1337core
Hey, ich bin Alex und wohne in Saarbrücken. Ich mag das WWW, Hacking, Computer und Pizza! 🌏🏄 Auf Twitch streame ich ☠️ Live-Hacking und entwickle Open Source Software auf GitHub. Außerdem habe ich das Buch "Wie werde ich Hacker?" geschrieben: Das könnt ihr hier downloaden. Erreichbar bin ich über 📱 Signal und 💌 PGP-Mail. Seit 2023 habe ich ein eigenes Cybersecurity-Startup, dass sich auf kritische Sicherheitslücken spezialisiert hat.
Ich habe damals(TM) im Jahre 2011 angefangen hobbymäßig 🔍 Sicherheitslücken zu suchen und zu melden z.B. der NATO, dem Weißen Haus, TV Total und Transfermarkt. Außerdem stehe ich wegen Meldungen an Apple und Microsoft in deren 🎖 Security Hall of Fame. Heute nennen sie die Liste, etwas weniger dramatisch, "webserver security acknowledgements".
Einen realistischen Hackerangriff simulieren. (Lässt sich auch kostenlos testen!) Hacker Attack SimulationIch war tatsächlich der Typ, der damals nach dem Gamescom-Shitstorm die Meldung "GAMEZ" auf RTL gesetzt hat. Das war zwar unbeabsichtigt, aber trotzdem hatten verschiedene Medien über den Hack berichtet, wie z.B. Promiflash. Wie immer habe ich den Betreiber der Website über das Sicherheitsproblem informiert und RTL konnte es beheben.
Seit 2020 bin ich wieder aktiver im Security-Bereich unterwegs: Bei einem automatisierten Scan 2021 fand ich über 70 kritische Lücke auf den Webseiten der öffentlichen Verwaltung, unter anderem bei folgenden Betreibern: 20+ Exchange-Server in der öffentlichen Verwaltung, NATO, Bundesjustizamt, Finanzamt Baden-Würtemberg, Bundesministerium für Digitales und Verkehr, Bundesamt für Kartographie. Alle Sicherheitslücken wurden von mir an das BSI gemeldet und sind behoben.
Aber auch unfreiwillige Leaks wie 15K E-Mailadressen der UEFA oder der Gitlab-Token von einem Telekom Verwaltungsprojekt fallen mir auf, wenn ich nicht gerade bei einer Webcam von einem Vogelhaus irgendwo nachts im Garten das Licht an- und ausschalte. Das ist sogar direkt im Livestream auf Twitch passiert. :D
🔍 🐇 🪺 Im Computermagazin c't lief mein Osterrätsel: Es besteht aus einer ZIP-Datei, in der man die Passwörter für weitere ZIP-Dateien finden muss. Die Aufgaben sind quer durch die Gebiete HTML, MP3, QR-Code und Verschlüsselung. Hier findet man die ct.zip als Download. Es konnten 900 Leser/-innen das Rätsel lösen und 350 auch das Bonusrätsel. Die Auflösung wurde in der c't 11/22 veröffentlicht. Komplettlösung, Lösung in Videoform.
Live-Hacking auf Twitch
Ich streame regelmäßig 📺 auf Twitch. Dort zeige ich gerne Scripting aller Art (meistens Python), hacke mich (legal) in Maschinen bei "Capture the Flags" (TryHackMe oder HackTheBox) oder entwickle Open Source Software.
Aktuelle Projekte sind:
- 🎧 ARD Audiothek Downloader (Python)
- 😻 Ninja-Hacker-Cat prüft Webseites automatisch auf Sicherheitslücken (Javascript)
- 🏠 Recon Deutschland - Alle Webseiten der Bundesländer, Städte, Gemeinden und Dörfer. (Python)
- 🔑 Analyse der Passwortleaks von den 100 größten Unternehmen in Deutschland (Python)
- 📝 Static Blog Generator mit HTML und RSS-Feed (Python)
- 🔥 Hacker-Spickzettel für CTFs und Pentests (Textdatei)
- 🔒 Automatisierte Suche nach Schwachstellen (Python)
- 🕵🏻♂️ Deep Web Scanner basierend auf IPs (Python)
- 🔊 Soundboard und Text-To-Speech für Twitch (Python)
- 🔍 Einfache Suchmaschine mit Crawler (WIP, Python)
- 🕸 P2P Web3 Lernprojekt (natürlich ohne Blockchain) (WIP, JavaScript)
Am besten auf Twitch folgen, dann gibt es eine Benachrichtigung, wenn ich live bin. Als Alternative geht auch Discord.
Log4Shell-Demo im Stream
Ende 2021 ging die Welt unter, wegen einer unnötigen Sicherheitslücke in einer Java-Bibliothek, die häufig verwendet wird. Im Stream habe ich die Log4J-Lücke demonstriert und bei einem Testsystem ausgenutzt. Javapokalypse, sei dabei! Das Tutorial befindet sich auf meinem Spickzettel.
Buch: Wie werde ich Hacker?
Ich hatte das Bedürfnis einen (hoffentlich besseren) Hacking-Anfänger-Guide 📄 zu schreiben.
"Wie werde ich Hacker?" Anleitung als kostenloses eBook oder PDF!
Darin geht es um Netzkultur, Hacker-Ethik, IT-Grundlagen,
Programmieren lernen mit Hilfe des Internets,
Webseiten Hacking, Excel-Trojaner, Internet scannen und sich
wundern welche ungeschützten Daten
erreichbar sind. Ungefähr die Hälfte des Buches sind Hacking-
oder Spaßprojekte: RPG Chatbots, IMSI-Catcher,
Lockpicking und Bad-USB.
Mehr als 260 Seiten mit kleinen Einblicken in verschiedenste
Themen und wie du dich darin
einarbeitest.
Version: 0.7 (Public Beta):
EPUB VERSION:
Download,
Torrent
PDF VERSION:
Download
TXT VERSION: Github
Repo (nur Text)
Buch: Das beste Internet aller Zeiten
Damals war das Internet langsam und teuer, doch trotzdem hatten wir mit 14 Jahren den Spaß unseres Lebens damit. Es geht um die 90er, langsames ISDN, die erste eigene Webseite, die Anfänge der MP3s, Blogs, Foren, ICQ, IRC, Freunde aus dem Internet und das einzig wahre Counter Strike 1.6. Ich wurde im Internet sozialisiert und wenn ich mir meine alte Festplatte mit Daten aus dem Jahre 2001 anschaue, dann wird mir nochmal bewusst, warum. Es war eine prägende Zeit, auf die ich heute immer noch gerne zurückblicke.
PDF + EPUB:
Passwortgeschützte ZIP-Datei
(Tipp: 90er, Spielzeug, Ei-Form und drei Knöpfe. Viel Spaß beim Knacken!)
Erobere die Flagge (CTF)
Im Stream mache ich manchmal "Capture the Flags" von HackTheBox oder TryHackMe. Dabei lerne ich selbst immer neue Tricks. Auf TryHackMe bin ich in den Top 2% und bei HackTheBox war ich in den Top 500. Das hängt aber immer davon ab wie viel Zeit ich damit verbringe...
Cyber Santa (CTF)
Hack The Box hatte ein schönes "Cyber Santa CTF" mit Aufgaben aus den Bereichen Web Security, Pwn, Crypto und Forensik.
Excel-Trojaner
Eine kleine Demo des Beispielcodes aus meinem "Wie werde ich Hacker?"-Buch. Vom Excel-Makro zum Powershell-Script. Der Nutzer muss nur den "Inhalt aktivieren". Was auch immer dieser Button einem mitteilen soll.
Hacks kommentiert
Im Stream kommentierte ich den alten Hack der katalanischen Polizei von Phineas Fisher. Über die klassischen Sicherheitslücken auf deren Webseiten hat er sich deren interne Datenbank besorgt:
Barcamp und Live-Hacking
Als ich damals noch auf Barcamps ging, hielt ich 2013 auf dem Saarcamp einen Vortrag über Scriptkiddies mit anschließenden Live-Hacking (und zwar richtig live, an einer echten Website). Die Sicherheitslücke wurde danach gemeldet und behoben.
Soundboard mit der Twitch-API
Ab und an programmiere ich auch andere Sachen, wie Minigames oder etwas direkt für den Stream. Hier mein eigenes Soundboard mit den "besten" Hackersprüchen. Nein echt, es sind die besten Sprüche und Memes drin!
Unsicherheit
- 🔥 Web Security Bughunting
- Test-Tool für Proxyshell (CVE-2021-34473)
- 📋 Open Source Intelligence für Awareness Kampagnen
- Wordpress aus Hackersicht (Präsentation, PDF)
- 🎖 Apple Security Hall of Fame (2012)
- 🎖 Microsoft Security Hall of Fame (2012)
- Zum Scriptkiddie in 60 Minuten (Barcamp Session)
- Whitehouse.gov Petitionsystem Hack (XSS) 2011
- NATO Research and Technology Hack (LFI) 2011
Journalismus
Ich war Redakteur für das c't Computermagazin und Heise Online im Bereich IT-Sicherheit und schrieb unter dem Kürzel ako.
- 📧 Mehrere verwundbare Exchange-Server der öffentlichen Verwaltung
- 🔍 c't 5/2022 Hackerspielplatz: Websites hacken mit ZAP
- 👨🏻💻 c't 23/2021 Hacking-Tools: Hacking-Werkzeug für Fortgeschrittene
- 🦄 Forensischer Bericht: iMessage-Lücke für Pegasus Spyware wird weiterhin genutzt
- 🔍 iPhones selbst auf Pegasus und andere Spyware prüfen
- ☠️ Top 25 der Sicherheitslücken: Buffer Overflows als größte Gefahrenquelle
Presse
- 👍🏼 It's World Emoji Day!(Glitch)
- Das mobile Zeitalter hat begonnen – Die Sicherheitslücken bleiben (Mobildiscounter, nicht mehr online)
- Persistent XSS Vulnerability in White House Website (The Hacker News)
- Trollitik - Eine ZDF-Kurzdoku über den miesen Ton im Netz (ZDF Info, 2013)
- Vom Netzkind zum Netzexperten (Saarbrücker Zeitung, 2012)
- Gamer-Rache: RTL-Seite wurde gehackt! (Promiflash, 2011)
- Erboste Gamer kapern RTL-Website (SZ, 2011)
Werkzeuge
Minispiele
- 🔨 Whac-emoji
- Emoji duel
- 💎 Twitter RPG Textadventure
- AlexCoins - better than bitcoins
- Robots vs Scientists
- Virtuelles Haustier
- Reverse Flappy Bird
- Codebreaker
- One Button Game
- Weltraumhandel
- 🌿 Retro Farm
- ZombieHölle
- Blockjumper
- Der verfluchte Wald (Textadventure)
- Detektiv X (Textadventure)
Fun Fun Fun!
- Twitter to Keyboard
- Hasskommentar + VONG Konverter (Chrome, Firefox)
- OK Boomer
- Verspottify
- 🐠 Aquarium + Emojis
- Ariana Wave
- Giphy TV
- What is your hacker name?
- Hackerspruch Generator
- Collatz conjecture
- Homöopathischer Viren-und Trojanerschutz
- Bildschirmschoner
- Das exklusive Bibiphone
- Datenschutz made in Germany
- Leetspeak Konverter
Power-Tweets
Bitte denkt doch mal daran Webseiten wieder hoch zu scrollen, wenn ihr fertig seid. Das nervt jeden, der sie danach anschauen will. Mann!
"Das waren die russischen Hacker", hört sich besser an als "ich klicke auf jeden E-Mailanhang und folge den Anweisungen!".
"Alter Table!" Ghettokind fällt Vokabel für Tisch wieder ein oder SQL Administrator ändert Tabelle?
Meine TV-Idee: Verschiedene Android-Smartphones treffen sich in einer Fernsehshow. Es gibt Rosen zu
verteilen, am Ende bleibt ein Smartphone übrig und bekommt ein Update auf die aktuellste Android
Version.
Der Patchler.🌹
Wie macht ein Dinosaurier, wenn er einen Ordner komprimiert?
".rar"
Filmtitel raten: Alte Programmiersprache + angeborener Mechanismus zur Verhaltenssteuerung.
Ein Softwaretester geht in eine Bar.
…hüpft in eine Bar.
…springt durch das Fenster in eine Bar.
…bestellt 5 Bier, bestellt 300 Bier, bestellt -1 Bier, bestellt „AAAAA“ Bier.
…singt die Bestellung, schreit die Bestellung, geht während der Bestellung
wieder aus der Bar raus.
Ich bin Internetarchäologe und sammele JPG-Artefakte.
Auf Mastodon unterwegs: @1337coreWas ist Leetspeak?
Leetspeak (kurz: 1337 für Elite) kann schwer zu lesen sein und ist dadurch als eine Art Geheimcode bestimmter Gruppen der Computerszene zu betrachten. Ursprünglich durchaus ernst gemeint, wird sie heute jedoch fast nur noch in selbstironischer Form genutzt.
Selbstironie ist eine Ironie, deren unmittelbare Zielscheibe die eigene Rolle oder Meinung ist und die daher eine spielerische, relativierende oder sogar kritische Haltung sich selbst gegenüber einnimmt.
Damit verbindet der Sprecher dennoch die Erwartung, dass der wahre Sinn seiner Äußerung verstanden werde, wenn auch vielleicht nicht von jeder Person oder nicht von jeder Person in vollem Umfang.
Quelle: Internet
H4CK T3H PL4N37 <3