Bezpieczeństwo systemów
SZYFROWANIE BEZPIECZEŃSTWO KRYPTOGRAFIA: CZĘŚĆ 1 Podstawowe pojęcia i koncepcje
Dariusz Gołębiowski
1. SZYFROWANIE - TWOJE SUPERMOCE W CYFROWYM ŚWIECIE Miła Czytelniczko, Drogi Czytelniku, Wyobraź sobie ten wspaniały świat bez jakichkolwiek zamków czy innych zabezpieczeń w drzwiach. Chodzisz do pracy, wracasz do domu, a Twoje rzeczy są tam, gdzie je zostawiłeś/aś - do czasu, aż ... ktoś postanowi zajrzeć i "pożyczyć ;)" coś od Ciebie - bez Twojej zgody czy nawet wiedzy. Jak Tobie podoba się taka wizja? Chyba niespecjalnie? Prawda? A teraz zerknijmy z tego samego punktu widzenia do cyber świata. W cyfrowym świecie tak właśnie wygląda codzienna rzeczywistość bez szyfrowania. Twoje dane są jak otwarte książki, gotowe do przeglądania przez każdego, kto ma na to ochotę. Albo jak wolisz - jak Twój dom bez jakichkolwiek antykradzieżowych zabezpieczeń. Tak! Właścicielu/ko firmy. Ciebie oraz Twojego biznesu to także dotyczy. Ty także - kolokwialnie mówiąc: "dajesz ciała" ;)! Na szczęście jest na opisane problemy rozwiązanie! Całkiem łatwe i znane od stuleci Szyfrowanie! Tak - dokładnie tak! SZYFROWANIE to Twoja cyfrowa tarcza - supermoc, która pozwala chronić najcenniejsze dane przed złodziejami, wścibskimi spojrzeniami czy nawet ... własnym roztargnieniem. Ale trzeba także pamiętać, że szyfrowanie to tylko element potężnej dziedziny wiedzy, nauki i technologii jaką jest kryptografia. W początkowych modułach tej serii będę głównie posługiwał się pojęciem szyfrowania. To na tym elemencie będziemy się skupiali. Jednakże będziemy także sięgali głębiej - do kryptografii. Ale spokojnie - nie obawiaj się. Wejście w świat kryptografii zrobimy wspólnie - krok po kroku i czasami nawet nie zauważysz, a już będziesz w obszarze kryptografii. A poza tym ona wcale nie jest aż tak straszna jak by wynikało z jej nazwy :). Jeśli myślisz, że to technologia zarezerwowana dla informatyków z topowych firm technologicznych, na następnych stronach tej książki wyprowadzę Ciebie z błędu. Każdy - nawet Ty - może stać się mistrzem szyfrowania. I nie, nie potrzebujesz do tego doktoratu z kryptografii, ani nawet jakiejkolwiek zaawansowanej wiedzy. Technologia daje nam odpowiednie narzędzia. Ale pojawiają się różne ograniczenia i to co najmniej dwa są istotne na początku Twojej drogi 😉: Twoja dobra wola do zainteresowania się tematem szyfrowania (i kryptografii), Czas, bo szybkość jest wrogiem bezpieczeństwa, czyli także szyfrowania, a Ty już wkrótce to zrozumiesz - o ile zagłębisz się w kolejne strony tego poradnika. 2. DLACZEGO WARTO ZGŁĘBIĆ TAJNIKI SZYFROWANIA? Każdego dnia korzystamy ze wspaniałych technologii, które wymieniają się informacjami - od wysyłania maili po przechowywanie plików w tak zwanej "chmurze IT" lub po prostu "chmurze". Ale w świecie, gdzie dane są nową walutą, każdy błąd może kosztować więcej, niż się spodziewasz. Szyfrowanie to nie luksus - to podstawowe narzędzie w cyfrowym świecie. W tej książce pokażę Ci, jak prosto i skutecznie wprowadzić szyfrowanie do swojego życia zawodowego i osobistego. Co znajdziesz w Części 1 serii: Szyfrowanie Bezpieczeństwo? Przygotowałem dla Ciebie przewodnik, którego pierwsze dwie części - krok po kroku - przeprowadzą Ciebie przez podstawy szyfrowania. Całość poradnika podzieliłem na moduły, z których każdy skupia się na innym aspekcie. Nie bój się - wszystko wyjaśnione jest prosto, zrozumiale, a czasem nawet z odrobiną humoru. Bo kto powiedział, że o bezpieczeństwie nie można pisać z szerokim uśmiechem na twarzy? CZĘŚĆ 1 to wprowadzenie do podstaw Podstawy szyfrowania: Na początek dowiesz się, czym jest szyfrowanie, skąd się wzięło i dlaczego jest tak ważne. Przygotuj się na kilka ciekawostek z historii - od Cezara po współczesne algorytmy. Symetria i asymetria - szyfrowanie na dwa sposoby: Poznasz dwa podstawowe rodzaje szyfrowania, ich zalety, wady i zastosowania. Zrozumiesz, dlaczego klucze publiczne i prywatne to jak yin i yang w świecie kryptografii. CZĘŚCI: 2, 3 i następne (tak, przewidziałem ich sporo :) ) - zajmą się kolejnymi ważnymi elementami szyfrowania, o których dowiesz się zapewne w części drugiej, do której już teraz Ciebie zapraszam. Ale pozwól, że nakreślę obszary wiedzy, które zamierzam poruszyć w kilku kolejnych Modułach: Protokoły szyfrowania Praktyczne zastosowania szyfrowania Typowe błędy i najlepsze praktyki Szyfrowanie w biurze i wiele innych związanych z szyfrowaniem oraz cyfrowym bezpieczeństwem. 3. DLACZEGO TA SERIA KSIĄŻEK JEST INNA? Moim celem było stworzenie poradnika, który nie tylko dostarcza wiedzy, ale też zachęca do działania. Znajdziesz tu nie tylko przydatne teorie, ale przede wszystkim praktyczne przykłady, wskazówki i - co najważniejsze - lekki styl, który pozwoli Ci przyswajać wiedzę z uśmiechem na twarzy. A ponieważ w ponad 90% skupiam się na rozwiązaniach open source oraz bezpłatnych, więc każdy i każda z Was będzie mógł/mogła w praktyce zobaczyć oraz przećwiczyć większość z omawianych elementów szyfrowania. Chcę, żebyś po przeczytaniu tej książki pomyślał/a: "To było łatwiejsze, niż myślałem/am!" i od razu zaczął/ęła stosować szyfrowanie w praktyce. A ponieważ szyfrowania to jeden z filarów cyberbezpieczeństwa, więc po poznaniu i zrozumieniu zagadnień poruszanych w tej serii ebooków - Twoja wartość na rynku pracy zapewne znacząco się zwiększy. Jak już wspomniałem nacisk będę kładł na szyfrowanie a nie na kryptografię, jak jak wkrótce się dowiesz - szyfrowanie to jedynie element kryptografii. Ale na początkowym etapie nauki, warto zgłębić właśnie sztukę szyfrowania, aby potem móc spojrzeć na całość problemu, czyli z punktu widzenia kryptografii. Nie oznacza to, że nie będzie już w pierwszej części elementów wiedzy kryptograficznej wychodzących poza samo tylko szyfrowanie. Tak się nie da, choćby ze względów technologicznych, gdzie zastosowanie szyfrowania opiera się także o aspekty całej kryptografii czyli: poufność, integralność, uwierzytelnienie, niezaprzeczalność. Na wyjaśnienie tych czterech pojęć zapraszam Ciebie do dalszej części mojego poradnika. 4. DLA KOGO JEST TA KSIĄŻKA? Dla każdej osoby, która ma do czynienia z urządzeniami typu: komputer, smartfon, tablet. A czy są jeszcze ludzie, którzy nie używają choćby jednego z wyżej wymienionych narzędzi cyfrowych? Niezależnie od tego, czy jesteś pracownikiem/cą biurowym/ą, freelancerem/ką, studentem/ką czy właścicielem/ką firmy - jeśli zależy Ci na bezpieczeństwie danych, ta książka jest dla Ciebie. Nawet jeśli dopiero zaczynasz swoją przygodę z szyfrowaniem, znajdziesz tu wszystko, czego potrzebujesz, by ruszyć z miejsca. Gotowy/a na podróż po świecie szyfrowania? Świetnie! Weź kubek kawy, zrelaksuj się i zacznijmy wspólnie odkrywać tajniki bezpieczeństwa danych oraz wielu innych obszarów cyberbezpieczeństwa. Obiecuję, że będzie: ciekawie, praktycznie i czasami ... całkiem zabawnie. 😊
Damodar Lohani
Using a shared codebase in addition to an extensive range of tools in the Flutter ecosystem optimized for browsers, the Flutter framework has expanded to enable you to bring your mobile apps to the web. You’ll find out how web developers can leverage the Flutter framework for web apps with this hands-on guide.Taking Flutter to the Web will help you learn all about the Flutter ecosystem by covering the tools and project structure that allows you to easily integrate Flutter into your web stack. You’ll understand the concepts of cross-platform UI development and how they can be applied to web platforms. As you explore Flutter on the web, you'll become well-versed with using Flutter as an alternative UI platform for building adaptive and responsive designs for web apps.By the end of this Flutter book, you'll have built and deployed a complete Flutter app for the web and have a roadmap ready to target the web for your existing Flutter mobile apps.
Testy penetracyjne nowoczesnych serwisów. Kompendium inżynierów bezpieczeństwa
Prakhar Prasad
Testy penetracyjne nowoczesnych serwisów. Kompendium inżynierów bezpieczeństwa Sieć stała się niebezpiecznym miejscem. Między grasującymi złoczyńcami a inżynierami bezpieczeństwa aplikacji trwa ciągły wyścig zbrojeń. Mimo to oczywiste jest, że uzyskanie stuprocentowego bezpieczeństwa jest niemożliwe. Jedną z technik zabezpieczania aplikacji są testy penetracyjne, które polegają na atakowaniu systemu różnymi metodami, aby odnaleźć jego słabe punkty i pokazać, jak można się do niego włamać. Niniejsza książka stanowi wyczerpujące źródło wiedzy dla testerów przeprowadzających analizę aplikacji internetowej. Opisano tu zarówno najnowsze, jak i klasyczne techniki łamania zabezpieczeń — bardzo często starsze metody rozwijają się w różnych kierunkach i nie należy o nich zapominać. Między innymi przedstawiono informacje o atakach XML, w tym XXE, oraz metody wykorzystywania słabych stron OAuth 2.0. Omówiono również XSS, CSRF, Metasploit i wstrzykiwanie SQL. Nie zabrakło również opisu rzeczywistych przypadków testowania aplikacji. Nowe lub mniej popularne techniki ataku na strony WWW takie jak wstrzykiwanie obiektów PHP lub wykorzystanie danych XML. Sposób pracy z narzędziami do przeprowadzania testów bezpieczeństwa, aby w ten sposób zautomatyzować żmudne zadania. Różne rodzaje nagłówków HTTP wspomagających zapewnienie wysokiego poziomu bezpieczeństwa aplikacji. Wykorzystywanie i wykrywanie różnego rodzaju podatności XSS. Ochronę aplikacji dzięki technikom filtracji. Stare techniki ataku takie jak XSS, CSRF i wstrzykiwanie SQL, ale w nowej osłonie. Techniki ataku takie jak XXE i DoS wykorzystujące pliki XML. Sposoby testowania API typu REST w celu znalezienia różnego rodzaju podatności i wycieków danych. Testy penetracyjne — klucz do bezpieczeństwa Twojej aplikacji! Prakhar Prasad mieszka w Indiach. Jest ekspertem w dziedzinie bezpieczeństwa aplikacji specjalizującym się w testach penetracyjnych. W 2014 roku został sklasyfikowany na dziesiątej pozycji w światowym rankingu HackerOne. Zdobył kilka nagród za znalezienie luk bezpieczeństwa w takich serwisach, jak Google, Facebook, Twitter, PayPal czy Slack. Posiada certyfikaty z OSCP. Przeprowadza testy bezpieczeństwa dla różnych organizacji rządowych, pozarządowych i edukacyjnych.
Testy penetracyjne środowiska Active Directory i infrastruktury opartej na systemie Windows
Denis Isakov
Cyberprzestępczość to obecnie wielki biznes i wielka polityka. Zaangażowane podmioty nieustannie dążą do doskonalenia technik ataków. Cyberprzestępcy dysponują własną metodologią, narzędziami i wykwalifikowanym personelem. Aby obronić się przed nimi, musisz zrozumieć, w jaki sposób atakują, a potem dobrze poznać ich taktyki i techniki. W trakcie lektury tej książki przygotujesz własne laboratorium, a następnie przeanalizujesz każdy etap zabójczego łańcucha ataków i zastosujesz nową wiedzę w praktyce. Dowiesz się, jak ominąć wbudowane mechanizmy bezpieczeństwa, między innymi AMSI, AppLocker i Sysmon, przeprowadzać działania rozpoznawcze i wykrywające w środowisku domeny, a także zbierać dane uwierzytelniające w całej domenie. Przeczytasz również, jak poruszać się ruchem bocznym, aby wtopić się w ruch środowiska i pozostać niewykrytym przez radary obrońców, a ponadto jak eskalować uprawnienia wewnątrz domeny i w całym lesie domen czy osiągać stan przetrwania na poziomie domeny i w kontrolerze domeny. W efekcie nauczysz się przeprowadzać ocenę bezpieczeństwa różnych produktów i usług Microsoftu, takich jak Exchange Server, SQL Server i SCCM. Ciekawsze zagadnienia: techniki atakowania usług: Active Directory, Exchange Server, WSUS, SCCM, AD CS i SQL Server skuteczne unikanie wykrycia w środowisku ofensywne bezpieczeństwo operacyjne (OpSec) sposoby naprawy błędnych konfiguracji przygotowanie rzeczywistych scenariuszy Testuj granice odporności swojej infrastruktury!
Paul Flewelling
This book will help you overcome the common challenges you’ll face when transforming your working practices from waterfall to Agile. Each chapter builds on the last, starting with easy-to-grasp ways to get going with Agile. Next you’ll see how to choose the right Agile framework for your organization. Moving on, you’ll implement systematic product delivery and measure and report progress with visualization. Then you’ll learn how to create high performing teams, develop people in Agile, manage in Agile, and perform distributed Agile and collaborative governance.At the end of the book, you’ll discover how Agile will help your company progressively deliver software to customers, increase customer satisfaction, and improve the level of efficiency in software development teams.
The Art of Cyber Security. A practical guide to winning the war on cyber crime
IT Governance Publishing, Gary Hibberd
This book redefines cyber security through the lens of creativity and classical strategy. It begins by exploring the mindset of the cyber defender as both artist and martial artist, highlighting the importance of intuition, flow, and individual perspective. It challenges rigid educational models and argues for a more adaptive, expressive approach to security thinking.Building on this foundation, the second part interprets Sun Tzu’s The Art of War in a cyber context. Each chapter reframes traditional military concepts—deception, preparation, leadership, and adaptability—through the realities of digital threats. The text emphasizes how timeless strategies apply to the modern information battlefield.By blending philosophy, history, and practical insight, the book offers a unique take on digital defense. It invites readers to reflect on their approach, question assumptions, and embrace both logic and creativity. This is not just a guide to threats and tactics, but a call to rethink what it means to be a cyber security professional today.
David J. Gee, Darryl West
Explore the intricacies of CIO and CISO roles with The Aspiring CIO and CISO by David Gee. This book leverages Gee's 20+ years of digital and cyber leadership experience, providing real-world insights, making it a valuable resource for those navigating the evolving landscape of the C-suite.Tailored to entry-level, mid-level, and senior managers looking to advance to the C-suite, this book serves a unique purpose in the realm of career guidance. The narrative speaks directly to individuals uncertain about their readiness for CIO or CISO roles, offering a personal mentorship experience that goes beyond technicalities. Armed with insights into crafting a powerful 90-day plan, you'll be well-equipped to catapult into CIO or CISO roles successfully. Beyond technical proficiency, the book instills survival skills, ensuring longevity and helping you prevent burnout in these pivotal positions. Additionally, by mastering the art of brand development and soft skills, you'll grasp the interpersonal dynamics crucial for executive leadership. This book is an indispensable guide for ambitious professionals, offering foresight and empowerment to thrive in the digital age.By the end of this book, you'll emerge with strategic dexterity, confidently steering your career trajectory towards the C-suite.
The California Privacy Rights Act (CPRA). An implementation and compliance guide
IT Governance Publishing, Preston Bukaty
This comprehensive guide to the California Privacy Rights Act (CPRA) explores its impact on businesses and consumers within California. The book begins with a clear explanation of CPRA’s territorial and material jurisdiction, providing readers with an understanding of where and how the law applies. It delves into key definitions critical for businesses and individuals alike, covering terms such as personal information, pseudonymization, and consumer rights. One of the focal points of the book is the examination of the rights granted to consumers, including the right to access, delete, and opt-out of data sales. Alongside this, it addresses the business obligations, such as the need for privacy notices and compliance with security requirements. The book also offers an analysis of penalties for non-compliance and breach notification procedures, making it an essential resource for understanding the legal landscape of consumer privacy in California. It concludes with an overview of related laws that further influence how businesses must manage customer data.
Akash Mukherjee, Jason D. Clinton
In an era of relentless cyber threats, organizations face daunting challenges in fortifying their defenses against increasingly sophisticated attacks. The Complete Guide to Defense in Depth offers a comprehensive roadmap to navigating the complex landscape, empowering you to master the art of layered security.This book starts by laying the groundwork, delving into risk navigation, asset classification, and threat identification, helping you establish a robust framework for layered security. It gradually transforms you into an adept strategist, providing insights into the attacker's mindset, revealing vulnerabilities from an adversarial perspective, and guiding the creation of a proactive defense strategy through meticulous mapping of attack vectors. Toward the end, the book addresses the ever-evolving threat landscape, exploring emerging dangers and emphasizing the crucial human factor in security awareness and training. This book also illustrates how Defense in Depth serves as a dynamic, adaptable approach to cybersecurity.By the end of this book, you’ll have gained a profound understanding of the significance of multi-layered defense strategies, explored frameworks for building robust security programs, and developed the ability to navigate the evolving threat landscape with resilience and agility.
IT Governance Publishing, Alan Calder
This book offers a deep dive into cybersecurity, equipping professionals with tools and frameworks to protect organizations from diverse cyber threats. It covers critical areas such as information security, cyber resilience, and the regulatory and contractual requirements organizations must meet. The book delves into threat anatomy, analyzing technical, human, physical, and third-party vulnerabilities, and includes real-world case studies like the TalkTalk breach and WannaCry ransomware attack.It also emphasizes third-party risk management to ensure robust security practices across all areas. The book introduces the IT Governance Cyber Resilience Framework (CRF), a structured method for managing critical systems, guiding readers through the processes of identification, detection, response, recovery, and continual improvement. Practical strategies in areas like asset management, network security, and staff training are included.The final section offers actionable steps for implementing cybersecurity practices and introduces reference frameworks like NIST and ISO 27001 for compliance and ongoing improvement. With real-world examples and actionable frameworks, this guide is essential for professionals aiming to enhance their organization's cyber resilience.
Jeremy Wittkop
Security is everyone's responsibility and for any organization, the focus should be to educate their employees about the different types of security attacks and how to ensure that security is not compromised.This cybersecurity book starts by defining the modern security and regulatory landscape, helping you understand the challenges related to human behavior and how attacks take place. You'll then see how to build effective cybersecurity awareness and modern information security programs. Once you've learned about the challenges in securing a modern enterprise, the book will take you through solutions or alternative approaches to overcome those issues and explain the importance of technologies such as cloud access security brokers, identity and access management solutions, and endpoint security platforms. As you advance, you'll discover how automation plays an important role in solving some key challenges and controlling long-term costs while building a maturing program. Toward the end, you'll also find tips and tricks to keep yourself and your loved ones safe from an increasingly dangerous digital world.By the end of this book, you'll have gained a holistic understanding of cybersecurity and how it evolves to meet the challenges of today and tomorrow.
Viktor Farcic
Viktor Farcic's latest book, The DevOps 2.1 Toolkit: Docker Swarm, takes you deeper into one of the major subjects of his international best seller, The DevOps 2.0 Toolkit, and shows you how to successfully integrate Docker Swarm into your DevOps toolset.Viktor shares with you his expert knowledge in all aspects of building, testing, deploying, and monitoring services inside Docker Swarm clusters. You'll go through all the tools required for running a cluster. You'll travel through the whole process with clusters running locally on a laptop. Once you're confident with that outcome, Viktor shows you how to translate your experience to different hosting providers like AWS, Azure, and DigitalOcean. Viktor has updated his DevOps 2.0 framework in this book to use the latest and greatest features and techniques introduced in Docker. We'll go through many practices and even more tools. While there will be a lot of theory, this is a hands-on book. You won't be able to complete it by reading it on the metro on your way to work. You'll have to read this book while in front of the computer and get your hands dirty.
The DevOps 2.2 Toolkit. Self-Sufficient Docker Clusters
Viktor Farcic
Building on The DevOps 2.0 Toolkit and The DevOps 2.1 Toolkit: Docker Swarm, Viktor Farcic brings his latest exploration of the Docker technology as he records his journey to explore two new programs, self-adaptive and self-healing systems within Docker. The DevOps 2.2 Toolkit: Self-Sufficient Docker Clusters is the latest book in Viktor Farcic’s series that helps you build a full DevOps Toolkit. This book in the series looks at Docker, the tool designed to make it easier in the creation and running of applications using containers. In this latest entry, Viktor combines theory with a hands-on approach to guide you through the process of creating self-adaptive and self-healing systems. Within this book, Viktor will cover a wide-range of emerging topics, including what exactly self-adaptive and self-healing systems are, how to choose a solution for metrics storage and query, the creation of cluster-wide alerts and what a successful self-sufficient system blueprint looks like. Work with Viktor and dive into the creation of self-adaptive and self-healing systems within Docker.
Viktor Farcic
Building on The DevOps 2.0 Toolkit, The DevOps 2.1 Toolkit: Docker Swarm, and The DevOps 2.2 Toolkit: Self-Sufficient Docker Clusters, Viktor Farcic brings his latest exploration of the DevOps Toolkit as he takes you on a journey to explore the features of Kubernetes.The DevOps 2.3 Toolkit: Kubernetes is a book in the series that helps you build a full DevOps Toolkit. This book in the series looks at Kubernetes, the tool designed to, among other roles, make it easier in the creation and deployment of highly available and fault-tolerant applications at scale, with zero downtime.Within this book, Viktor will cover a wide range of emerging topics, including what exactly Kubernetes is, how to use both first and third-party add-ons for projects, and how to get the skills to be able to call yourself a “Kubernetes ninja.” Work with Viktor and dive into the creation and exploration of Kubernetes with a series of hands-on guides.
Chad Maurice, Jeremiah Ginn, William Copeland
Threat hunting is a concept that takes traditional cyber defense and spins it onto its head. It moves the bar for network defenses beyond looking at the known threats and allows a team to pursue adversaries that are attacking in novel ways that have not previously been seen. To successfully track down and remove these advanced attackers, a solid understanding of the foundational concepts and requirements of the threat hunting framework is needed. Moreover, to confidently employ threat hunting in a business landscape, the same team will need to be able to customize that framework to fit a customer’s particular use case.This book breaks down the fundamental pieces of a threat hunting team, the stages of a hunt, and the process that needs to be followed through planning, execution, and recovery. It will take you through the process of threat hunting, starting from understanding cybersecurity basics through to the in-depth requirements of building a mature hunting capability. This is provided through written instructions as well as multiple story-driven scenarios that show the correct (and incorrect) way to effectively conduct a threat hunt.By the end of this cyber threat hunting book, you’ll be able to identify the processes of handicapping an immature cyber threat hunt team and systematically progress the hunting capabilities to maturity.
The Modern C# Challenge. Become an expert C# programmer by solving interesting programming problems
Rod Stephens
C# is a multi-paradigm programming language. The Modern C# Challenge covers with aspects of the .NET Framework such as the Task Parallel Library (TPL) and CryptoAPI. It also encourages you to explore important programming trade-offs such as time versus space or simplicity. There may be many ways to solve a problem and there is often no single right way, but some solutions are definitely better than others. This book has combined these solutions to help you solve real-world problems with C#.In addition to describing programming trade-offs, The Modern C# Challenge will help you build a useful toolkit of techniques such as value caching, statistical analysis, and geometric algorithms.By the end of this book, you will have walked through challenges in C# and explored the .NET Framework in order to develop program logic for real-world applications.