Manuel Ziegler mit seinem Buch "Web Hacking"

 

Manuel Ziegler spricht in diesem Interview über sein neues Buch „Webhacking. Sicherheitslücken in Webanwendungen – Lösungswege für Entwickler. Mit Playground im Internet“ und sein gleichnamiges Gewinnspiel (bereits abgeschlossen).

 

Hallo Herr Ziegler, schön, dass Sie uns heute besuchen! Unsere Leser kennen sie bereits als Autor des Titels „Facebook, Twitter & Co. – Aber sicher!“, das im Sommer 2012 hier bei Hanser erschienen ist. Sie haben ja sehr früh, also bereits mit 14 Jahren, angefangen, sich mit Netzwerk- und IT-Sicherheit zu beschäftigen. Wie kam es denn eigentlich dazu bzw. gab es eine Initialzündung, die dazu geführt hat, sich in diese Thematik zu vertiefen?

Hallo Frau Rothe. Zunächst einmal habe ich mich damals mit einfacher Programmierung beschäftigt. Auf mich hat der Gedanke, einen Computer dazu zu bringen, komplexe Aufgaben zu lösen, damals wie heute, eine enorme Faszination ausgeübt. Von da war es nur noch ein kleiner Schritt zur IT-Sicherheit, schließlich habe ich sehr schnell herausgefunden, dass Computerprogramme fast immer Sicherheitslücken mitbringen, mit denen man diese manipulieren kann.

Zunächst habe ich mich mit meinen „Untersuchungen“ auf meine eigenen Programme beschränkt, dann auf meinen eigenen PC und schließlich habe ich meine neuen Fertigkeiten auch an anderen „ausprobiert“.

Aber dieses Interesse an dem Thema war nicht der einzige Grund, warum ich mich so früh damit beschäftigt habe. Ich habe sehr bald bemerkt, dass der Bereich IT-Sicherheit akute Mängel aufweist. Aus der Freude daran, Sicherheitslücken aufzuspüren und zu nutzen wurde irgendwann der Wunsch, selbst dazu beizutragen, diese Missstände zu beseitigen.

Wie haben Sie die Zeit nach dem Erscheinen des Buches erlebt, sozusagen Ihr Debut als Fachbuch-Autor?

Ach, das war eine schöne Zeit, „gebratene Krammetsvögel mit kleinen Kuchen flogen einem in den Schlund hinein“, hätte Telekleides wohl gesagt. Aber im Ernst: Im Grunde war diese Zeit auch nicht anders als die Zeit davor.

Trotzdem gibt es natürlich Momente in denen man die Reaktionen seines Umfelds und seiner Leser auf das Buch genießt. Jede Form von Anerkennung, jede gute Rezension, jede Frage, die andere Menschen bezüglich IT-Sicherheit an einen richten, erfüllt einen gewissermaßen mit Stolz und Freude.

Sie sind sehr aktiv im Bereich IT-Sicherheit, beruflich wie privat. Heute studieren Sie Informatik an der TU München und betreiben den Blog it-news-blog.org. Außerdem halten Sie Vorträge zur Sicherheit in sozialen Netzwerken, zuletzt auch innerhalb unserer hauseigenen Veranstaltung Hanser @-Theke, die sich digitalen Themen widmet.

Bieten Sie Ihre IT-Kenntnisse in Form von Beratungen auch Dritten an? Ich könnte mir vorstellen, dass im Alltag jede Menge Anfragen bezüglich IT-Sicherheit und der Sicherheit in sozialen Netzwerken an Sie gestellt werden?

Ich helfe natürlich immer gerne, wenn mich Fragen meiner Leser erreichen, aber Beratungen im großen Stil biete ich eigentlich nicht an.

Es sind tatsächlich sehr viele umgekehrte Anfragen, die mich erreichen, also Anfragen bei denen ich darum gebeten werde, Webseiten zu hacken, Verschlüsselungen zu knacken usw. Die meisten dieser Anfragen stammen von Privatpersonen, die auf Rache aus sind, eifersüchtig auf Ihre/n (Ex-)Partner/in sind oder die angeblich das Passwort zu einem Account verloren haben, manchmal gibt es da aber auch Anfragen von größeren Organisationen. Letztere reichen von Support bei einem Verbrechen bis hin zu Industriespionage-Angriffen und sind in der Regel auch verlockend hoch dotiert. Natürlich versteht es sich für einen Hacker von selbst, dass man solche Angebote gar nicht erst in Betracht zieht, schließlich ist das der Punkt an dem aus einem Technik-Enthusiasten ein Verbrecher wird.

Oh je, ja; bleiben Sie sich und unseren Lesern treu!

Nun wird in Kürze ein weiteres spannendes Buch, das im Dienste der IT-Sicherheit steht erscheinen, „Web Hacking. Sicherheitslücken in Webanwendungen – Lösungswege für Entwickler. Mit Playground im Internet.“ Es soll  die Grundlagen des Web Hackings sowie die Funktionsweisen wichtiger Hacking-Techniken verständlich machen um so das Verständnis bzw. das Rüstzeug mitzugeben, die eigene Webanwendung so sicher wie möglich zu machen. Wie gehen sie in dem Buch vor und was geben Sie dem Leser mit an die Hand?

Ich glaube, dass man sich als Entwickler nur nachhaltig gegen Hacker verteidigen kann, wenn man lernt, seine Anwendungen aus der Sichtweise des Angreifers zu betrachten. Das ist ein Weg, der nicht nur sehr selten vermittelt wird, sondern es ist auch ein Weg, der von vielen als äußerst kritisch empfunden wird.

Viele Hacker und noch mehr Entwickler sind der Meinung, dass man das Wissen um Hacking-Techniken auf keinen Fall weiter geben sollte. Selbst der Konzern Google schließt in den Content-Richtlinien seines Adsense-Werbeprogramms die Platzierung von Werbeanzeigen auf Seiten, die Hacking bzw. Cracking bezogenen Content vermitteln, aus:

„Die Platzierung von Google-Anzeigen auf Websites, die Hacking oder Cracking in jeglicher Form bewerben, ist nicht gestattet. Unter Content zu Hacking und Cracking fallen alle Inhalte, die Nutzern Anleitungen oder Hilfsmittel zur Manipulation von Software, Servern oder Websites beziehungsweise für den illegalen Zugriff darauf bieten.“

(Quelle: Content Richtlinien von Google Adsense: https://support.google.com/adsense/answer/1348688#Hacking_and_cracking_content)

Diese Haltung hat dazu geführt, dass sich Hacking zu einer sehr elitären Disziplin entwickelt hat, bei der der Anfänger sehr große Einstiegshürden überwinden muss, um erfolgreich zu sein. Das ist der falsche Weg, schließlich bedingt das zusammen mit den ständig sinkenden Einstiegshürden für Webentwickler die besorgniserregende Entwicklung, dass Webanwendungen immer unsicherer werden.

In meinem neuen Buch erkläre ich deshalb ausführlich, und auch für Einsteiger mit ersten Erfahrungen in der Programmierung nachvollziehbar, besonders die grundlegenden Hacking-Techniken. Dabei ist es mir wichtig, diese stets so ausführlich zu erklären, dass der Leser in der Lage ist, diesen Angriff auch in der Praxis umzusetzen, was er dann im Playground zum Buch auch gefahrlos und legal tun kann.

Natürlich wird auch beschrieben, wie man sich gegen einen Angriff verteidigen kann, aber auch hier sollen dem Leser nicht nur die „Standard-Tipps“ gegeben werden, sondern der Leser ist angehalten, auch hier mitzudenken und die Hintergründe dieser Gegenmaßnahmen zu verstehen, schließlich kann er diese Vorkehrungen nur dann auf neue Szenarios, für die es keine „Standard-Tipps“ gibt, übertragen.

Im Playground wird der Leser dann mit den verschiedensten Sicherheitslücken konfrontiert, ist das richtig?

Ich würde sogar einen Schritt weiter gehen und sagen die verschiedenen Szenarien im Playground, die jeweils unterschiedliche Sicherheitslücken darstellen, werden mit dem Leser konfrontiert.

Der Leser hat hier die Möglichkeit, das erworbene Wissen ganz legal auszuprobieren und so erste Erfahrungen auf dem Gebiet des Hackings zu sammeln. Ein weiterer Vorteil gegenüber der Realität neben der Legalität Ihrer Angriffe sind die Hilfestellungen und vereinfachten Szenarios. In der Realität kann ein Angriff der auf einer sehr simplen Sicherheitslücke basiert, trotzdem sehr komplex ausfallen, weil zahlreiche Nebenbedingungen beachtet werden müssen. Im Playground entfallen diese Nebenbedingungen teilweise, sodass die Einstiegshürden hier nicht zu hoch sind. Schritt für Schritt lernen Sie so, auch praxisrelevante Angriffe durchzuführen.

Das Buch erscheint ja nun schon im nächsten Monat. Wollen Sie unseren Lesern kurz verraten, was wir uns zur Verkürzung der Wartezeit auf das Buch überlegt haben?

Sehr gerne. Wir haben uns ein Gewinnspiel ausgedacht, bei dem der Leser selbst in die Rolle eines Hackers schlüpfen und drei Szenarien aus dem Alltag eines Angreifers lösen muss.

Natürlich wollen wir Sie nicht vor unlösbare Probleme stellen, deshalb haben wir die jeweiligen Angriffe sehr stark vereinfacht und Ihnen zahlreiche Hilfestellungen angeboten. Trotzdem werden Sie bei diesem Gewinnspiel einen kleinen Einblick in das aufregende Leben eines Hackers gewinnen können.

Sie werden dabei die Figur des Mallory (von engl. mallicious) verkörpern, die klassische Figur des Bösewichts aus der Kryptografie. Um Ihre Opfer Alice, Bob und Co. auszuspionieren werden Sie den Login zum Administrator-Bereich eines Online-Chats umgehen, Benutzerkonten knacken und eine einfache Verschlüsselung brechen.

Na dann können sich unserer Leser ja auf etwas gefasst machen! Und das Beste sei nicht unerwähnt: Diejenigen, die das Spiel erfolgreich absolvieren, qualifizieren sich für die Verlosung von drei Ihrer Buchexemplare Web Hacking. Sicherheitslücken in Webanwendungen – Lösungswege für Entwickler. Mit Playground im Internet.

 

Teilnahmeschluss ist der 11. Juli 2014. Im Balken sehen Sie, wie viele Teilnehmer sich bereits durch den Hacker-Playground begeben haben: