Den Navigationsbereich überspringen...

Navigation

[Buchcover: Kenne deinen Feind - Fortgeschrittene Sicherheitstechniken]
Buchinformationen:
Cyrus Peikari, Anton Chuvakin. Deutsche Übersetzung von Peter Klicman, Andreas Bildstein, Gerald Richter. Kenne deinen Feind - Fortgeschrittene Sicherheitstechniken. (Probekapitel: Windows Reverse Engineering.) 1. Auflage Juli 2004. O'Reilly. ISBN 3-89721-376-1. Ca. 602 Seiten. 46,00 Euro.

Rezensent: Sebastian Inacker (09/2004) für die Freiburger Linux User Group.
Veröffentlicht in der UpTimes Mai 2005

Zielgruppe

Das Vorwort beschreibt den typischen Leser als einen erfahrenen Praktiker, der schon technische Bücher zum Thema Sicherheit gelesen hat und sich schon mit dem Thema gut auskennt. Der Leser sollte Erfahrungen mit Netzwerken und Programmierung haben. Soviel zum etwas einschüchternden Vorwort. Ich denke jedoch, daß das Buch auch für Leser interessant und informativ ist, die sich "nur" für das Thema interessieren und die Sache auch einmal "gerne mit den Augen des Angreifers sehen" wollen. Zumindest dann, wenn man sich für die letzten drei Teile des Buches interessiert. Der Teil "Software-Cracking", der gleich mit einer (sehr) kurzen Einführung in Assembler beginnt, dürfte in der Tat ohne Programmierkenntnisse nicht besonders viel Freude bereiten.

Zum Buch

Das Buch informiert über die Gefahren, die einem Unix- oder Windows-System drohen, indem es unter anderem "gute" und "böse" Tools (für Skript-Kiddies wie auch Administratoren zur Analyse/Abwehr) vorstellt. Dabei schildert es die Szenarien mal aus der Sicht des Angreifers, mal aus der des Verteidigers. Wenn man existierende Angriffs-Tools nicht selbst kennt, so erfährt man in diesem Buch einiges darüber.

Die verschiedenen (Haupt-)Teile des Buches enthalten (mehr oder weniger ausführliche) Einführungen - und jedes Kapitel Referenzen zum weiterlesen. Allein schon der Umfang des Themengebietes und des Buches macht klar, daß die einzelnen Kapitel nicht alles zu einem Thema abhandeln können. Sie bieten dafür aber einen gut zu lesenden Einstieg.

Software-Cracking

Bisher habe ich mich nicht wirklich mit diesem Teil des Buches beschäftigt, obwohl er ungefähr ein Drittel des Buches ausmacht und in einigen Besprechungen - wie zum Beispiel der Rezension von Robert Bruen - zum Hauptthema gemacht wird. Mich interessierten die anderen Teile mehr als das im ersten Teil beschriebene Reverse Engineering (RE), das beachtenswerterweise Windows wie auch Linux umfasst.

Nur soviel hierzu: Kapitel zwei ("Windows Reverse Engineering") gibt es als Probekapitel. Kapitel 3 behandelt Reverse Engineering in einer Linux-Umgebung, Kapitel 4 widmet sich Windows CE. Enthalten sind teils umfangreiche Listings in Assembler, Perl, C - wie auch gdb und hex-Dumps. Kapitel 5 betrachtet Überlauf-Attacken. Für diese Kapitel benötigt man wirklich die geforderten tiefgehenden Kenntnisse.

Netzwerk-Angriffe

Teil zwei beginnt mit einer Einführung bzw. Auffrischung von Protokollen und Paketformaten. Es werden unter anderem Tools für Angriffe bzw. zum "Testen" von Sicherheitseinrichtungen vorgestellt.

Gefallen hat mir, daß in diesem Teil auch über teilweise nicht technische Angriffsmöglichkeiten (Social Engineering und Reconnaissance) berichtet wird. Was nützt die beste Firewall, wenn der Angreifer durch eine simple falsche Visitenkarte an seine Informationen kommt, die er für den weiteren Angriff benötigt? Und wenn das Durchwühlen des Firmenmülls nichts bringt, so gibt es noch im Kapitel 9 beschriebene Tools zum Betriebssystem-Fingerprinting. Neben bekannten Tools wie nmap gibt es z.B. sogar die Möglichkeit, aus TCP-Timeouts Rückschlüsse zu ziehen.

Im Kapitel "Spuren verwischen" wird berichtet, welche Möglichkeiten und Probleme der Angreifer nach erfolgreicher Arbeit hat, seinen Besuch zu vertuschen und sich einen dauerhafteren Zugang zu verschaffen. Hier werden auch ein paar Root-Kits beschrieben, die man als SysAdmin vielleicht nicht unbedigt kennt.

Plattform-Angriffe

Der dritte Teil beschäftigt sich mit Unix, Windows, SOAP-XML-Webservices, SQL und WLAN.

Das Kapitel "Unix-Verteidigung" widmet sich thematisch umfangreich und meiner Meinung nach auch Unix-Einsteiger-freundlich Passwörtern, Zugriffsrechten, Logfiles und so weiter. Auch, wenn man an einer Stelle (zu umask) besser wissen sollte, was die Autoren meinen, um die Passage richtig zu interpretieren. Danach wird im Kapitel "Unix-Angriffe" auf Angriffe von Innen und Aussen oder auf (D)DOS-Attacken (inkl. Toolkits dazu) eingegangen.

Die zwei Windows-Kapitel sind nach Clients und Servern getrennt. Im Client-Kapitel werden Angriffe auf Windows XP beschrieben: DOS, SMB, UPnP, Angriffe über das Hilfe-System oder auch der Missbrauch der Remoteunterstützung. Im Server-Kapitel wird gezeigt, wie man "die Sicherheit von Windows 2000 Server und Windows 2003 Server knacken" kann, indem man "bekannte und theoretische Schwächen des Betriebssystems" nutzt: Kerberos-Angriffe, Active Directory, PKI, ...

Nach einem kurzen Kapitel über SOAP-XML-Webservices, das sich mit XML-Verschlüsselung und XML-Signaturen beschäftigt, folgt ein Kapitel über SQL-Injection. Dabei geht es darum, mittels nicht abgefangener SQL-Anfragen bestimmte Dinge zu erreichen, die an sich nicht vorgesehen waren. Im Buch werden verschiedene Gefahren und Schutzmaßnahmen beschrieben - zum Beispiel Zugriff auf Daten, die nicht für einen bestimmt waren oder auch die Umgehung von Authentifizierungen per geschickter SQL-Eingabe. Im WLAN-Kapitel werden die Gefahren und Schutzmaßnahmen bei drahtloser Kommunikation beschrieben. Neben der Abhörgefahr ("sniffen" wird praktisch beschrieben) wird man auch noch von Wireless-Viren bedroht, die sich auf Handies, PDAs, Windows CE, ... stürzen.

Fortgeschrittene Verteidigung

Teil vier beginnt mit einem Kapitel zur Protokollanalyse (Logfiles) unter Unix wie auch unter Windows. Dabei wird auch auf die Problematik eingegangen, wann man wo Logfiles kontolliert. Kapitel 19 liefert einen Einstieg in Intrusion Detection Systeme (IDS). Neben einem Überblick über verschiedene IDS (Host- und Netzwerk-IDS) werden auch bestehende Probleme (oder auch Fehler in der Verwendung) angesprochen. Was Honeypots ("Eine 'Attrappe' einer Ziel-Maschine") sind und wie man sie mit welcher Motivation aufsetzt, wird auch in einem kleinen Kapitel beschrieben.

Kapitel "Incident Response" beschäftigt sich damit, wie man sich nach einem Einbruch verhält bzw. welche Maßnahmen man vor, während und nach dem Vorfall einleitet bzw. einleiten könnte. Dabei beginnt das Kapitel mit einem Vorfall, der als Beispiel dient, wie eine Situation eskalieren kann. Wenn ein erfolgreicher Einbruch festgestellt wurde, dann beschreibt das Kapitel "Forensik und Antiforensik" wie man Beweise oder Informationen sammeln kann und mit verschiedenen ausführlich beschriebenen Software-Tools auswerten kann. Abgeschlossen wird das Kapitel - und somit auch das Buch - mit einer Fallstudie eines FTP-Angriffes inklusive der durchgeführten forensischen Analyse.

Fazit

Ein inhaltlich wirklich sehr interessantes Buch. Neben den "üblichen" Themen, die man aus anderen Büchern oder von Webseiten kennt, fand ich sehr interessant, daß auch auf beispielsweise Social Engineering eingegangen wird. Man sollte nie den Faktor Mensch unterschätzen. Das Buch macht darauf (wieder) aufmerksam.

Der Ansatz, die Welt auch einmal aus der Sicht des Angreifers zu sehen, ist meiner Meinung nach eine interessante Idee. Man kann einiges für die Verteidigung lernen, wenn man ahnt, mit welchen Methoden oder Tools man - aus der Sicht des Angreifers betrachtet - angegriffen werden könnte.

Etwas getrübt wird die "Begeisterung" durch einige mir aufgefallene Fehler, "verwaschene" Screenshots oder meiner Meinung nach nicht optimale Formulierungen im Buch. Da es bei deutschsprachigen (übersetzten) Büchern von O'Reilly nicht für jedes Buch eine eigene Errata-Liste gibt, könnte das eventuell ein Argument für die Orginalfassung sein, wenn man nicht ein gewisses Grundwissen zum Thema hat.

Auch ein Glossar für Fachbegriffe wäre nett, fehlt aber leider.

(Links auf Rezensionen der englischen Ausgabe sind auf der "book page" und der Seite zum Buch von O'Reilly vorhanden.)

Spambots folgen bitte diesem Link.

<URL:http://www.inacker.de/reviews/swarriorger.html>
HTML 4.01 / CSS / WML