Vom Spielleiter zum Meisterhacker in 271 Tagen

Aktuell werden noch Arbeiten am Forum durchgeführt, dies kann sich auf die Optik und Performance des Forums auswirken.

    Wie ich versehentlich ein Trojanisches Pferd baute.

    oder

    Vom Spielleiter zum Meisterhacker in 271 Tagen

    Es war schon nach Mitternacht, als mich dieser Cursed fragte, ob ich etwas von Pen&Paper verstehe. Ich wimmelte ihn ab, wie ich es immer tat, wenn mich jemand mit meiner Vergangenheit konfrontierte. Ich konnte mir einfach nicht vorstellen, dass sich jemand in Zeiten von 3D-Vektorgrafiken noch für dieses alte Spiel aus meiner Kindheit interessieren würde. Und so tat ich, was ich musste, um nicht als Nerd abgestempelt zu werden. Ausweichen, unklare Antworten geben, einen Verbindungsabbruch im Tunnel vortäuschen ... das übliche ebend.

    Einige Tage kam diese Nervensäge allerding wieder und fragte erneut, ob ich was vom grafiklosen Rollenspiel verstehe. "Ja, aber ist schon lange her und ist eh nichts für euch" war meine diesmalige Antwort. Als er dann einen Tag später erneut dran kam und fragte, ob ich ihm erkläre, wie das funktioniert, war meine Antwort etwa sowas wie: "Alter, geh doch einfach gepflegt sterben."

    Meinen Rat missachtend kam dieser penetrante Sack noch am SELBEN Abend zu mir und fragte, ob ich nicht mal Lust hätte, eine Runde zu leiten. Wohlwissend, dass ich alle nach dem ersten Abend verschrecken würde, willigte ich ein und die Geschickte nahm ihren lauf.

    Ein System musste her. Alles kein Problem, schüttelte ich mir irgendein 0815 selbst-zusammengestelltes Regelwerk aus dem Ärmel.

    Eines Abends dann war es so weit und obwohl ich vermutet hatte, dass es niemanden sonst interessierte, hatten wir plötzlich 4 Spieler.

    Die Runde war mieserabel. Schlechter Plot, schlechtes Charakterdesign und ein gelangweilter Spielleiter.

    Zu dem Zeitpunkt unterschätzte ich vollkommen, wie einfach neue Spieler zu beeindrucken sind. Gib ihnen ne Aufgabe und einen kleinen Kampf am Ende und schon sind sie voll drin.

    Ich musste mir also was einfallen lassen. Mein Regelsystem war Müll, dennoch hatte ich beim Spielen Spaß an der Sache gefunden und zu allem Überfluss war ich nicht alleine damit.

    Ein neues System musste also her. Da ich hauptsächlich DSA kannte und nur wenige andere flüchtig mal überflogen hatte, gab es nicht viel Auswahl. Und wenn wir schon das System von DSA nehmen, können wir ja auch die Welt nehmen. ...

    Wenige Wochen später:

    Inzwischen gab es nicht nur die vier Spieler, sondern elf. Es gab drei Runden und die ganze Sache forderte nach ein wenig Organisation. Irgendein Server, auf dem wir Charakterbögen speichern, Materialien austauschen und

    So entwickelte es sich also weiter. Anfangs nutzten alle noch den selben Account, später gab es für jeden einen einzelnen Login mit der Möglichkeit das Passwort zu ändern.

    Und da liegt der Hase im Pfeffer, das Trojanische Pferd war geboren.

    Denn, so unwichtig, wie der Server war, hatte ich auf alle Sicherungsmaßnahmen verzichtet.

    Verschlüsselung, auf die ich sonst bei jeder Kleinigkeit wert lege, kannte der Server nicht. Und so ging der gesammte traffic für jeden gut lesbar über die Leitung. Und für die Nicht-Techniker unter euch: Das bedeutet, dass ALLES unverschlüsselt ist. Sowohl die unwichtigen Daten, die GET-Requests, die Logins und natürlich auch die PASSWÖRTER.

    Jeden, der einen Account auf dem Server bekam, sagte ich, dass der Server nicht sicher sei und die Passwörter nicht sicher seien. Jeder hat sich daran gehalten, wie meine kürzliche "Recherche" zeigte.

    Jeder? Nein, im tiefen Dschungel der Community, gab es eine Seele, die mir nicht zuhörte und das Passwort änderte.

    Und zwar nicht auf eines der folgenden:

    "123" "1234" "Blackyisteinkleinerpedo" "12345" "qwertz" oder "pnp" sondern auf sein Passwort, das er für jeden Account nutzte.

    Ich weiß nicht, wie es dazu kommen konnte, ob ich es ihm einfach nicht gesagt hatte, oder ob er geschlafen hatte, aber somit lag sein Passwort auf meinem Server Frei zugänglich für jeden, der an meinen Rechner konnte, oder die Kommunikation belauschte.

    Die Monate zogen ist Land und inzwischen wurden es insgesamt 53 Nutzer, die meinen Server nutzten und jeder wusste davon, dass ich die Passwörter auslesen konnte. Einige schrieben sogar Beleidigungen hinein, nur um mich kurz darauf zu fragen, wie denn ihr Passwort war, sie hätten es verloren.

    9 Monate später:

    Wie immer idle ich den Abend, ohne richtigen Plan, was ich machen soll.

    Ich stöbere also ein wenig auf meiner Platte, bis ich eine Datei finde. Jene Datei, in der die Nutzer mitsamt ihrer Passwörter verzeichnet sind. "Ein kurzer Blick auf die Beleidigungen des Tages kann ja nicht schaden" dachte ich mirund wagte einen Blick.

    Bisher hatte ich immer über eine Maske jeweils nur die Einträge von einer Person angeschaut. Jetzt jedoch stieß mir ein bestimmtes Passwort ins Auge.

    Es hatte als einziges ein Sonderzeichen und bestand aus weiteren 8 Ziffern und 2 Buchstaben. Die 1998 am Ende verriet mir schnell, dass es sich dabei um ein Datum handelte. Das vorangestellte $ musste wohl der Sicherheit dienen und die beiden Buchstaben ... tja, da wusste ich es nicht so genau, aber wahrscheinlich hing es irgendwie mit dem Namen desjenigen zusammen.

    Ein kurzer Blick auf den Anfang der Zeile verriet mir, dass es sich um den Account unseres lieben Wewai handelte. "Der hat doch wohl nicht ..." dachte ich noch, als ich die Kombination eintippte. Als sich das Design des Forums nicht änderte, dachte ich schon, dass es ja nicht so einfach sein könnte. Ich müsste wohl noch die Buchstaben drehen oder so.

    Doch dann sah ich die rote 3 im Benachrichtigungsfenster und ein nettes "Willkommen, Wewai" begrüßte mich am linken Rand.

    Ich also erstmal baff, was nun?

    Naja, war ja klar, was man da tut ... man zerlegt das Forum.

    Oder in meinem Fall, der sein Geld mit Informatik verdient und schon Passwort-Pinnwänder in Unternehmen gesehen hat, wo es einem ganz schummrig wurde, geht man einfach zur betroffenen Person und bittet um ein kurzes Gespräch. -> Anstupsen -> geht nicht -> Nachricht senden -> keine Antwort

    Aber da ist immernoch dieses Fenster auf, mit dem ich das Forum auseinander nehmen kann, denke ich mir so. Und ehe ich mich versehe, ist der erste Post in die Shoutbox gesetzt. Nebenbei noch kurz Sloger angeschrieben, weil der ja Wewai in der Kontaktliste hat und ein paar Leute darüber informiert, dass ich jetzt Forenadmin bin ...

    Den Rest kennt ihr.

    Sehr professionell von Wewai, seinen eigenen Account sofort auf Verdacht zu sperren.

    Ich kenne Administratoren von großen Firmen, die da nicht so schnell waren und deshalb mehrere TB Kundendaten verloren haben.

    Ein kleines bisschen Hilfe von Apex  Lux  Ike und Sloger später und jeder hatte Angst um seinen Account. Schließlich ging der pöhse Placky herum und nahm einen Account nach dem anderen hoch.

    Achja, in Alphas Account war ich übrigens tatsächlich auch noch, weil der Trottel sein Passwort auf 123 gesetzt hatte.

    So, ich hatte eigentlich vor, die Geschichte schöner zu schreiben und auch viel ausschweifender, aber ich will jetzt schlafen.

    Gute Nacht.

    Und vergesst nicht: Wenn ihr irgendwo ein Passwort eingebt, wisst ihr nicht, wie euer Gegenüber damit umgeht

    Herzergreifende Story. Einfach nur wunderschön.

    attack on titan GIFattack on titan mikasa shingeki no kyojin GIF

    “The Brain May Forget, But The Heart Will Remember”

    ― Yato-Noragami

    "They killed us... They killed us all... Why?"


    "Orders. You never read the GAR's contingency orders?"
    ―Arligan Zey and Ordo Skirata

    “There’s a lot of things you need to get across this universe. Warp drive… wormhole refractors… You know the thing you need most of all? You need a hand to hold.”
    — The Doctor

    “No matter what lies you tell, you can't fool your own heart.” ~ Meliodas


    Hmm ich weiß garnicht was du meinst? Ich ändere mein Passwort alle 10 Tage für 1 Stunde auf "123" um alle zu verwirren. Hat bisher immer funktioniert....

    GOTT

    Source Map Creator, Lua-, Java-, C#-, Unity, Unreal- und Web-Developer!

    Founder of Alphavex.com

    Ehemalige Posten:


    TWD:RP Senior-Moderator

    CW:RP Admin

    TTT Admin

    Teamspeak Admin

    Military:RP Admin

    SWTOR:RP Developer
    TWD:RP Developer
    Einfach Minecraft Developer

    Prison:RP Serverleiter

    Mal ne Frage du schreibst ja,dass du dein geld mit IT Verdienst,als was arbeitest du denn? Wenn man Mal fragen darf?

    Zitat von FlashWars C:

    Mal ne Frage du schreibst ja,dass du dein geld mit IT Verdienst,als was arbeitest du denn? Wenn man Mal fragen darf?

    Er studiert und hilft einem Prof in der Uni aus soweit ich weiß...


    Naja ich kannte Blacky schon lange vor EGM und ich weiß was er alles macht wenn man ihn unbeobachtet lässt. Auf die Nachricht das jemand sein Forenaccount gehackt habe ließ Wewai seinen geliebten Perp server in ruhe und kam sofort auf dem TS. Nach meiner Info an ihn wer den der Richtige Blacky sei kam ein Gespräch. Nun ja Wewai hatte gut reagiert und verhindert das wer mit seinem Account unruhe stiften konnte. Blacky hat nichts weiter gemacht und Wewai hat ein neues Passwort.

    Ich fande es letzendlich interessant wie leichtfertig man dann doch mit seinem Passwort umgeht weil man denkt: "Intteressiert ja eh keinen"... Naja ich denke einige haben aus dem Feher gelernt. Ich fande es eine lustige Aktion, die sogar noch einen Tieferen sinn verfolge.

    MFG
    Sloger

    Zitat von Turtle

    Sloger obsiegt (wenn auch ein bisschen weniger als ich...) =D

  • Yama 26. Oktober 2018 um 13:01

    Hat das Label Veraltet hinzugefügt.

  • Yama 26. Oktober 2018 um 13:02

    Hat das Thema aus dem Forum Anderes nach Archiv verschoben.