Die Mär vom Nur-Pentester Marc Ruef | 24.01.2011 Für viele Leute aus meinem privaten Umfeld gelte ich als Freak oder Nerd. Verirren sie sich per Zufall auf meinen Twitter-Stream (http://twitter.com/mruef/) oder lesen sie einen technischen Blog-Post von mir, dann scheine ich auf sie wie ein Savant mit einer sonderbaren Inselbegabung zu wirken. Ein Spezialist. Doch in Fachkreisen werde ich wohl eher als Generalist wahrgenommen. Ich habe eigentlich keine echten Fachgebiete. Ich habe zwar schon so manches Betriebssystem gesehen, aufgesetzt, betreut und attackiert. Doch würde ich mich nicht als OS-Admin bezeichnen. Ich habe zwar schon hunderte Stunden in den verschiedensten Sprachen wie C/C++/C#, VB6/VBA/VBS, PHP, Perl, Java und Basic programmiert. Doch ich würde mich nicht als Programmierer bezeichnen. Und ich habe schon tausende von TCP-Segmenten und UDP-Datagramme analysiert, komplexe Routing-Tabellen erstellt und Firewall-Regelwerke überprüft. Doch ich würde mich nicht als Netzwerkspezialisten bezeichnen. Summa summarum: Für Aussenstehende bin ich ein Spezialist, für Spezialisten bin ich ein Generalist. So wirklich heimisch fühle ich mich bei niemandem. Diese Zwiespältigkeit hat aber auch ihre Vorteile. Ich lebe dennoch irgendwie in beiden Welten und kann mit den Gesetzen dieser umgehen. Auch wenn ich mich manchmal ein bisschen einsam fühle, wirklich verloren bin ich nie. Das generalistische Verständnis für Dinge ist zudem eine wichtige Voraussetzung, um überhaupt ein guter Spezialist zu werden. Schliesslich sollte man zuerst wissen, in welche Richtung man sich spezalisieren möchte. Und ein Spezialist, der sich nicht um Schnittstellen zu und aktuelle Ereignisse in anderen Gebieten interessiert, der bleibt ein isolierter Fachidiot. Dies ist auch ein grosses Missverständnis, dem ich immerwieder begegne: Manche Leute haben das Gefühl, dass sie vom Stadium des Power-User zu einem erfolgreichen Pentester werden können. Sie interessieren sich nicht für Betriebssysteme, haben keine Ahnung von Programmierung und wissen nichts über Netzwerke. Und doch wollen Sie Pufferüberlauf-Attacken, SQL-Injection und IP-Spoofing machen. Das ist paradox, denn die letztgenannten Angriffstechniken sind ein Subset der erstgenannten Fachbereiche. Meine Empfehlung für Einsteiger im Security-Bereich ist deshalb, dass man sich doch zuerst mit allgemeineren Technologien auseinandersetzen sollte. Die besten Pentester der heutigen Zeit sind nicht die Pentester vergangener Tage, sondern die ehemaligen Admins und Programmierer, die sich weiterentwickelt und spezialisiert haben. Ohne ihre Vergangenheit hätten sie nicht das werden können, was sie heute sind. Und man wird es einem Pentester immer anmerken, wo er seine Wurzeln hat...