Das umfassende Handbuch zu Penetration Testing und Metasploit

Buchtipp: Hacking mit Metasploit

Michael Müller

In einer Zeit, da die meisten IT-Systeme mit dem Internet verbunden sind, ist die Gefahr des unbefugten Eindringens hoch. Also gilt es, seine Software und Systeme entsprechend abzusichern – und die Sicherheit zu überprüfen. Hier setzen Penetrationstests an. Metasploit ist ein ausgereiftes Framework, welches diese Arbeit unterstützt.

Titel

Hacking mit Metasploit

Untertitel

Das umfassende Handbuch zu Penetration Testing und Metasploit

Autor(en)

Michael Messner

Seiten

586

Preis

46,90 Euro

Verlag

dpunkt.verlag

Jahr

2015

ISBN

978-3-86490-224-6

Natürlich kann ein solches Framework selbst für kriminelle Zwecke genutzt werden. Doch lässt sich der Autor auf das Für und Wider eines solchen Werkzeugs nicht ein, sondern verweist einfach auf die strafrechtliche Relevanz der unbefugten Nutzung. Dass der Tester ein solches Werkzeug zur berechtigten Sicherheitsprüfung benötigt, ist unumstritten, trotz der aktuellen Diskussion, ob die Veröffentlichung von Exploits verboten gehört.

Und so startet der Autor mit einer kurzen Einführung dazu, was Pentesting bedeutet, in welchen Phasen es abläuft und wie es zu dokumentieren ist, um dann recht schnell auf den Einsatz von Metasploit zu kommen. Ein wenig Geschichte, ein wenig Installation, dann geht es von der Pre-Exploiting-Phase über die Exploiting-Phase zur Post-Exploiting-Phase, wobei die eigentliche Exploiting-Phase recht knapp gehalten wird. Vielmehr legt er Wert auf eine gute Vorbereitung, sprich Erkennung des richtigen Ziels, freier Ports und was sonst noch alles dazugehört. Wer nun denkt, nach dem Exploit kommt die große Dokumentation, der erfährt, dass die Post-Exploiting-Phase dazu dient, den Zugriff abzusichern und zu erweitern. Hier stellt sich die Frage, ob es beispielsweise möglich wird, Adminrechte zu erlangen, weitere Netzwerke zu erreichen und mehr.

Nachdem Michael Messner weitgehend manuelle Angriffsmethoden vorgestellt hat, geht es dann um die Automatisierung von Angriffen nebst der Einbindung externer Scanner. Nach dem Angriff auf (Betriebs-)Systemebene stellt er dann die Analyse von Anwendungen wie Webapplikationen und Datenbanken vor, aber auch auf den einfachen Client-PC, der oftmals weniger geschützt sei als eine Serverumgebung. Dabei nennt er vor allen Dingen beispielhafte Angriffe auf Windows-XP-Systeme. Hier stellt sich die Frage, ob es sich einfach um prägnante Beispiele handelt, oder ob noch nicht alle Kapitel aktualisiert wurden. XP wird an anderen Stellen ebenso genannt wie jüngere Versionen.

Schließlich gibt der Autor eine kurze Einführung in die Entwicklung von Exploits und die Umgehung von Firewalls und Antivirensoftware. Diese Themen scheinen ein wenig mehr auf Angriff denn auf Analyse zu zielen. Doch um die Sicherheit testen zu können, kann es erforderlich werden, Angriffe zu entwerfen, um dann festzustellen, ob das eigene System verwundbar ist. Den Abschluss des Buchs bildet dann eine kurze Beschreibung der kommerziellen Versionen von Metasploit, die dem professionellen Pentester noch einiges mehr bieten als die Communityedition.

Das „Hacking“ im Titel mag den Hinweis darauf geben, dass es im vorliegenden Buch vor allen Dingen um Angriffe – und stellenweise deren Dokumentation – geht. Regelmäßige Pentest werden mit regelmäßigen Vorsorgeuntersuchungen verglichen. Letztere helfen, aufkeimende Krankheiten frühzeitig zu erkennen, mit dem Ziel, bei Bedarf eine entsprechende Behandlung durchzuführen. Diese wird der untersuchende Arzt einleiten und bei Bedarf an Spezialisten verweisen. Die Behandlung, um im Bild zu bleiben, ist jedoch nicht Gegenstand des Buchs.

Verwandte Themen:

Geschrieben von
Michael Müller
Michael Müller
Michael Müller verfügt über mehr als 30 Jahre Erfahrung in Softwareentwicklung, Training und Consulting, davon rund 25 Jahre im Gesundheitswesen. Er leitet den Bereich Softwareentwicklung bei der InEK GmbH. Daneben betätigt er sich als freier Autor und Blogger. Er ist Mitglied der JSF Expert-Group, des NetBeans Dream Team sowie der JUG Cologne.
Kommentare

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
400
  Subscribe  
Benachrichtige mich zu: