Buchvorstellung: Die Kunst des Human Hacking

Veröffentlicht am 12. April 2015 in Bücher | Keine Kommentare

In “Die Kunst des Human Hacking” behandelt Autor Christopher Hadnagy sehr facettenreich das Thema Social Engineering. Wer jetzt an ein weiteres Buch mit spannenden Hacker-Stories denkt, wird überrascht sein. Hadnagy, bekannt für das Social Engineering Framework und Sicherheitsberater, steigt sehr tief in die Materie rund um das Thema Social Engineering, Gesprächsführung und Kommunikation ein.

Die Kunst der Human Hacking von Christopher Hadnagy

Die Kunst der Human Hacking
von Christopher Hadnagy

Zusammenfassung

Hadnagy gliedert das Buch im Wesentlichen in die notwendigen Schritte zum (erfolgreichen) Social Engineering ein und legt sein Framework im Anschluss an einige Fallstudien an: Der Informationssammlung, also das Beschaffen, Organisieren und Sondieren relevanter Informationen schreibt er eine sehr hohe Relevanz zu. Zwei weitere wichtige Schritte sind zum einen das Eilzitieren, also das Entlocken von (relevanten) Informationen während einer offensichtlich harmlosen Unterhaltung, sowie ein gutes Pretexting. Der Erfolg oder Misserfolg z.B. bei den vom Autor erwähnten Social Engineering Audits steht und fällt mit einem guten Pretexting, bei dem man durch Verhalten, Kleidung, Persönlichkeit o.Ä. quasi “in eine andere Haut schlüpft”.

Ein Kapitel widmet er sehr umfangreich psychologischen Prinzipien. Er greift dabei u.a. die alltäglichen kleinen psychologischen Tricks auf, die nicht nur von böswilligen Angreifen, sondern auch von Eltern, Kindern, Ärzten oder Lehrern verwendet werden. Eine zentrale Rolle spielen ferner Mikroexpressionen, also flüchtige Gesichtsausdrücke in Situationen von Freude, Angst oder Ärger. Diese Thematik wurde bereits in den 1970er-Jahren vom Psychologen Paul Ekman umfangreich erforscht.  Ekman stand dem Autor nach eigenen Angaben während des Verfassens des Buches zur Seite und steuerte viele relevante Informationen bei. Auch Methoden zum Aufbau von Rapport oder dem Neuro-Linguistisches Programmieren (NLP) werden umfangreich erläutert.

Diese grundlegenden Skills und einige technische Tools führen dann zu Methoden, um andere zu überreden oder zu manipulieren, wobei dies nicht immer im negativen Sinne sein muss.

Schlussendlich legt Hadnagy seine dargestellten Methoden, die er in ein eigenes Framework “gegossen” hat, an vier Fallstudien an. Zwei entstammen dabei aus seinen eigenen Erfahrungen, die er bei Kunden gesammelt hat. Die beiden anderen Fallstudien entstammen zwei Geschichten von Kevin Mitnick, die auch im Buch “Die Kunst der Täuschung” nachzulesen sind. Der Autor analysiert die Fallstudien, beschreibt und erläutert die eingesetzten Methoden und warum diese funktionieren konnten.

Besonders Unternehmen legt er ans Herz, sich intensiv mit dem Thema zu beschäftigen und Mitarbeiter auf die Themen der Beeinflussung durch Social Engineering zu schulen. Hierbei sei es von höchster Relevanz, dass es nicht einfach mit einer Schulung pro Jahr getan ist, die von Mitarbeitern dann nicht wirklich verinnerlicht wird. Vielmehr müssen die Präventivmaßnahmen im Unternehmen gelebt und nicht nur in einer Leitlinie niedergeschrieben sein. Letztendlich ist es wichtig, möglichst viel über potentielle Angriffsvektoren zu wissen, um sich entsprechend gegen die wappnen zu können.

Fazit

Insgesamt handelt es sich bei “Die Kunst des Human Hacking” um ein wirklich sehr informatives Buch, dass aus meiner Sicht nicht nur für Verantwortliche in der IT-Security interessant ist. Auch andere Unternehmensverantwortliche oder Vertriebler finden hier viele interessante Ansatzpunkte, die einem teilweise so auch im alltäglichen Leben begegnen können.

Der Autor führt meines Erachtens den Leser sehr gut und praxisnah durch die Thematik, in deren Fokus fast immer die Kommunikation steht, und gibt Tipps, sich diese Fähigkeiten anzueignen. Viele umfangreiche Informationen findet ihr auch auf Hadnagys Webseite “Social-Engineer.com“.

Windows Redstone: Windows 10 Update soll 2016 kommen

Veröffentlicht am 7. April 2015 in Microsoft | Keine Kommentare

Da ist Windows 10 noch nicht einmal auf dem Markt, da kursieren schon wieder die ersten Gerüchte von der folgenden Updateversion. Auf den Codenamen “Redstone” hört das Update, wie Neowin erfahren hat.

Es soll sich hierbei aber nicht um “Windows 11″ oder “Windows 12″ halten, sondern ein Update im Rahmen von Windows 10, wie Microsoft-Insiderin Mary Jo Foley aus Ihren Quellen erfahren haben will. Dieses soll im Rahmen der monatlichen Updatezyklen an die Anwender verteilt werden, wobei es sich ähnlich wie bei den Windows 8.1 Updates um größere Pakete handeln wird, die auch das eine oder andere neue Feature mit sich bringen werden.

Größere Sprünge, wie jetzt mit Windows 10, sind aber nicht zu erwarten.

Acronis True Image 2015 Ostergewinnspiel beendet

Veröffentlicht am 7. April 2015 in Allgemein | Keine Kommentare

Hallo zusammen,

das Ostergewinnspiel um die drei Acronis True Image 2015 Unlimited Lizenzen ist beendet und die Gewinner wurden mittels Random.org ermittelt.

Gewonnen haben:

  1. Harry
  2. Torsten Spang
  3. Alexander K.

Herzlichen Glückwunsch an Euch Drei! Ihr werdet in Kürze eine Mail von mir mit dem Lizenzschlüssel und den nächsten Schritten erhalten.

An dieser Stelle auch nochmals vielen Dank an Acronis für die freundliche Bereitstellung der Lizenzen!

Ostergewinnspiel zum WorldBackupDay

Veröffentlicht am 31. März 2015 in Security | 6 Kommentare

Hallo Freunde, heute am 31. März 2015 ist WorldBackupDay. Der Tag soll bei allen Anwendern die Wichtigkeit von Backups in Erinnerung rufen. Vor allem das ein Backup oft nicht ausreichend ist, sondern dass ihr besser mehrere Backups auf verschiedenen Medien parat habt, wovon eins unter Umständen sogar extern gelagert wird (z.B. Cloud oder aber auch ein Schließfach bei der Bank).

Da bald Ostern vor der Tür steht und im Zuge des WorldBackupDays, hat Acronis mir freundlicherweise 3 Lizenzen von Acronis True Image 2015 Unlimited zur Verfügung gestellt, mit dem ihr bequem Eure Backups erledigen könnt. Im Dezember 2014 hatte ich bereits ein Review zu True Image 2015 geschrieben.

Teilnahmebedingungen

Um an der Verlosung teilzunehmen, hinterlasst mir bis Ostermontag, 06. April 2015 um 20:00 Uhr einen Kommentar. Wenn ihr überdies noch bei Twitter,  Google+  oder Facebook einen Status mit Verweis auf diese Verlosung verfasst, erhaltet ihr jeweils ein zusätzliches Los. Kopiert den Link zu Eurem (öffentlichen) Status dann mit in den Kommentar, damit ich diesen leichter finden kann. Bitte wählt Eure Namen so (bitte Eure echten Vornamen), sodass sie aussagekräftig und für mich nachvollziehbar sind. Die drei Gewinner werden anschließend per Zufallslos mittels Random.org gezogen.

Jeder  der drei Gewinner kann maximal eine Lizenz gewinnen. Der Rechtsweg ist ausgeschlossen und/oder eine Barauszahlung ist nicht möglich. Auch ein Übertrag des Gewinns ist nicht möglich. Ich werde die drei Gewinner im Anschluss per E-Mail anschreiben (bitte hinterlasst also keine Adresse à la Trashmail – diese werden direkt aussortiert und für das Gewinnspiel nicht zugelassen).

Die Gewinner müssen sich im Anschluss bei Acronis mit einer gültigen E-Mail Adresse registrieren, um diese zu aktivieren und das Setup-Paket herunterladen zu können. Weitere Infos schicke ich den drei Gewinnern nach der Verlosung per E-Mail.

Wie immer viel Glück!

Update

Die Verlosung ist beendet. Alle Kommentare, die bis gestern Abend, 06.04.2015 20 Uhr eingegangen sind, kommen in den Lostopf.