Mitternachtshacking

“Sie haben nicht das Recht, ein Buch laut vorzulesen”, erklärt der Chef der US-Autorenvereinigung Authors Guild, Paul Aiken, gegenüber dem Wall Street Journal. Dafür ist nach Ansicht der Autoren der Erwerb gesonderter Verwertungsrechte nötig.

(via Heise)

schreibt Spiegel Online übrigens völlig zu recht.

Wann tritt dieser unsägliche Schwätzer Schaar eigentlich endlich zurück?

Das SANS Institute hat unter dem Stichwort SANS Software Security Institute eine Reihe von Ressourcen zur sicheren Programmentwicklung zusammengestellt. Dazu gehören einerseits allgemeine Daten wie die häufigsten Programmierfehler (PDF):

• Error 1. Accepting input from users without validating and sanitizing the input
  • remote file include,
  • remote command execution, and
  • SQL injection
  • cross site scripting (XSS)
• Error 2. Allowing data placed in buffers to exceed the length of the buffer
• Error 3. Handling Integers Incorrectly

Das scheint mir jetzt nichts neues zu sein. Andererseits gibt es darüber auch die Möglichkeit, kostenlose Tests zur sicheren Programmierung der GIAC durchzuführen. Aktuell sind C und Java Tests online.

Es lohnt sich meiner Meinung nach, da kurz reinzuschauen.

or: How I Learned to Stop Worrying and Love the Bomb

Der komplette sehr sehenswerte Film (und viele andere) findet man bei Classic Cinema Online.

Rise of the Stupid Network von David Isenberg, geschrieben im Mai 1997 aber immer noch mit erstaunlicher Aktualität. Sehr lesenswert, finde ich.

gute Beschreibung bei Heise, damit ich den wiederfinde.

… oder seriös sieht anders aus!

Ich finde es immer wieder lustig, wenn Computerzeitschriften entweder mit schlecht recherchierten Artikeln oder reißerischer Aufmachung sämtliches Vertrauen in die Zeitschrift verspielen. Anscheinend kommt das aber in den besten Familien vor.

Aktueller Anlaß: Linux Intern

Die Zeitschrift schreibt in der Ausgabe 01/08: “Das geht nur mit Linux. Die sicherste Firewall der Welt: Bundes-Trojaner, Viren und Spammer ohne Chance“. Ferner wird die Firewall als „Gebirgsfestung“ und „das sicherste Linux der Welt“ bezeichnet. Ok, der Hersteller freut sich, aber als Leser frage ich mich natürlich erstmal ist der Artikel gekauft oder der Autor bestochen oder warum schreibt er so euphorisch kritikfrei.

Das erinnert mich an einen uralten Artikel in der Chip. Das muß so 1994 herum gewesen sein. Ich habe da gerade an der Uni München Informatik studiert. In der Chip erschien damals ein grottenschlecht recherchierter Artikel über Archie und Veronica, zwei Indexdienste für FTP und Gopher. In gewisser Weise sind das Vorläufer der heutigen Suchmaschinen. Ich war damals Mit-Maintainer des Linux-Distributionsmirrors der TU München und damit Mitbetreiber eines Archie-Servers. Chip bezeichnete die Programme als “konspirative Spionageprogramme” und zitierte einen nicht genannten Hacker, der darüber Zugriff auf sensible Informationen weltweit erlangt haben wollte.

Ich habe mir danach nie wieder eine Chip gekauft.

Ich glaube, ich werde mir auch nie wieder eine Linux Intern kaufen. Erst recht nicht, da die zu Data Becker gehört.

Ab und an findet man tatsächlich ein paar interessante Bücher die komplett Online veröffentlicht werden. Dazu zählt beispielsweise das Openbook-Projekt des Galileo Verlags oder das Handbook of Applied Cryptography.

Ein anderes intessantes Buch ist von CWNP (eigentlich Planet3 Wireless), einer Firma die hauptsächlich Seminare und Zertifizierungen im Wireless LAN Umfeld anbietet, z.B. den Certified Wireless LAN Analysis Professional (CWAP). Die Zertifizierung ist meiner Meinung nach in Deutschland weitgehend wertlos, es gibt jedoch ein halbwegs brauchbares Buch mit den Inhalten der Zertifizierung.

Dieses Buch ist jetzt von CWNP als Wireless LAN Analysis HTML-Online-Buch veröffentlicht worden. Zugegeben, aus IT-Security Sicht sind vermutlich nur die Kapitel 2 (Scanning), 3 (WEP, WPA), 9 (diverse Sicherheitsmaßnahmen) und vielleicht noch 10 (WLAN IDS) interessant. Da jedoch jede Seite als eigene HTML-Datei dargestellt wird, kann man schön im Buch blättern und hat das Inhaltsverzeichnis im linken Frame immer im Blick.

Kennt eigentlich jemand weitere Online IT-Security Bücher? Ich würde dann eine Liste pflegen, die sicher von allgemeinem Interesse sein könnte.

(via Security4all)

In der ZDF Mediathek findet man jetzt komplett alle sechs bisher verfilmten Episoden der Sterntagebücher von Stanislaw Lem. Die kommen heute Nacht auch im Fernsehen.

Die DVD wünsch ich mir zum Geburtstag

SANS hat im Reading Room einen hervorragenden Artikel zu VoIP Security zusammengestellt. Aus dem Inhaltsverzeichnis:

1. Introduction
2. Security vulnerabilities transitioning from POTS to VoIP
3. Real Time Protocol (RTP)
4. Asterisk and Inter-Asterisk Exchange (IAX)
5. Session Initiation Protocol (SIP)
6. Skype
7. Cisco VoIP
8. Conclusion

insgesamt 125 Seiten. Ich habe den Text bisher nur kurz überflogen, sieht aber sehr detailliert und fundiert aus. Ein echtes must-read. Nur einen neuen moderneren Font könnte sich SANS mal aussuchen …

(via SIPVicious)