Hacken ohne programmieren

5. April 2003, 12:13
4 Postings

Kevin Mitnick, Superstar der Hacker, gibt in "The Art of Deception" Sicherheitstipps

Kevin Mitnick ist wohl einer der bekanntesten Hacker der Welt. Er war für einige Einbrüche in die Computersysteme des Militärs und großer US-Konzerne verantwortlich und galt als meist gesuchter Krimineller Amerikas. 1995 wurde er dann nach einer Verfolgungsjagd verhaftet und im August 1999 von einem Gericht in Los Angeles zu 46 Monaten Haft verurteilt. (Der Webstandard berichtete)

Hacker wird Autor

Erst seit Jänner 2003 ist es ihm wieder gestattet online zu gehen, doch auch die Zeit ohne Internet wusste der Superstar unter den Hackern zu nützen. Dank richterlicher Genehmigung durfte er wieder am Computer arbeiten und so entstand sein Buch The Art of Deception (Die Kunst der Täuschung), beim Schreiben unter die Arme gegriffen hat ihm dabei William L. Simon. (Der Webstandard berichtete)

Hacken ohne Programmieren

Das Buch legt den Schwerpunkt auf so genanntes Social-Engineering. Bei dieser Methode versuchen Hacker Mitarbeitern eines Unternehmens sicherheitsrelevante Informationen zu entlocken, um so dann firmeninterne Sicherheitssysteme leicht umgehen zu können. Damit werden dann ausgeklügelte technische Sicherheitslösungen mit einem Schlag nahezu wertlos.

Nicht für Phreaks

Script Kiddies und Phreaks – um Mitnicks Sprache zu benützen – dürften von dem Buch enttäuscht sein. Weder gibt es konkrete technische Tipps, noch gibt Mitnick Einblicke in sein bewegtes Leben: Die Geschichte sind durchwegs erfunden, die beschriebenen Social-Engineering Techniken wurde aber angeblich von Mitnick selbst oder seinen Freunden angewendet.

Erfundene Anekdoten

Mitnick erzählt also nette Anekdoten, allerdings erfundene: Da ist etwa die Episode eines Hackers, der das verschlüsselte Passwort-Verzeichnis von einem Server herunterlädt und schon bald Zugang zum Netzwerk des Unternehmens hat. Eine andere Anekdote: Ein Anrufer trickst die etwas zu naiven Systemadministratoren eines Unternehmens aus, indem er sie Glauben macht, er sei ein Angestellter, der daheim wegen eines Schneesturms festsitzt und nun dringend ein Passwort benötigt, um sich von zu Hause aus mit dem Firmenrechner verbinden zu können.

Hilfestellung

Das Buch ist laut dem Autor als Hilfestellung für diejenigen gedacht, die für die Sicherheit von Computernetzwerken verantwortlich sind. Es kann aber durchaus auch von weniger mit Computer vertrauten Menschen gelesen werden. Unter der Rubrik "lingo" erklärt Mitnick spezielle Hacker-Termini, in den so genannten "Mitnick Messages" wendet sich der Autor direkt an die Leserschaft und versucht sie auf mögliche Sicherheitslücken im eigenen Betrieb hinzuweisen.

Und was kann man lernen?

Was kann man also aus der Lektüre lernen? Mitnick ist der Meinung, dass es ein Wunsch der Mensch ist, anderen zu helfen und ein Team-Player zu sein. Daher werden angeblich oft wichtige Informationen von Mitarbeitern verraten. Es gibt aber auch eine simple Lösung für dieses Problem: "Trust no one." An Unbekannte oder Menschen, deren Identität nicht verifiziert werden kann, sollten einfach keine Informationen weitergegeben werden.

Leseproben

Ein Kapitel des Buches (When Innocuous Information Isn’t) können Sie hier lesen. Das ursprünglich erste Kapitel des Buches, das dann aber vom Verlag gestrichen wurde, ist zudem im Internet aufgetaucht. Das Kapitel behandelt Mitnicks Leben als Hacker, Flüchtling und Sträfling. Außerdem enthält es Mitnicks Abrechnung mit dem Journalisten John Markoff (The New York Times), der wenig wohlwollende Artikel über Mitnick publiziert hatte. Das Kapitel "Kevin's Story" tauchte zuerst in einer Yahoo discussion group auf und ist nun auch als Word-Dokument erhältlich.

Kevin Mitnik
The Art of Deception: Controlling the Human Element of Security
ISBN: 0-471-23712-4
368 Seiten
Wiley Publishin, Inc. September 2002 (red)

  • Bild nicht mehr verfügbar
Share if you care.