no one is safe ...

Buchreviews - "Die Kunst der digitalen Verteidigung" und "Penetrations-Tests - Angriffe auf Dienste, Programme und Netzwerke"

Gute deutschsprachige Literatur im IT Security und speziell im Teilbereich der offensiven IT Security ist selten. Dementsprechend freut es mich immer wieder wenn ich über eines dieser tollen Bücher stolpere. Eigentlich geht es hier nicht um ein einzelnes Buch, sondern vielmehr um zwei Bücher. Zum einen das aktuelle Werk von Thomas Werth welches sich dediziert mit Penetrations-Tests befasst und andererseits sein etwas älteres Werk "Die Kunst der digitalen Verteidigung". Beide Bücher ergänzen sich unglaublich gut, sind sehr gut geschrieben und weisen umfassende und vor allem hilfreiche Tipps und Kniffe aus der täglichen Anwendung auf.

Die Kunst der digitalen Verteidigung - Sicherheitsstrategien • Software-Diagnosen • Forensische Analysen

Die Kunst der digitalen Verteidigung beginnt mit einer allgemeinen Einleitung in der dargestellt wird warum wir uns überhaupt mit IT Security befassen müssen. Es kommt zur kurzen Erklärung was Würmer, Rootkits, Keylogger und weitere typische Bedrohungen sind. Der weitere Verlauf bietet einen Crashkurs in WLAN Security und wie WLANs mit Airmon/Aircrack und Konsorten angegriffen bzw. abgehört werden können. Neben Hydra finden auch weitere häufig genutzte Tools wie Nikto und w3af seine Darstellung. Dies sind nur kurze Auszüge was Thomas alles an geballten Informationen in sein erstes Kapitel verpackt hat. Sehr interessant und eine sehr gute Einführung die Lust auf mehr macht.

Im zweiten Kapitel wird die typische Verteidigungskette betrachtet bzw. aufgebaut. Es werden grundlegende Netzwerktopologien dargestellt, Serversysteme werden gehärtet und ein Snort IDS wird eingerichtet. All diese Themenbereiche werden im praktisch dargestellten Schnelldurchlauf auf hohem Niveau aber durchaus auch für Laien verständlich aufbereitet und praktisch demonstriert. Sehr gut gefiel mir beispielsweise die Darstellung der Webserver Konfiguration. Thomas stellt nahezu jede sicherheitsrelevante PHP Option dar und baut dadurch mit dem Leser gemeinsam eine sehr gut abgesicherte PHP Umgebung auf. Neben der Absicherung unterschiedlicher Clientsysteme und Browser runden dieses Kapitel noch mögliche Angriffe auf Online Banking Portale ab.

In Kapitel drei geht es dann in den offensiven Bereich der IT Security, es werden bislang unbekannte Schwachstellen analysiert. Nach einer kurzen Erklärung was es mit dem Stack auf sich hat wird direkt mit einem ersten Buffer Overflow durchgestartet. Dabei wird der typische Verlauf der Exploitentwicklung von einem ersten Crash bis zu einem fertigen Exploit beschrieben und anhand eines Beispiels praktisch umgesetzt. Ein einfacher Proof of Concept reicht dem Autor natürlich nicht aus und es kommt zur Erstellung eines vollwertigen Metasploit Moduls. Mit diesem einfachen Beispiel aber nicht genug, Thomas betrachtet weitere speziellere Exploitingthemen wie Integer Overflows, Formatstring Overflows und Return into libc Methoden um Schwachstellen auf unterschiedlichste Weise bzw. unter verschiedensten Rahmenbedingungen auszunützen. Ein sehr gelungenes Kapitel, was auch im zweiten Buch durchaus seinen Platz gefunden hätte. Im weiteren Verlauf des Buches werden typische Pentesting Tools vorgestellt die in keiner Toolbox fehlen dürfen. Neben Nmap kommen natürlich John the Ripper, das Metasploit Framework, Aircrack-NG, Nikto und viele weitere zur Anwendung.

Das vierte Kapitel mit dem Titel "Digitale Forensik" geht den etwas anderen und für mich wesentlich spannenderen Weg in Richtung Forensik, es steigt im ersten Teil direkt in Reverse Engineering ein und analysiert ein bekanntes Crackme Binary sehr detailliert. Dieses Kapitel gefällt mir unglaublich gut, da ich nicht mit einem solchen Einstieg in die Forensik Thematik gerechnet hätte. Bevor sich Thomas mit den typischeren Forensik Themen befasst, stellt er noch einige Details zur Patchanalyse dar und erst im Anschluss geht es mit der typischen forensischen Systemanalyse weiter. Ein sehr gelungenes Kapitel was mich von Anfang an positiv überrascht hat.

Dieses Buch ist überaus empfehlenswert und trotz seines Alters nicht im Geringsten in die Tage gekommen. Unbedingt kaufen!


Weitere Informationen zu diesem Buch und eine Leseprobe findet ihr zudem auf der Seite des Verlag: http://www.cul.de/verteidigung.html und http://www.cul.de/data/verteidigungpr.pdf

Penetrations-Tests - Angriffe auf Dienste, Programme und Netzwerke

In seinem zweiten Buch mit dem Titel "Penetrations-Tests - Angriffe auf Dienste, Programme und Netzwerke" betrachtet Thomas einen Penetrationstest mit allen seinen Facetten. Er beginnt im ersten Kapitel mit einer Beschreibung der unterschiedlichen Testmethoden wie Whitebox, Blackbox, Greybox. Das OSSTMM weist in seiner Ausführung einen sehr hohen Stellenwert auf und es kommt zur Betrachtung der typischen Pentesting Methodik, des RAV (Risk Assessment Value), dem Ablauf eines Pentests mit einer kurzen Darstellung der einzelnen Phasen eines Pentests.

Nach dieser flotten Einführung in die Thematik wird im zweiten Kapitel der eigene Arbeitsplatz in Form des eigenen Penetration Testing Systems vorgestellt. Eine kurze Darstellung unterschiedlicher Tools die jedes Pentesting System aufweisen sollte, gefolgt von einer etwas detaillierteren Betrachtung einzelner Tools. Im Bereich der Passwortanalyse werden beispielsweise neben den Metasploit Passwortlisten auch Crunch weitere Tools wie Hydra und John the Ripper betrachtet. Natürlich kommt in diesem Kapitel auch das Metasploit Framework nicht zu kurz und Thomas stellt unterschiedlichen Oberflächen des Frameworks kurz und knackig vor. Zudem wird mit msfpayload, msfencode und msfvenom ein erstes Payload-Binary aka Backdoor erstellt. Im Anschluss geht es mit einer kurzen Darstellung des Social Engineering Toolkits (an dem Thomas aktiv mitentwickelt) und dessen wichtigsten Angriffsmechanismen weiter. Thomas verliert sich an dieser Stelle nicht in Details der einzelnen Tools sondern beweist immer ein gutes Händchen in der Auswahl seiner Themen. Sehr gut finde ich auch die Betrachtung von IPv6, die bislang noch nicht in vielen Büchern Einzug gehalten hat. Dieses Kapitel wird mit einer detaillierten Vorstellung der gerne verwendeten Backtrack Linux Distribution abgerundet.

Nachem in den bisherigen Kapiteln die Thematik Penetration Testing und die Arbeitsumgebung beschrieben wurde, beginnt das dritte Kapitel mit der eigentlichen Arbeit eines Pentesters, der Informationsgewinnung. Hier werden unterschiedlichste aktuelle Tools und Mechanismen beschrieben die ein Pentester regelmäßig nutzt. Zu diesen gehören neben einfachen whois Abfragen auch umfassende Tools wie Maltego, the harvester und natürlich FOCA. Zudem wird in diesem Kapitel sehr ausführlich auf die Informationsgewinnung durch Social Engineering eingegangen.

Im Anschluss an eine Informationsgewinnungsphase beginnt der Pentester typischerweise mit ersten Scanvorgängen um weitere Details zu den Systemen und Services einzuholen. Neben dem Klassiker Nmap gibt es an dieser Stelle noch eine Vielzahl weiterer Tools die regelmäßig genutzt werden und für einzelne Tätigkeiten unter Umständen wesentlich besser geeignet sind als der Nmap Portscanner. Thomas stellt neben unterschiedlichen standalone Tools auch immer wieder die Möglichkeiten des Metasploit Frameworks dar und zeigt dadurch sehr gut wie wichtig eine vollständige Toolbox ist und wie man sich mit diesen Tools den zu analysierenden Systemen nähern kann. Dieses Kapitel beschreibt immer die unterschiedlichen Services, auf welchen Ports dieses Services typischerweise zu finden sind und wie man als Pentester diese Services analysiert. Der Leser erhält dadurch einen sehr guten Leitfaden der im Normalfall eines Pentests auch bei bislang nicht bekannten Services helfen wird.

Kapitel fünf ist dem eigentlichen Angriff gewidmet und zeigt neben der Exploit Datenbank, die OSVDB und weitere online Portale die regelmäßig zur Suche von Exploitcode herangezogen werden. Neben diesen Informationen folgt jetzt ganz viel Metasploit. Einfach toll dieses Kapitel :) Speziell weil Thomas nicht nur ein bisschen Metasploit darstellt, sondern Metasploit mit unterschiedlichen weiteren Know How bündelt und dadurch beeindruckend darstellt worauf es bei einem Pentest ankommt. Mir gefällt dabei die Darstellung wie einfach es mit Metasploit ist mit der Registry zu interagieren besonders gut! Tolles Kapitel ...

Das sechste Kapitel beschäftigt sich noch mit weiteren Spezialthemen über die man zwangsweise bei komplexeren Penetration Tests stolpern wird. Beispielsweise stellt Thomas seinen Firewall Bezwinger RATTE vor und zeigt wie dieses Tools arbeitet und wie es darüber möglich ist eine schöne Eskalationskette darzustellen. Neben RATTE war hier SAP ein wichtiger Punkt. SAP findet man immer wieder vor und mit etwas Recherche lässt sich auch der eine oder andere Blogeintrag zu Penetration Tests von SAP finden. Eine umfassende Betrachtung dazu ist aber etwas schwerer zu finden ... in diesem Buch widmet Thomas diesem Thema knappe 50 Seiten und diese haben es in sich und machen Lust auf mehr.

Ich gratuliere Thomas zu diesem tollen Buch. Es hat mir sehr viel Spaß gemacht ein so gutes Buch zu lesen und ich wünsche euch ebenso Spaß daran. Weitere Infos dazu findet ihr wie üblich auf Amazon.

Weitere Informationen zu diesem Buch und eine Leseprobe findet ihr zudem auf der Seite des Verlag: http://www.cul.de/penetrations-tests.html und http://www.cul.de/data/penetrations-testspr.pdf



Comments

Buchreview

Hab die Bücher auch beide.
Leider noch nicht cover2cover gelesen aber durchgeschmöckert.
Fand die beiden Bücher auch super und war sehr positiv angetan.
Gibt ja nicht viele gute Bücher auf dem DE-Markt.

Das einzig verwirrende war für mich das 4-Layer-Modell für TCP/IP als Implementierung
des OSI/ISO-Layer-Modells. Kenne das nur als 5-Layer-Modell wie es das Pentagon nutzt.
Die physikalische Schicht wurde da mit dem Link-Layer zusammengelegt was
etwas verwirrend ist wenn mans anders gelernt hatte.

Aber sonst echt super und nettes Review. :-)

cheers smtx