find Hier klicken Jetzt informieren PR CR0917 Cloud Drive Photos UHD TVs Learn More TDZ Hier klicken Mehr dazu Hier Klicken Storyteller AmazonMusicUnlimitedFamily AmazonMusicUnlimited Fußball longss17

Kundenrezensionen

4,1 von 5 Sternen
11
4,1 von 5 Sternen
Format: Gebundene Ausgabe|Ändern
Preis:49,90 €+ Kostenfreie Lieferung mit Amazon Prime


Derzeit tritt ein Problem beim Filtern der Rezensionen auf. Bitte versuchen Sie es später noch einmal.

am 18. Januar 2011
Marc Ruef befasst sich in seinem Buch mit einer Thematik, zu der es (nicht nur im deutschsprachigen Raum) relativ wenig Referenzwerke gibt. Gute 900 Seiten stark, umreißt es eine beträchtliche Anzahl an einschlägigen Themen in Bezug auf Penetration Testing.

Nach Fertiglesen dieses Werks ist mein Resumee durchwachsen, deshalb führe ich Pro und Contra hier Punkt für Punkt an:

+ Zahlreiche Kapitel sind zeitlos. Speziell Kapitel 4-8 liefern solide Grundlagen zu Trägerprotokollen und deren Eigenschaften zum Themenbezug; zahlreiche Protokoll- und Betriebssystem-Interna werden solide beschrieben.

+ Beinahe ausnahmslos liefert Ruef parallel zur zuvor erläuterten Theorie auch andwendbare und (jedenfalls unterhalb der Applikationsebene, s.u.) realitätsnahe, praktische Beispiele.

+ Der Fokus an Beispielen liegt zwar klar auf Linux, er lässt jedoch - wo adäquat - auch Windows als weitest verbreitetes Betriebssystem nicht außer Acht und verweist gekonnt auf implementierungsspezifische Unterschiede.

+ Ruef legt Wert darauf, sämtliche praktische Beispiele mit zumeist quell-offenen, anerkannten, als quasi-Standard geltenden Programmen durchzuführen (tcpdump für das Lesen des Netzwerkverkehrs, nmap für Mapping und Scanning, hping3 für Packet Construction, etc.)

+ Zusammenfassungen & Quellen: Nach jedem Subkapitel wird kurz und prägant der Inhalt nochmals kurz zusammengefasst, und mit zahlreichen Quellen belegt. Bemerkenswert ist auch, dass sämtliche Quellenverweise zusätzlich mit einem Absatz versehen sind, der Hintergrundinformationen zum jeweiligen Buch sowie einen mehr oder weniger subjektiven, jedoch interessanten Eindruck des Autors schildert.

+ Organisatorisches Kapitel: In Kapitel 2 erklärt Ruef den grunsätzlichen Ablauf eines Pentests, mögliche Modi, Hinweise zur Dokumentation und rechtlichen Belangen.

Nun zu den, leider zahlreichen, Negativpunkten:
- Rechtschreibung: Die Quantität der grammatikalischen Fehler im Buch grenzt an Unzumutbarkeit. Obgleich die Menge an Fehlern zum Ende weniger werden, kann ich mir kaum vorstellen, dass Ruef oder sonstwer das gesamte Manuskript vor dem Druck korrekturgelesen hat. Schade!

- Grafiken und Diagramme: Das Buch enthält grundsätzlich zahlreiche Grafiken die der Veranschaulichung dienen sollten. Unglücklicherweise sind diese überwiegend (meiner Meinung nach) einfach falsch ausgewählt. Ruef skizziert banale und triviale Abläufe in oft in Diagrammen, verzichtet aber bei komplexeren Zusammenhängen oftmals darauf, obgleich sie dem Verständnis hier weitaus dienlicher wären. Die Beschreibung/Beschriftungen von Diagrammen ist darüber hinaus sehr oft mangelhaft, was sich u.a. durch fehlende Achsen-Beschriftungen und falsche Werte bemerkbar macht - anstatt Veranschaulichung kommt somit Verwirrung zum Tragen.

- Faktische Redundanzen: Sehr viele Fakten werden mehrfach redunant beschrieben, teils sogar im selben Kapitel. Das kann in geringem Maße der Anschaulichkeit dienen, wird aber definitiv übertrieben. Das Buch könnte hier durchaus eine Seitenanzahl im dreistelligen Bereich einsparen, und dabei den Lesefluss vereinfachen. Bis auf exotische Portscan-Techniken, sind die Kapitel 5 und 6 (Mapping & Scanning) beispielsweise fast ident.

- Redundanzen bei Beschreibungen von praktischen Beispielen: Beinahe Jeder Beispielaufruf wird gefolgt von einer Tabelle, in der Zeile für Zeile das vorangegangene Beispiel durchgegangen wird. Diese werden nach und nach sehr langweilig und lähmend, da - obgleich schon oftmals zuvor aufgerufen und beschrieben - immer wieder jede einzelne Kommandozeilenoption und jedes Argument erneut im Detail erklärt wird.

- Fehlende Details: So detailliert die erste Hälfte des Buches ist, so fehlt gegen Ende der nötige Detailreichtum. Bei Thematiken wie Firewall-Konzeption und systematische Fehlersuche (Debugging) werden einzelne, essentielle Techniken und Vorgehensweisen umrissen, jedoch viel zu kurz abgehandelt um daraus einen praktischen Nutzen zu ziehen - im Gegensatz zur ersten Hälfte des Buchs, dienen diese Abschnitte lediglich dazu, einen rudimentären Überblick für Neulinge zu gewinnen, mehr aber sicherlich nicht; eher stellt sich hier das Gegenteil ein, nämlich Verwirrung und Unverständnis: Da ist plötzlich von Nop-Sleds die Rede, Assembler Befehle werden nicht erklärt (und obendrein wird AT&T sowie Intel Syntax kommentarlos gewechselt), Pufferüberlaufarten karg umschrieben ohne jemals das Speicherlayout von Prozessen ernsthaft abzuhandeln (Natürlich könnte man über jedes dieser Themen eigene Bücher füllen, aber wieso dann solche Dinge überhaupt noch reinquetschen?) und leider noch vieles mehr. Im Kapitel über Exploiting wird völlig auf Praxisnähe verzichtet und somit auf die Möglichkeit zur Entwicklung eines weiterführenden Verständnisses für realere Szenarien.

- Benötigtes Vorwissen unbalanciert: Meist beschreibt Ruef selbst triviale Dinge, die jeder mit Grundkenntnissen im Netzwerkbereich bereits wissen sollte. Andererseits verwendet er im Text sprunghaft Abkürzungen und Fachterme die nirgendwo erklärt werden bzw. referenziert werden, oder Beispiel-Zusammenhänge die nur von Experten und Fachleuten nachvollzogen werden können.

- Fehlende Essentials (wenn auch nur 2): Zum einen wird an keiner Stelle im Buch, weder in Theorie noch Praxis, auf IPv6 eingegangen; zum anderen spielt das Thema Kryptographie eine untergeordnete bis inexistente Rolle.

- Referenz auf sich selbst: Etwas, dass mich persönlich stört ist die übertriebe Referenzierung auf zovor publizierte Schriften des Autors mitten im Fließtext. Eigenwerbung gut und schön, aber das ist mMn übertrieben. Besonders, weil es zu denjenigen Themen auch zahlreiche andere Publikationen gibt, und Ruef diese Dinge nicht als Erster aufgriff.

Zusammenhängend: Alles in Allem, ein gutes Buch über ein Gebiet auf dem es wenig Konkurrenz gibt. Der Inhalt ist grundsätzlich solide, die Aufbereitung aber leider auf weiten Strecken mangelhaft. Leider wirkt es so, als hätte der Autor gegen Ende des Buches die Movation verloren um Techniken ähnlich detailliert zu beschreiben wie zu Beginn - Schade, denn das Potential hierfür hätte der Autor unbestritten.
11 Kommentar| 25 Personen fanden diese Informationen hilfreich. War diese Rezension für Sie hilfreich?JaNeinMissbrauch melden
am 2. Mai 2015
Das Buch ist wirklich sehr gut, wenn es jemanden interessiert tiefer in das Gebiet des Testings reinzuschnuppern.
Für einen Anfänger ist es sehr informativ, teilweise erschlagend. Aber kann ich nur empfehlen.
0Kommentar| Eine Person fand diese Informationen hilfreich. War diese Rezension für Sie hilfreich?JaNeinMissbrauch melden
am 31. August 2009
Ein klasse Fachbuch.
Es gibt nicht viele Bücher die soviel Input haben.
Bin noch nicht ganz durch aber das was ich bisher gelesen und auch getestet habe war einwandfrei.
Leider gibt es doch einige Rechtschreibfehler und auch Fehler in Beispielen.
Aber darüber lässt sich hinwegsehen wenn man dieses Schmuckstück am durcharbeiten ist.
4 Sterne aufgrund der Fehler sonst wären es 5.
0Kommentar| Eine Person fand diese Informationen hilfreich. War diese Rezension für Sie hilfreich?JaNeinMissbrauch melden
am 14. August 2015
Aber, nachdem ich das Buch gelesen hatte, wusste ich trotzdem immrnoch nicht wie man einen Penetration Test macht. Es fehlt einfach das praktische Beispiel. Ein Beispiel Penetrationtest von A bis Z fehlt grundsätzlich sehr!
0Kommentar|War diese Rezension für Sie hilfreich?JaNeinMissbrauch melden
am 28. März 2008
Vorweg: Dieses Buch richtet sich nicht Ausschliesslich an Menschen die professionelle Hacker, bzw. Penetrationtester werden wollen, bzw. bereits als solche tätig sind.

Auf den ersten einhundert Seiten wird viel zum organisatorischen Abläufen und Rechtlich/Vertraglichem befasst. Der Autor versucht erfolgreich auf Leser einzugehen die sich mit der betriebswirtschaftlichen Seite, Management und den Prozessen der IT-Security im Speziellen der Sicherheitsüberprüfung von Unternehmen bekannt zu machen. Dies setzt sich durch das ganze Buch fort und kann so im Alltag als "Best Practices"-Leitfaden immer wieder herangezogen werden.

Ich habe bereits das ein oder andere Buch das unter dem plagativen Schlagwort "Hacking" vermarktet wurde gelesen u.a. "Hackers Guide", "Maximum Security", "Maximum Linux Security", "Überhacker", "Das Anti-Hacker-Buch". Diese Werk beziehen sich in der Hauptsache auf kurzlebige technische Aspekte des Hackerdaseins. Professioneller Werke hingegen sind mir oft zu Trocken und gerade im businessenglischen sehr einschläfernd zu lesen, da gibts genug Gratis-Literatur etwa der "Cert" und der diversen Security-Sites im Internet.

Dieses Buch zeigt welche organisatorischen Prozesse es zu entwickelt gilt, wie diese in etwa abzulaufen haben, welchen Werkzeugen sich der "professionelle" Hacker zu bedienen hat und schließlich welche Ergebnisse ein Kunde in welcher Form zu erwartet. Das ist schon mal nicht schlecht.

Es stellte eine gute Ergänzung zum "BSI-Grundschutz" Handbuch dar, welches auf keine Schreibtisch der IT-Security-Industrie, von Rechenzentren und Serverräum fehlen sollte. Immer wieder wird anhand von Beispielen bewiesen, das Security kein Produkt ist (Bruce Schneier 1999). Security ist ein Prozeß der nur gelebt wird, wenn man ihn so anlegt das er der menschlichen Bequemlichkeit nicht allzusehr zuwieder läuft (Angerstein 2007). Es werden klare und plausibel Argumente geliefert die es einem Consultant erleichtern darzustellen, dass mit dem Kauf einer Firewall, einem Virenscanner oder eines IDS kein mehr an Sicherheit sondern lediglich ein weniger an Geld erreicht wird, wenn diese Instrumente nicht sauber konfiguriert und diese konfiguration gründlich evaluiert (Penetrationtesting), sauber gepflegt und den Endusern nur plausible Einschränkungen auferlegt werden.

Es wird beschrieben wie mit den Mitteln der Gefahrenanalyse möglichest plausible Szenarien entwickelt und hierfür Lösungen implementiert und Prozesse aufgestellt werden ohne einen unnötigen teuren Overkill an Sicherheit zu generieren.

Kritik: Das Buch ist im deutscher Sprache einmalig. Beschreibt das vorgehen von Angreifern und den Methoden die sich diese Leute bedienen.
Es beschreibt wie man Risiken kalkuliert, kategorisiert und begegnet.
Leider muss man sagen, das mir mit meine Fachwissen die technischen erläuter in einigen Fällen zu flach (insbesondere das Thema Sourcecodeanalyse) waren. Ich möchte nicht nur Wissen wie eine Werkzeug oder ein Angriff abläuft ich erwarte Hintergrund informationen und nachprüfbare praxisnahe Beispiele, denn in der Theorie sind alle Katzen grau (oder so). Das Preisleistungsverhältnis ist für ein derartiges Werk ebenso einzigartig.
0Kommentar| 6 Personen fanden diese Informationen hilfreich. War diese Rezension für Sie hilfreich?JaNeinMissbrauch melden
am 21. Oktober 2010
Dieses Buch ist in seiner Breite und Tiefe nach wie vor unerreicht. Allerdings schreitet die Zeit, und damit Waffen auf Angreifer- und Verteidiger-Seite, unerbittlich voran. Nach mittlerweile drei (!) Jahren sollte der geneigte Leser nun nicht mehr zugreifen, sondern auf die nächste Auflage warten. Überfällig ist diese ja allemal.
11 Kommentar| 4 Personen fanden diese Informationen hilfreich. War diese Rezension für Sie hilfreich?JaNeinMissbrauch melden
am 11. April 2008
Als Fachlektor des vorliegenden Titels wurde ich oftmals bereits im Vorfeld des Erscheinens nach einer inhaltlichen Einschätzung des zu erwartenden Endproduktes gefragt. Nicht ganz zu Unrecht, ist doch gerade das deutschsprachige Sortiment der IT-Sicherheitsbücher aufgrund teils mangelhafter Übersetzungen, teils eingeschränkter Themenrelevanz eher mit Vorsicht zu geniessen. Ich habe mich auf solche Nachfragen immer neutral gegeben - dennoch soll an dieser Stelle eine kurze Rezension nicht ausbleiben.

Eins vorweg: "Die Kunst des Penetration Testings" ist keine eierlegende Wollmilchsau. Der Autor entschied sich, einen breiten Pfad einzuschlagen und einen umfassenden Überblick über verschiedene Themenbereiche zu bieten, im Wissen dass jedes dieser Kapitel mit ausreichend Begeisterung und Engagement durchaus Stoff für ein eigenes Buch - oder mehrere - bieten würde. Unter diesem Gesichtspunkt hält "Die Kunst des Penetration Testings" seine Versprechen und führt den Leser in grundlegende technische und methodische Herangehensweisen des professionellen Security Auditings ein. Dem einem oder anderen mag missfallen, dass sich Ruef in seinen Herangehensweisen in erster Linie an seiner Erfahrung orientiert und mehr oder minder relevante Standards wie OSSTMM nur limitiert berücksichtigen - für andere, eher pragmatisch/technisch orientierte Leser dürfte dies wiederum eher einen Pluspunkt darstellen.

Von einem Kauf abzuraten ist in diesem Sinne aber erfahrenen Technikern, die nach dedizierten und themenspezifischen Inhalten suchen. Technisch interessierten Leser dürfte "Die Kunst des Penetration Testings" aber gefallen, sei es zum konstruktiven Selbststudium oder als Nachschlagewerk. Auch routinierte Auditoren dürften überblickend über die beschriebenen Themengebiete die eine oder andere konstruktive und sinnvolle Anregung finden.
0Kommentar| 6 Personen fanden diese Informationen hilfreich. War diese Rezension für Sie hilfreich?JaNeinMissbrauch melden
am 26. Oktober 2007
Das Kaufen von Büchern im Internet ist immer sehr schwierig, da man das gewünschte Buch nicht einfach aufschlagen und darin schmökern kann. Oftmals bleibt einem nur die Möglichkeit das Inhaltsverzeichnis und ein Probekapitel zu lesen. Dies als Grundlage für meinen Kauf sowie die vielen Empfehlungen (Freundeskreis) dazu haben mich bewogen, mir das Buch auch zuzulegen.

Als Teil eines Firewall-Team eines Telekommunikationsunternehmens wird es immer wichtiger, ein umfassendes Verständnis im Bereich der Netzwerk- und Computer-Sicherheit zu erlangen. Sei dies nun wenn es um Diskussionen bezüglich der Anschaffung neuer Lösungen oder das Argumentieren mit Auditoren (wer kennt es nicht?) geht.

Dieses Buch hat mich in jeglicher Hinsicht positiv überrascht (deshalb auch meine erste Rezension auf Amazon). Obwohl der Titel und der Umschlagtext vermuten lassen, dass hier ausschliesslich Angriffstechniken aufgezeigt werden, geht es weit über dieses Themengebiet hinaus. Allgemeine Dinge aus der Computertechnik werden sehr anschaulich eingeflochten und zeigen damit, dass IT-Security eben nicht nur Viren, Firewalls und Exploits sind.

Ich kann das Buch wirklich jedem empfehlen, der sich mit der Administration von Betriebssystemen, Netzwerktechnologien oder halt Informationssicherheit auseinander will. Es lohnt sich in jeder Hinsicht. Man muss nur ein bisschen frohen Mut mitbringen, sich auch an die knapp 1000 Buchseiten zu wagen. Doch schon nach den ersten paar Kapiteln wird klar, dass man sicher wieder einmal seine Nase in das Buch stecken wird. Ich würde es wieder kaufen.
0Kommentar| 14 Personen fanden diese Informationen hilfreich. War diese Rezension für Sie hilfreich?JaNeinMissbrauch melden
am 24. Mai 2009
Das Buch vermutet als Leser oftmals einen Computer-Anfänger und keinen "professionellen Hacker", wie man aus dem Untertitel herleiten könnte.

Dauernd werden die simpelsten Vorgänge, die man als Zielgruppe für ein solches Buch doch schon als Vorwissen hätten vorausahnen können, bis ins exzessivste Detail dermaßen ausgeschmückt, dargelegt und einfach bis in die Unendlichkeit wiederholt.

Da werden ganze Bücherseiten verschwendet um fiktive Provider-Angebote zu erstellen oder es wird dargelegt, wie man unter Windows-Systemen Screenshots anfertigt, um seine Dokumentation hübscher zu gestalten. Marc Ruef beschreibt das Internet, das UseNet und grundlegende Begriffe von einem naiven Standpunkt, das ich dieses Buch glatt der nächsten Schülerpraktikantin in die Hand drücken könnte. Ob dies für ein Fachbuch eine Auszeichnung ist?

Dazu erklärt er uns wie Google funktioniert und baut noch schnell einen Screenshot mit einer barbusige Blondine ein, deren kommerzielle Webseite-URL dann auch groß im Buch erkennen zu ist. Teilweise muss man sich wirklich beim Lesen etwas bevormundet vorkommen.

Abgesehen davon, besitzt das Buch doch einen brauchbaren (aber nicht neuen) Teil über Scanning mit NMAP und Co.

Generell könnte man dieses Buch auf zwei getrennte Bücher verteilen. Ein Buch mit < 200 Seiten für "Network Mapping / Application Fingerprinting" und ein weiteres für "Internet für Anfänger". Aber dann kann man eigentlich gleich zu Messers Secrets of Network Cartography greifen.

Ich möchte die Leistung und die Energie des Autors nicht in Frage stellen, da Bücher zu diesem Thema sehr kompliziert und rar sind. Allerdings hätte ich von der Beschreibung und der Rezensionen des Buches einfach mehr erwartet und vermute stark, dass der Autor beim Schreiben irgendwo vom Weg abgekommen ist.
33 Kommentare| 12 Personen fanden diese Informationen hilfreich. War diese Rezension für Sie hilfreich?JaNeinMissbrauch melden
am 26. August 2007
als informatik student einer technischen universität bin ich auch an netzwerksicherheit interessiert. dabei müssen wir halt hauptsächlich klassische bücher aus dem betriebssystem und netzwerk bereich lesen. dieses buch hier hat mich auf der ganzen linie positiv überrascht. es kombiniert die wichtigsten elemente dieser tehemen und rundet alles ab. obwohl es sich hauptsäcjlich mit sicherheits checks beschäftigt. echt toll, denn es ergänzt sich super mit dem anderen lesestoff der manchmal eher trocken ist zu lesen ist.
0Kommentar| 19 Personen fanden diese Informationen hilfreich. War diese Rezension für Sie hilfreich?JaNeinMissbrauch melden