IT-säkerhet enligt HPS

UNIX Power Tools (UPT) är en klassisk O'Reilly-bok, det är i princip 1000 sidor med bra idéer och tips på hur man arbetar effektivt i UNIX-liknande system. Jag skulle argumentera ivrigt för att en systemadministratörs skicklighet och kunskap står i stark korrelation med ett systems säkerhet.

Jag gillar särskilt bokens tydliga UNIX-arv, putslustiga texter och mängderna av referenser mellan olika delar.

En viktig sak UPT har till skillnad från andra, liknande böcker är explicita beskrivningar om olika programs tillkortakommanden och vanliga missuppfattningar. Den beskriver till exempel inte bara hur job control ska användas utan att du förmodligen, egentligen menar:

$ (sleep 15; ls) &

när du skriver:

$ sleep 15; ls &

Det ger en känsla att UPT är skriven med erfarenhet och inte bara är omskrivningar av man-sidor (vilket är ganska vanligt för just den här typen av böcker). Att boken är från 2002 ska inte ses som en nackdel, innehållet är (än så länge) ganska tidlöst.

UPT är dessutom en perfekt toalettbok, varje del är precis lagom lång och det går att hoppa in mitt i ett kapitel hur som helst. Tegelstensformatet gör sig dessutom bra på golv. En mer konventionell plats för boken kan väl vara på skrivbordet eftersom gör sig bra som uppslagsverk.

Titta på exempelkapitel hos Google. Den kostar 400 spänn på Adlibris.

--
Stefan Pettersson

Jag köper och läser relativt många böcker – facklitteratur, tyvärr nästan uteslutande – om IT-säkerhet. Jag siktar inte på något särskilt ämne utan väljer ganska fritt det som verkar roligt. Richard "den-sinnessjuke-bokmalen" Bejtlich har listat fem områden (hittar ingen online-referens) där han anser att man bör lägga sin energi. Så här i efterhand ser det ut som att mina böcker hamnar ungefär där:

• Weapons and tactics
• Telecommuncations
• System administration
• Scripting and programming
• Management and policy

I början av min bokkarriär hamnade (föga oväntat) det mesta i första kategorin för att under halvtid sprida sig bredare till alla fem segment och nu på senare tid fått en tyngdpunkt i system administration. Jag får väl se hur det utvecklar sig.

Anywho, efter att ha läst ett gäng bra och ett gäng dåliga böcker tänkte jag dela med mig. Boktipset handlar alltså inte om bokrecensioner utan är bara tips på böcker som jag tycker är riktigt jäkla bra.

--
Stefan Pettersson

Ett företag ska utveckla ett system som erbjuder en tjänst till sina kunder. Tjänsten är att en kund ska kunna lagra sina känsliga data i systemet utan att någon annan än kunden själv kommer åt den. Inte ens företaget som tillhandahåller tjänsten ska komma åt det. Här handlar det inte om att göra det krångligt eller bökigt för företaget att läsa kundens data -- det ska vara omöjligt.

"Kryptering! Kunden har nyckeln och företaget bara krypterade data!", tänker du säkert.

...det finns dock ett problem, gränssnittet mot kunden måste vara via en webbläsare (föga oväntat) och någon separat klient (eller Java-applet) duger inte. För att kunna dekryptera data måste alltså antingen (1) användaren skicka nyckeln till servern så att denna kan dekryptera och sedan skicka det till användaren eller (2) dekrypteringen skötas på klientsidan med till exempel Javascript.

I både (1) och (2) kan systemadministratören komma åt kundens data. I första fallet handlar det helt enkelt om att plocka det mellan att det hämtas och dekrypteras från databasen och att det skickas till krypteringsalgoritmen i TLS. (Det kanske räcker med att sätta DEBUGLEVEL=9 i applikationsservern.) I det andra fallet kan systemadministratören manipulera den (Javscript-)kod som användaren ska använda för att läsa sina data.

Om man ska designa ett system där man inte vill behöva lita på sin systemadministratör (p g a outsourcing till exempel) så har man svåra problem att lösa. Vojne, vojne...

--
Stefan Pettersson

Vi är ute efter slipade, säkerhetsintresserade konsulter. Kolla in annonsen på Monster.

--
Stefan Pettersson