Mitternachtshacking

Lesenswertes Online-Material zum Thema IT-Security gibt es wie Sand am Meer. Diese Seite soll ein wenig Struktur in die Vielfalt der Angebote bringen und meiner Ansicht nach lesenswerte Bücher zu verschiedenen Themengebieten auflisten.

SANS Reading Room

Das SANS Reading Room enthält eine Vielzahl von Whitepapers, Dokumenten und Anleitungen zu allen möglichen Themen aus der IT-Sicherheit. Besonders hervorzuheben sind:

• VoIP Security Vulnerabilities, David Persky, 2007, 125 Seiten

NIST CSRC Special Publications

Das Computer Security Resource Center des NIST veröffentlicht als Special Publication (800 Series) ebenfalls eine Reihe von Empfehlungen  zur Informationssicherheit, die in den USA für viele Organisationen ähnlich wichtig sind wie in Deutschland die Empfehlungen des BSI. Ein paar Beispiele:

• Creating a Patch and Vulnerability Management Program (PDF)
• Guidelines on Firewalls and Firewall Policy (PDF)
• Building an Information Technology Security Awareness and Training Program (PDF)
• Security Considerations for Voice Over IP Systems (PDF)
• Guide to Malware Incident Prevention and Handling (PDF)
• Guidelines for Securing Radio Frequency Identification (RFID) Systems (PDF)
• Guide to General Server Security (PDF)
• Guidelines on Cell Phone and PDA Security (PDF)

NSA Security Configuration Guidelines

Die National Security Agency hört nicht nur fleissig unbescholtene Bürger ab, ab and an kommt sogar etwas sinnvolles aus Fort Meade. Dazu gehört beispielsweise die Linux Kernelerweiterung Selinux aber auch eine Vielzahl von Empfehlungen zur sicheren Konfiguration und zum sicheren Betrieb diverser Computersysteme, die unter der Überschrift Security Configuration Guides zusammengefaßt sind. Einige Beispiele:

• Cisco IOS Switch Security Configuration Guide (PDF)
• Firewall Design Considerations for IPv6 (PDF)

Was ich ja vermisse ist ein Guide „Abhörsicher verschlüsselte anonyme Kommunikation im Internet“. Aber das werden wir von der NSA vermutlich auch nie zu sehen bekommen.

Galileo Openbook Projekt

Eine weitere bekannte Sammlung allerdings weniger zur IT-Sicherheit sondern zu verschiedenen Programmiersprachen enthält das Openbook Projekt des Galileo Computing Verlags. Darunter Bücher wie

• Python – Das umfassende Handbuch, Peter Kaiser, Johannes Ernesti, 819 Seiten
• IT-Handbuch für Fachinformatiker, Sascha Kersken, 1014 Seiten

O’Reilly Open Book (dt. und engl.)

Als internationaler Verlag fällt vor allem O’Reilly auf, die ebenfalls eine Reihe von Büchern als Openbook zum Download anbieten. Sehr spannend finde ich, daß auf der amerikanischen Seite auch viele Bücher stehen, die inzwischen out-of-print sind, d.h. gedruckt gar nicht mehr erhältlich sind. Besonders erfreulich, es gibt nicht nur eine englische Seite: O’Reilly Open Books (englisch), eine Reihe von deutschen bzw. übersetzten Büchern wird auf der deutschen Seite: O’Reilly Open Books (deutsch) ebenfalls angeboten.

Für mich sind von O’Reilly insbesondere diese hier von Interesse:

• Praxiswissen Ruby on Rails
• Samba

Jetzt noch ein oder zwei Perl OpenBooks und ich wäre zufrieden.

Sichere Programmierung

David Wheeler hat 2003 ein Howto zum sicheren Programmieren zusammengestellt, das immer noch viele brauchbare Ideen enthält:

• Secure Programming for Linux and Unix HOWTO, David A. Wheeler, 2003, 168 Seiten

Web Application Security

Es gibt von OWASP eine Handvoll Bücher zu Webapplication Security. Der komplette OWASP Katalog ist hier zu finden:

• OWASP’s Storefront im Lulu Eigenverlag

Kryptographie

Kryptographie ist ein umfassendes Thema, hier gibt es sogar mehrere lesenswerte Online-Publikationen:

• Handbook of Applied Cryptography, Alfred J. Menezes, Paul C. van Oorschot, Scott A. Vanstone, 2001
• Godzilla Crypto Tutorial, Peter Gutmann, 967 Folien

Wireless LAN

• CWAP Certified Wireless LAN Analysis Professional Offical Study Guide, Planet3 Wireless, 2004

Rechtsthemen

• Internet-Recht (PDF, 3,2 MB), das fast 600 Seiten umfangreiche Skript von Prof. Dr. Thomas Hoeren zu Rechtsthemen im Internet liegt in einer neuen Fassung vom März 2008 vor. Ältere Versionen sind ebenfalls noch zu finden.
• Urheberrecht, Dossier der Bundeszentrale für politische Bildung
• Bitkom Leitfaden Hackertools (PDF, 523 KB), Lutz Neugebauer (Red.), 16 Seiten
• EICAR IT-Sicherheit und §2o2c (PDF, 225 KB) von Dennis Jlussi, 14 Seiten

Weitere Hinweise und Vorschläge nehme ich gerne mit auf.