„Die Kunst des Einbruchs“ – Pflicht für Sicherheitsbeauftragte, Kür für Admins
Rezension des Mitnick-Simon-Buchs über Social-Engineering-Hacks
01.03.2008 | Autor / Redakteur: Stefan Schumacher / Ulrike Ostler
Das zweite Buch „Die Kunst des Einbruchs“ von Kevin Mitnick und William Simon, das drei Jahre nach „Die Kunst der Täuschung“ erschienen ist, befasst sich ausschließlich mit bereits erfolgten Hacks. Die Autoren haben versucht, Kontakt zu anderen Social Engineers und Hackern herzustellen und von diesen real erfolgte Hacks beschreiben zu lassen.
Angesichts des vergleichsweise hohen Preises von 20 Euro und des doch relativ eingeschränkten Nutzens möchte ich keine uneingeschränkte Kaufempfehlung geben. Für professionelle Sicherheitsverantwortliche ist es sicherlich Pflichtlektüre, für den Administrator birgt dieses Buch zu wenig Neues.
Neben einigen Geschichten, deren Authentizität schwer nachzuvollziehen ist, kein Wunder beim gewählten Thema, findet sich unter anderem auch ein Bericht von einem gewissen Pieter Zatko. Besser bekannt ist der wiederum als „Mudge“, Gründer von L0pht Heavy Industries.
Der Aufbau des Buches folgt dem des Vorgängers, nur die Vorbereitung und Durchführung der Angriffe ist wesentlich ausführlicher geschildert. Daran schließt sich die Analyse der ausgenutzten Schwachstellen an, inklusive Diskussion möglicher Gegenmaßnahmen.
Ein weites Feld
Die Bandbreite der Hacks ist weit gefächert, sie reicht vom 15jährigen gelangweilten Kiddie, das mal eben whitehouse.gov defaced, über die besagte L0pht-Heavy-Industries-Gruppe bis hin zu professionellen Industriespionen, die eine entsprechende Ausrüstung einsetzen.
Der Schreibstil ist auch hier wieder sehr gelungen, so dass keine Langeweile aufkommen mag. Man kann das Buch sogar völlig entspannt als unterhaltenden Thriller lesen – mit dem Wissen, dass (fast) alle Geschichten wahr sind.
Allerdings muss gesagt werden, dass der geneigte Systemadministrator oder Sicherheitsverantwortliche in diesem Buch nichts wesentlich Neues erfährt. Das Thema wurde im ersten Buch „Kunst der Täuschung“ erschöpfend behandelt.
Grundverständnis sollte vorhanden sein
Hier werden lediglich einige neue Hacks sehr detailliert dargestellt. Man bekommt somit einen netten, tieferen Einblick in eingesetzte professionelle Methoden, was sich für Sicherheitsverantwortliche lohnt.
Aufgrund der fehlenden Vor- und Nachbereitung des Themas Social Engineering eignet es sich auch nicht für völlig unbedarfte Interessierte. Zumindest Mitnicks erstes Buch sollte schon gelesen und verstanden worden sein.
Der Rezensent:
Stefan Schumacher befasst sich seit über 12 Jahren mit den verschiedenen Aspekten der IT-Sicherheit. Er führt als selbständiger Unternehmensberater in den Bereichen Sicherheit, IT und Kommunikation/Organisation die Agentur Kaishakunin.
Er veröffentlicht regelmäßig Fachartikel und hält Vorträge sowie Workshops auf Veranstaltungen, wie dem Frühjahrsfachgespräch der GUUG, den Chemnitzer Linux-Tagen, dem LinuxTag, dem Chaos Communication Congress, den LinuxDays Luxembourg sowie verschiedenen lokalen Veranstaltungen.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2011183)
