Erscheinen von "Die Kunst des Penetration Testing" [update] Marc Ruef | 06.06.2007 Endlich ist es soweit: Nach fast 6 Jahren Arbeit habe ich mein neues Buch fertiggestellt. Es trägt den Titel Die Kunst des Penetration Testing (http://www.amazon.de/dp/3936546495). Ursprünglich war es für Februar 2007 angekündigt, jedoch aufgrund einiger Uneinigkeiten mit dem Verlag bis auf Ende Mai 2007 verschoben worden. Seit dieser Woche ist der Titel aus dem C&L-Verlag (http://www.cul.de/penetration.html) in gut sortierten Buchhandlungen aufgelegt worden. Das Buch versteht sich als Kombination zwischen den pragmatischen Diskussionen von W. Richard Stevens "TCP/IP Illustrated" und dem ausschweifenden Perfektionismus von Donald E. Knuths "The Art of Computer Programming". Der Untertitel meines Buchs lautet "Handbuch für professionelle Hacker", denn in der Tat habe ich versucht sämtlich Facetten des professionellen Penetration Testing im Buch zusammenzufassen. Nach einer allgemeinen Einführung in die Notwendigkeit und Nützlichkeit von Penetration Tests werden Hinweise zur Leitung solcher Projekte aufgezeigt. Danach werden die klassischen Techniken zur netzwerkbasierten Sicherheitsüberprüfung diskutiert. Von Footprinting über Mapping und Portscanning bis hin zu Application Mapping und verschiedenen Fingerprinting-Techniken werden alle Themen moderner Penetration Tests tangiert. Dabei wird zwischen akademischen Diskussionen zur Optimierung von Angriffstechniken und pragmatischen Tipps zur effizienten Umsetzung in wirtschaftlich motivierten Projekten gewechselt. Im zweiten Drittel des Buchs wird sich zunehmends vom Netzwerk als solchem entfernt und allgemeine Diskussionen zu Betriebssystemen und Anwendungen geführt. So wird eine umfassende Methode zur formalen Analyse von Firewall-Regelwerken vorgestellt. Diese Vorgehensweise lässt sich aber auch auf jedes andere Sicherheitselement (Netzwerk-Topologien, Router, ACLs, Benutzertrennungen, Betriebssystem-Architektur, ...) anwenden. In ähnlicher Weise die Empfehlungen zum systematischem Debugging, bei dem neue Fehler gefunden und die Quellen dieser möglichst genau identifiziert werden sollen. Das letzte Kapitel schliesst die Bestrebungen eines Penetration Tests ab, wobei sich um das Ausnutzen der ausgemachten Schwachstellen mittels Exploiting bemüht wird. Das Buch richtet sich an Leute, die sich schon intensiver mit Computersicherheit und Sicherheitsüberprüfungen auseinandergesetzt haben oder dies gerne machen würden. Aufgrund der vielen Methoden und den umfassenden Details muss mit verhältnismässig viel Aufwand für das Lesen der Rund 1'000 Seiten gerechnet werden. Einer der Fachlektoren hat beim Zurückschicken seiner Kritik sinngemäss gesagt: "Für mein Kapitel brauchte ich einen Monat, um es zu lesen - Jetzt brauch ich nur noch ein Jahr, um es wirklich zu verstehen." Und dies, obschon die von mir an den Verlag geschickte Endfassung (schon diese war von mir gekürzt) noch immer etwa 400 Seiten zu viel umfasste... centerimghttp://www.computec.ch/_images/newspost_images/die_kunst_des_penetration_testing.jpg/img/center In der nächsten Ausgabe von hakin9 (http://www.haking9.org) wird zudem ein Interview meinerseits zum Buch und meinen gegenwärtigen Projekten zu lesen sein. Die nächste Folge von Computec Radio (http://www.computec.ch/download.php?list.40) wird sich ein bisschen näher mit dem Buch, seinen Konzepten und mit dem Bücherschreiben als solches beschäftigen. Weitere Informationen zum Buch finden sich hier: * Inhaltsverzeichnis (http://www.computec.ch/mruef/publikationen/dkdpt/dkdpt-inhaltsverzeichnis.pdf) * Probekapitel (http://www.computec.ch/mruef/publikationen/dkdpt/dkdpt-probekapitel.pdf) * Stichwortverzeichnis (http://www.computec.ch/mruef/publikationen/dkdpt/dkdpt-stichwortverzeichnis.pdf) * Link zu Amazon (http://www.amazon.de/dp/3936546495) Viel Spass beim Schmökern, Lesen und Ausprobieren! Update: Mir wurde soeben mitgeteilt, dass es Probleme bei der Auslieferung der Bücher gibt. Diese werden, so wurde mir zugesichert, ab dem 15.06.2007 geliefert. Ich bitte um Entschuldigung für diese Verzögerung.