Montag, 1. März 2010


Topthema

Donnerstag, 25. Dezember 2008 | Topthema

About Security: Nützliche Cheat Sheets, interessante Blogs

(Link zum Artikel: http://www.entwickler.de/entwicklerde/kolumnen/046640)

Bereits im Weihnachts-Special 2006 gab es an dieser Stelle eine Vielzahl von Literaturtips aus dem Bereich "Sicherheit" und verwandten Themengebieten. Während der Schwerpunkt damals auf eBooks und Artikeln lag, gibt es dieses Jahr Hinweise auf nützliche Cheat Sheets und interessante Blogs. Die Auswahl ist dabei relativ willkürlich zusammengestellt und erhebt natürlich keinerlei Anspruch auf Vollständigkeit. Ich hoffe, es ist für jeden Leser etwas Interessantes dabei!

Cheat Sheets

Eine Reihe von Cheat Sheets gibt es bei PacketLife. Das Angebot reicht von Protokollen wie z.B. BGP (PDF), IEEE 802.1X (PDF) und IPsec (PDF) über Anwendungen (tcpdump (PDF) und Wireshark Display-Filter (PDF)) und allgemeine Referenzen (Common Ports (PDF), IP Access Lists (PDF) und Subnetting (PDF)) zu Syntax (z.B. MediaWiki (PDF)), Technologien (z.B. VLANs (PDF)) zu CISO IOS-Versionen (PDF) und Steckerformaten (PDF).

Lenny Zeltser hat ebenfalls eine Reihe von Cheat Sheets erstellt. Zum Beispiel das Reverse-Engineering Cheat Sheet, das Security Incident Survey Cheat Sheet for Server Administrators und das Network DDoS Incident Response Cheat Sheet.

Keine Cheat Sheets, dafür illustrierte Einführungen in verschiedene Themen, gibt es von Steve Friedl im Rahmen seiner Tech Tips: Zum Beispiel den schon etwas älteren Illustrated Guide to IPsec, den Illustrated Guide to SSH Agent Forwarding und sehr aktuell den Illustrated Guide to the Kaminsky DNS Vulnerability mit einer Beschreibung der von Dan Kaminsky entdeckten Schwachstelle im DNS.

Einige weitere Cheat Sheets, bunt gemischt, aber immer mit Sicherheitsbezug: Im schon etwas älteren Cheat Sheet: Web Application Security Frame geht es um mögliche Gefahren für Webanwendungen, die bei der Entwicklung berücksichtigt werden sollten. Im Cheat Sheet – patterns & practices Security Engineering geht es um Sicherheitsaspekte während des Entwicklungsprozesses: Im welchem Stadium sind welche sicherheitsrelevanten Punkte zu beachten? Das Web Application Testing Cheatsheet fasst alle notwendigen Schritte für einen Penetration Test zusammen. Jede Menge Hinweise zum Ausnutzen entsprechender Schwachstellen enthalten das altbekannte XSS (Cross Site Scripting) Cheat Sheet, das vor allem auch das Umgehen vorhandener Filterfunktionen zum Ziel hat, das SQL Injection Cheat Sheet und das SQL Injection Tutorial (speziell für MySQL).

Frisch aus dem Blog

Besonders aktuelle Informationen erhält man bekanntlich aus Blogs. Zum Beispiel denen der Hersteller von Virenscannern und anderen Schutzprogrammen. Die kommen zwangsläufig sehr Frühzeitig mit allen neuen Schädlingen, den davon verwendeten Angriffstaktiken und den ausgenutzten Schwachstellen in Berührung. Eine unvollständige Aufzählung: Das F-Secure Weblog, das McAfee Avert Labs Blog, Symantecs 'Security Response Blogs' (heißt wirklich so, obwohl es nur ein Blog ist) und die Symantec Technology Network Expert Blogs (das sind tatsächlich mehrere), das SophosLabs Blog, Trend Micros TrendLabs Malware Blog, das Blog von AVG, das Websense Security Labs Blog, und rein Windows-bezogen das Threat Research & Response Blog des Microsoft Malware Protection Center.

About Security: Die komplette Serie

Persönliche Blog haben meist auf Grund der Interessen der jeweiligen Blogger bestimmte Schwerpunkte. Stefan Esser nennt sein Blog Suspekt... A Blog About Code, Information Security, PHP And More, womit auch schon klar ist, um was es geht. Die Sicherheit von Oracle-Datenbanken ist das Thema der Blogs von David Litchfield und Red-Database-Security (Alexander Kornbrust). Bei Jeremy Brown geht es im wesentlichem und die Suche nach Schwachstellen, vor allem durch Fuzzing. Im ThreatExpert Blog dreht sich alles um die Analyse von Schädlingen und im Metasploit Blog natürlich um das Metasploit-Framework. Security Fix heißt Brian Krebs Blog über Computer Security bei der Washington Post, in dem er über alle möglichen Bereiche der IT-Sicherheit berichtet. Bruce Schneier, allgemein als Kryptographie-Fachmann bekannt, berichtet in seinem Blog Schneier on Security auch über allgemeine Themen mit Sicherheitsbezug. Auch im Handler's Diary des Internet Storm Center (ISC), im Blog von Jeremiah Grossman und im gemeinsamen Blog von Ryan Naraine, Dancho Danchev und Adam O'Donnell, Zero Day, werden alle Bereiche der IT-Sicherheit berücksichtigt. In den Blogs von GNUCITIZEN, ha.ckers.org und Russ McRee liegt der Schwerpunkt auf der Sicherheit von Webbrowsern bzw. -anwendungen, und Dancho Danchev blogt vor allem über Angriffe aller Art: Egal ob manipulierte Websites oder laufende Spam-Kampagnen, bei ihm gibt es fast immer Hintergrundinformationen. Luigi Auriemma blogt nicht, ist aber sehr aktiv bei der Suche nach und Veröffentlichung von Schwachstellen im Spielen und Spiele-Engines.

Soviel zu Cheat Sheets und Blogs. In der nächsten Folge geht es weiter um die Schwachstellen-Suche in Webanwendungen, es wird das Einschleusen von Schadcode in Skriptsprachen und die Suche danach beschrieben.

Ich wünsche allen Lesern ein frohes Weihnachtsfest und ein erfolgreiches neues Jahr!

Wenn Sie Fragen oder Themenvorschläge haben, können Sie diese gerne an die angegebene E-Mail-Adresse senden oder im Security-Forum einbringen!

Carsten Eilers

Kommentare

Folgende Links könnten Sie auch interessieren