whoami

Transparenz

Was ist whoami?

whoami ist ein Befehlszeilen-Dienstprogramm für Computer.

Es beantwortet die Frage „Als wer bin ich angemeldet?“ (engl. Who am I logged in as?) und ist eines der grundlegenden Tools in den heutigen Windows-, Linux-, macOS- und Unix-Betriebssystemen (OS).

whoami-Befehl bei Windows

Der Befehl whoami (engl. whoami command) ist seit der Veröffentlichung von Windows XP Professional und Windows Server 2003 als Standardbestandteil des Windows-Betriebssystems verfügbar.

Zur Ausführung dieses Befehls unter aktuellen Versionen des Windows-Betriebssystems sind die folgenden Schritte erforderlich:

  • Die Windows-Taste gedrückt halten und auf R zur Anzeige des Run-Fensters klicken.
  • CMD eintippen und dann die Eingabetaste drücken, um die Befehlszeile zu öffnen.
  • In der Befehlszeile whoami eingeben und dann die Enter-Taste zur Anzeige des Benutzernamens drücken.

whoami-Befehl bei Linux, macOS und Unix

Der Befehl whoami wurde erstmals in der 1975 erschienenen Unix-Version 6 eingeführt.

Da Linux und macOS auf Unix basieren, haben sie diesen Befehl schon immer in ihre Distributionen integriert. 

Zum Ausführen des whoami-Befehls auf aktuellen Versionen von macOS und Standardversionen von Linux- und Unix-Betriebssystemen sind folgende Schritte zu befolgen:

  • Terminal öffnen;
  • whoami eingeben und Enter drücken.

whoami-Befehl: Anwendungsmöglichkeiten

Erstmals wurde das Dienstprogramm whoami in der 1975 erschienenen Unix-Version 6 eingeführt. Dies war eine Zeit, in der Computer groß und sehr teuer waren – und Computerterminals oft von mehreren Usern genutzt wurden.

Als der Befehl whoami aufgerufen wurde, zeigte er den Benutzernamen desjenigen an, der bei der aktuellen Sitzung angemeldet war.

Besonders praktisch war diese Funktion für Systemoperatoren (SysOps), die Computerlabore betrieben, sowie für Mitarbeiter, die sich ein bestimmtes Terminal mit anderen Angestellten teilten.

Sie bot den Benutzern eine einfache Möglichkeit zur Bestätigung ihrer angemeldeten Identität und zur Überprüfung, ob sie die Aufgaben unter dem richtigen Konto erledigten. 

Wenn beispielsweise ein gemeinsam genutztes Terminal eingeschaltet und unbeaufsichtigt blieb, konnte der nächste User mit diesem Befehl feststellen, wer eingeloggt war.

Anhand dieser Information konnte die Person, sofern sie bekannt war, angesprochen und aufgefordert werden, sich abzumelden.

whoami war sehr einfach und hatte einen leicht zu merkenden Namen.

Selbst heute, wo Computerräume der Vergangenheit angehören und es mehr als wahrscheinlich ist, dass jeder Mitarbeiter seinen eigenen Computer hat, ist whoami immer noch ein hilfreiches Werkzeug zur Fehlersuche.

Netzwerkadministratoren und Helpdesk-Mitarbeiter nutzen das Dienstprogramm zur Überprüfung, ob sie mit dem richtigen Benutzerkonto angemeldet sind.

Bei unerwarteten Berechtigungsproblemen oder anderen benutzerspezifischen Fragen lässt sich auf diese Weise schnell feststellen, ob ein Vorgang nicht einfach am falschen Benutzer scheitert.

Wegen seiner Einfachheit und der Möglichkeit, Benutzerdaten preiszugeben, ist das Dienstprogramm leider auch ein beliebtes Werkzeug für Angreifer geworden.

Wie Täter den Befehl whoami verwenden

Auf den ersten Blick scheint das Dienstprogramm whoami ein harmloses Werkzeug zu sein.

In den Händen eines Bedrohungsakteurs kann es jedoch zu einem gefährlichen Enumeration-Tool werden.

Im Kontext der Cybersicherheit ist die Aufzählung der zweite Schritt eines Angriffs.

Während des ersten Schritts, der Erkundung, sammelt der Täter so viele Informationen wie möglich über das Zielsystem, ohne direkt mit ihm zu interagieren.

Im zweiten Schritt, der Aufzählung, greift er direkt auf das Zielsystem ein und sammelt Informationen.

Die Aufzählung ist eine kritische Phase in der Angriffskette.

Hierbei kann sich der Täter in einer neuen Umgebung orientieren und strategische Entscheidungen über seinen nächsten Schritt treffen. whoami kann für diesen Prozess ein nützliches Werkzeug sein.

Im Folgenden wird beschrieben, wie ein Cyberkrimineller, der erfolgreich einen Windows-Rechner in einem Unternehmensnetzwerk kompromittieren konnte, whoami für die Suche nach weiteren Angriffsvektoren nutzen könnte:

  • Mit whoami lässt sich feststellen, welches Konto kompromittiert wurde.
  • Mit whoami /priv kann man sehen, welche Berechtigungen das Konto hat.
  • Mit whoami /groups lässt sich ermitteln, zu welchen Sicherheitsgruppen das Konto gehört.

Wenn ein Angreifer nicht auf Entdeckung bedacht ist, könnte er sogar whoami /all verwenden, um einen umfassenderen Überblick über das Konto zu erhalten, das er kompromittiert hat. Hierdurch würde er erfahren:

  • Die SID (Security Identifier) des aktuellen Benutzers;
  • Den Namen des Users und die Domäne, zu der er gehört;
  • Die Sicherheitsgruppen, in denen der aktuelle Benutzer Mitglied ist;
  • Die SIDs für jede Gruppe;
  • Die mit den Gruppenmitgliedschaften verbundenen Attribute;
  • Privilegien, die während der aktuellen Benutzersitzung aktiviert oder deaktiviert sind;
  • Den eindeutigen Bezeichner für die aktuelle Anmeldesitzung des Users.

Sobald der böswillige Akteur weiß, wen er kompromittiert hat, kann er mit seinem Angriff fortfahren. Wurde ein Benutzer mit geringen Rechten kompromittiert, kann er nach Schwachstellen für die Rechteerweiterung suchen.

Wurde hingegen ein User mit hohen Privilegien kompromittiert, könnte er nach wertvollen Daten suchen, die er stehlen kann, oder nach Möglichkeiten, sich seitlich im Netzwerk zu bewegen.

Viele Abteilungen für Informations- und Kommunikationstechnologie (IKT) erstellen Benutzernamen, die der Einfachheit und Standardisierung halber dem gleichen Muster folgen.

Sobald der Angreifer einen Benutzernamen durch whoami kennt, kann er die Namenskonvention zur Vorhersage anderer Usernamen verwenden.

Zusammen mit ein wenig Recherche im Internet kann dies die Durchführung von Phishing-Angriffen erleichtern.

Sollte es einem Täter gelingen, whoami auszuführen, deutet dies leider darauf hin, dass er bereits über ein gewisses Maß an nicht autorisiertem Zugriff verfügt.

Zur Verhinderung der Nutzung von whoami für böswillige Zwecke sollten ICT-Administratoren die folgenden Schritte in Betracht ziehen:

  • Sicherheitsmechanismen zur Einschränkung der Ausführung von whoami auf der Grundlage der Benutzerrolle verwenden;
  • Systemprotokolle auf häufige Verwendung von whoami oder unerwartete Nutzung des Befehls von neuen Standorten und/oder Zeitzonen aus überwachen;
  • Virtuelle LANs (VLANs) auf Basis der Benutzeranforderungen zur Einschränkung von Angriffsflächen isolieren.

Verwandte Begriffe

Margaret Rouse
Redaktion
Margaret Rouse
Redaktion

Margaret Rouse ist eine preisgekrönte technische Autorin und Dozentin. Sie ist für ihre Fähigkeit bekannt, komplexe technische Themen simpel und nachvollziehbar zu erklären. In den letzten zwanzig Jahren sind ihre Erklärungen auf TechTarget-Websites erschienen und sie wurde in Artikeln der New York Times, des Time Magazine, USA Today, ZDNet, PC Magazine und Discovery Magazine als Quelle und Expertin zitiert. Wenn Sie einen Vorschlag für eine neue Definition haben oder eine technische Erklärung verbessern möchten, schicken Sie einfach Margaret eine E-Mail oder kontaktieren Sie sie auf LinkedIn oder Twitter.

Ähnliche News

thumbnail
Gaming

Silent Hill 2 Neuauflage: Release-Datum & mehr

Jesse Lennox1 Tag
thumbnail
Tech 101

7 Beste GitHub-Alternativen 2024

Linda Rosencrance2 Tagen
thumbnail
Cybersecurity

Jack Teixeiras Pentagon-Leak & drohende DoD-Frist

Ray Fernandez1 TagSenior Tech Journalist
thumbnail
Gaming

25+ beste kostenlosen Spiele: Gaming for free

Nicoletta Hrouzek1 TagTech-Expertin
thumbnail
Tech 101

OnePlus 13: Release-Datum, Features & Preis

Franklin Okeke1 TagTech Journalist
thumbnail
Gaming

Zenless Zone Zero (ZZZ) Tier List – Die besten ZZZ-Agenten

Jesse Lennox2 TagenEditor

Beliebte Kategorien
Alle anzeigen

Cybersecurity
Cybersecurity
Datenmanagement
Datenmanagement
Kryptowährung
Kryptowährung
Künstliche Intelligenz
Künstliche Intelligenz
Spy
Spy
Investing
Investing
Vernetzung
Vernetzung
Casino
Casino