Das Linux-Magazin stellt ein Buch zum Pentesting-Framework Metasploit vor. Das zweite Werk erklärt die Entwicklung massiv-paralleler und fehlertoleranter Systeme in der Sprache Erlang.

Es ist eine Kunst, ein Fachbuch zu schreiben, das sich für einen breiten Anwenderkreis genauso eignet wie für Fortgeschrittene. Michael Messner scheint solch ein Künstler zu sein, zumindest bei seinem 500-seitigen Buch zum Exploit-Toolkit Metasploit.

Keine alten Kamellen

Nach einer Einführung in das Framework Metasploit 3, die sich nicht über unnötig viele Seiten zieht, macht dieser Titel die einzelnen Phasen beim Aufspüren und Ausnutzen von Sicherheitslücken verständlich. Wer schon Pentesting-Vorführungen besucht hat, der weiß, dass dort häufig die gleichen alten Kamellen demonstriert werden – etwa der Netbios-Exploit auf uralte ungepatchte Windows-XP-Versionen ohne Firewall.

Nicht so in diesem Buch. Es stellt ein breites Spektrum an Exploits vor: Von den üblichen Client-Side-Angriffen bis hin zu speziellen Techniken für Webapplikationen oder Datenbanken bietet es gelungene Demonstrationen.

Daneben beschreibt Messner auch automatisierte Angriffe mit dem Modul Autopwn, die dem Administrator wertvolle Informationen für Vulnerability Scans mit dem vom Bundesamt für die Sicherheit in der Informationstechnik empfohlenen Openvas liefern. Zwar fehlt es diesen Beispielen etwas an Aktualität, das liegt aber vor allem an der unruhigen Autopwn-Entwicklung mit vielen Wechseln der unterstützten Datenbanken wie PostgreSQL, MySQL und SQLite.

Besonders herauszuheben sind die Spezialthemen am Ende dieses Buches. Das Social Engineering Toolkit etwa stellt eine Bereicherung für den Leser dar, der sich bisher ausschließlich mit den am häufigsten eingesetzten Programmen wie »msfconsole« beschäftigt hat. Die Kapitel “Vom Fuzzing zum 0day” sowie zu Metasploit Express und Metasploit Pro liefern Erkenntnisse für Administratoren, die für den IT-Sicherheitsprozess ihrer Unternehmen verantwortlich sind. Eine gelungene Einführung, die auch für Leser mit Vorkenntnissen interessant ist.

Erlang für Profis

In seinem deutschsprachigen Buch “Erlang/OTP” stellt Pavlo Baron die Programmiersprache Erlang als Plattform für massiv-parallele und fehlertolerante Systeme vor. Das Werk besteht aus drei Teilen. Zuerst lernt der Leser die Einsatzbereiche für Erlang kennen: Extremserver, verteilte Systeme, Ereignissteuerung und optimale Ressourcenausnutzung. Darauf folgt ein kompaktes Kapitel zur Syntax der Sprache.

Im mittleren Teil des Werkes beschreibt Pavlo Baron, wie viele Prozesse in Erlang parallel laufen können, wie das Aktor-Modell in Erlang implementiert ist und wie Kommunikation über entfernte Knoten funktioniert. Außerdem behandelt er, wie der Programmierer verteilte Hash-Tabellen ausfallsicher macht und wie er Erlang an Webservices anbindet.

Der letzte Teil des Buches widmet sich dem Einsatz von Erlang. Hier geht es zunächst um die Open Telecom Platform (OTP), die Open-Source-Ausgabe der ursprünglich von der schwedischen Telekommunikationsfirma Ericsson entwickelten Sprache.

Zum Schluss präsentiert Baron das Handwerkszeug für professionelle Software-Entwicklung in Erlang. Dieses Ökosystem umfasst unter anderem die Punkte Code-Organisation mit Includes und Modulen, die verschiedenen Möglichkeiten, Erlang-Code auszuführen, das automatische Testen mit Unit-Tests sowie Debuggen und Dokumentieren mit den spracheigenen Werkzeugen Dbg und Edoc.

Der Autor pflegt einen lockeren Schreibstil und lenkt die Aufmerksamkeit des Lesers auf das Wesentliche: Erlang als ideale Plattform zum Programmieren von massiv-parallelen und fehlertoleranten Systemen. Von der großen Erfahrung Barons profitiert den Leser ungemein. Darüber hinaus bieten die vielen Codelistings, die online zur Verfügung stehen, eine hervorragende Gelegenheit für den Leser, die Theorie mit Leben zu füllen. Oft handelt es sich um Beispiele für den leichtgewichtigen Nachrichtenaustausch zwischen Aktoren in Erlang.

Wer die erforderlichen Grundkenntnisse über Erlang und die funktionale Programmierung mitbringt, für den ist dieses Buch eine große Hilfe beim professionellen Einsatz von Erlang.