In bestimmten F?llen k?nnen wir Einnahmen erzielen, wenn ein Leser einen Kauf t?tigt oder ein Formular auf unseren Seiten oder auf der Website eines Partners ausfüllt. Wir halten uns an eine strenge Werbepolitik und stellen sicher, dass kommerzielle M?glichkeiten niemals unsere redaktionelle Unabh?ngigkeit beeintr?chtigen oder beeinflussen. Die erzielten Einnahmen tragen zur Finanzierung der Mission von Techopedia bei, die Nr. 1 Quelle für Glücksspielwissen zu sein.
Was ist whoami?
whoami ist ein Befehlszeilen-Dienstprogramm für Computer.
Es beantwortet die Frage ?Als wer bin ich angemeldet?“ (engl. Who am I logged in as?) und ist eines der grundlegenden Tools in den heutigen Windows-, Linux-, macOS- und Unix-Betriebssystemen (OS).
whoami-Befehl bei Windows
Der Befehl whoami (engl. whoami command) ist seit der Ver?ffentlichung von Windows XP Professional und Windows Server 2003 als Standardbestandteil des Windows-Betriebssystems verfügbar.
Zur Ausführung dieses Befehls unter aktuellen Versionen des Windows-Betriebssystems sind die folgenden Schritte erforderlich:
- Die Windows-Taste gedrückt halten und auf R zur Anzeige des Run-Fensters klicken.
- CMD eintippen und dann die Eingabetaste drücken, um die Befehlszeile zu ?ffnen.
- In der Befehlszeile whoami eingeben und dann die Enter-Taste zur Anzeige des Benutzernamens drücken.
whoami-Befehl bei Linux, macOS und Unix
Der Befehl whoami wurde erstmals in der 1975 erschienenen Unix-Version 6 eingeführt.
Da Linux und macOS auf Unix basieren, haben sie diesen Befehl schon immer in ihre Distributionen integriert.?
Zum Ausführen des whoami-Befehls auf aktuellen Versionen von macOS und Standardversionen von Linux- und Unix-Betriebssystemen sind folgende Schritte zu befolgen:
- Terminal ?ffnen;
- whoami eingeben und Enter drücken.
whoami-Befehl: Anwendungsm?glichkeiten
Erstmals wurde das Dienstprogramm whoami in der 1975 erschienenen Unix-Version 6 eingeführt. Dies war eine Zeit, in der Computer gro? und sehr teuer waren – und Computerterminals oft von mehreren Usern genutzt wurden.
Als der Befehl whoami aufgerufen wurde, zeigte er den Benutzernamen desjenigen an, der bei der aktuellen Sitzung angemeldet war.
Besonders praktisch war diese Funktion für Systemoperatoren (SysOps), die Computerlabore betrieben, sowie für Mitarbeiter, die sich ein bestimmtes Terminal mit anderen Angestellten teilten.
Sie bot den Benutzern eine einfache M?glichkeit zur Best?tigung ihrer angemeldeten Identit?t und zur überprüfung, ob sie die Aufgaben unter dem richtigen Konto erledigten.?
Wenn beispielsweise ein gemeinsam genutztes Terminal eingeschaltet und unbeaufsichtigt blieb, konnte der n?chste User mit diesem Befehl feststellen, wer eingeloggt war.
Anhand dieser Information konnte die Person, sofern sie bekannt war, angesprochen und aufgefordert werden, sich abzumelden.
whoami war sehr einfach und hatte einen leicht zu merkenden Namen.
Selbst heute, wo Computerr?ume der Vergangenheit angeh?ren und es mehr als wahrscheinlich ist, dass jeder Mitarbeiter seinen eigenen Computer hat, ist whoami immer noch ein hilfreiches Werkzeug zur Fehlersuche.
Netzwerkadministratoren und Helpdesk-Mitarbeiter nutzen das Dienstprogramm zur überprüfung, ob sie mit dem richtigen Benutzerkonto angemeldet sind.
Bei unerwarteten Berechtigungsproblemen oder anderen benutzerspezifischen Fragen l?sst sich auf diese Weise schnell feststellen, ob ein Vorgang nicht einfach am falschen Benutzer scheitert.
Wegen seiner Einfachheit und der M?glichkeit, Benutzerdaten preiszugeben, ist das Dienstprogramm leider auch ein beliebtes Werkzeug für Angreifer geworden.
Wie T?ter den Befehl whoami verwenden
Auf den ersten Blick scheint das Dienstprogramm whoami ein harmloses Werkzeug zu sein.
In den H?nden eines Bedrohungsakteurs kann es jedoch zu einem gef?hrlichen Enumeration-Tool werden.
Im Kontext der Cybersicherheit ist die Aufz?hlung der zweite Schritt eines Angriffs.
W?hrend des ersten Schritts, der Erkundung, sammelt der T?ter so viele Informationen wie m?glich über das Zielsystem, ohne direkt mit ihm zu interagieren.
Im zweiten Schritt, der Aufz?hlung, greift er direkt auf das Zielsystem ein und sammelt Informationen.
Die Aufz?hlung ist eine kritische Phase in der Angriffskette.
Hierbei kann sich der T?ter in einer neuen Umgebung orientieren und strategische Entscheidungen über seinen n?chsten Schritt treffen. whoami kann für diesen Prozess ein nützliches Werkzeug sein.
Im Folgenden wird beschrieben, wie ein Cyberkrimineller, der erfolgreich einen Windows-Rechner in einem Unternehmensnetzwerk kompromittieren konnte, whoami für die Suche nach weiteren Angriffsvektoren nutzen k?nnte:
- Mit whoami l?sst sich feststellen, welches Konto kompromittiert wurde.
- Mit whoami /priv kann man sehen, welche Berechtigungen das Konto hat.
- Mit whoami /groups l?sst sich ermitteln, zu welchen Sicherheitsgruppen das Konto geh?rt.
Wenn ein Angreifer nicht auf Entdeckung bedacht ist, k?nnte er sogar whoami /all verwenden, um einen umfassenderen überblick über das Konto zu erhalten, das er kompromittiert hat. Hierdurch würde er erfahren:
- Die SID (Security Identifier) des aktuellen Benutzers;
- Den Namen des Users und die Dom?ne, zu der er geh?rt;
- Die Sicherheitsgruppen, in denen der aktuelle Benutzer Mitglied ist;
- Die SIDs für jede Gruppe;
- Die mit den Gruppenmitgliedschaften verbundenen Attribute;
- Privilegien, die w?hrend der aktuellen Benutzersitzung aktiviert oder deaktiviert sind;
- Den eindeutigen Bezeichner für die aktuelle Anmeldesitzung des Users.
Sobald der b?swillige Akteur wei?, wen er kompromittiert hat, kann er mit seinem Angriff fortfahren. Wurde ein Benutzer mit geringen Rechten kompromittiert, kann er nach Schwachstellen für die Rechteerweiterung suchen.
Wurde hingegen ein User mit hohen Privilegien kompromittiert, k?nnte er nach wertvollen Daten suchen, die er stehlen kann, oder nach M?glichkeiten, sich seitlich im Netzwerk zu bewegen.
Viele Abteilungen für Informations- und Kommunikationstechnologie (IKT) erstellen Benutzernamen, die der Einfachheit und Standardisierung halber dem gleichen Muster folgen.
Sobald der Angreifer einen Benutzernamen durch whoami kennt, kann er die Namenskonvention zur Vorhersage anderer Usernamen verwenden.
Zusammen mit ein wenig Recherche im Internet kann dies die Durchführung von Phishing-Angriffen erleichtern.
Sollte es einem T?ter gelingen, whoami auszuführen, deutet dies leider darauf hin, dass er bereits über ein gewisses Ma? an nicht autorisiertem Zugriff verfügt.
Zur Verhinderung der Nutzung von whoami für b?swillige Zwecke sollten ICT-Administratoren die folgenden Schritte in Betracht ziehen:
- Sicherheitsmechanismen zur Einschr?nkung der Ausführung von whoami auf der Grundlage der Benutzerrolle verwenden;
- Systemprotokolle auf h?ufige Verwendung von whoami oder unerwartete Nutzung des Befehls von neuen Standorten und/oder Zeitzonen aus überwachen;
- Virtuelle LANs (VLANs) auf Basis der Benutzeranforderungen zur Einschr?nkung von Angriffsfl?chen isolieren.
