- ホーム
- > 洋書
- > ドイツ書
- > Mathematics, Sciences & Technology
- > Computer & Internet
- > general surveys & lexicons
Description
(Text)
Fürchten Sie um Ihre Unternehmensdaten? Machen Sie sich Sorgen um Ihre IT-Systeme, wenn Sie wieder einmal lesen, dass unbekannte Hacker ein Unternehmen für Wochen lahmgelegt haben? Warten Sie nicht ab, bis es auch in Ihren Systemen passiert, sondern tun Sie etwas! Dabei hilft Ihnen dieses Buch. Versetzen Sie sich als erstes in die Rolle des Schurken und lernen Sie zu denken wie ein Krimineller! Wo sind die Hürden am niedrigsten? Welche grundlegenden Hackertechniken gibt es? Kevin Beaver zeigt Ihnen, wo Ihre Systeme verwundbar sein könnten, sodass Sie im Rennen um die IT-Sicherheit die Nase vorn behalten.
(Author portrait)
Kevin Beaver ist selbstständiger IT-Sicherheitsberater mit mehr als 20 Jahren Erfahrung. Zu seinen Kunden gehören große Unternehmen der Sicherheitsbranche, unabhängige Softwareentwickler, Universitäten, Regierungsstellen und NGOs. Er wird regelmäßig von CNN und namhaften US-amerikanischen Zeitungen und Zeitschriften interviewt.
Contents
Vorwort 9 Uber den Autor 11 Einfuhrung 23 Wer sollte dieses Buch lesen? 24 Uber dieses Buch 24 Wie Sie dieses Buch verwenden 25 Was Sie nicht lesen mussen 25 Torichte Annahmen uber den Leser 25 Wie dieses Buch aufgebaut ist 25 Teil I: Grundlagen fur Sicherheitstests schaffen 26 Teil II: Sicherheitstests praktisch nutzen 26 Teil III: Netzwerkhosts hacken 26 Teil IV: Betriebssysteme hacken 26 Teil V: Anwendungen hacken 26 Teil VI: Aufgaben nach den Sicherheitstests 27 Teil VII: Der Top-Ten-Teil 27 Symbole, die in diesem Buch verwendet werden 27 Wie es weiter geht 28 Eine nicht unwichtige Besonderheit 28 Teil I Den Grundstock fur Sicherheitstests legen 29 Kapitel 1 Einfuhrung in das ethische Hacken 31 Begriffserklarungen 31 Den Begriff "Hacker" definieren 32 Den Begriff "boswilliger Benutzer" definieren 33 Wie aus arglistigen Angreifern ethische Hacker werden 33 Ethisches Hacken im Vergleich zur Auditierung 34 Betrachtungen zu Richtlinien 34 Compliance und regulatorische Aspekte 34 Warum eigene Systeme hacken? 35 Die Gefahren verstehen, denen Ihre Systeme ausgesetzt sind 36 Nicht-technische Angriffe 36 Angriffe auf Netzwerkinfrastrukturen 37 Angriffe auf Betriebssysteme 37 Angriffe auf Anwendungen und spezielle Funktionen 37 Die Gebote des ethischen Hackens befolgen 38 Ethisch arbeiten 38 Die Achtung der Privatsphare 38 Bringen Sie keine Systeme zum Absturz 39 Die Arbeitsablaufe beim ethischen Hacken 39 Die Planformulierung 40 Werkzeugwahl 41 Planumsetzung 43 Ergebnisauswertung 44 Wie es weitergeht 44 Kapitel 2 Die Denkweise von Hackern nachvollziehen 45 Ihre Gegenspieler 45 Wer in Computersysteme einbricht 48 Warum sie das tun 49 Angriffe planen und ausfuhren 52 Anonymitat wahren 54 Kapitel 3 Einen Plan fur das ethische Hacken entwickeln 55 Zielsetzungen festlegen 55 Festlegen, welche Systeme gehackt werden sollen 57 Teststandards formulieren 60 Zeitplanung 60 Spezifische Tests ausfuhren 61 Tests mit oder ohne Hintergrundwissen 62 Standortauswahl 62 Auf entdeckte Schwachstellen reagieren 63 Torichte Annahmen 63 Werkzeuge fur Sicherheitsgutachten auswahlen 63 Kapitel 4 Die Methodik des Hackens 65 Die Buhne fur das Testen vorbereiten 65 Sehen, was andere sehen 67 Offentliche Informationen sammeln 67 Systeme scannen 68 Hosts 68 Offene Ports 69 Feststellen, was uber offene Ports lauft 69 Schwachstellen bewerten 72 In das System eindringen 73 Teil II Mit den Sicherheitstests loslegen 75 Kapitel 5 Daten sammeln 77 Offentlich verfugbare Daten sammeln 77 Soziale Medien 77 Suche im Web 78 Webcrawler 79 Websites 79 Netzwerkstrukturen abbilden 80 Whois 80 Google Groups 81 Datenschutzrichtlinien 82 Kapitel 6 Social Engineering 83 Eine Einfuhrung in Social Engineering 83 Erste Tests im Social Engineering 84 Warum Social Engineering fur Angriffe genutzt wird 85 Die Auswirkungen verstehen 86 Vertrauen aufbauen 87 Die Beziehung ausnutzen 87 Social-Engineering-Angriffe durchfuhren 90 Informationen suchen 90 Massnahmen gegen Social Engineering 93 Richtlinien 93 Training und Schulung der Nutzer 94 Kapitel 7 Physische Sicherheit 97 Erste physische Sicherheitslucken identifizieren 97 Schwachstellen im Buro aufspuren 98 Gebaudeinfrastruktur 99 Versorgung 100 Raumgestaltung und Nutzung der Buros 101 Netzwerkkomponenten und Computer 103 Kapitel 8 Kennworter 107 Schwachstellen bei Kennwortern 108 Organisatorische Schwachstellen von Kennwortern 108 Technische Schwachstellen bei Kennwortern 109 Kennworter knacken 109 Kennworter auf herkommliche Weise knacken 110 Kennworter technisch anspruchsvoll ermitteln 113 Kennwortgeschutzte Dateien knacken 121 Weitere Optionen, an Kennworter zu gelangen 122 Allgemeine Gegenmassnahmen beim Knacken von Kennwortern 127 Kennworter speichern 127 Kennwortrichtlinien erstellen 128 Andere Gegenmassnahmen ergreifen 129 Betriebssysteme sichern 131 Windows 131 Linux und UNIX 132 Teil III Netzwerkhosts hacken 133 Kapitel 9 Netzwerkinfrastruktur 135 Schwachstellen der Netzwerkinfrastruktur 135 Werkzeuge wahlen 137 Scanner und Analysatoren 137 Schwachstellenbestimmung 137 Das Netzwerk scannen und in ihm herumwuhlen 138 Portscans 138 SNMP scannen 144 Banner-Grabbing 146 Firewall-Regeln testen 147 Netzwerkdaten untersuchen 150 Der Angriff auf die MAC-Adresse 156 Denial-of-Service-Angriffe testen 163 Bekannte Schwachstellen von Routern, Switches und Firewalls erkennen 165 Unsichere Schnittstellen ermitteln 165 IKE-Schwachen ausnutzen 165 Aspekte der Preisgabe von Daten durch SSL und TLS 166 Einen allgemeinen Netzwerkverteidigungswall einrichten 167 Kapitel 10 Drahtlose Netzwerke 169 Die Folgen von WLAN-Schwachstellen verstehen 169 Die Werkzeugauswahl 170 Funknetze entdecken 171 Sie werden weltweit erkannt 171 Lokale Funkwellen absuchen 173 Angriffe auf WLANs erkennen und Gegenmassnahmen ergreifen 174 Verschlusselter Datenverkehr 175 Wi-Fi Protected Setup 182 Die drahtlosen Gerate von Schurken 184 MAC-Spoofing 189 Physische Sicherheitslucken 193 Angreifbare WLAN-Arbeitsstationen 193 Kapitel 11 Mobilgerate 195 Schwachstellen von Mobilgeraten beurteilen 195 Kennworter von Laptops knacken 196 Auswahl der Werkzeuge 196 Gegenmassnahmen 199 Telefone, Smartphones und Tablets knacken 201 iOS-Kennworter knacken 202 Displaysperre bei Android-Geraten einrichten 205 Massnahmen gegen das Knacken von Kennwortern 205 Teil IV Betriebssysteme hacken 207 Kapitel 12 Windows 209 Windows-Schwachstellen 210 Werkzeuge wahlen 210 Kostenlose Microsoft-Werkzeuge 211 Komplettlosungen 211 Aufgabenspezifische Werkzeuge 212 Daten fur Windows-Systemschwachstellen sammeln 212 Das System untersuchen 213 NetBIOS 215 Null Sessions entdecken 218 Zuordnung, auch Mapping oder Einhangen 218 Informationen sammeln 219 Massnahmen gegen Null-Session-Hacks 221 Freigabeberechtigungen uberprufen 222 Windows-Standards 222 Testen 222 Fehlende Patches nutzen 223 Metasploit verwenden 225 Massnahmen gegen das Ausnutzen fehlender Patches 230 Authentifizierte Scans ablaufen lassen 230 Kapitel 13 Linux 233 Linux-Schwachstellen verstehen 234 Werkzeugauswahl 234 Daten uber Schwachstellen von Linux-Systemen sammeln 235 Das System durchsuchen 235 Massnahmen gegen das Scannen des Systems 239 Nicht benotigte und unsichere Dienste ermitteln 239 Suchlaufe 239 Massnahmen gegen Angriffe auf nicht benotigte Dienste 241 Die Dateien ".rhosts" und "hosts.equiv" schutzen 243 Hacks, die die Dateien ".rhosts" und "hosts.equiv" verwenden 243 Massnahmen gegen Angriffe auf die Dateien ".rhosts" und "hosts.equiv" 244 Die Sicherheit von NFS uberprufen 246 NFS-Hacks 246 Massnahmen gegen Angriffe auf NFS 246 Dateiberechtigungen uberprufen 247 Das Hacken von Dateiberechtigungen 247 Massnahmen gegen Angriffe auf Dateiberechtigungen 247 Schwachstellen fur Pufferuberlaufe finden 248 Angriffe 248 Massnahmen gegen Buffer-Overflow-Angriffe 249 Physische Sicherheitsmassnahmen uberprufen 249 Physische Hacks 249 Massnahmen gegen physische Angriffe auf die Sicherheit 250 Allgemeine Sicherheitstests durchfuhren 251 Sicherheitsaktualisierungen fur Linux 252 Aktualisierungen der Distributionen 252 Update-Manager fur mehrere Plattformen 253 Teil V Anwendungen hacken 255 Kapitel 14 Kommunikations- und Benachrichtigungssysteme 257 Grundlagen der Schwachstellen bei Messaging-Systemen 257 Erkennung und Abwehr von E-Mail-Angriffen 258 E-Mail-Bomben 258 Banner 262 SMTP-Angriffe 263 Die besten Verfahren, Risiken bei E-Mails zu minimieren 272 Voice over IP verstehen 274 VoIP-Schwachstellen 274 Massnahmen gegen VoIP-Schwachstellen 278 Kapitel 15 Websites und Webanwendungen 279 Die Werkzeuge fur Webanwendungen auswahlen 280 Mit dem Web zusammenhangende Schwachstellen suchen 280 Verzeichnis traversieren 281 Massnahmen gegen Directory Traversals 284 Eingabe-Filter-Angriffe 284 Massnehmen gegen Angriffe durch arglistige Eingaben 292 Angriffe auf Standardskripte 292 Massnahmen gegen Angriffe auf Standardskripte 294 Unsichere Anmeldeverfahren 294 Massnahmen gegen unsichere Anmeldesysteme 297 Allgemeine Sicherheitsscans bei Webanwendungen durchfuhren 299 Risiken bei der Websicherheit minimieren 299 Sicherheit durch Obskuritat 299 Firewalls einrichten 300 Quellcode analysieren 301 Schwachstellen von Apps fur Mobilgerate aufspuren 303 Kapitel 16 Datenbanken und Speichersysteme 305 In Datenbanken abtauchen 305 Werkzeuge wahlen 305 Datenbanken im Netzwerk finden 306 Datenbankkennworter knacken 307 Datenbanken nach Schwachstellen durchsuchen 308 Bewahrte Vorkehrungen zur Minimierung der Sicherheitsrisiken bei Datenbanken 308 Sicherheit fur Speichersysteme 309 Werkzeuge wahlen 310 Speichersysteme im Netzwerk finden 310 Sensiblen Text in Netzwerkdateien aufspuren 311 Bewahrte Vorgehensweisen zur Minimierung von Sicherheitsrisiken bei der Datenspeicherung 313 Teil VI Aufgaben nach den Sicherheitstests 315 Kapitel 17 Die Ergebnisse prasentieren 317 Die Ergebnisse zusammenfuhren 317 Schwachstellen Prioritaten zuweisen 318 Berichte erstellen 320 Kapitel 18 Sicherheitslucken beseitigen 323 Berichte zu Massnahmen werden lassen 323 Patchen fur Perfektionisten 324 Patch-Verwaltung 325 Patch-Automatisierung 325 Systeme harten 326 Die Sicherheitsinfrastrukturen prufen 328 Kapitel 19 Sicherheitsprozesse verwalten 329 Den Prozess des ethischen Hackens automatisieren 329 Bosartige Nutzung uberwachen 330 Sicherheitsprufungen auslagern 332 Die sicherheitsbewusste Einstellung 334 Auch andere Sicherheitsmassnahmen nicht vernachlassigen 334 Teil VII Der Top-Ten-Teil 337 Kapitel 20 Zehn Tipps fur die Unterstutzung der Geschaftsleitung 339 Sorgen Sie fur Verbundete und Geldgeber 339 Geben Sie nicht den Aufschneider 339 Zeigen Sie, warum es sich das Unternehmen nicht leisten kann, gehackt zu werden 339 Heben Sie allgemeine Vorteile des ethischen Hackens hervor 340 Zeigen Sie, wie insbesondere ethisches Hacken Ihrem Unternehmen helfen kann 340 Engagieren Sie sich fur das Unternehmen 341 Zeigen Sie sich glaubwurdig 341 Reden Sie wie ein Manager 342 Demonstrieren Sie den Wert Ihrer Anstrengungen 342 Seien Sie flexibel und anpassungsfahig 342 Kapitel 21 Zehn Grunde, warum einzig Hacken effektive Tests ermoglicht 343 Die Schurken hegen bose Gedanken, nutzen gute Werkzeuge und entwickeln neue Methoden 343 Vorschriften und Regeleinhaltung bedeuten in der IT mehr als Prufungen mit anspruchsvollen Checklisten 343 Ethisches Hacken erganzt Prufverfahren und Sicherheitsbewertungen 344 Kunden und Partner interessieren sich fur die Sicherheit Ihrer Systeme 344 Die Wahrscheinlichkeit arbeitet gegen Ihr Unternehmen 344 Sicherheitsprufungen verbessern das Verstandnis fur geschaftliche Bedrohungen 344 Bei Einbruchen konnen Sie auf etwas zuruckgreifen 345 Intensive Tests enthullen die schlechten Seiten Ihrer Systeme 345 Ethisches Hacken kombiniert die Vorteile von Penetrationstests und Schwachstellenprufung 345 Sorgfaltiges Testen kann Schwachstellen erkennen, die ansonsten vielleicht lange ubersehen worden waren 345 Kapitel 22 Zehn todliche Fehler 347 Keine Genehmigung vorab einholen 347 Davon ausgehen, dass im Testverlauf alle Schwachstellen gefunden werden 347 Anzunehmen, alle Sicherheitslocher beseitigen zu konnen 348 Tests nur einmal ausfuhren 348 Glauben, alles zu wissen 348 Tests nicht aus der Sicht von Hackern betrachten 349 Die falschen Systeme testen 349 Nicht die richtigen Werkzeuge verwenden 349 Sich zur falschen Zeit mit Produktivsystemen befassen 350 Tests Dritten uberlassen und sich dann nicht weiter darum kummern 350 Anhang Werkzeuge und Ressourcen 351 Allgemeine Suchwerkzeuge 351 Anspruchsvolle Malware 352 Bluetooth 352 Datenbanken 352 Drahtlose Netzwerke 353 Exploits 353 Hacker-Zeugs 354 Kennworter knacken 354 Keyloggers 355 Linux 355 Live-Toolkits 356 Messaging 356 Mobil 356 Netzwerke 357 Patch-Management 358 Protokollanalyse 359 Quellcode-Analyse 359 Schwachstellendatenbanken 359 Social Engineering und Phishing 359 Speicherung 359 Systeme harten 360 Verschiedenes 360 Voice over IP 360 Wachsamkeit der Benutzer 361 Websites und Webanwendungen 361 Windows 362 Worterbuchdateien und Wortlisten 362 Zertifizierungen 363 Stichwortverzeichnis 365
