Hack as hack can: Interview mit Lspamer

Article by · 30. Dezember 2016 ·

Unsere Welt wird jedes Jahr ein wenig technischer. Hacker wissen um die Verwundbarkeit der Technik, die uns umgibt. Neugierig sind sie alle. Wer schlechte Absichten hegt, dringt in fremde Netzwerke ein, um Firmen zu erpressen oder einfach um ein wenig Schaden anzurichten. Die White Hats wollen helfen und melden die Schwachstellen an die betroffenen Unternehmen. Wir haben anlässlich des 33C3 den deutschsprachigen Hacker Lspamer befragt.

Bis einschließlich heute ist in Hamburg die Hölle los. Der Chaos Computer Club verkaufte die Karten für ihren jährlich stattfindenden Technik-Kongress 33C3 binnen weniger Minuten. Die Messehallen sind zu teuer, das Kongresszentrum hingegen platzt mittlerweile aus allen Nähten. Nächstes Jahr muss sich der CCC bezüglich der Location etwas Neues einfallen lassen.

Doch kommen wir zu unserem Gesprächsteilnehmer. Sein Name ist verwirrend, weil der Sicherheitsforscher Lspamer trotz seines Pseudonyms im Allgemeinen nichts mit dem Thema Spam (ungewollte Werbe-E-Mails) zu tun hat. In manchen sozialen Netzwerken nennt er sich hingegen Mohammed Luqman. Unter den Hackern oder bei diversen Bug Bounty Programmen ist er aber als Lspamer bekannt. Diese Woche hat er alleine 20 Lücken an deutsche Schulen gemeldet und von den Verwaltungen bislang keinerlei Antwort erhalten. Laut seiner Aussage ist in etwa jede zweite Datenbank einer Webseite aus Deutschland von SQL-Lücken betroffen. Mithilfe einer SQL-Injection (Injektion in Deutsch = Einschleusung) kann man je nach Ausprägung der Schwachstelle Daten auszuspähen, sie verändern oder im schlimmsten Fall sogar die volle Kontrolle über den Webserver der Seite erlangen.

lspamer_just_do_itDas Hacken läuft bei ihm offenbar nach dem Prinzip Learning by Doing. Um sein Wissen aufzubessern, schaut er sich zurzeit die Webseiten kleinerer Unternehmen an. Das hat für ihn allerdings den Nachteil, dass es für ihn als Finder der Bugs keine finanzielle Belohnung gibt. Das mache nichts, wie er mir schreibt. Sein Wissen aufzufrischen sei für ihn Belohnung genug. Auch wegen der bestehenden Sprachbarriere unterlässt er es im Gegensatz zu Matthias Ungethüm aka Unnex oder Benjamin Kunz Mejri, sich von Internet-Portalen oder Zeitungen namentlich erwähnen zu lassen. Fame ist für ihn nicht so wichtig. Es scheint so als wenn es ihm im Grunde genommen reicht, hier und da ein paar Euro Belohnung zu erhalten und ansonsten einfach zu helfen.

Tarnkappe.info: Wie lange bist Du schon beim Thema IT Security, was reizt Dich überhaupt daran?

Lspamer: Ich habe erst vor drei Jahren angefangen, mich in der Welt des Internets zu bewegen. Vorher habe ich nie in meiner Heimat Interesse an den Themen Computer oder dem Internet gehabt. Anfangs musste ich lernen, wie ein Computer richtig benutzt wird. Danach fing ich an, in arabischen Foren Beiträge über Hacking-Themen zu lesen. Danach konzentrierte ich mich darauf, wie man Webseiten hacken kann, bis ich eines Tages die Webseite HackerOne.com entdeckte. Plötzlich wurde mir klar, dass man sogar dafür bezahlt wird, Lücken ausfindig zu machen. Also machte ich mich auf die Suche nach Sicherheitslücken, so fing alles an.

Tarnkappe.info: Wie lange muss man aktiv sein, um mit den meisten Mitstreitern mithalten zu können?

Lspamer: Das spielt keine Rolle, nur Deine Fähigkeiten zählen.

 

Viele in der Szene sind Angeber.

 

Tarnkappe.info: Wie läuft die Kommunikation unter den Hackern? Sind die meisten Angeber oder sind eher ernsthafte Personen ohne Ego-Problem in der Mehrheit?

Lspamer: Ich würde sagen, meistens sind es Angeber. Aber wenn man wissen möchte, wer die ernsthaften Hacker sind, muss man sie herausfordern. Man muss versuchen auszutesten, was sie wirklich drauf haben.

 

Tarnkappe.info: Bist Du momentan beim Kongress vom CCC in Hamburg? Bist Du ansonsten mit anderen Leuten aus den Erfa-Kreisen in Kontakt?

Lspamer: Nein.

 

Lspamer: „Das Melden der Bugs war für mich trotz Hackerparagraf stets ungefährlich.“

 

luqman_spammerTarnkappe.info: Suchst du mit oder ohne Verschleierung deiner IP-Adresse nach Sicherheitslücken bei Webseiten?

Lspamer: Bei Webseiten, wo es ein Bug Bounty Programm gibt, suche ich nach möglichen Lücken ohne Verschleierung. Wenn die Unternehmen kein Bug Bounty unterstützen, suche ich die Lücken mit Verschleierung.

 

Tarnkappe.info: Ist man als Hinweisgeber nicht automatisch in einer schlechten Position, weil schon das Überprüfen der Sicherheit illegal ist?

Lspamer: Nein, denn jeder Admin einer Webseite freut sich, wenn jemand Lücken auf seiner Webseite meldet, denn er würde sich anschließend sicherer fühlen, sobald die Bugs gefixed sind.

 

„Jeder sollte in der Schule lernen, dass das Hacken nicht automatisch etwas Böses ist.“

 

Tarnkappe.info: Was hältst Du generell vom Hackerparagrafen?

Lspamer: Ich finde, es sollte Schulen geben in dem jeder Hacker legal lernen kann, was das Hacken heißt. Und auch, dass alle Jugendlichen lernen, dass das nicht automatisch etwas Böses ist.

 

hacking pexels

 

Tarnkappe.info: Die Frage habe ich schon anderen Hackern gestellt: Wo ist für Dich die Grenze zwischen moralisch einwandfreiem und nicht mehr einwandfreiem Hacken? Führst Du per Script auch automatische Angriffe durch, um Zeit zu sparen?

Lspamer: Ja, ich nutze oft Python Scripts für Lücken wie beispielsweise Cross Site Scripting (XSS-Bugs) oder SQL-Injections (RCE), da das Script die ganze Arbeit leichter macht.

 

sleep_and_hack

Hack and sleep and hack and …

Tarnkappe.info: Wie reagieren die angeschriebenen Firmen? Du hast uns Screenshots von E-Mails geschickt, wo man Dir am Ende eine Belohnung gezahlt hat. Wirst Du auch beschimpft oder mit juristischen Konsequenzen bedroht?

Lspamer: Ich schreibe erst die Firmen an, die generell gemeldete Sicherheitslücken belohnen. Bisher ist es aber noch nicht vorgekommen, dass eine Firma alles geschenkt haben möchte. Bis jetzt haben sich die meisten Firmen bedankt und auch etwas bezahlt.

 

Tarnkappe.info: Hast Du schon einmal an einem Bug Bounty Programm beteiligt? Welche Erfahrungen hast Du dabei gemacht? Grundsätzlich: Was hältst Du davon?

Lspamer: Ich finde, jeder Betreiber einer Seite sollte ein eigenes Bug-Bounty Programm anbieten. Dann wäre jede Webseite sicherer.

 

„Oft suche ich Lücken aus Langeweile, Geld ist mir nicht so wichtig.“

 

Tarnkappe.info: Nach welchen selbst gesteckten Zielen und Regeln hackst Du? Welche Moralvorstellungen spielen dabei eine Rolle?

Lspamer: Mit geht es nicht primär um das Geld. Oft suche ich Lücken aus Langeweile, beispielsweise auf Webseiten von Schulen und melde diese den Admins der Schulen oder von gemeinnützigen Organisationen, die von Spenden leben.

 

In Deutschland ist es schwer, als Penetrationstester zu arbeiten.

 

 

Tarnkappe.info: Hast Du schon einmal überlegt, aus Deinem Hobby einen Beruf zu machen? (also Pentesting) Hat Dein jetziger Job etwas mit diesem Thema gemeinsam?

Lspamer: Natürlich, denn das ist mein Traumberuf. Jeder Hacker beziehungsweise Security-Researcher versucht so einen Job zu bekommen. In einem Land wie Deutschland ist das aber leider sehr schwer.

 

lspamer hackerone.com badges

Tarnkappe.info: Ja, das glaube ich gerne. Welche Erfahrungen hast Du bisher mit der Presse gemacht? Warst Du als Datenschützer schon einmal mit Journalisten in Kontakt?

Lspamer: Da meine Sprachkenntnisse eher schlecht sind, habe ich bisher nicht die Presse kontaktiert, damit sie über bestehende Sicherheitslücken berichten.

 

Tarnkappe.info: Mohammed Luqman, vielen Dank für Deine Antworten!

 

Bildquelle: joffi, thx! (CC0 1.0 Public Domain)

Mehr zu diesem Thema:

Flattr this!

4 Comments

  • comment-avatar

    snipes

    ´´Lspamer: Nein, denn jeder Admin einer Webseite freut sich, wenn jemand Lücken auf seiner Webseite meldet, denn er würde sich anschließend sicherer fühlen, sobald die Bugs gefixed sind.´´

    Selten so einen Blödsinn gehört. Als langjähriger Vuln Researcher kann ich sagen, dass das gerade bei größeren Unternehmen in der Regel nicht zutrifft..

    • comment-avatar

      Die meisten Firmen wollen das gar nicht, weil es mit zusätzlichem Aufwand verbunden ist. Auch die Sicherheit der Daten der Kunden spielte meistens eine untergeordnete Rolle, was ich so im Laufe der Jahre mitbekommen habe. So lange man sich nicht total blamiert hat, liess man einfach alles so weiterlaufen, als wäre nichts geschehen. Alles andere hätte ja Geld gekostet…

  • comment-avatar

    lspamer kenne ich persönlich und schätze seine Arbeit sehr. Er ist freundlich und sehr zuverlässig. Hut ab!

  • comment-avatar

    Karl

    jibt dem mann n sprachkurs und jut ist!


Leave a comment