Lirat iväg en beställning på två böcker;
ISBN: 9780072257120 CISSP All-In-One Exam Guide, 3/e
ISBN: 9780470080221 The Oracle Hacker’s Handbook: Hacking and Defending Oracle
Med andra ord, jag skall börja jobba mot en CISSP certifiering. Jag tror jag kan mycket av det redan – jag har rätt lång erfarenhet av säkerhet… men det finns säkert mycket en certifiering täcker in som man av en eller annan anledning inte har tidigare erfarenhet av. Något man kan fundera på är varför en internationellt standardiserad certifiering har visst fokus på amerikansk lagstiftning, men det är väl bara att erkänna att USA är ett av de viktigaste länderna inom säkerhet (min erfarenhet är att företag i USA har mest prioriteringar inom detta, men även England brukar vara ett land där frågor om säkerhet kommer. Här i Norden är intresset ofta lågt, vilket förmodligen inte alls är bra för nationen Sverige).
Den andra boken är skriven av David Litchfield (wikipedia) och handlar om Oracle säkerhet. David är en av världens viktigaste think-tanksen / guru om Oracle säkerhet; några andra nämnbara är Alexander Kornbust, Pete Finnigan, Cesar Cerrudo & Esteban Martínez (båda arbetar för Argeniss, om jag förstått saken rätt).
Det är ju inte helt lätt att ranka "vem är bäst på Oracle säkerhet", då det finns så många olika aspekter på säkerhet, men en ren gut-feeling är att David är nummer 1. Dels så kan han visa och producera mycket användbart, när många andra är lite för mycket talk och för lite show. Sen så täcker hans publikt publicerade in så mycket av myntets båda sidor, han producerar mycket om nya sätt för hur man attackerar system, men även om hur man säkrar system eller fastställer bevis för att intrång har skett – och där rör han sig banbrytandes utanför traditionella – och vid intrång kanske otillförlitliga – koncept som auditing. Kreativitet och förmågan att tänka på det sätt man inte förväntas göra är ju själva grunden för utveckling inom säkerhet, och där är David för oss alla en värdig förebild.
Wiley’s bokbeskrivning blir dock rätt lustig: "David Litchfield has devoted years to relentlessly searching out the flaws in the Oracle database system and creating defenses against them. Now he offers you his complete arsenal to assess and defend your own Oracle systems. This in-depth guide explores every technique and tool used by black hat hackers to invade and compromise Oracle and then it shows you how to find the weak spots and defend them. Without that knowledge, you have little chance of keeping your databases truly secure."
Vad David har, som de flesta läsare inte har, är just David’s hjärna. Läser man en bok av Einstein blir man inte Einstein. Läsare kan förhoppningsvis snappa upp lite David’s metodik och verktyg, men det skrivna ordet åldras ju för varje sekund som tickar. Materialet blir mindre och mindre relevant för varje sekund som går. Men kanske kan en del läsare ta in boken och få en insikt in säkerhetens konstform och kunna arbeta utifrån den. Några få, och jag tror vi kan räkna dem på en hand, kommer gå steget längre och själva börja innovativt skapa något riktigt nytt inom säkerhet. Det är dom som blir framtidens stora spelare. Kommer de likt David publicera det mycket av sitt arbete publikt? Ta hårda diskussioner och våga försätta sig i ett läge då de kommer ifrågasättas?
En annan aspekt är ju hur säkerhetsexperter jobbar. Idag verkar det lite grovt sätt finnas tre kategorier;
- Whitehats som likt David jobbar med en stor del av sitt arbete publikt,
- Whitehats som jobbar i det tysta. Många är vi på programvarutillverkare, pentest företag, m.m. som är duktiga på sitt jobb, men nästan inget av det kommer den stora massan till godo. Skapandet är nästan helt inlåst till en privat arbetsgivare. Här är nog den stora massan av säkerhetsexperter, åtminstone bland de som har säkerhet som ett arbete och inte en hobby.
- Blackhats som jobbar på att aktivt översätta sin kunskap i brottslig verksamhet; t.ex. företagsspionage, tillverka trojaner för att själa pengar, eller bara allmänna "ganska harmlösa intrång och mild vandalisering".
Mycket tråkigt egentligen att den största skaran är de som inte bidrar speciellt aktivt till det kollektiva vetandet. Men som det uttrycktes någon gång, det blir sällan så roligt att försöka berätta något om man har avtalat NDA-/sekretssavtal. Dels är det svårt; all identifierande information måste tas bort, och dessutom riskfyllt; vad är egentligen reglerat? Håller man tyst har man ju inte gjort fel, är man pratglad riskerar man att göra fel vilket enligt anställningskontrakt m.m. är grund för avsked. Inte ett klimat som direkt uppmuntrar till att aktivt delta i att förbättra världen.
Så företag så som NGSS och Argeniss skall ha stort beröm för att de hittat former för att publicera sin kunskap. Men så är de ju rent säkerhetsorienterade också, alla i företaget kan branchen. David Lichfield och hans medarbetare på NGSS har ju dessutom bakgrund i @stake, ett företag som en gång i tiden var världsledande (bildat av L0ph medlemmar). @stake kom dock att bli ett företag där kreativitet och publika åsikter om säkerhet inte var populärt, och många lämnade företaget eller t.om. avskedades; "Dan Geer was in a similar situation. He is a researcher with an impeccable reputation for honesty and integrity. When @Stake first formed, Dan was immediately hired for those exact qualities. @Stake was formed from the L0pht, one of the best hacker groups in the world with a reputation for irritating Microsoft. Now there’s only one L0pht member left at @Stake, and Dan Geer was fired for displaying the same qualities that got him hired." (Källa: Bruce Schneier, Crypto-Gram October 15, 2003). Kanske inte så konstigt att folk lämnar @stake för att bilda nya företag.
Jag hade förresten för något år sedan tillfället att fråga en anställd på ISS om de inte såg paralleller med @stake; om de behöll sin "edge" så skulle de kreativa medlemmarna börja sparkas eller "uppmuntras" att gå. Fick svaret att de för har ett löfte om att de skall få vara autonoma och inte rakt av spegla koncernen som köpt upp dem. (Undrar om det är samma svar man skulle fått samma svar om man möts över en öl på pubben?) … Fast ISS har historiskt sätt haft ett visst publikt spektakel helt på egen hand [ Michel Lynn; Wired: Router Flaw Is a Ticking Bomb ].
Andra bloggar om: säkerhet CISSP hacker
Technorati: security CISSP hacker