Videre læsning om sikkerhed

Denne OSS kan ikke dække alle emner dybt, så her finder du materiale beskrevet inden for forskellige emner som er bedømt som god videre læsning. Hvis du er interesseret i en bog som der endnu ikke er skrevet en beskrivelse af kan du bruge Google og f.eks. Amazon til at finde mere information. Skriv derefter gerne en beskrivelse og send den til OSS forfatteren.

En kilde der ikke skal undervurderes er Rob Slades anmeldelser af rigtigt mange bøger inden for informationsteknologi, blandt andet sikkerhed.

Emnerne forsøges arrangeres i nogenlunde den rækkefølge de bør forstås, og individuelle links forsøges sorteret nogenlunde efter værdi (en gratis og god webside bliver listet før en dyr og fantastisk bog). Målet er slet ikke at nævne middelmådige ressourcer på denne side.

Hvis du vil vide lidt om hvilke bøger der ikke er værd at læse kan du blandt andet kigge på attritions kritik af sikkerhedsliteratur.

Generel sikkerhed

Packet Magazine: A Beginners Guide to Network Security af Cisco Systems [PDF]
Denne udgave af Packet Magazine indeholder en generel introduktion til sikkerhed. Den beskriver de faktiske trusler en organisation bliver udsat for, fra mange sider, uden at blive teknisk. God måde at få CEO til at give penge til sikkerhedspersonale.
Anatomy of a Network Intrusion
Fremragende artikel om sikkerhedstrussler som selv en CEO vil kunne læse og forstå. You may manufacture industrial-strength toilet seats, but be "next door," in Internet terms, to an e-commerce site performing credit-card processing. Or maybe you have great bandwidth or juicy servers, or maybe your domain name just sounds cool. It often doesn't matter what your company is or does, intruders can make use of your network even if it isn't their final target.
DR Principia: Sikkerhed - et spørgsmål om systematik
DR's Principia ser på hvordan patientsikkerhed på hospitaler og luftfartsikkerhed håndteres, og mange af principperne og systematikken kan frit overføres til mange andre former for sikkerhed, inkl. datasikkerhed. Udsendelsen blev sendt den 6. marts 2004 og findes online i RealPlayer format.

Underholding

The Cuckoo's Egg: Tracking a Spy Through the Maze of Computer Espionage af Cliff Stoll
Lettere underholdende og meget popppet bog om hvordan Stoll jagtede nogle kriminelle over nettet. Den beskriver dog korrekt hvor frusterende det kan være at spore digitale indbrudstyve, få tilladelser af ledelsen, sammenarbejde med politistyrker, osv.
Stalking the Wily Hacker af Cliff Stoll
Denne artikel er den tekniske del af "The Cuckoo's Egg", originalt udgivet i 1988. Den beskriver hvordan den kriminelle brød ind i systemet og hvordan han blev sporet.

Sikkerhedspolitik og træning

CSIRT Development [cert.org]
CERT/CC har igennem årene leveret materiale og rådgivning af varierende kvalitet, men eet af deres kvalitetsmoduler er deres dokumentation omkring skabelsen af et Computer Security Incident Response Team, blandet andet fordi der linkes til andre ressourcer omkring samme emne.
Security Improvement [cert.org]
Endnu et kvalitetsmodul på CERT/CCs side er deres security improvement som dels går igennem de trin der ligger bag gode sikkerhedsprocesser, men også giver læseren forståelse for at søge videre information andre steder.
Attack Trees af Bruce Schneier
Attack Trees er en simpel og kraftfuld model til at evaluere sikkerhedsrisiko af mange slags systemer. Schneier beskriver metoden og giver 8 eksempler på attack trees taget fra den rigtige verden. Stærkt anbefalet læsning hvis dit sikkerhedshold skal skifte fra at kaste sig over problemer som de dukker op, til at håndtere risiko på en måde der afspejles af hvad der er vigtigt for organisationen, og hvad der ikke er.
OCTAVE Information Security Risk Evaluation [cert.org]
En dybere model af sikkerhedsanalyse som tager over hvor attack trees ikke længere er egnede, f.eks. analyse af et helt firma.
Model Security Policies [sans.org]
SANS har samlet en masse information om sikkerhedspolitik, inklusive metoder og skabeloner som kan bruges til at håndtere sikkerhedsaspekterne i organisationen.
Writing Information Security Policies af Scott Barman
Lille fiks sag på 208 sider der er lige til at fordøje. Ingen latterlige abstrakte metoder der tager 6 år at forstå. Blot viden der kan bruges.
NSA/CSS INFOSEC af National Security Agency
NSAs samling af dokumenter om mange aspekter af informationssikkerhed.
Defense Security Service
Sikkerhedsretningslinier og råd fra den Amerikanske regering pålagt firmaer der er cleared til at levere tjenester og produkter til top-hemmelige projekter og lignende. Dokumenterne dækker over industrispionage, hvordan seksuel opførsel kan bidrage til afpresning og sikkerhedstrusler, baggrundsefterforskning, counter-intelligence og meget mere.
Computer Security Resource Center af National Institute of Standards and Technology
NISTs Division 893 bærer det primære ansvar for godkendelse af nye krypteringsalgoritmer til den amerikanske regering. Deres site inkludrer ligeledes mange dokumenter om sikkerhedspolitik samt værktøjer til evaluering af egen sikkerhed.

Værtsmaskiner: UNIX og Windows

Deaktivering af tjenester i Windows 2000, Windows XP (RTM & SP1) og Windows XP (SP2) af Thomas G. Madsen
3 fremragende og simple vejledninger til at reducere angrebsfladen på sin PC helt uden brug af personlige firewalls.
Friheden til sikkerhed på internettet
Gratis online bog hos SSLUG der behandler systemsikkerhed med fokus på et Linux system. Der bliver fortsat skrevet på bogen når der er behov for at afdække nye emner.
Practical UNIX and Internet Security, 2nd Edition, af Simson Garfinkel og Gene Spafford
Den absolutte klassiker (fra 1995) om UNIX sikkerhed. Bogen beskriver sikkerhedsmodellen og truslerne mod et UNIX system på en måde der opfordrer til forståelse. Denne forståelse kan senere gøre det let for læseren at bruge de fleste UNIX varianter til kritisk arbejde.
Improving the Security of Your Site by Breaking Into it af Dan Farmer og Wietse Venema
Farmer og Venema forsøgte i denne ældre (1993), og, på det tidspunkt, kontroversielle artikel at få systemadministratorer til at forstå hvordan deres systemer bliver brudt ind i. Man kan ikke beskytte imod noget man ikke forstår.
Strategic Scanning and Assesment of Remote Hosts
Nyere og lang beskrivelse af hvordan man undersøger sikkerheden på et system. Dokumentet er originalt skrevet af Modify fra attrition.org men det vedligeholdes nu af unixgeeks.org.
Black Viper's Operating System Guides
Opsætningsvejledninger til mange forskellige operativsystemer: Red Hat 8, Windows .NET, Windows 2000, Windows ME, Windows XP Home & Professional.
Security Recommendation Guides af National Security Agency
NSA opsætningsvejledninger for Windows NT & 2000, Cisco routere samt behandling af email og eksekverbart indhold.
Microsoft Windows 2000 Security Handbook, af Jeff Schmidt
(Beskrivelse)
Microsoft Windows 2000 Security Technical Reference, af Internet Security Systems, Inc.
(Beskrivelse)
Deaktivering af tjenester i Windows XP af Thomas G. Madsen
Denne vejledning gennemgår på en enkel måde, hvordan man lukker diverse unødvendige tjenester på en standardinstallation af Windows XP, så man får en arbejdsstation, der er svær at angribe fra netværket.

Netværk: Firewalls, IDS og VPN

Firewalls and Internet Security, 2nd edition af William R. Cheswick & Steven M. Bellovin
En rigtigt god grundlægningsbog om firewalls, skrevet af Bellovin og Cheswick. Første udgave af bogen fra 1994 er online i PDF filer på ovenstående website.
Testing a router or firewall
En artikel der beskriver et værktøj og metode at teste både sit firewall regelsæt for opsætningsfejl og software for programmeringsfejl.
Intrusion Signatures & Analysis, Stephen Northcutt et al.
Northcutt er uden tvivl et af de dygtigste individer involveret i SANS. Bogen giver en næsten fuldstændig gennemgang af de forskellige angrebstyper og giver dig viden til at kunne genkende disse baseret på sniffer trafik (tcpdump).
Building Internet Firewalls af Elizabeth D. Zwicky, Simon Cooper, & D. Brent Chapman
(Beskrivelse)

Distribuerede systemer

Security Engineering: A Guide to Building Dependable Distributed Systems af Ross Andersen
Fremragende bog om de mange aspekter i at bygge et sikkert system. Anderson nævner alt fra protokoller, adgangskontrol, kryptografi, hardware design, banksystemer, overvågningssystemer og meget andet. Læs bogen grundigt og ofte, da den tegner et korrekt billede af de mange måder alle former for systemer kan fejle på.

Softwareudvikling og kodekvalitet

Writing Secure Code, 2nd edition af Michael Howard og David LeBlanc.
Selvom det i lang tid ikke har været tydeligt i deres produkter, er der faktisk folk hos Microsoft der ved alt om at udvikle sikkert software. To af dem er Howard og LeBlanc, og i Writing Secure Code deler de ud af gode råd, både om metoder og API specifikt til Windows, men også hvordan man benytter threat models til at udpege de områder af en applikation som kan angribes, og derfor fortjener mest opmærksomhed under udviklingen.
Threat Modeling af Frank Swiderski og Window Snyder
FIXME: beskrivelse (efter jeg har læst bogen)
Secure Programming for Linux and UNIX af David Wheeler
Bemærkelsesværdig online bog om sikker kodning i mange sprog. Bogen bliver regelmæssigt opdateret og David skriver på secprog@securityfocus.
Safer C: Developing for High-Integrity and Safety-Critical Systems af Les Hatton
Safer C er ikke et nyt sprog, men en bog om at bruge C korrekt. Hatton beskriver mange gode metoder og værktøjer til at gennemtvinge software kvalitet i miljøer hvor software fejl ikke er acceptable. Disse metoder inkluderer at forbyde brug af usikre og ofte misbrugte dele af C sproget. Hattons erfaringer med udvikling af software til kritisk drift kan føres over til næsten ethvert sprog.
Expert C Programming: Deep C Secrets af Peter van der Linden
På trods af den lidt poppede og lettere suspekte titel er Expert C Programming simpelthen en guldgrube for C programmører. Peter van der Linden skriver underholdende og teknisk korrekt. Han var i 10 år ansvarlig for Suns C compiler udvikling og giver læseren en forståelse af hvordan man finder og undgår fejl i sin kode.
Securityfocus' secure programming mailingliste
Meget lav mængde trafik. Høj signal, lav noise.
Solid Software af Les Hatton, Shari Lawerence Pfleeger & Charles C. Howell
Solid Software benytter utallige eksempler fra den virkelige verden til at beskrive brugbare metoder der giver kritisk software af bedre kvalitet.
Software Inspection af Tom Gilb, Dorothy Graham, Susannah Finzi
(Beskrivelse)
Building Secure Software: How to Avoid Security Problems the Right Way af John Viega og Gary McGraw
Viega og McGraw mener, at sikkerhed handler om risikostyring. Det siges, at den eneste sikre computer er slukket computer uden harddisk og muret inde i cement. Uheldigvis er en sådan sikker computer ikke særlig anvendelig, så vi accepterer visse risici til gengæld for de fordele, som vi har ved at sætte computeren i et netværk. Derfor handler sikkerhed om at afveje risici mod fordele samt om at træffe beslutninger baseret på et sikkerhedsniveau, der er økonomisk acceptabelt. Sikkerhed er en afvejning mellem sikkerhed og anvendelighed. Denne afvejning kræver imidlertid ekspertviden omrking forskellige former for angreb mod vores data, hvis vi skal afveje fordele og ulemper ved sikkerhed, og om hvordan man skriver sikker software. Alt dette og mere i denne fremragende bog. Du skal have denne bog.

Kryptografi

Encryption and Security Tutorial af Peter Gutmann
Enorm (704 sider) sikkerhedsgennemgang som taler om: security threats and requirements, services and mechanisms, historical ciphers, assorted block, stream, and public-key ciphers, hash functions, and signature algorithms, key management, key distribution, the certification process, certification heirarchies, LDAP, certificate revocation, X.509 certificate structure and extensions, certificate profiles, setting up and running a CA, RA's, PGP certificates, SPKI, digital signature legislation, IPSEC, SKIP, SSL, SGC, TLS, S-HTTP, SSH, SNMP security, DNSSEC, email security mechanisms, PEM, PGP, MOSS, PGP/MIME, S/MIME and CMS, MSP, user authentiction, Unix password encryption, LANMAN, NT, and Netware 3.x and 4.x authentication, Kerberos 4 and 5, Kerberos-like systems (KryptoKnight, SESAME, DCE), authentication tokens, SecurID, S/Key, OPIE, PPP PAP/CHAP, PAP variants (SPAP, ARAP, MSCHAP), RADIUS, TACACS/XTACACS/TACACS+, biometrics, PAM, electronic payment mechanisms, (Netcash, Cybercash, book entry systems in general), Digicash, e-cheques, SET, why security is hard to get right, TEMPEST, snake oil crypto, selling security, smart cards, electronic purse standards, PKCS #11, PC/SC, JavaCard/OCF, iButtons, contactless cards, attacks on smart cards, voice encryption, GSM security and how to break it, traffic analysis, anonymity, mixes, onion routing, mixmaster, crowds, steganography, watermarking, crypto politics, digital telephony, Clipper, Fortezza and Skipjack, US export controls, effects of export controls, legal challenges, French and Russian controls, non-US controls (Wassenaar), Menwith Hill, Echelon, blind signal demodulation, Echelon and export controls, Cloud Cover, UK DTI proposals, and various GAK issues.
Applied Cryptography af Bruce Schneier
En af de klassiske introduktionsbøger om kryptografi -- som forfatteren af denne OSS i øvrigt aldrig har læst. Bogen skulle være fremragende trods dens alder og findes i 2nd edition som er opdateret i 1996.
Modelling and Analysis of Cryptographic Protocols af Peter Ryan & Steve Schneider
Denne bog dækker mange metoder og værktøjer som hjælper med at designe og analysere kryptografiske protokoller, og bogen virker ganske udemærket. Se evt. også "Security Engineering" nævnt tidligere.
Introduction to Cryptography af Johannes Buchmann
Beregnet primært på studenter af matematik, "Introduction to Cryptography" er en kort og fornuftig introduktion til krypteringsviden.
The Codebook af Simon Singh
Historisk gennemgang af kryptografi op gennem tiden, igennem middelalderen, første og anden verdenskrig op til racerløbet mellem kvantekryptering og kvantecomputeren. Bogen er samtidigt en konkurrence, hvert kapitel er fulgt af opgaver, der reflekterer kryptografien beskrevet i kapitlet. Helt fra simple substitutionsopgaver op til moderene offentlig-nøgle kryptering.
Handbook of Applied Cryptography af Alfred J. Menezes, Paul C. van Oorschot og Scott A. Vanstone.
(beskrivelse)
Secrets and Lies: Digital Security in a Networked World af Bruce Schneier.
Fremragende bog om sikkerhed, forfatteren skriver om trusler, teknologi og strategi på en ikke-teknisk måde, også forstålig for chefer og ledere. Hovedsynspunktet er, at kryptering ikke kan gøre det alene. Sikkerhed handler om at gøre systemer svært tilgængelige med sikkerhedforanstaltninger i flere lag, om forebyggelse, overvågning, og om rettidig indgriben.
Cryptography Theory and Practice af Douglas R. Stinsons
(Beskrivelse)
Kryptologi af Peter Landrock og Knud Nissen
Lærebog om matematikken bag kryptografi. Bogen beskriver blandt andet RSA.

Incident response & computer forensics

Basic Steps in Forensics Analysis of Unix Systems af Dave Dittrich.
(Beskrivelse)
Forensic Challenge af the Honeynet Project
Her gives muligheden for at undersøge data fra rigtige indbrud. Konkurrencerne er ikke aktive i øjeblikket men gamle data og rapporter tilgængelige kan hjælpe dig til at blive en bedre kriminal detektiv.
Securityfocus' forensics mailingliste
Meget lidt trafik og adskillige rigtigt dygtige skribenter om mange aspekter af computer forensics. Over 90% signal, ~10% noise.
Intrusion Detection FAQ [sans.org]
(Beskrivelse)
Detecting Stepping Stones
(Beskrivelse)
Detecting Backdoors
(Beskrivelse)
Zero's Forensic Site
(Beskrivelse)
Incident Handling [sans.org]
(Beskrivelse)
Incident Forum [securityfocus.com]
(Beskrivelse)
Computer Forensics af Warren Kruse III og Jay G. Heiser
(Beskrivelse)
Handbook of Computer Crime Investigation: Forensic Tools & Technology af Eoghan Casey
(Beskrivelse
Cyber Forensics: A Field Manual for Collecting, Examining, and Preserving Evidence of Computer Crimes af Albert J. Marcella Jr (Editor), Robert S. Greenfield.
(Beskrivelse)
Incident Response: Investigating Computer Crime af Chris Prosise og Kevin Mandia
(Beskrivelse)

Forskelligt

Phrack Magazine
Phrack er det mest mainstream-agtige af undergrundsbladene og et af de ældste. De har alle numre online som indeholder mange gode artikler om alt fra forskellige sikkerhedsfejl, Linux og BSD kernelændringer, programmeringstips til sikker Perl kode og meget mere.
Blackhat
Blackhat er en sikkerhedskonference der bliver holdt adskillige gange om året forskellige steder i verdenen. De har lyd og video filer online af de fleste foredrag, og man kan købe ditto på CD hvis man har lyst til det. Nogle af branchens dygtigste folk har deltaget i Blackhats konferencer.