung ableiten), jedoch zweitrangig. Viel mehr möchte ich diskutieren, was der Unterschied zwischen Skript-Kiddies und innovativen Hacks sind sowie welchen Einfluss diese Differenz bei professionellen Sicherheitsüberprüfungen (http://www.scip.ch/?dienstleistungen.auditing) haben kann. So manchem Penetration Tester, dem ich in meinem Leben begegnet bin, hat eine komplett andere Auffassung unseres Berufs mitgebracht, weder dies bei mir der Fall ist. Ein Penetration Test (http://www.scip.ch/?dienstleistungen.penetrationtest) ist für mich etwas Innovatives und Kreatives. So wird einem ein komplexes Gebilde vorgelegt, dessen Funktionsweise man möglichst schnell verstehen, die Interaktivität adaptieren und damit die bei der Entwicklung bzw. Umsetzung nicht bedachten Möglichkeiten erkennen muss. Umso individueller ein Testobjekt ausfällt, umso spannender. Denn dort findet sich die unendliche Individualität der Entwicklergruppe, die für sich das Ganze spannend macht, wieder. Ein Skript-Kiddie ist jedoch nicht an dieser Individualität interessiert. Stattdessen werden bekannte Mechanismen und Muster eingesetzt, um bekannte Möglichkeiten und Schwachstellen zu finden. Dies hat nichts mit Innovativität oder Kreativität zu tun. Viel mehr erinnert es mich an Fliessbandarbeit, bei der stetig wiederkehrenden Handgriffen nachgekommen werden muss. Eine Arbeit, die im Zuge der Industrialisierung durch Maschinen und Roboter getan werden kann und soll. Verwendet ein Skript-Kiddie eines seiner üblichen Werkzeuge aus seinem begrenzten Toolset, so ist der Erfolg dessen schon vor dem Einsatz absehbar. Ein Vulnerability Scanner, der keine Testmodule für VoIP, Kerberos, Citrix, Ajax, etc. bereitstellt, muss gar nicht erst auf eine entsprechende Installation angewendet werden. Viele Tester ohne Verständnis für das Testobjekt und ihre Testwerkzeuge tun es jedoch trotzdem. In der leisen Hoffnung, dass das Tool doch irgendwie per Zufall etwas Nützliches finden könnte. Vielleicht wäre Voodoo-Priester die bessere Berufswahl gewesen... Als erfahrener Tester erkennt man Skript-Kiddies schnell. Umso mehr jemand über seine Tools und Exploits spricht, die er nur sammelt und nicht selber entwickelt, desto eher ist er der entsprechenden Kategorie zuzuordnen ("Welchen Portscanner benutzt Du?"). Alle anderen interessieren sich für generische Herangehensweisen, adaptive Methoden, individuelle Eigenschaften und situationsbezogene Tools. Der Weg ist das Ziel. Doch was nützt es einem Dienstleister, wenn er die Scharlatanerie seiner Mitbewerber erkennen kann, ohne dass diese ebenfalls durch seine Kundschaft verstanden wird? Einmal mehr wird damit das wohl grösste Problem unserer Branche bewusst, dass der Kunde nur sehr schwer die Qualitäten eines guten Penetration Testers erkennen kann. Denn hierzu müsste er eigentlich schon fast selber ein solcher sein.