· 

Meine Meinung zu Skript-Kiddies

1. Einführung

Skript-Kiddies sind "Hacker", die ausschließlich auf vorgefertigte Skripts und Tools zurückgreifen, um Ziele anzugreifen. Sie besitzen oft kaum bis keine Fachkenntnisse und nutzen Hacking zur Selbstdarstellung oder um mutwillig Schaden anzurichten. Ich möchte dir in diesem Artikel mitteilen, was ich von Skript-Kiddies halte und warum ich ihr Verhalten in bestimmten Fällen sogar unterstützen würde.


2. Die Anfänge eines Programmierers

Wenn du schon länger im IT-Umfeld arbeitest und deine Anfangszeit schon einige Jahre zurückliegt, dann wird es dir vermutlich schwer fallen zu verstehen, warum Personen auf vorgefertigte Skripte zurückgreifen und sich nicht einfach selber welche schreiben. Ich lade dich an dieser Stelle dazu ein, dich an die Zeit zurückzuerinnern, in der du deine ersten Gehversuche in der Programmierung unternommen hast.

Als ich mit dem Programmieren angefangen habe, konnte ich selbstverständlich auch noch keine Skripte oder gar ganze Anwendungen bauen. Ich habe mich vor meinen Rechner gesetzt, Webseiten besucht, sie heruntergeladen und dann in den Dateien nach Informationen gesucht, die mir dabei helfen zu verstehen, wieso ich im Browser das sehe, was ich sehe. Ich habe dann begonnen einzelne Bestandteile in den Dateien zu modifizieren, zu löschen oder neue hinzuzufügen. So bekam ich Schritt-für-Schritt ein Gefühl dafür, wie die "Sprache des Webs" funktioniert. Ich lernte außerdem, dass es nicht nur die reine Darstellungssprache HTML gab, sondern auch andere Sprachen wie JavaScript. Immer dann, wenn ich ein eigenes kleines Web-Projekt umsetzen wollte, habe ich nicht alles from Scratch komplett neu gebaut, sondern auf bereits vorhandene Bausteine zurückgegriffen und diese angepasst. Macht mich das automatisch zu einem Skript-Kiddie? Vielleicht. Vielleicht aber auch nicht. Das hängt von der genauen Definition ab. Ich denke aber, dass niemand von sich selbst behaupten kann, dass er alles, was er in seiner Anfangszeit programmiert hat, ohne Code-Vorlagen getan hat. Falls doch, gebührt dir selbstverständlich mein größter Respekt, doch die Mehrheit der Informatiker und Programmierer dort draußen wird ähnlich wie ich begonnen haben (vielleicht in einem anderen Bereich wie etwa "Spieleentwicklung").

Mit der Zeit lernt man durch diesen Copy-Modify-Paste-Ansatz sehr viel über die generische Struktur des Programmierens kennen, was Kontrollstrukturen sind, wie man if-Anweisungen verwendet usw.. Man vertieft mit der Zeit sein Wissen und erwirbt dadurch nach und nach die Fähigkeit, sich an die eigenständige Entwicklung zu begeben. Portale wie StackOverflow sind aber nicht umsonst so beliebt in der Entwickler-Community: Auch erfahrene Programmierer nutzen die Seite, um gemeinsam mit anderen an ihren Problemen zu arbeiten, anderen zu helfen oder Lösungen für bekannte Probleme zu adaptieren. Auch das ist in meinen Augen alles andere als verwerflich! Selbst an der Uni bekommt man bei den Programmier-Abgaben gesagt, dass es erlaubt ist, bestimmte Teile seines Codes aus dem Internet zu beziehen, sofern man bei hinreichender Schöpfungshöhe die Quelle benennt - ein einfacher Bubble-Sort-Algorithmus in Python zählt bspw. nicht dazu.


3. Skrip-Kiddie vs. Green-Hat-Hacker

In meinem Video zum Thema, wie man eigentlich ein Hacker wird, erwähne ich unter anderem auch, dass man viel im IT-Umfeld ausprobieren und sich in einer größeren Community austauschen muss. Es kommt vor allem darauf an, ein sehr breit gefächertes Wissen aufzubauen. Und genau darin unterscheidet sich meiner Ansicht nach ein Skript-Kiddie von einem Green-Hat-Hacker (also einem Hacker in Ausbildung). Das Skript-Kiddie stagniert in dem Stadium des Ausprobierens von Skripten, während Green-Hats vorgefertigte Skripte dazu nutzen, um aus ihnen zu lernen und das Wissen daraus in anderen Bereichen anzuwenden. Es ist ein Geben und ein Nehmen ... wenn man von jemandem etwas gelernt hat, hilft man einem anderen entweder mit genau diesem erworbenen Wissen oder mit etwas anderem, das man selbst gut beherrscht. Man ist nicht gleich ein Skript-Kiddie, wenn man nachschaut, wie man in Python eine Netzwerkverbindung zu einem Server aufbaut oder wenn man eine Funktion kopiert, die eine Tabelle mit den Ergebnissen der Anwendung verschiedener Hash-Funktionen auf einen String enthält. Wenn man hingegen ein DDoS-Skript kopiert, dieses anwendet und nicht einmal weiß, was genau im Hintergrund abläuft, dann ist das eigentlich mehr als peinlich. Unter Umständen macht man sich damit sogar strafbar ohne es zu wissen, weil man auch keine Zeit in das Studium der entsprechenden Rechtsgrundlagen (wie etwa den Hackerparagrafen) investiert hat.

Ich habe in letzter Zeit vermehrt die Anfrage bekommen, ob ich die Skripte, die ich in meinen Videos entwickle, nicht auch als .exe zur Verfügung stellen kann und am besten noch so, dass man das z. B. zum Hacken"aller Instagram-Accounts" anwenden kann. Anhand solcher Aussagen sieht man bereits, dass die entsprechenden Benutzer weder den Sinn meines Beitrags, noch die Technik dahinter verstanden haben. In solchen Fällen würde ich ganz klar von einem Skript-Kiddie sprechen. Es gibt aber auch Benutzer, bei denen man merkt, dass sie sich wirklich mit dem Thema auseinandergesetzt haben und durch Rückfragen versuchen, weitere Informationen zu z. B. dem Aufbau von Rainbow-Tables zu erhalten, obwohl es in dem Video bspw. um einen einfachen Brute-Forcer in Python ging.

Zudem bringt ein Green-Hat-Hacker eigene Ideen mit ein. Ein vorhandenes Skript erweckt in ihm den Wunsch, es zu verbessern und weiterzuentwickeln. Wenn sich ein Green-Hat z. B. das Python-Projekt "Sherlock" anschaust, dann wird er mit dem Funktionsumfang höchstwahrscheinlich unzufrieden sein und versuchen, weitere Funktionen einzubauen. Mit Sherlock kann man für einen bestimmten Benutzernamen diverse öffentliche Profile automatisiert sammeln lassen und aus all diesen Informationen im Sinne der Open Source Intelligence (OSINT) Informationen über ein Target erfahren. Allerdings gibt es dabei nicht nur einen, sondern gleich viele Haken. Einer davon ist bspw. das ein gefundenes Profil manuell dahingehend überprüft werden muss, ob es tatsächlich zu dem Target gehört. Auch prüft Sherlock nur direkt auf den Benutzernamen und nicht auf mögliche Variationen dieses Benutzernamens (der Benutzer AlexMüller könnte auf einem anderen Portal z. B. Alexander-Müller heißen). Ein Skript-Kiddie würde sich über den limitierten Funktionsumfang freuen, während ein Green-Hat-Hacker das Projekt vermutlich ausbauen würde, wozu ein Skript-Kiddie wahrscheinlich nicht in der Lage oder zu faul ist.


4. Fazit

Ich finde es nicht verwerflich, wenn man sich in seiner Anfangszeit vorgefertigte Programme nimmt und schrittweise versucht, diese nachzuvollziehen. Auch ist es nicht notwendig, bei jedem seiner Projekte das Rad immer wieder aufs Neue neu zu erfinden. Wenn man allerdings nur auf Anerkennung oder Schabernack aus ist, sich nicht mit der Theorie hinter einer bestimmten Angriffstechnik auseinandersetzt und keine Ambitionen hat, tiefergehendes Wissen aufzubauen, dann gehört man meiner Ansicht nach zu einem klassischen Skript-Kiddie. Da sind mir Green-Hats weitaus lieber. Jeder Green-Hat fängt irgendwo mal als Skript-Kiddie an, doch das Mindset, was man direkt zu Beginn mitbringt, unterscheidet ihn dann doch von einem Skript-Kiddie gemäß der allgemein anerkannten Definition.