Bücher über ethisches Hacking – Die Top 6 Empfehlungen unserer IT Security Consultants
von Tina Siering
Wenn im allgemeinen Sprachgebrauch vom Hacking die Rede ist, baut sich vor dem geistigen Auge unmittelbar die Figur eines Cyberkriminellen im Kapuzenpullover auf, der aus einem dunklen Hinterzimmer in fremde Netzwerke eindringt, Daten abgreift oder Rechner lahmlegt. Viel seltener assoziiert man mit dem Begriff die „guten Hacker“:
Ethisches Hacken oder White Hat Hacking erlaubt das gezielte Eindringen von IT-Sicherheitsexperten in Sicherheitssysteme mit Kenntnis des Netzwerkinhabers. Ethisches Hacken stellt so Sicherheitskonzepte auf die Probe und identifiziert Sicherheitslücken in Netzwerken und Systemen in einer vordefinierten Zeit. Dieses kann im Rahmen eines Network Penetration Pentests geschehen oder – erweitert um die konkrete Angriffssimulation – als sogenanntes “Red Teaming Szenario”). Der White Hat Hacker reduziert Sicherheitsrisiken und sorgt (durch das Erkennen und Beseitigen möglichst vieler Schwachstellen) für wichtige Stabilität und Sicherheit von Netzwerken. Ein menschlicher Pentester arbeitet dabei sehr viel flexibler als ein automatisiertes Testsystem.
Der große Unterschied zwischen White Hat Hacking und Black Hat Hacking: Ethical Hacker werden für ihre Arbeit explizit beauftragt – wohingegen Black Hat Hacker auf kriminellen Erfolg – natürlich ohne Legitimation durch ihre Opfer – aus sind. Sie sind in der Lage, Malware zu schreiben und nutzen Sicherheitslücken in Systemen aus. Sie dringen in Netzwerke ein, kompromittieren Server oder begehen Datendiebstahl.
Wenn Sie sich für die extrem spannenden Methoden und Techniken der White Hat Hacker interessieren, mit dem Gedanken spielen, eine berufliche Laufbahn in diesem Bereich einzuschlagen oder einfach mehr über die Methoden und Techniken ethischer Hacker erfahren möchten, empfehlen wir Ihnen die Top 6 Lektüre-Tipps unserer IT Security Consultants.
Die Top 6 Buchempfehlungen der Allgeier secion IT Security Consultants
Top 1: Hacking - A Beginners‘ Guide to Computer Hacking, Basic Security and Penetration Testing, John Slavio
Der Beginners’ Guide des Autoren John Slavio richtet sich vor allem an Einsteiger im Bereich des White Hat Hackings. Das mit 92 Seiten Umfang überschaubare Buch bietet in kompakter Form theoretische Grundlagen rund um das Thema Ethical Hacking. Neben einem Abriss der Geschichte des Hackings und Einblicke in grundlegende Hacking Tools bietet das Buch einen Überblick über die häufigsten Angriffe und Bedrohungen, widmet sich dem Bereich Smartphone- und E-Mail-Hacking und gibt handfeste Tipps, wie sich die eigene IP-Adresse verbergen lässt. Der Beginners‘ Guide to Computer Hacking darf unserer Meinung nach in keiner Lektüre-Sammlung fehlen.
Top 2: The Web Application Hacker's Handbook: Finding and Exploiting Security Flaws, Marcus Pinto, Dafydd Stuttard
Mit 912 Seiten deutlich umfangreicher ist „The Web Application Hacker’s Handbook“ von Marcus Pinto und Dafydd Stuttard. Die beiden Autoren zeigen aktuelle Angriffsmethoden auf Webanwendungen und geben wertvolle Tipps, wie sich Webapps gegen Cyberangriffe schützen lassen. In der überarbeiteten, zweiten Auflage werden vor allem neue Remoting-Frameworks, Hybrid File Attacks und HTTP Parameter Pollutions thematisiert. Interessant ist auch die von den Autoren selbst gehostete Webseite, auf der die Leser eigene Angriffe durchführen und so ihre eigenen Skills auf den Prüfstand stellen können. Checklisten und Methodiken für unterschiedlichste Aufgabenbereiche runden dieses „Must-have“ in Sachen Ethisches Hacken ab. Wenn Sie sich für den Bereich Webanwendungen und deren umfassenden Schutz interessieren, führt an diesem Standardwerk kein Weg vorbei.
Top 3: Hacking: The Art of Exploitation, John Erickson
Der Autor des Buches verfügt als Vulnerability Experte und Computer Security Spezialist über langjährige Erfahrung im Bereich IT Security und hat die erste Auflage von „Hacking: The Art of Exploitation“ bereits im Jahre 2003 veröffentlicht. Die aktuelle zweite Auflage richtet sich an interessierte Leser und Leserinnen, die mit dem Gedanken an eine Karriere im Bereich des Ethical Hackings spielen. John Erickson führt in leicht zugänglichen Worten die Probleme auf, die auf White Hat Hacker gerade am Beginn der Karriere lauern und gibt handfeste Tipps, wie ethische Hacker ihre Arbeit gründlich, zuverlässig und zielführend erledigen sollten. Als Add-on enthält das Buch eine Live-CD, über die eine komplette Linus-Programmier- und Debugging-Umgebung bereitgestellt wird. Ohne Modifikationen am eigenen Betriebssystem können so Methoden und Techniken ausprobiert werden. Offene Ports verstecken, TCP-Verbindungen kapern oder beliebigen Code ausführen lassen: Das Buch animiert dazu, Erlerntes umgehend in die Praxis umzusetzen. Als Entscheidungshilfe für oder gegen eine Karriere als White Hat Hacker ist „The Art of Exploitation“ in unseren Augen unverzichtbar.
Top 4: The Hacker’s Underground Handbook, James Pendleton
James Pendleton bietet mit seinem „Hacker’s Underground Handbook“ einen strategischen Überblick über aktuelle Hacking-Methoden und Konzepte wie Footprinting, Port-Scanning und Banner-Grabbing. Das Buch liefert unzählige Ideen, wie sich präventive Abwehrmaßnahmen gegen Cyberkriminelle entwickeln lassen und zeigt auf, wie Einsteiger die Leiter zur Spitze des White Hat Hackings zielführend erklimmen können. Das Handbuch richtet sich vor allem an Personen mit grundlegenden Kenntnissen, die auf unterhaltsame Art und Weise mehr über fortgeschrittene Techniken des Hackens erfahren möchten. Die praxisnahe Erklärung der einzelnen Techniken und Methoden macht das „Hacker’s Underground Handbook“ zu einer wertvollen Ergänzung jeder Cybersecurity-Bibliothek – und wird auch von unseren Consultants regelmäßig zum Nachschlagen herangezogen.
Top 5: Black Hat Python, Justin Seitz
Die Programmiersprache Python eignet sich hervorragend für die Entwicklung mächtiger Hacking-Tools – und wird entsprechend häufig sowohl von Black Hats als auch White Hats eingesetzt. Bereits mit dem Vorgänger von „Black Hat Python“ – „Grey Hat Python“ – hat Justin Seitz einen durchschlagenden Erfolg gelandet. Im neuesten Buch beschreibt der Autor detailliert den Einsatz von Python für die Entwicklung von Trojanern, Netzwerk-Sniffern oder der heimlichen Exfiltration von Daten aus einem Netzwerk. Das Buch ist zwar sehr technisch ausgerichtet, aber niemals trocken geschrieben. Wer sich für die Entwicklung von Hacking-Tools mittels Python interessiert, für den führt an diesem Buch einfach kein Weg vorbei!
Top 6: The Basics of Hacking and Penetration Testing, Patrick Engebretson
„The Basics of Hacking and Penetration Testing“ ist definitiv ein Standardwerk, dass die Grundlagen von Hacking und Penetrationstests mit einfacher Sprache auch Einsteigern ohne Vorkenntnissen vermitteln kann. Patrick Engebretson schafft es, mit unzähligen Beispielen aus der Praxis und detaillierten Beschreibungen von Tools die Leser bei der Stange zu halten. Spannungsgeladen bringt das Buch Wissen an die Leser: Man merkt, dass der Autor genau weiß, worüber er schreibt. Kein Wunder, ist Patrick Engebretson doch selbst als Penetrationstester tätig. „The Basics of Hacking and Penetration Testing“ ist in unseren Augen eines der besten Bücher zum Thema Pentesting und bekommt von uns eine klare Leseempfehlung!
Fazit
White Hat Hacker bedienen sich den gleichen Methoden und Techniken, wie auch Cyberkriminelle sie nutzen. Allerdings mit dem Ziel, ihre Auftraggeber zuverlässig vor Risiken und Bedrohungen zu schützen und diese nicht zum eigenen Vorteil auszunutzen.
Mit unseren Buchtipps möchten wir interessierten Personen Orientierung an die Hand geben, die mit dem Gedanken einer Karriere im Pentesting-Bereich spielen. Die White Hats zählen zu gefragten Cybersecurity Fachkräften. Die Penetrationstester von Allgeier secion führen mehr als 100 Pentests pro Jahr durch und sind täglich im Einsatz, um das Sicherheitsniveau von Unternehmen in ganz Deutschland zu erhöhen. Zusammen blicken sie auf mehr als 50 Jahre Pentest-Erfahrung zurück.
Durch die über den Branchenstandard hinausgehenden Reports erhalten Kunden ein umfassendes Bild über den Status Quo bestehender Sicherheitsmaßnahmen, technische Informationen zu Schwachstellen und Hinweise, wie diese Sicherheitslücken nachhaltig zu schließen sind. Alle Befunde, die im Rahmen des Pentests ermittelt worden sind, werden in unterschiedliche Schwachstellenkategorien einsortiert. Dies ermöglicht Rückschlüsse auf den Ursprung der Schwachstellen. Mit leicht verständlichen Empfehlungen, die sich sofort umsetzen lassen, erhalten Unternehmen eine Reihe von Maßnahmenpaketen, die das gesamte Sicherheitsniveau des Unternehmens deutlich erhöhen. Ziel der IT Security Experten ist dabei ein optimaler Wissenstransfer, der das Auftreten gleicher oder ähnlicher Schwachstellen für die Zukunft dauerhaft abstellt.