Första svenska IT-säkerhetshandboken lanserad

Onsdagen den 9/9 -09, lanserades ”Svenska IT-säkerhetshandboken 1.0”. Boken är skriven av Sveriges ledande IT-säkerhetsexperter i samverkan och är den första svenska boken om IT-säkerhet på marknaden.


— Boken vänder sig till alla som jobbar med IT och kommer i beröring med IT-säkerhetsområdet. Vi författare såg ett stort behov av en IT-säkerhetsbok på svenska, berättar en av författarna Per Erngård från Omegapoint AB i Kalmar.

Boken är skriven av ett författarteam med Sveriges ledande IT-säkerhetsexperter Predrag Mitrovic, Hasain Alshakarti, Michael Anderberg, Jimmy Arvidsson, Peter Bayer, Johan Blom, David Böling, Robert Carlsson, Per Erngård, David Jacoby, Marcus Murray, Peter Swedin, Mikael Vigström och John Wilander.

— Vi ser ju hur hotbilden ständigt förändras inom IT-säkerhetsområdet och med denna bok vill vi skapa en uppfräschad bok i ämnet som inte passerat ”bäst-före”-datum, berättar Per Erngård en av Omegapoints fyra författare.

Lanseringen ägde rum på Lab Center i Stockholm där ca ett 90-tal besökare fick möjligheten att diskutera sina intresseområden med respektive författare vid ”stationer” för de olika kapitlen.

Läs ett provkapitel eller gå in på www.it-sakerhetshandboken.se

Have fun...

Intressant om antivirus från Microsoft

Om allt går enligt tidplanen kommer Microsoft efter sommaren att erbjuda ett gratis klientantivirus till alla. Det kommer sannolikt att rycka undan mattan för antivirustillverkarna. Lösningen administreras dock inte centralt, för användare med krav på central administration och rapportering finns Forefront Client Security.

Off topic: Cockpitsäkerhet

Fullspäckat schema och ingen Internetaccess utanför Microsoft har gjort det svårt att hinna med bloggandet, men så snart jag fått tillgång till presentationsmaterialet kommer jag att lägga upp det och publicera sammanfattningar av det viktigaste.

Det är fullspäckade dagar med massor av intressant information om hur Microsoft jobbar, deras strategier och vad som kommer den närmaste tiden.

För att ta allt i kronologisk ordning börjar jag med resan över Atlanten. Eftersom säkerhet genomsyrar resan var jag tvungen att inspektera säkerheten i cockpit. En bra ursäkt för en flygtokig IT-konsult att få hänga som groupie i jumpseat bakom piloterna under flygresan och landningen. Ett stort tack går till kapten Jörgen Lutteman och hans gästfria besättning!

Microsoft Executive Briefing 2009

Nu är det dags att ta över pennan (eller snarare tangentbordet) från Per. Den 21 januari åker jag till Redmond och besöker Microsoft Executive Briefing Center, där jag hoppas hinna med att skriva några rader om det senaste från Microsoft. Håll ögenen öppna från och med den 22 januari!

Sammanfattning CSI 2008

Ett antal riktigt intressanta sessioner med några riktigt duktiga personer. Jag tycker fortfarande att Identity 2.0 sessionerna var mest intressanta och det som de gav med en privat visning av openSSO från Sun. Pat och Pamela var två extremt insatta personer om man pratade olika identitetslösningar alá federation.

Sessionerna om Web 2.0 och säkerhet med Jerimiah, Robert och Gunther var också riktigt bra. Tycker att kursen Enterprise Security Architect (2 dagar) var OK, men här behövs nog mer träning innan man kan börja använda detta i praktiken eftersom SABSA var nytt för mig. Mobil telefon forensics för alla var ju också ett intressant uppvaknande för många. Även diskussionerna om vm-awareness, MiTB och lokalisering av data hade några vinklingar och tips som var intressanta. Jag hittade också några intressanta produkter som vi bör kolla för den svenska marknaden.

Totalintrycket var en konferens med många duktiga personer, inkl. mig själv, som samlats för att dela med sig av sina kunskaper, men fokus var extremt USA-inriktat eftersom 99% av deltagarna var från staterna och jag träffade nästan inga européer. Fick också många tips om vilken som är den bästa konferensen av alla inom säkerhetsområdet och det är en konferens på Irland, nämligen COSAC. Hit åker ”the best of the best” varje år och talarna på konferensen utses enbart på ämne inte på person! Andra bra säkerhetskonferenser som många nämnde var RSA konferensen, Gartner Security Summit, OWASP och någon black/whitehat konferens.

Ja, visst glömde visst nämna att vita huset var en besvikelse medan Lincoln memorial var helt makalöst!

Over and out…

Bygg säker autentisering för Webservices med SAML

Detta långa föredrag skulle vara en teoretisk del och en mer praktisk del med demo och diskussioner om exempel, men tyvärr var det en stor besvikelse eftersom 98% av tiden ägnades åt teori. Här var det mycket skåpmat och inget nytt att rapportera. En klar besvikelse...

Detta var också mitt sista inlägg från de olika sessionerna från konferensen. Nu återstår bara sammanfattningen av hela konferensen.

Hack event – Capture the flag

Ikväll så gick jag och två vänner från konferensen på ett mer praktiskt pass för att se hur bra Core:s verktyg för penetrationstest fungerar. En charmerande kanadensare från Quebec och en cool skotte som bor i florida tillsammans med en teknisk svensk. Det kunde ju bara sluta på ett sätt. Succe!

Verktyget vi fick testa var Core Impact och det är ett enkelt verktyg som används av mängder av företag för att göra penetrationstester. Vi fick tre uppdrag att försöka för att ta oss in på de olika servrarna som de satt upp. Det var mycket enkelt, t.ex. drag-drop attack mot en Linux server för att få högre rättigheter. Mycket bra verktyg, men lite långsamt ibland.

Helt klart ett roligt event som omväxling mot de teoretiska föreläsningarna.