Overhewire bietet eine Sammlung von Wargames, die Ihnen helfen sollen, Sicherheitskonzepte zu lernen und zu üben sowie eine bestimmte Denkweise zu fördern und auszuüben. Denken außerhalb der Box ist, unbestreitbar, ein Hacker oder Programmierer mächtigsten Fähigkeit. Es gibt eine Million Skripte und andere Tools, und alle sind im Vergleich zur Entwicklung dieser Fähigkeit extrem einfach zu bedienen. Selbst wenn Sie das Wissen haben, sie selbst zu schreiben, benötigen Sie immer noch die erforderlichen Street-Smarts, um das gewünschte Ergebnis zu erzielen. Die Entwicklung dieser Denkweise wird Ihnen helfen, Probleme für den Rest Ihres Lebens zu lösen.

Overthewires erstes Kriegsspiel mit dem Titel „Bandit“ richtet sich an absolute Anfänger. Es wird Ihnen die Grundlagen beibringen, die Sie wissen müssen, um mit ihren anderen Kriegsspielen in Kontakt zu treten, deren Schwierigkeitsgrad mit zunehmendem Level zunimmt. Bandit bringt Ihnen die Verwendung einer Linux-Shell, Remoteverbindungen und SSH (Secure Shell) bei. Wenn Sie mit SSH nicht vertraut sind, werde ich eine sehr kurze Erklärung geben. Die erste Iteration von SSH (SSH-1) wurde von Tatu Ylönen an der Technischen Universität Helsinki entwickelt. Die Erstellung wurde durch einen Passwort-Sniffing-Angriff auf das Universitätsnetzwerk ausgelöst. SSH ist ein kryptografisches Netzwerkprotokoll zum sicheren Betrieb von Netzwerkdiensten über ein ungesichertes Netzwerk. Dies sind normalerweise Dinge wie Remote-Befehlszeile, Anmeldung und Remote-Befehlsausführung. Jeder Netzwerkdienst kann mit SSH gesichert werden. Es wurde als Ersatz für Telnet und andere (unsichere) Remote-Shell-Protokolle entwickelt. Vor SSH sendeten diese Protokolle Informationen (wie Passwörter) im Klartext, wodurch sie durch Paketanalyse abgefangen werden konnten. Wird Paketanalyse ein zukünftiger Blogbeitrag sein? Wer weiß.

Die Spiele bei OverTheWire sind in Levels unterteilt und es ist für Sie gedacht, das vorherige Level zu beenden, bevor Sie fortfahren. Im Gegensatz zu CTF-Spielen (Capture the Flag) von ‚Red Team vs Blue Team‘ wird die OverTheWire Wargame Suite alleine gespielt, sodass viel weniger organisatorischer Aufwand erforderlich ist, um die Dinge in Gang zu bringen. Echte Freunde werden sowieso überbewertet. Jeder kennt von Mr. Roboter, dass die Super-leet imaginäre haben. Spoiler-Alarm.

Bandit hat derzeit 34 Level. Die vorgeschlagene Reihenfolge, um die Spiele zu spielen, besteht darin, dort auf Level 0 zu beginnen und dann, sobald Sie es durchgearbeitet haben, entweder zu Leviathan, Natas oder Krypton überzugehen. Danach schlagen sie Narnia, Behemoth, Utumno und Maze in dieser Reihenfolge vor. Es gibt auch Vortex, Semtex, Manpage und Drifter. Bandit wurde entwickelt, um den Benutzer mit der Befehlszeile und SSH vertraut zu machen und Sie mit einigen der für die späteren Spiele erforderlichen Fähigkeiten vertraut zu machen. In Narnia wird der Benutzer mit der grundlegenden Ausbeutung vertraut gemacht. Sie erhalten den Quellcode jeder Ebene in Narnia, um das Auffinden der Schwachstellen zu erleichtern. Behemoth befasst sich mit häufigen Codierungsfehlern wie Pufferüberläufen, Race Conditions und der Eskalation von Berechtigungen. Die meisten Anfängerspiele erfordern keine vorherige Programmiererfahrung, aber es wird sicherlich nützlich werden, wenn Sie vorankommen. Jedes Shell-Spiel hat seinen eigenen SSH-Port und diese Wargames sind eine großartige Möglichkeit, sich mit den Befehlszeilen- und allgemeinen Konzepten der Netzwerksicherheit vertraut zu machen.

Um mit ‚Bandit‘ zu beginnen, benötigen Sie SSH. Der Host ist bandit.labs.overthewire.org am Port 2220 mit einem Login und Passwort von bandit0. Sie können eine Verbindung über die Befehlszeile herstellen mit:
ssh -l bandit0 -p 2220 bandit.labs.overthewire.org

Für Ubuntu-Benutzer können Sie den SSH-Server installieren mit:

sudo apt update
sudo apt upgrade
sudo apt install openssh-server

Für Windows-Benutzer (Nicht-WSL) müssen Sie PuTTY hier herunterladen:
https://www.putty.org

OverTheWire verwendet auch eine Anzeigetafel, die vom Befehl wechall in der SSH-Shell aufgerufen wird. Es wird von WeChall unter https://www.wechall.net bereitgestellt. Um die Anzeigetafel zu verwenden, gehen Sie zur WeChall-Website und registrieren Sie sich für ein Konto. Gehe zu Account dann WarBoxes um dein Token zu erhalten. Bearbeiten Sie Ihre ~/.bashrc Hinzufügen:
export WECHALLUSER="YourUserName"
export WECHALLTOKEN="YOUR-WECHALL-TOKEN-HERE"

Als nächstes bearbeiten Sie Ihre ~/.ssh/config und fügen Sie hinzu:
Host *.labs.overthewire.org
SendEnv WECHALLTOKEN
SendEnv WECHALLUSER

Zusätzliche Informationen:
https://overthewire.org/wargames/

Please do not hesitate to contact me if there is a particular subject you would like covered in a future blog post.