Meine Reise zum OSCP-zertifizierten Pentester

Not speaking German? Scroll to the bottom and watch my OSCP Journey in my video!

Wow – das war… hart. Genau genommen war es wohl das Härteste, was ich in meinem Leben jemals aktiv, absichtlich und in vollem Bewußtsein gemacht habe.

Bereits vor 3 Jahren begann ich damit, meine durchaus ordentlichen Kenntnisse im IT Bereich zu erweitern. Mit Kursen wie LPIC (Linux Professional Institut Certification), wobei ich hier immer nur die Kurse gemacht habe, an deren Ende es zwar eine art „Prüfung“ ählich der echten Zertifizierungsprüfung gab, diese jedoch nur aus einem ca. 90-minütigen Multiple-Choice-Test bestand. Ich schreibe „nur“, obgleich bereits das nicht ganz einfach war. Man musste, auch als erfahrener Linuxianer, tatsächlich die Kurse gemacht haben, um die Praxisprüfung zu bestehen. Rückblickend bereue ich es ein wenig, dass ich nicht noch einen Schritt weiter gegangen bin und die eigentliche Zertifizierung dazu gemacht habe. Damals wollte ich lediglich mein Wissen erweitern, außerdem begannen zu der Zeit ein paar gesundheitliche Probleme. Genauer gesagt war eine meiner chronischen Erkrankungen, die mich seit meiner Kindheit begleiten, sehr akkut geworden, eine andere hatte sich über die Jahre drastisch verschlechtert. Dadurch passte es eben – wenn man frisch operiert wochenlang im Bett liegt, sind Videokurse eine willkommene Abwechslung und mir fehlte sowieso Zeit und Geld, um durch halb Deutschland zu fahren, nur um ein LPIC-Zertifikat mit begrenzter, zeitlicher Gültigkeit und eher weniger Gewicht in der Arbeitswelt zu erhalten.

Es machte mir auf jedenfall Spaß und erleichterte mir meine Arbeit – Wissen ist Macht. Deshalb machte ich weiter mit Programmier- und Netzwerkkursen, nebenher ausserdem alles was mit Foto und Video zu tun hatte. Ich hatte ebenfalls vor ein paar Jahren mit Fotografieren angefangen, um etwas Bewegung zu haben und Videobearbeitung wollte ich schon immer können. Meine damalige Arbeitgeberin von Welinku21 unterstütze mich sogar dabei und trieb ein paar Videoprojekte auf, ein kleines Dankeschön an dieser Stelle. Fusion (VisualFX) war naheliegend, da es inzwischen in die Videosoftware Resolve integriert worden war und ich von Blender 3D viel Erfahrung mit Compositing und Node-basierten Workflows hatte. Ich lernte, was Dekoratoren in Python sind, wie man in Node.js programmiert, ebenso wie ich meine Hardsurface-Modelling-Künste verbessern konnte, meine Frau schenkte mir zum 39. Geburtstag eine Jahreslizenz für Substance Painter. Meine Angebotspalette wuchs, meine digitalen Kunstwerke wurden immer professioneller und manch einer staunte ein wenig. Ob ich nicht irgendwann genug hatte? Schließlich hatte ich gerade erst mein Tonstudio aufgebaut und auch an der Stelle viel Fortbildung betrieben.

Ein typischer Fusion-Node Flow. Ganz unkomplex ist das auch nicht.

Vielleicht hatte ich eine Midlife Crisis, vielleicht lag es an meinen damaligen Kunden. Genau kann ich es nicht mehr sagen, doch der tatsächliche erste Kontakt fand nach meiner zweiten Operation 2019 statt. Mir ging es sehr schlecht, ich lag wochenlang im Bett, hatte extrem starke Schmerzen und insgesamt 4 Monate lang heftige Blutungen. Ich brauchte Ablenkungsmaterial, aber etwas stärkeres. Hacking vielleicht? Klingt spannend.

War es auch. Es hat mich gepackt und nicht mehr losgelassen. Es hat mich durch eine der schwersten Zeiten meines Lebens getragen (und ich habe in meinem Leben wahrlich schon extrem viel Sch**** erleben müssen).

Hacking war deutlich anders, als ich es mir vorgestellt hatte. Ich hatte zuvor schon nennenswerte Kenntnisse im Bereich IT-Sicherheit und auch das eine oder andere Buch zum Thema gelesen. Meine Server waren sicher, das kann ich selbst vom heutigen Standpunkt aus bestätigen. Aber was dort gemacht wurde, grenzte für mich an Zauberei – oder eher: an’s Fliegen. Diese Leute schienen so tiefgehende Kenntnisse in Linux, Windows, Webservern und eigentlich allem anderen zu haben, waren in der Lage diese Kenntnisse mühelos abzurufen, zu verbinden und so auf pfiffigste Art und Weise Systeme zu überlisten – und ich sollte das lernen? Ich meine, ich war nie wirklich langsam am Keyboard, aber musste auch öfters mal googlen, wenn ich programmierte oder einen Webserver umkonfigurierte.

Ich meldete mich bei HackTheBox.eu an und nach einiger Zeit traute ich mich an meinen ersten Server: Es war aufregend, ich hatte tatsächlich ein bißchen Angst dabei, „erwischt“ zu werden (obwohl es völlig legal ist). Ich probierte, was ich in den Videos auf Youtube gesehen hatte. Und dann: Tatsächlich, eine Path Traversal Lücke. Ich konnte /etc/passwd des Servers lesen, einfach so im Browser. Freudig und aufgeregt erzählte ich meiner Frau davon: „Schatz, ich glaube ich kann das ganz gut!“.

Ab da nahm ich Fahrt in exponentieller Geschwindigkeit auf und ich erspare Ihnen die vielen Höhen und Tiefen der Reise, die unglaublich anstrengenden Stunden, die Kopf- und Rückenschmerzen. Ich schaffte es zum Rang „Pro Hacker“ bei HackTheBox in nur wenigen Monaten, dann kam Corona. Alles auf Pause, homeschooling. Hinterher musste ich quasi wieder bei Null anfangen, meine Punktestand war zurückgewandert und ich hatte vieles vergessen. Mein nächstes Ziel war der Rang „Elite Hacker“, welcher um ein vielfaches schwerer zu erreichen war. Dutzende Server und knapp 100 Challenges sollte ich nicht nur bewältigen, sondern auch noch in relativ kurzer Zeit, weil sonst wie gesagt, die Punkte wieder Stück für Stück abgezogen wurden. Ein Marathon gegen die Uhr. Ich schaffte es, mit viel Hilfe und Unterstützung des fantastischen Teams und der anderen CTF-Spieler, eine wirklich tolle Community, die Ihresgleichen sucht. Mittlerweile konnte ich mir vorstellen, das beruflich zu machen und immer wieder stieß ich auf einen Begriff: OSCP. Was war das? Wieso brauchte man das?

Es war auf jedenfall teuer, über 1000€ für einen Online-Kurs und eine Prüfung. So viel hatte ich noch nie in meinem Leben für Bildung ausgegeben, ich war ja größtenteils Autodidakt. Das „Offensive Security Certified Professional“ ist wohl das berühmteste und am meisten beachtetste Zertifkat in der IT-Arbeitswelt, erfuhr ich. Sehr viele unterschiedliche Meinungen, es sei ganz einfach, es sei schon schwierig, man könne die Prüfung ja mehrfach machen, also kein Problem.

Ich mache erneut einen „Fast Forward“ in der Geschichte. Das OSCP ist nicht einfach. Es ist schwer, sehr schwer. Ich habe monatelang trainiert, am Ende fast wie ein Spitzensportler. Hier noch 1% verbessern, da 0.5% mehr rausholen. Dann kam die Prüfung, welche 24h dauert (+24h für Doku). Ich war sehr aufgeregt und kurz gesagt, der Prüfungstag war ein reiner Alptraum für mich. Ich konnte weniger als 2h lang schlafen und war knapp 20h lang am hacken, programmieren und verzweifeln. Durchgehend, ohne wirkliche Pause. Es war knapp, den Durchbruch schaffte ich mit der linken Hand, während ich mit der rechten mein Abendessen hielt, weil ich nur noch 45min an Zeit übrig hatte. Ein selbstentwickeltes Python-Tool bastelte Stück für Stück die Informationshappen zusammen, die mir der Server in nur wenigen Bytes durch die Sicherheitsbarrieren hindurch erlaubte. Ich erreichte fast exakt zum Gong die notwendige Punktzahl zum bestehen, körperlich ging es mir zu diesem Zeitpunkt nicht mehr gut und ich war tatsächlich ausser Atem. Ich brüllte formlich, es war kein „Juhu“ sondern eher ein „aaahhhhhhhhhhh fuuuuu****“. Dann kippte ich ebenfalls fast wörtlich vom Stuhl. 5 Tage lange zitterte ich. Offsec ist bekannt dafür, hier oder da einen Punkt abzuziehen, zum Beispiel wenn die Dokumentation nicht ordentlich ist. Was grundsätzlich kein Problem ist, wenn man deutlich mehr Punkte geschafft hat, als man zum Bestehen braucht. Bei mir jedoch hätte jeder Abzug einen Mißerfolg bedeutet, und ich fühlte mich nicht gerade, als könnte ich das ganze so bald wiederholen (genau genommen sprach ich in diesen Tagen mit meiner Frau ab, dass dies der erste und letzte Versuch war, ob ich es nun geschafft hatte oder nicht. Die körperliche Belastung war einfach zu groß für mich).

Es war verdammt schwer gewesen, körperlich, psychisch, mental, intelektuell. Dann die Email an einem Morgen, ich hatte immernoch starke Schmerzen von der Tortur, aber ich lief wie ein Duracell-Häschen den ganzen Tag im Kreis. Ich hatte es geschafft, ich war ein OSCP.

Ich bin sehr glücklich und danke allen voran meiner Frau und meinem Sohn, welche mich in den letzen Monaten unterstützt haben, wo sie nur konnten. Ich danke meinen Stammkunden für Ihre Geduld und allen, die mir unterwegs geholfen haben, es waren viele gute Menschen nötig, um dieses Ziel zu erreichen.

In Zukunft werde ich nun helfen können, Firmen und Krankenhäuser gegen Hackingangriffe zu schützen. Ich denke, dass ich auch das schaffe. Ich freue mich darauf.

Und bei ARTunchained? Keine Angst, es bleibt alles, wie es ist. Ich bin weiter für Sie da. Vielleicht ist es nun ein kleines bißchen sicherer hier, und ich fühle, dass meine Reise in die faszinierende Welt der IT-Sicherheit gerade erst begonnen hat.