IT-säkerhet enligt HPS

File System Forensic Analysis av Brian Carrier gavs ut 2005 och är en sjukt detaljerad beskrivning av hur filsystem, och relaterade teknologier, fungerar.

Just ordet "forensics" i titeln skulle egentligen kunna sättas inom parentes, det är mer att se som en anledning till att analysera filsystemet överhuvudtaget. FSFA är en alldeles utmärkt referens till volymer, partitioner och filsystem även om man är ointresserad av det forensiska.

Referens är nämligen precis vad det är. Läs boken noggrant, lägg undan den och ta fram den vid behov. Med något så grundläggande som filsystem är det inte svårt hitta behov...

En av de mest informativa böcker jag läst. 350 spänn på Adlibris.

--
Stefan Pettersson

Hacking: The Art of Exploitation av Jon Erickson gavs ut första gången 2003 och blev snabbt en klassiker. Boken handlar inte bara om buffer overflows, format string-attacker och shellcode men det är vad den är bäst på. Erickson lyckas på ett bekvämt sätt sakta bygga upp kunskapen från enkla "Hello world-stack-overflows" till polymorfisk, alfanumerisk shellkod med leverans över TCP-koppel.

Om du har läst Smashing the Stack for Fun and Profit av Aleph1 och gillade den men vill ha mer är det här helt rätt bok.

Den andra utgåvan (med orange framsida, den första hade grön) från 2008 täcker i stort sett samma material, är tjockare, har mindre fokus på format strings men större fokus på vanlig C-programmering. Fokuset är såpass bra att den utan vidare skulle kunna användas som en introduktionsbok i ämnet.

Även om du inte berörs av de "brister" C-språk har i hanteringen av arrayer i minnet i ditt dagliga arbete är det mer eller mindre att anse som allmänbildning. Denna attack är ju trots allt the-worst-of-the-worst på många sätt.

Som Bengt Frithiofsson säger; "det är bara att köpa". 284 spänn på Adlibris.


--
Stefan Pettersson

Cryptography Engineering (CE) är bättre Applied Cryptography i mer eller mindre alla avseenden, för de flesta. Huvudanledningen är att den är praktiskt inriktad vilket är vad de flesta av oss behöver. Den fokuserar mer på hur man ska använda kryptografi snarare än hur det fungerar.

Kryptering som implementeras fel är nästan alltid ett högaktuellt ämne; nyligen presenterades till exempel Padding Oracle-attacken som utnyttjade bristen på autentisering av kryptotext i bl a ASP.NET-cookies. Ännu mer nyligen gick ElcomSoft ut med att de hittat en sårbarhet i BlackBerrys sätt att generera kryptonycklar från lösenord vilket ledde till att bruteforce-attacker blev avsevärt mer effektiva än vad de borde vara.

Oftast är det inte problem i algoritmerna som utnyttjas, det är problem i implementeringen av dem. Det är därför den här boken är viktig.

Två aspekter som jag tycker gör boken särskilt läsvärd är den uppfräschande diskussionen om en adversial setting och orädslan för att tydligt rekommendera vissa algoritmer och tekniker samt motiveringar för detta.

Jag skulle argumentera för att en god orientering inom kryptografi nästan är att betrakta som obligatoriskt om man arbetar med säkerhet eftersom det är en sådan fundamental teknologi i de flesta säkerhetssystem.

Kolla in bokens hemsida eller köp den på t ex Adlibris för 263 spänn.

(Jag är inte sponsrad av Adlibris btw, jag bara köper böcker där...)

--
Stefan Pettersson

UNIX Power Tools (UPT) är en klassisk O'Reilly-bok, det är i princip 1000 sidor med bra idéer och tips på hur man arbetar effektivt i UNIX-liknande system. Jag skulle argumentera ivrigt för att en systemadministratörs skicklighet och kunskap står i stark korrelation med ett systems säkerhet.

Jag gillar särskilt bokens tydliga UNIX-arv, putslustiga texter och mängderna av referenser mellan olika delar.

En viktig sak UPT har till skillnad från andra, liknande böcker är explicita beskrivningar om olika programs tillkortakommanden och vanliga missuppfattningar. Den beskriver till exempel inte bara hur job control ska användas utan att du förmodligen, egentligen menar:

$ (sleep 15; ls) &

när du skriver:

$ sleep 15; ls &

Det ger en känsla att UPT är skriven med erfarenhet och inte bara är omskrivningar av man-sidor (vilket är ganska vanligt för just den här typen av böcker). Att boken är från 2002 ska inte ses som en nackdel, innehållet är (än så länge) ganska tidlöst.

UPT är dessutom en perfekt toalettbok, varje del är precis lagom lång och det går att hoppa in mitt i ett kapitel hur som helst. Tegelstensformatet gör sig dessutom bra på golv. En mer konventionell plats för boken kan väl vara på skrivbordet eftersom gör sig bra som uppslagsverk.

Titta på exempelkapitel hos Google. Den kostar 400 spänn på Adlibris.

--
Stefan Pettersson

Jag köper och läser relativt många böcker – facklitteratur, tyvärr nästan uteslutande – om IT-säkerhet. Jag siktar inte på något särskilt ämne utan väljer ganska fritt det som verkar roligt. Richard "den-sinnessjuke-bokmalen" Bejtlich har listat fem områden (hittar ingen online-referens) där han anser att man bör lägga sin energi. Så här i efterhand ser det ut som att mina böcker hamnar ungefär där:

• Weapons and tactics
• Telecommuncations
• System administration
• Scripting and programming
• Management and policy

I början av min bokkarriär hamnade (föga oväntat) det mesta i första kategorin för att under halvtid sprida sig bredare till alla fem segment och nu på senare tid fått en tyngdpunkt i system administration. Jag får väl se hur det utvecklar sig.

Anywho, efter att ha läst ett gäng bra och ett gäng dåliga böcker tänkte jag dela med mig. Boktipset handlar alltså inte om bokrecensioner utan är bara tips på böcker som jag tycker är riktigt jäkla bra.

--
Stefan Pettersson