Montag, 1. März 2010


Topthema

Donnerstag, 28. Dezember 2006 | Topthema

About Security: Lesestoff für lange Winterabende...

(Link zum Artikel: http://www.entwickler.de/php/kolumnen/033377)

Schlechtes Wetter, lange Abende - da bietet es sich doch an, ein bisschen zu lesen. Hier gibt es ein paar Literaturtipps aus dem Bereich "Sicherheit" und verwandten Themengebieten. Ich hoffe, für jeden ist etwas dabei.

Sicherheit allgemein
Ross Andersons Buch "Security Engineering - A Guide to Building Dependable Distributed Systems" ist seit Ende August frei im Netz erhältlich. Das Buch ist sehr gut und verständlich geschrieben (Englischkenntnisse vorausgesetzt) und deckt so ziemlich jedes Thema rund um die IT-Sicherheit ab, z.B. Protokolle, Kryptographie, Zugriffskontrolle, Überwachungssysteme, Biometrie und vieles mehr. Ross Anderson verweist auch auf das ebenfalls online erhältliche Buch "Information Theory, Inference, and Learning Algorithms" von David MacKay. Auch dieses Buch ist einen Blick wert. Wer allerdings etwas gegen Mathematik hat, wird nicht sehr weit kommen.

Wer lieber einen deutschen Text lesen möchte: Das Buch "Datenschutz und Datensicherheit" (PDF) von Klaus Pommerening ist zwar schon etwas älter, aber trotzdem immer noch lesenswert.

Aktueller ist das Skript "Sicherheit in Netzen" der 'Netzmafiosi' Jürgen Plate und Jörg Holzmann.

Kryptographie
Einen guten Überblick über Kryptographie liefert "An Overview of Cryptography" von Gary C. Kessler.

Ein klassisches Kryptographie-Buch ist bereits seit einigen Jahren im Netz erhältlich: Das "Handbook of Applied Cryptography" von Alfred J. Menezes, Paul C. van Oorschot und Scott A. Vanstone.

N E U ! Security aktuell
Täglich aktuelle Security-Infos!

Eine Sammlung von Paper gibt es z.B. von Bruce Schneier: "Index of Cryptography Papers Available Online". Auch eine Übersicht der Paper der Konferenzen CRYPTO, EUROCRYPT und CHES gibt es online: "Conference Papers".

Wer sich mit Kryptographie beschäftigt, kommt um Zahlentheorie kaum herum. Auch dazu gibt es ein Buch online: "A Computational Introduction to Number Theory and Algebra" von Victor Shoup liefert eine Einführung in Zahlentheorie und Algebra. Nichts für Mathematik-Hasser, ansonsten aber lesenswert.

Netzwerk
Quasi noch druckfrisch ist das IBM Redbook "TCP/IP Tutorial and Technical Overview", das am 19. Dezember 2006 erschienen ist. Rund 1000 Seiten rund um TCP/IP sollten keine Frage offen lassen.

Schon etwas älter, aber immer noch lesenswert, ist die erste Ausgabe des Buchs "Firewalls and Internet Security: Repelling the Wily Hacker" von William R. Cheswick und Steven M. Bellovin.

Einen schnellen Überblick über verschiedene Themen bieten Steve Friedls Tech Tips, z.B.

HTTP hat zwar eigentlich nicht direkt etwas mit Sicherheit zu tun, aber der "Illustrated Guide to HTTP" von Paul S. Hethmon ist aus einem anderen Grund interessant: Hier wird das HTTP-Protokoll am Beispiel der Entwicklung eines Webservers (in C++, für Windows) beschrieben.

Programmierung
Sicherheit und Java sind das Thema von "Securing Java" von Gary McGraw und Edward W. Felten.

Auch sehr empfehlenswert ist das "Secure Programming for Linux and Unix HOWTO" von David A. Wheeler.

Linux
Eine gute Quelle für Informationen rund um die Sicherheit von Linux ist "Linux Security" von Kurt Seifried.

About Security: Die komplette Serie

Wenig zum Thema passt eigentlich das "Debian GNU/Linux Anwenderhandbuch". Dass es trotzdem hier erscheint hat zwei Gründe: Es hat auch einen Sicherheitsteil (klingt nach fauler Ausrede, oder?) und Knoppix (s.u.) basiert auf Debian.

Neue Entwicklungen
Rootkits können sich auch in PCI-Karten verstecken: "Implementing and Detecting a PCI Rootkit" (PDF) von John Heasman von NGS Software beschäftigt sich mit dem Problem.

Software
Weniger zum Lesen, dafür mehr zum Experimentieren geeignet, sind die folgenden Vorschläge:

Die "BSI OSS Security Suite" BOSS des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist eine im Wesentlichen auf dem Schwachstellen-Scanner Nessus aufbauende, um eine einheitliche Oberfläche erweiterte Linux-Live-CD zur Schwachstellensuche.

Sowohl für erste Experimente mit Linux als auch als sicheres Surf- oder Prüfsystem bietet sich die wohl allgemein bekannte Linux-Live-CD KNOPPIX an. Als erste Lektüre dazu bietet sich "Knoppix kompakt", die aktualisierte deutsche Übersetzung des Knoppix-Tutorials "Knowing Knoppix", an.

Der auf Knoppix basierende "Inside Security Rescue Toolkit" (INSERT), bietet ähnliche Funktionen wie BOSS und passt notfalls auf eine scheckkartengrosse Mini-CD.

Was passiert, wenn man eine große Sammlung an Sicherheitstools auf eine Knoppix-CD packt? Man erhält Knoppix-STD, die "security tools distribution". Im Gegensatz zur grafischen Oberfläche der BOSS-CD läuft hier aber fast alles auf der Kommandozeile ab. Zum Üben ist diese Distribution daher weniger geeignet, Linux-Grundkenntnisse sollte man doch besser mit einer normalen Linux-Distribution oder Knoppix erwerben.

Die "Honeywall CDROM" zum Aufbau eines Honeynet hatte ich ja bereits in About Security #50 erwähnt.

Soviel zum Thema 'Literaturtipps'. Die nächste reguläre Folge von "About Security" wird von den Vor- und Nachteilen sowie der Sicherheit des Single Sign-On handeln.

Ich wünsche allen Lesern ein erfolgreiches neues Jahr!

Wenn Sie Fragen oder Themenvorschläge haben, können Sie diese gerne an die angegebene E-Mail-Adresse senden oder im Security-Forum einbringen!

Carsten Eilers

Kommentare

Folgende Links könnten Sie auch interessieren