Die Kunst des Penetration Testing

Shacho

New member
Ich habe mal eine Frage bezüglich eines Buches.
Hat von euch schon einmal dieses Buch gelesen?
Ich will mir es demnächst kaufen und wollte fragen was ihr von diesem Buch haltet. Ist es empfehlenswert? Der Verfasser dieses Buches ist Chief Technical Officer in einer Sicherheitsfirma (SCIP AG), deswegen denke ich, dass es kein Scriptkiddy Kack ist, trzdm. will ich nocheinmal auf Nummer sicher gehen.
 

Darkslide

New member
Der Autor ist ziehmlich bekannt und "Inhaber" dieser Seite:

computec.ch

Über das Buch an sich kann ich keine Aussagen machen, aber Marc Ruef arbeitet seit Jahren als Penetration-Tester, hat also jede Menge praktische Erfahrung.
 

overflow

Member of Honour
http://www.hackerboard.de/habo-lounge/46572-welche-buecher-liest-das-habo.html#post347224

Ich habe es durchgelesen.

Man sollte gewisse Fachkenntnisse mitbringen, um einiges zu verstehen.
Der Kauf hat sich für mich gelohnt um einige Dinge zu vertiefen.
Du wirst aber nach dem Buch kein "ueberhacker" :)

Mein Fazit daraus:
fachlich das beste, was ich je gelesen habe, aber dennoch unnütz.
Schließlich bekommt man alle Informationen auch kostenfrei im Netz.
Er bündelt diese nur leserfreundlich in einem Buch.
 

Shacho

New member
Was sind denn die Themen, die dich interessieren - für mich klingt das Inhaltsverzeichnis nicht sonderlich spannend.
Ich bin 14 und programmiere seit etwa 2 Jahren. Ich habe schon Serversoftware (in C#) für ein Browsergame geschrieben und und und.
Da mir das langsam aus den Ohren raushängt möchte ich bischen tiefer in die Materie einsteigen. Zurzeit lerne ich Assembler und C++. Bis jetzt habe ich schon einige Bücher gelesen bin aber von den meisten, bis auf ein einziges das mir eigentlich schon einiges gebracht hat, enttäuscht worden. (Halt Script Kiddy Müll). Deshalb wollte ich diesesmal auf Nummer sicher gehen.

@overflow: Ja das stimmt man bekommt die Infos auch im Web, prinzipiell könnte man das aber von jedem Fachbuch sagen... Nur ich finde es lohnt sich, wenn man alles gebündelt bekommt bischen Kohle herzugeben.
 
Zuletzt bearbeitet:

SchwarzeBeere

Moderator
Mitarbeiter
Ich habe es gelesen und - ganz lapidar - es haut einen nicht vom Hocker, aber es ist auch kein schlechtes Buch. Du solltest Vorkenntnisse (z.B. Protokollstack, ..) mitbringen, die können aber auch während du das Buch ließt, "mitgelernt" werden, da sie so tief nicht sein müssen. Ingesamt ist es sehr grundlegend und bezieht sich ausschliesslich auf die klassischen Protokolle TCP, UDP, IP oder ARP und die klassichen Programmierfehler Code/SQL/XSS Injections, Bufferoverflows, Format Strings. Der Schwerpunkt liegt aber klar auf der Netzwerktechnik und weniger beim Programmieren.

Persönlich würde ich das Buch weiterempfehlen, wenn man sich mit Netzwerktechnik beschäftigen möchte, aber einem Bücher wie "TCP/IP Illustrated" zu theoretisch sind. Das Buch hier ist eher praktisch ausgerichtet und zeigt, wie Betriebssysteme und Applikationen die einzelnen Protokolle implementieren und wie man diese Implementationen ausnutzen kann. Damit ist es sicherlich auch nützlich, wenn man eigene Netzwerkbasierte Applikationen programmiert. Die Kapitel, bei denen es über die Programmierfehler selbst geht, kann ich nicht empfehlen. Wenn du in dem Bereich etwas suchst, kann ich dir das Buch hier nicht empfehlen.
 

Chromatin

Moderator
Mitarbeiter
Der Verfasser dieses Buches ist Chief Technical Officer in einer Sicherheitsfirma (SCIP AG), deswegen denke ich, dass es kein Scriptkiddy Kack ist, trzdm. will ich nocheinmal auf Nummer sicher gehen.
Ich glaube Du hast noch viel über die IT-Sicherheitsbranche zu lernen.

Regel Nr 1: Kaufe nie - nie - niemals ein Buch von irgendeinem Chief Sonstwas, oder irgendwelchen IT Beratern, sind sie auch noch so renomiert - wenn sie keine Referenzen in der Softwareentwicklung haben (kurz: Code schreiben können). Alle diese Bücher - und zwar sämtliche, sind aus anderer Leute Büchern und Arbeiten herauskondensiert worden.

Im Grunde gibt es in den absoluten Grundlagen, nur relativ wenig wirklich gute Bücher, wie ZB "den" Stevens, wenn es um Netzwerkcoding geht.

Frag gute Programmierer was sie gelesen haben oder was sie lesen. Und wenn dir jemand mit C++ in 21 Tagen kommt, frag jemand anderen...
 

Shacho

New member
Ich glaube Du hast noch viel über die IT-Sicherheitsbranche zu lernen.

Regel Nr 1: Kaufe nie - nie - niemals ein Buch von irgendeinem Chief Sonstwas, oder irgendwelchen IT Beratern, sind sie auch noch so renomiert - wenn sie keine Referenzen in der Softwareentwicklung haben (kurz: Code schreiben können). Alle diese Bücher - und zwar sämtliche, sind aus anderer Leute Büchern und Arbeiten herauskondensiert worden.

Im Grunde gibt es in den absoluten Grundlagen, nur relativ wenig wirklich gute Bücher, wie ZB "den" Stevens, wenn es um Netzwerkcoding geht.

Frag gute Programmierer was sie gelesen haben oder was sie lesen. Und wenn dir jemand mit C++ in 21 Tagen kommt, frag jemand anderen...
Ok, danke. Welche Programmierer könnte ich denn Fragen?

Ich habe das Buch jetzt mal bestellt. Schaden kanns ja nicht.

Edit: Wisst ihr was? Ich geh einfach nächsten Mittwoch zu einem Chaostreff in Zürich, dann kann ich persönlichen Kontakt pflegen. Der ccc Schweiz wurde ja vor paar Tagen gegründet :D. (15.12.12)
 
Zuletzt bearbeitet:

Shacho

New member
Offenbar ist jeder weitere Ratschlag sinnlos.
Wie soll ich das verstehen?
Inwifern habe ich deinen Ratschlag nicht angenommen (Ausser, dass ich das Buch bestellt habe, was ja nicht tragisch ist. Ich habe es ja vor deinem Beitrag bestellt)?
Wieso soll jeder weitere Ratschlag sinnlos sein? Ich bin immer fuer Ratschlaege offen.
 
Zuletzt bearbeitet:

Shacho

New member
Ich würde nicht vom CCC erwarten, dass dort richtige Profis sind... leider. So wie ich die meisten Leute dort kennengelernt habe, sind die relativ gut darin Linux zu administrieren, git zu bedienen, Windows doof zu finden, paar basic TutzzZZzz gelesen zuhaben und vor allem VIEL über Politik zu labern. Guck dir einfach das Programm vom 29c3 an, dort bekommt man guten Eindruck wo die Stärken vom CCC liegen, im Bereich Technik auf jeden Fall nicht. Der CCC ist halt eine Lobbygruppe und unterscheidet sich im Prinzip nicht wirklich von anderen Lobbygruppen, sei es nun Atom, Auto oder Energie.
Mal ganz ne doofe Frage: Wie komm ich zu guten Programmierern? In meinem Umfeld sind keine. Welche sind den die Leute die wirklich gut sind (z.B hier im Forum)?
Im Allgemeinen gilt jeder wie ich hat das gleiche Problem: Wo setzt man an.
Wenn man solche Bücher wie dieses liest, bekommt man schon vieles mit, aber wirklich gut wird man davon auch nicht.
Und ich weiss einfach nicht, wie, wo und an was ich dieses erworbene Wissen von diesen Büchern anwenden soll.

Ich bin bereit viel zu lernen und möchte das Ganze nicht in 3 Tagen lernen. Ich will es wirklich lernen, denn es hat mich noch nie etwas so interessiert und gefesselt wie Computer. Ich bin jetzt schon seit knapp 2.5 Jahren dran und möchte mich einfach weiterbilden.

Und ich finde es ehrlich gesagt nicht wirklich nett wenn solche wie Chromatin schreiben "Offenbar ist jeder weitere Ratschlag sinnlos" und dazu noch ohne konstruktive Begründung. Sobald ich mal was kann bin ich selbstverständlich auch bereit was dieser "Szene" beizutragen. Und mal ganz ehrlich: So selbstverliebt es auch klingt, solche Leute wie mich braucht die Hacker-"szene" doch. Nicht wahr?

Wenn ich in irgendeiner Weise total falsch liege, so möge Derjenige, dem das aufgefallen ist, einen netten und freundlich gesinnten Beitrag schreiben.
 
Zuletzt bearbeitet:

SchwarzeBeere

Moderator
Mitarbeiter
Mal ganz ne doofe Frage: Wie komm ich zu guten Programmierern? In meinem Umfeld sind keine. Welche sind den die Leute die wirklich gut sind (z.B hier im Forum)?
Chromatins Aussage ist wohl eher dahingehend zu verstehen, dass, wenn du dich für ein spezielles Problem oder einen eingeschränkten Bereich interessierst, du dort auch auf bestimmte Personen stoßen wirst, die sich in genau diesem Thema hervorragend auskennen und in der Regel auch die Standardwerke dazu verfasst haben. Penetration Testing ist ein gutes Beispiel: Verstehst du die Netzwerkgrundlagen brauchst du kein Buch, das dir nochmal vorkaut, welche Flags wie gesetzt sein müssen, um ein bestimmtes Ziel zu erreichen. Aus Programmierersicht ist das System einfach falsch implementiert, das Ausnutzen wird zum Kinderspiel, da du das Problem verstanden hast.
Insofern kannst du es dieses Buch auch nur als Übersicht oder Einführung für Menschen verstehen, die sich noch nicht mit IT Sicherheit oder grundlegender Netzwertechnik auseinander gesetzt haben. Übersichten enthalten aber immer nur vorhandene Themen von vorhandenen Werken und können aufgrund ihres großen Abstraktionsgrades nicht so genau darauf eingehen, wie man es sich manchmal wünschen würde. Beispielsweise kann dieses Buch hier niemals alle Flags im TCP Header grundlegend erklären oder darauf eingehen, warum es diese Flags überhaupt gibt und wo die Einsatzgebiete sind. Es beschreibt zum Beispiel lediglich, dass es einen Chrismas-Scan gibt, bei dem unterschiedliche Flags einfach gesetzt sind. Die Fähigkeit das Problem, welches du ausnutzen möchtest, grundlegend zu verstehen erhälst du mit diesem oberflächlichen Wissen natürlich nicht.

Denoch halte ich diese Bücher für wichtig. Sie bieten zumindest einen Überblick und eine Einführung ins Thema. Von diesen Büchern brauchst aber nicht besonders viele. Ein sehr gutes Buch, welches einen schönen Überblick über einige grundlegende Aspekte von IT/Informationssicherheit gibt, ist beispielsweise "Computer Security" von Matt Bishop, da es wirklich sehr grundlegend an Computersicherheit heran geht und überflüssigen Balast einfach weg lässt. Vielen Autoren, u.a. auch vielen CTOs/CSOs/CISOs, gelingt das nicht, da sie die Computersicherheit aus einer anderen Perspektive sehen. Deswegen sollte man sich klar machen, dass der Titel nicht über die Qualität entscheidet. Entscheident ist wirklich, aus welcher Perspektive (Management vs. Programmierer/In) und mit welchem Abstraktionsgrad man ein Thema betrachtet.

Damit erübrigt sich auch, wie du Leute kennen lernst. Der CCC ist zwar eine tolle Möglichkeit dich mit Gleichgesinnten zu treffen und auszutauschen. Das macht Spaß und fördert zum Teil auch das Interesse an der Materie, da die Kreativität in der Gruppe meist größer ist. Du solltest aber nicht erwarten, dass diese Leute die absoluten Cracks sind. In der Regel sind es nur sehr wenige von ihnen. Das sind dann die Programmierer und Forscher, die sich in ihrem speziellen kleinen Gebiet auskennen. Und die können dir auch Grundlagenbücher für ihre spezielles Gebiet empfehlen.
 
Zuletzt bearbeitet:

Shacho

New member
Chromatins Aussage ist wohl eher dahingehend zu verstehen, dass, wenn du dich für ein spezielles Problem oder einen eingeschränkten Bereich interessierst, du dort auch auf bestimmte Personen stoßen wirst, die sich in genau diesem Thema hervorragend auskennen und in der Regel auch die Standardwerke dazu verfasst haben. Penetration Testing ist ein gutes Beispiel: Verstehst du die Netzwerkgrundlagen brauchst du kein Buch, das dir nochmal vorkaut, welche Flags wie gesetzt sein müssen, um ein bestimmtes Ziel zu erreichen. Aus Programmierersicht ist das System einfach falsch implementiert, das Ausnutzen wird zum Kinderspiel, da du das Problem verstanden hast.
Insofern kannst du es dieses Buch auch nur als Übersicht oder Einführung für Menschen verstehen, die sich noch nicht mit IT Sicherheit oder grundlegender Netzwertechnik auseinander gesetzt haben. Übersichten enthalten aber immer nur vorhandene Themen von vorhandenen Werken und können aufgrund ihres großen Abstraktionsgrades nicht so genau darauf eingehen, wie man es sich manchmal wünschen würde. Beispielsweise kann dieses Buch hier niemals alle Flags im TCP Header grundlegend erklären oder darauf eingehen, warum es diese Flags überhaupt gibt und wo die Einsatzgebiete sind. Es beschreibt zum Beispiel lediglich, dass es einen Chrismas-Scan gibt, bei dem unterschiedliche Flags einfach gesetzt sind. Die Fähigkeit das Problem, welches du ausnutzen möchtest, grundlegend zu verstehen erhälst du mit diesem oberflächlichen Wissen natürlich nicht.

Denoch halte ich diese Bücher für wichtig. Sie bieten zumindest einen Überblick und eine Einführung ins Thema. Von diesen Büchern brauchst aber nicht besonders viele. Ein sehr gutes Buch, welches einen schönen Überblick über einige grundlegende Aspekte von IT/Informationssicherheit gibt, ist beispielsweise "Computer Security" von Matt Bishop, da es wirklich sehr grundlegend an Computersicherheit heran geht und überflüssigen Balast einfach weg lässt. Vielen Autoren, u.a. auch vielen CTOs/CSOs/CISOs, gelingt das nicht, da sie die Computersicherheit aus einer anderen Perspektive sehen. Deswegen sollte man sich klar machen, dass der Titel nicht über die Qualität entscheidet. Entscheident ist wirklich, aus welcher Perspektive (Management vs. Programmierer/In) und mit welchem Abstraktionsgrad man ein Thema betrachtet.

Damit erübrigt sich auch, wie du Leute kennen lernst. Der CCC ist zwar eine tolle Möglichkeit dich mit Gleichgesinnten zu treffen und auszutauschen. Das macht Spaß und fördert zum Teil auch das Interesse an der Materie, da die Kreativität in der Gruppe meist größer ist. Du solltest aber nicht erwarten, dass diese Leute die absoluten Cracks sind. In der Regel sind es nur sehr wenige von ihnen. Das sind dann die Programmierer und Forscher, die sich in ihrem speziellen kleinen Gebiet auskennen. Und die können dir auch Grundlagenbücher für ihre spezielles Gebiet empfehlen.
Ok vielen Dank für deinen Text. Aber wie komm ich denn an diese Leute ran, wenn ich mich jetzt beispielsweise mit irgendeinem Protokoll speziell beschäftigen möchte? Sind diese Leute wirklich so schwierig zu finden? Oder einfach mal im Web suchen und kontaktieren (bspw. per email)?
 
Zuletzt bearbeitet:

SchwarzeBeere

Moderator
Mitarbeiter
Ok vielen Dank für deinen Text. Aber wie komm ich denn an diese Leute ran, wenn ich mich jetzt beispielsweise mit irgendeinem Protokoll speziell beschäftigen möchte? Sind diese Leute wirklich so schwierig zu finden? Oder einfach mal im Web suchen und kontaktieren (bspw. per email)?
Wie gesagt: Wenn du dich mit einem Thema tiefer (eventuell sogar auf akademischem Niveau) beschäftigst, merkst du schnell, wer wirklich Ahnung von einem bestimmten Thema hat oder wer Vorreiter/In ist. Warum du sie unbedingt kontaktieren willst, ist mir allerdings nicht klar. Ich wüsste auch nicht, was das zum jetzigen Zeitpunkt bringen sollte. Aktuell lassen sich alle deine Fragen doch auch noch in Foren wie dem hackerboard klären. Und - nimms mir nicht böse - Anfängerfragen wird mit dir kein Experte durchkauen wollen.

Btw: Schau dir Vorträge von üblichen Konferenzen (Blackhat, ..) an. Dort sind in der Regel diejenigen vertreten, deren Meinung etwas zählt in der Szene. Ansatzpunkte sind z.B. auch die dazugehörigen Konferenzpapers und deren Quellenangaben, um dich mit einem Thema näher zu beschäftigen. Die enthalten meist noch mehr Inhalte, als der Vortrag und die Quelleninformationen geben weitere Ansatzpunkte zur Beschäftigung.
 
Zuletzt bearbeitet:

Shacho

New member
Ok das Thema ist für mich geklärt. Kann geclosed werden :D.
Ausser jemand hat noch eine Anregung was zu sagen.
 
Zuletzt bearbeitet:
Oben