12. Security

12.1 Bereiche
12.2 Host Security

12.2.1 Datenmanipulation
12.2.2 Unberechtigtes Benutzen von Ressourcen
12.2.3 Unberechtigtes Erlangen besonderer Zugriffsrechte

12.3 Network Security
12.4 Informationsquellen

12.1 Bereiche

• Viren:
  keine Viren (braucht Wirt), wenige Würmer (selbständige Fortpflanzung), unter Unix primär Virenabwehr im Serverbereich (Mailserver, Web-Proxy, ...)

• Host Security / "lokale" Angriffe:
  durch falsche Zugriffsrechte auf Dateien (schreiben von Config Files, Binaries, symlink Races), ungenügende Überprüfung von Eingabeargumenten für Programme, schlechter Programmierstil (Format String Attacks, Buffer Overflows)

• Network Security / Angriffe über's Netzwerk:
  Viele Probleme wie bei lokalen Angriffen: hauptsächlich Pufferüberläufe und Format-String Attacks durch unzureichende Argument-Überprüfung und schlechten Programmierstil; Denial-Of-Service Angriffe auf einzelne Dienste, Maschinen oder ganze Netzwerke (DDoS, ...); Spoofing, Sniffing

• Intrusion Detection:
  Passives mitlesen des Netzwerk-Verkehrs und erkennen bestimmter Muster, die auf Angriffe hindeuten. Oft mit Generierung entsprechender Firewall-Regeln und Reports verbunden. Aktives Scanning zum aufdecken lokaler Probleme, mit diversen Verfahren.

• Firewalls:
  Packet Filtering anhand von Filterregeln; Abhängig von vorhandener CPU-Kapazität und Netzbandbreite, auf Applikationsebene auch über Proxy-Services; Content based Filtering; Probleme bei miskonfigurierten Firewalls (PMTU Blackholes, ...)

• Kryptographie:
  Authentifizieren von Kommunikationspartnern auf Rechner- und Benutzerebene; Verschlüsselung von Inhalten und Verbindungen; Mathematische Methoden: MD5, DES, RSA, ...

• Informationsquellen:
  Hersteller-Informationen via News und Mail; Technische Diskussionsforen

• Daniel Ettle: Sniffing in WaveLAN und Switched Networks (ca. 30-45 Minuten)
• Daniel Ettle: Grenzwertbetrachtung von Sicherheit

12.2 Host Security

• Datenmanipulation
• Unberechtigtes Benutzen von Ressourcen
• Unberechtigtes Erlangen besonderer Zugriffsrechte

12.2.1 Datenmanipulation

1. Problem: ungenügender Schutz wichtiger Dateien

   rfhpc8133% ls -l /etc/passwd
   -rw-rw-rw-  1 root  wheel  678 Feb  6 14:31 /etc/passwd 

   Aufspüren:

   rfhpc8317% find $HOME -perm -777 -type f -ls
   1382021    2 -rwxrwxrwx  1 feyrer   bedienst     1486 Feb 22  1995 /net/rfhs8012/home3/bedienst/feyrer/PoolDoku/bla.html
   1389623   48 -rwxrwxrwx  1 feyrer   bedienst    49152 Mar 22  1996 /net/rfhs8012/home3/bedienst/feyrer/bin/munpack
   1389627    1 -rwsrwxrwx  1 feyrer   bedienst    49152 Mar 22  2002 /net/rfhs8012/home3/bedienst/feyrer/bin/exe
   

   Intrusion Detection Tools wie tripwire etc.

   Korrigieren der Zugriffsrechte mit chmod(1), chown(8), chgrp(8).

2. Problem: ungenügender Schutz wichtiger Verzeichnisse:

   rfhpc8317% ls -ld /etc $HOME
   drwxrwxrwx  40 root     sys         4096 May  8 13:33 /etc
   drwxrwxrwx  89 feyrer   bedienst    9216 May 16 14:36 /net/rfhs8012/home3/bedienst/feyrer     

   Aufspüren:

   rfhpc8317% find /tmp -type d -perm -777 -ls
   471765068    4 drwxrwxrwt  7 root     sys          1458 May 16 10:46 /tmp
   472614616    4 drwxrwxrwx  2 root     nobody         69 Apr 23 14:04 /tmp/.removable
   472978697    4 drwxrwxrwx  3 feyrer   bedienst      110 Apr 23 11:19 /tmp/uscreens      

   Korrigieren: chmod(1), chgrp(1), chown(1)

3. Problem: schwache Passworte sind leicht zu raten, da sie oft den Namen des Besitzers, seine Lieblingsfarbe, Autonummer, etc. enthalten, also mit etwas Kenntnis der Person zu erraten sind. V.a. Angriffe mit Hilfe von Wörterbüchern aber auch Brute-Force Angriffe finden solche Passworte sehr schnell.

   Aufspüren: crack, ...

   Korrigieren: passwd(8), yppasswd(8)

4. Problem: schwache Authentifizierungsverfahren - wie auch schwache Passworte sind sie durch Brute Force Angriffe relativ leicht zu knacken. Interessant ist hier die "Länge":
   • CRC32 Hash: 32 Bit
   • MD5 Hash: 128 Bit
   • Unix Passwort (DES): 56Bit (8 Zeichen a 7(!) Bit)
   • RSA: Variabel, bis mehrere tausend Bits

   Problem bei Hashes: es werden viele Eingabebit zu einem Bit zusammengefasst, so dass für mehrere Eingaben derselbe Hash-Wert generiert werden kann.

   Abhilfe: Starke Passworte (viele Bits) verwenden, auch verschlüsselte Passworte nicht zugänglich speichern.

5. Problem: Datenmanipulation nach Einbruch

   Aufspüren: Host-basierte Intrusion Detection Systems, die Dateien (Inhalte, Zugriffsrechte, ...) überwachen und bei Manipulation Alarm schlagen. Überwachen:

   • Zugriffsrechte
   • Besitzer und Gruppe
   • Inhalt (Kopie oder Checksumme/Hash)
   • Dateigrösse
   • Zeitstempel

   Korrigieren: Einbruch verhindern, s.u.

12.2.2 Unberechtigtes Benutzen von Ressourcen

1. Problem: Unberechtigter Zugriff auf Datenträger - meist durch falsche Zugriffsrechte für Disketten, Bänder, CDROM, ...

   % ssh rechner mdir a: 

   Aufspüren:

   rfhpc8317% ls -l /dev | head
   total 490
   lrwxrwxrwx   1 root     other         27 Jan  3  2001 arp -> ../devices/pseudo/arp@0:arp
   lrwxrwxrwx   1 root     other          7 Jan  3  2001 audio -> sound/0
   lrwxrwxrwx   1 root     other         10 Jan  3  2001 audioctl -> sound/0ctl
   lrwxrwxrwx   1 root     other         31 Jan  3  2001 conslog -> ../devices/pseudo/log@0:conslog
   lrwxrwxrwx   1 root     other         30 Jan  3  2001 console -> ../devices/pseudo/cn@0:console
   drwxr-xr-x   2 root     other        512 Jan  3  2001 cua
   lrwxrwxrwx   1 root     other         29 Jan  3  2001 cua0 -> ../devices/isa/asy@1,3f8:a,cu
   lrwxrwxrwx   1 root     other         29 Jan  3  2001 cua1 -> ../devices/isa/asy@1,2f8:b,cu
   lrwxrwxrwx   1 root     other         33 Jan  3  2001 diskette -> ../devices/isa/fdc@1,3f0/fd@0,0:c
   rfhpc8317% ls -lL /dev | head
   total 30
   crw-rw-rw-   1 root     sys       44,  0 Jan  3  2001 arp
   crw-------   1 feyrer   other    118,  0 Jan  3  2001 audio
   crw-------   1 feyrer   other    118,  1 Jan  3  2001 audioctl
   crw-rw-rw-   1 root     sys       21,  0 Jan  3  2001 conslog
   crw--w----   1 feyrer   tty        0,  0 May 14 13:08 console
   drwxr-xr-x   2 root     other        512 Jan  3  2001 cua
   crw-------   1 uucp     uucp     106,131072 Jan  3  2001 cua0
   crw-------   1 uucp     uucp     106,131073 Jan  3  2001 cua1
   brw-rw-rw-   1 root     sys       36,  2 Jan 10  2001 diskette     

   Korrigieren: chmod, chown, chgrp

2. Problem: Keine/fehlende/falsche Kontingentierung von Plattenplatz Aufspüren:

   rfhpc8317% quota -v
   Disk quotas for feyrer (uid 102):
   Filesystem     usage  quota  limit    timeleft  files  quota  limit    timeleft
   /home3       1562698 1900000 4200000               7012      0      0            
   /net/rfhs8012/home3
                1562698 1900000 4200000               7012      0      0
   rfhpc8317% df -kl
   Filesystem            kbytes    used   avail capacity  Mounted on
   /dev/dsk/c0d0s0      5493582 2389662 3048985    44%    /
   /proc                      0       0       0     0%    /proc
   fd                         0       0       0     0%    /dev/fd
   mnttab                     0       0       0     0%    /etc/mnttab
   swap                  545432       4  545428     1%    /var/run
   swap                  545548     120  545428     1%    /tmp
   rfhpc8317% ls -ld /var/tmp
   drwxrwxrwt   5 root     sys          512 May 22 10:47 /var/tmp
   rfhpc8317% df -k /var/tmp
   Filesystem            kbytes    used   avail capacity  Mounted on
   /dev/dsk/c0d0s0      5493582 2389662 3048985    44%    /
        

   Korrigieren: edquota, rm, oder Platten nachkaufen

3. Problem: Benutzung von zu viel Arbeitsspeicher

   rfhpc8317% perl -e 'while(1) { $s .= "x" x 1000; }' 

   Aufspüren: top, systat vm (BSD), swap -l/-s (Solaris), swapctl (BSD), limit (csh), limit -h (csh), ulimit -a (sh)

     PID USERNAME PRI NICE   SIZE   RES STATE      TIME   WCPU    CPU COMMAND
    6371 feyrer    -5    0   131M   66M biowait    0:11  8.99%  8.69% perl
        

   Korrigieren: limit/ulimit, kill

4. Problem: Benutzung von zu viel CPU-Zeit

   rfhpc8317% sh -c 'while true ; do echo \\c ; done'
   rfhpc8317% perl -e 'while(1){ ; }'      

   Aufspüren: top, iostat/vmstat

   Korrigieren: renice, kill, oder mehr CPU power (ggf. Applikation tunen!)

5. Problem: Benutzen von I/O Bandbreite - übertragen großer Datenmengen oder (schlimmer) hohe Seek-Last

   Aufspüren: top (iowait), vmstat, iostat

   rfhpc8317% iostat 1
      tty       cmdk0          sd0           sd1           nfs1           cpu
    tin tout kps tps serv  kps tps serv  kps tps serv  kps tps serv   us sy wt id
      0   80 340  89   16    0   0    0    0   0    0    0   0    0    0 11 35 54
      0   80 346  93   15    0   0    0    0   0    0    0   0    0    0 10 37 53
      0   80 118  33   15    0   0    0    0   0    0    0   0    0    0  2 13 85
      0   80   0   0    0    0   0    0    0   0    0    0   0    0    0  1  0 99
      2  128   0   0    0    0   0    0    0   0    0    0   0    0    1  0  0 99 

   Korrigieren: kill, Last über mehrere Platten verteilen (striping bzw. Daten umverteilen)

6. Problem: Benutzen von System-Verwaltungsstrukturen
   • offene Dateien
   • Inodes (df -i)
   • Swap
   • Netzwerk-Verbindungen (SYN-Flood): mbufs, sockets
   • Pipes
   • Prozesstabelle
   • Semaphoren
   • Shared Memory Segmente
   • Pseudo Terminals

   Aufspüren: ps, ipcs, vmstat -s, /dev/kmem + /usr/include

   Korrigieren: kill, Systemlimits ernierigen (Solaris: /etc/system, BSD/Linux: Kernel config)

12.2.3 Unberechtigtes Erlangen besonderer Zugriffsrechte

1. Problem: Ungenügende Sicherheitsabfragen/Längenüberprüfungen in Programmen/Diensten

   Durch falsche Eingaben in Programmen die nicht angefangen werden können Speicherbereiche überschrieben werden ("Buffer Overflow") und beliebiger Code ausgeführt werden. Puffer mit fester Größe (wie in C/C++ üblich) werden mit mehr Daten beschrieben als sie aufnehmen können. Bei falschen/fehlender Längenprüfung werden dabei auch Daten überschrieben, die dahinter liegen, üblicherweise weitere Lokale Variablen und v.a. Rücksprungadresse aus der Funktion.

   Code-Fragment:

   	main() {
   		funktion();
   		}
   
   	funktion() {
   		int i=23;
   		
   		char puffer[5];
   		/* Benutzer-Eingabe in Puffer kopieren */
   		} 

   Stackaufbau:
   

   Die falsche, zum Buffer Overflow führende Eingabe kann dabei auf mehrere Arten geschehen:

   • stdin und andere Dateidescriptoren (v.a. Sockets - siehe "Network Security"!)

     % perl -e 'print "x" x 10000;' | programm	  

   • Befehlszeile

     % programm `perl -e 'print "x" x 10000;'`	  

   • Umgebungsvariablen

     % setenv VARIABLE `perl -e 'print "x" x 10000;' `
     % programm	  

     Praxisbeispiel: Irix syslog Auszug:

     Jun 20 15:25:17 rfhsi8007.fh-regensburg.de telnetd[243748]: ignored attempt to 
     setenv(_RLD,     ^?D^X^\    ^?D^X^^  ^D^P^?^?$^B^Cs#^?^B^T#d~^H#e~^P/d~^P/`~^T#`~^O^C^?^?L/bin/sh%32614c%11$hn%86000c%12$hn) 

   • Config-Datei

     % perl -e 'print "x" x 10000;'  >/tmp/program.config
     % program --config-file /tmp/program.config	  

   Aufspüren: find

   Korrigieren: chmod 111, Kernel ohne ausführbarem Stack benutzen, Programm passende Fehlerabfrage beibringen (Patch, ...)

2. Problem: Format String Attacks

   Banutzer-Eingaben werden als erstes Argument von printf() weitergegeben. Eingebettete %s etc. greifen auf Speicherbereiche zu in denen keine Daten bereitgehalten werden.

        printf(argv[1]);          ->   printf("%s");     
        

   Aufspüren: Code Audit

   Korrigieren: nur auf Programm-Ebene, bzw. Programm nicht mit (besonderen) Privilegien (setuid root, ...) laufen lassen.

3. Problem: Sniffing

   Mitlesen von Daten und Nachrichten sowohl auf Netzwerk- als auch auf Terminal- und Modem-Leitungen, zum Ausspionieren von Zugangsdaten (Login, Passwort, ...). Besonders anfällig sind hier Netzwerk-Protokolle ohne Verschlüsselung: telnet, POP, FTP, auch X

   Aufspüren: schwierig.

   Korrigieren: verschlüsselte Übertragungsprotokolle verwenden (ssh, ...; kein telnet, POP, FTP), Paranoia

4. Problem: Social Engineering, Phishing

   Nicht-technischer Angriff, bei dem versucht wird, Zugangsdaten durch Tricks (vorspielen falscher Identität, ...) zu entlocken. Beispiel: Angriff auf GMX

   Aufspüren: ...

   Korrigieren: gesundes Sicherheitsbewusstsein, Paranoia

12.3 Network Security

Im Netzwerkbereich sind mehrere Angriffspunkte zu betrachten:

• Sniffing
• Spoofing
• Einbrüche über's Netz
• Denial of Service Attacks

1. Problem: sniffing (s.o.)

   Programme zum Analysieren von Netzwerk-Traffic:

   • FTP Session:

     rfhs8036% ftp yui.fh-regensburg.de
     Connected to rfhpc8323.fh-regensburg.de.
     220-
     220 rfhpc8323.fh-regensburg.de FTP server (NetBSD-ftpd 20010329) ready.
     Name (yui.fh-regensburg.de:feyrer): install
     331 Password required for install.
     Password:
     230-
         NetBSD 1.5.3 (YUI-$Revision: 1.21 $) #34: Thu Apr  4 10:38:36 MEST 2002
     
         Welcome to NetBSD!
     
     230 User install logged in.
     Remote system type is UNIX.
     Using binary mode to transfer files.
     ftp> 

   • tcpdump:

     yui# tcpdump host rfhs8036
     tcpdump: listening on ex0
     17:12:08.723350 rfhs8036.65524 > rfhpc8323.ftp: S 3017712967:3017712967(0) win 16384 
     17:12:08.723426 rfhpc8323.ftp > rfhs8036.65524: S 190502990:190502990(0) ack 3017712968 win 16384 
     17:12:08.723579 rfhs8036.65524 > rfhpc8323.ftp: . ack 1 win 17520 
     17:12:08.749961 rfhpc8323.ftp > rfhs8036.65524: P 1:7(6) ack 1 win 17520  [tos 0x10]
     17:12:08.944328 rfhs8036.65524 > rfhpc8323.ftp: . ack 7 win 17520  [tos 0x10]
     17:12:08.944373 rfhpc8323.ftp > rfhs8036.65524: P 7:80(73) ack 1 win 17520  [tos 0x10]

   • ethereal:
     

     

2. Problem: Einbrüche über's Netz

   Einbrüche über's Netzwerk geschehen eigentlich durch die Bank aufgrund mangelhafter Überprüfung von vom Benutzer eingegebenen Daten, und daraus resultierend Buffer Overflows, Format String Attacks etc. Siehe oben.

   Aufspüren: Netzwerk-basierte Intrusion Detection Systems, Monitoring von Logfiles, nmap, netstat, lsof, nessus:

   • Mit Hilfe von netstat können aktive Verbindungen aufgelistet werden:

     rfhpc8317% netstat | sed s/.fh-regensburg.de//g
     
     TCP: IPv4
        Local Address       Remote Address    Swind Send-Q Rwind Recv-Q  State
     -------------------- -------------------- ----- ------ ----- ------ -------
     rfhpc8317.1023         rfhs8012.nfsd 24820      0 24820      0 ESTABLISHED
     rfhpc8317.1022         rfhs8012.sunrpc 24820      0 24820      0 ESTABLISHED
     rfhpc8317.6000         rfhs8012.56949 24820      0 24820      0 ESTABLISHED
     rfhpc8317.35704        rfhs8012.ssh 24820      0 24820      0 ESTABLISHED
     rfhpc8317.37590        rfhpc8317.ssh 32768      0 32768      0 ESTABLISHED
     rfhpc8317.ssh          rfhpc8317.37590 32768      0 32768      0 ESTABLISHED
     rfhpc8317.38500        rfhpc8321.ssh 17520      0 24820      0 ESTABLISHED
     rfhpc8317.6000         rfhpc8321.65534 17520      0 24616      0 ESTABLISHED
     rfhpc8317.38501        rfhpc8320.ssh 24820      0 24820      0 ESTABLISHED
     rfhpc8317.38713        rfhs8012.80 24820      0 24820      0 ESTABLISHED     

   • Mit Hilfe von nmap kann "von aussen" überprüft werden, auf welchen Ports Verbindungen angenommen werden:

     rfhpc8321# nmap rfhpc8317
     
     Starting nmap V. 2.53 by fyodor@insecure.org ( www.insecure.org/nmap/ )
     Interesting ports on rfhpc8317.fh-regensburg.de (194.95.108.65):
     (The 1504 ports scanned but not shown below are in state: closed)
     Port       State       Service
     13/tcp     open        daytime                 
     21/tcp     open        ftp                     
     22/tcp     open        ssh                     
     23/tcp     open        telnet                  
     37/tcp     open        time                    
     79/tcp     open        finger                  
     111/tcp    open        sunrpc                  
     113/tcp    open        auth                    
     512/tcp    open        exec                    
     513/tcp    open        login                   
     514/tcp    open        shell                   
     4045/tcp   open        lockd                   
     6000/tcp   open        X11                     
     32774/tcp  open        sometimes-rpc11         
     32775/tcp  open        sometimes-rpc13         
     32776/tcp  open        sometimes-rpc15         
     32777/tcp  open        sometimes-rpc17         
     32779/tcp  open        sometimes-rpc21         
     32780/tcp  open        sometimes-rpc23         
     
     Nmap run completed -- 1 IP address (1 host up) scanned in 2 seconds     

   • Welcher Prozess die X-Verbindung (Port 6000) von rfhpc8321 behandelt:

     rfhpc8317% lsof | grep 'TCP.*rfhpc8321.*:65534'
     Xsun        294     root   16u  IPv4 0xe1f866dc 0t29793840       TCP rfhpc8317:6000->rfhpc8321.fh-regensburg.de:65534 (ESTABLISHED)     

   • Security-Scan auf Sicherheitslücken mit nessus:

     

   Korrigieren: Nicht benötigte und/oder unsichere Dienste abstellen (anstatt: sinnlos Firewalling einschalten)
   • /etc/inetd.conf überprüfen:

     rfhpc8317% grep -v ^# /etc/inetd.conf | grep -v '^ *$'
     ftp     stream  tcp6    nowait  root    /usr/sbin/in.ftpd       in.ftpd
     telnet  stream  tcp6    nowait  root    /usr/sbin/in.telnetd    in.telnetd
     name    dgram   udp     wait    root    /usr/sbin/in.tnamed     in.tnamed
     shell   stream  tcp     nowait  root    /usr/sbin/in.rshd       in.rshd
     shell   stream  tcp6    nowait  root    /usr/sbin/in.rshd       in.rshd
     login   stream  tcp6    nowait  root    /usr/sbin/in.rlogind    in.rlogind
     exec    stream  tcp     nowait  root    /usr/sbin/in.rexecd     in.rexecd
     exec    stream  tcp6    nowait  root    /usr/sbin/in.rexecd     in.rexecd
     comsat  dgram   udp     wait    root    /usr/sbin/in.comsat     in.comsat
     talk    dgram   udp     wait    root    /usr/sbin/in.talkd      in.talkd
     finger  stream  tcp6    nowait  nobody  /usr/sbin/in.fingerd    in.fingerd
     time    stream  tcp6    nowait  root    internal
     time    dgram   udp6    wait    root    internal
     daytime stream  tcp6    nowait  root    internal
     daytime dgram   udp6    wait    root    internal
     rquotad/1       tli     rpc/datagram_v  wait root /usr/lib/nfs/rquotad  rquotad
     walld/1         tli     rpc/datagram_v  wait root /usr/lib/netsvc/rwall/rpc.rwalld      rpc.rwalld
     ident   stream  tcp     nowait  sys     /soft/pidentd-3.0.4/sbin/in.identd in.identd	  

   • TCP Wrapper installieren:

     rfhs8012# more /etc/inetd.conf | grep tcpd | grep -v ^#
     ftp     stream  tcp6    nowait  root    /soft/tcp-wrappers-7.6-ipv6.1/bin/tcpd in.ftpd
     telnet  stream  tcp6    nowait  root    /soft/tcp-wrappers-7.6-ipv6.1/bin/tcpd in.telnetd
     finger  stream  tcp6    nowait  nobody  /soft/tcp-wrappers-7.6-ipv6.1/bin/tcpd in.fingerd
     
     rfhs8012# cat /etc/hosts.allow 
     in.telnetd    : feyrer@rfhpc8325 ALL@194.95.108.95 ALL@localhost 
     in.ftpd       : feyrer@rfhpc8325 ALL@194.95.108.95 ALL@localhost 
     in.rshd       : feyrer@rfhpc8325 ALL@194.95.108.95 ALL@localhost 
     in.rlogind    : feyrer@rfhpc8325 ALL@194.95.108.95 ALL@localhost 
     in.rexecd     : feyrer@rfhpc8325 ALL@194.95.108.95 ALL@localhost 
     in.fingerd    : ALL
     
     rfhs8012# cat /etc/hosts.deny
     ALL   :       ALL     : banners /soft/tcp-wrappers-7.3/lib/banners
     
     rfhpc8317% telnet rfhs8012
     Trying 194.95.108.29...
     Connected to rfhs8012.fh-regensburg.de.
     Escape character is '^]'.
     Go away, unknown@rfhpc8317, you're not my friend.
     Connection closed by foreign host.
     
          

3. Problem: spoofing

   Netzwerk-Verkehr wird evtl. Umgeleitet (durch publizieren falscher MAC Adressen - ARP Spoofing), und dann evtl. nach Modifikation weitergeleitet.

   Siehe Vorträge.

4. Problem: Denial of Service Attacks

   Auf Dienste, Maschinen (WinNuke, Teardrop, ...), und ganze Netzwerk-Segmente (DDoS, auf Router).

   Aufspüren: mrtg, rrdtool,

   Korrigieren: IDS, Firewalling

12.4 Informationsquellen

• Bugtraq, Full Disclosure: "Full disclosure" Mailing Listen, mit Diskussion um Technik hinter Problemen, deren Ursachen und Behebungen.
• insecure.org: Community site um Security-relevante Werkzeuge (Angriff, Erkennung & Verteidigung)
• CERT, DFN-CERT: Computer Emergency Response Team - Ansprechpartner und Hilfe bei Einbrüchen, auch Information zur Grundabsicherung von Betriebssystemen, Netzwerken und Hinweise zur Sicheren Programmierung des DFN CERTs
• Hersteller-Informationen von Sun, SuSE, NetBSD, RedHat, HP, IBM etc.
• Hacker Highschool's Security awareness for teens

Literatur

• [Ables], S. 169ff (Security)
• [Nemeth], S. 651ff (Security)
• [Hunt], S. 301ff (Network Security)
• [Frisch] S. 134ff (Security)
• [Loukides], S. 33ff (Überwachen der Systemaktivitaet), S. 75ff (Verteilung der Arbeitslast), S. 107ff (Der Hauptspeicher), S. 155ff (Festplattendurchsatz), S. 203ff (Die Netzwerke), S. 155ff (Festplattendurchsatz),
• [Sklyarov], S. 57ff (Safe Programming), S. 77ff (Reverse Engineering Puzzles)
• [Stoll]