топ книг по кибербезопасности

Кибербезопасность: подборка книг 2020 года

Хочешь больше книг по программированию?

Подпишись на наш канал и ознакамливайся бесплатно!

По мере развития информационных технологий возрастает и необходимость в обеспечении кибербезопасности. Это совершенно естественно, ведь чем больше людей пользуются различными сайтами и приложениями, чем активнее они ими пользуются — тем больше соблазн у преступников воспользоваться этим.

В этой статье мы собрали книги, в которых затрагиваются те или иные аспекты обеспечения кибербезопасности. Заметим, что многие книги в этой сфере имеют в заголовках упоминания о хакерах и хакинге. Но не стоит думать, что авторы пропагандируют незаконную деятельность.

Тут можно провести аналогию с изучением иностранного языка. На каком-то этапе вы знакомитесь с его ненормативной лексикой, но это не значит, что вы собираетесь грязно ругаться при каждом удобном случае. Просто эти слова нужно знать, чтобы понять, когда кто-то пытается задеть вас.

Вот и в вопросах кибербезопасности стоит знать приемы, используемые хакерами: это позволяет эффективно защищать свои системы.

Ловушка для багов

Автор: Питер Яворски. Язык: русский.

Питер Яворски — хакер-самоучка. В настоящее время он занимается безопасностью приложений в Shopify. Помимо автора, в создании книги и написании некоторых глав активное участие принимали соучредители HackerOne — bug bounty платформы.

Тема «Ловушки для багов» — этичный хакинг, т. е. поиск уязвимостей в программах в интересах их владельца. Именно этим и занимаются хакеры на платформе HackerOne, одновременно удовлетворяя свою страсть ко взлому и зарабатывая деньги законным образом.

Книга состоит из 20 глав, посвященных разным видам уязвимостей (межсайтовая подделка запросов, внедрение HTML, межсайтовый скриптинг, уязвимости в OAuth и т.д.). По каждому виду дается четкое описание и приводятся примеры выявления. Главы книги мало связаны между собой, так что их вполне можно читать по отдельности.

Книга предназначена для начинающих. Желательно, чтобы у читателей были навыки программирования, но это не обязательно.

Кибербезопасность: стратегии атак и обороны

Авторы: Юрий Диогенес, Эрдаль Озкайя. Язык: русский.

Изучая материал этой книги, вы познакомитесь с различными методами атак и узнаете, как распознавать угрозы безопасности в вашей компании.

Для наглядности в книге используется множество цветных иллюстраций. В конце каждой главы вы найдете ссылки на справочные материалы.

Читатели должны иметь базовые понятия об информационной безопасности. Также предполагается знание ОС Windows и Linux.

Как стать хакером

Автор: Эдриан Прутяну. Язык: русский.

Эдриан Прутяну — практикующий специалист в области наступательной безопасности. Он консультирует компании, помогая им защитить их системы.

Книга «Как стать хакером» научит вас смотреть на веб-приложение с точки зрения злоумышленника. Вы познакомитесь с распространенными уязвимостями и узнаете, каким образом и в каких сценариях их могут использовать хакеры.

Книга предназначена для разработчиков, сетевых инженеров и DevOps, интересующихся вопросами кибербезопасности. Для лучшего понимания материала читатель должен иметь базовые знания об операционных системах, в частности Linux.

Машинное обучение и безопасность

Авторы: Кларенс Чио, Дэвид Фримэн. Язык: русский.

При помощи машинного обучения решаются задачи в самых разных сферах, и сфера кибербезопасности — не исключение. Более того, все больше компаний применяют машинное обучение с этой целью.

В этой книге вы найдете примеры практического применения машинного обучения для обнаружения вторжений, анализа сетевой среды и классификации вредоносных программ.

Эта книга междисциплинарна. Ее целевая аудитория — специалисты в сфере безопасности, которые хотят научиться применять в работе машинное обучение, а также — специалисты по машинному обучению, желающие заняться вопросами безопасности. Предполагается, что читатели владеют какими-либо языками программирования (примеры в книге написаны на Python).

Защита сетей. Подход на основе анализа данных

Автор: Майкл Коллинз. Язык: русский.

Эта книга посвящена теме сбора и анализа данных о безопасности сетей. По словам автора, главное отличие его книги в том, что она предлагает конкретные и решительные меры, которые можно принять в целях обеспечения безопасности.

В первой части книги рассматривается процесс сбора и организации данных, во второй рассказывается об инструментах, а в третьей разбираются аналитические сценарии и методы.

Книга предназначена для сетевых администраторов и специалистов по операционной безопасности. Предполагается, что читатели имеют базовые знания статистики и математики, а также знакомы с инструментами TCP/IP. Читатели также должны уметь программировать на каком-либо языке (примеры написаны на Python).

Kali Linux

Авторский коллектив: Шива Парасрам, Алекс Замм, Теди Хериянто, Шакил Али, Дамиан Буду, Джерард Йохансен, Ли Аллен. Язык: русский.

Операционная система Kali Linux, описываемая в этой книге, часто применяется специалистами по безопасности и пентестерами. Авторы познакомят вас со многими инструментами этой системы, которые используются при тестировании на проникновение.

Книга предназначена для специалистов в области безопасности, этичных хакеров и пентестеров. Читатели должны иметь базовые знания об ОС Unix/Linux и концепции информационной безопасности.

Немного об авторах.

Шива Парасрам — преподаватель по кибербезопасности, следователь-криминалист (компьютерная кримналистика). Алекс Замм — системный и сетевой администратор, консультант по безопасности в фармацевтических и авиакомпаниях. Дамиан Буду — тестировщик систем защиты. Джерард Йохансен занимался исследованиями киберпреступности. Имеет большой практический опыт в пентестинге. Консультировал по вопросам безопасности финансовые учреждения, организации здравоохранения и другие компании. Ли Аллен специализируется на пентестинге, безопасности, анализе данных и автоматизации задач. Теди Хериянто — аналитик по информационной безопасности. Шакил Али — консультант по кибербезопасности и независимый исследователь, автор статей на темы, связанные с кибербезопасностью.

Как вы уже поняли, авторы книги имеют богатый практический опыт применения Kali Linux, которым и делятся с читателями.

Авторы: Питер Торстейнсон, Дж. Гнана Арун Ганеш. Язык: русский.

Читая эту книгу, вы ознакомитесь с основами криптографии (основные термины, современные шифры), симметричной и асимметричной криптографией, концепцией цифровой подписи.

Container Security

Автор: Liz Rice. Язык: английский.

Эта книга познакомит вас с технологиями и механизмами, широко используемыми в системах на базе контейнеров. Вы узнаете, как контейнеры работают и коммуницируют, и это поможет вам понять причины многих решений в области безопасности контейнеров.

По словам автора, ее целью было рассказать, что происходит при запуске приложений в контейнерах, а также о том, как работают различные механизмы безопасности. Эти знания должны помочь читателям самостоятельно оценивать риски в своих системах.

Предполагается, что читатель имеет базовые знаниях о контейнерах (Docker или Kubernetes), а также умеет пользоваться командной строкой Linux.

А вы уже читали какую-нибудь из этих книг? Поделитесь впечатлениями в комментариях!

Источник

Подборка книг о кибербезопасности: как провести пентест и что противопоставить социальной инженерии

Книги из списка вышли в 2018–2019 году. Их рекомендуют на Hacker News и Reddit. Под катом — рассказы о тонкостях работы хакеров, размышления президента Microsoft о перспективах и рисках в ИТ, а также советы по пентестированию от специалиста, работавшего с DARPA, NSA и DIA.

Tools and Weapons: The Promise and the Peril of the Digital Age

Автор книги — Бред Смит (Brad Smith), юрисконсульт и президент Microsoft. Он говорит о перспективах и опасностях информационных технологий: от социальных сетей до систем искусственного интеллекта. В каком-то смысле «Tools and Weapons» можно назвать «мемуарами Microsoft». Автор приоткрывает дверь во внутреннюю кухню корпорации, рассказывая о методах борьбы с крупными кибератаками и принимаемых в этой связи решениях. Например, речь пойдет о том, как компания выпускала патч против вируса WannaCry для давно не поддерживаемой Windows XP.

The Fifth Domain: Defending Our Country, Our Companies, and Ourselves in the Age of Cyber Threats

«The Fifth Domain» написал Ричард Кларк (Richard Clarke) — эксперт по информационной безопасности. Он более тридцати лет занимался координированием борьбы с терроризмом. Соавтором выступил Роберт Кнейк (Robert Knake), отвечавший за кибербезопасность в Белом доме с 2011 по 2015 год. Сегодня они работают ИБ-консультантами для фирм из списка Fortune 500.

Работа Ричарда и Роберта посвящена битвам, происходящим в «пятом домене», — так Пентагон называет киберпространство. Под обложкой скрыты истории компаний, которые подверглись хакерским атакам и успешно их отразили. В этом ключе авторы затрагивают тему тактик киберзащиты: от обфускации кода до шардинга и сегментации сетей.

Тем, кому понравится «The Fifth Domain», имеет смысл обратить внимание на другую работу этих же авторов — «Cyber War», ставшей бестселлером по версии The New York Times. По сравнению с первой, она написана более популярным языком.

Social Engineering: The Science of Human Hacking

Атаки, основанные на методах социальной инженерии, одни из самых опасных. Их нельзя заблокировать файрволом и обнаружить антивирусом. Кристофер Хаднаги (Christopher Hadnagy) — консультант по информационной безопасности и ведущий подкаста social-engineer.org — говорит о наиболее эффективных приемах хакеров, и лежащей в их основе психологии. В тексте много реальных историй и отсылок к научным исследованиям. Некоторые читатели отметили, что «Social Engineering» также помогла им развить навыки социального общения.

Tribe of Hackers: Cybersecurity Advice from the Best Hackers in the World

Эта книга попала в «зал славы» литературы по кибербезопасности от компании Palo Alto Networks. Её автор — пентестер с 20-летним опытом Маркус Кэри (Marcus Carey), который работал с NSA, DARPA и DIA.

Маркус составил список из 14 вопросов — об информационных технологиях, а также рабочих процессах и личных качествах хакеров. Их он задал семидесяти специалистам по информационной безопасности. Полученные ответы сильно разнятся: от кратких и саркастичных, до развернутых и вдумчивых. Но информация в этой книге помогает понять «белых хакеров» и погрузиться в их рутину.

Фото — David Rangel — Unsplash

Click Here to Kill Everybody: Security and Survival in a Hyper-connected World

Об этих и других опасностях, затаившихся в мире интернета вещей, и повествует «Click Here to Kill Everybody». Её написал Брюс Шнаер (Bruce Schneier) — член совета директоров Фонда электронных рубежей (EFF) и автор блога Schneier on Security, который читает более 250 тыс. человек.

The Hacker Playbook 3: Practical Guide to Penetration Testing

Это — справочник для пентестеров. Он является продолжением серии The Hacker Playbook и The Hacker Playbook 2 от Питера Кима (Peter Kim). Автор в оригинальной манере повествует обо всех этапах тестирования на проникновение: от настройки компьютера до составления отчета об обнаруженных уязвимостях.

Ким знакомит читателя с основными дистрибутивами и утилитами для пентестов: Nmap, Nessus, Metasploit и Exploit-DB. Он также разбирает механизмы обхода антивирусов и программы для взлома хешей. Многие моменты в книге описаны кратко, однако в тексте всегда присутствует ссылка на тематический материал в сети, где можно подчерпнуть детальную информацию по заинтересовавшему вопросу.

Digital Resilience: Is Your Company Ready for the Next Cyber Threat?

Это — практическое руководство для компаний, посвященное защите от кибератак. Его составил Рей Ротрок (Ray Rothrock), глава агентства RedSeal, которое занимается оценкой информационной безопасности корпоративных сетей. Автор рассказывает истории организаций, восстановившихся после крупного взлома (и тех, кому это сделать не удалось). В качестве одного из примеров он приводит утечку данных кредитных карт 40 миллионов клиентов сети магазинов Target.

Мы в 1cloud.ru предлагаем услугу «SSL-сертификат». Если нужно подтвердить владельца домена, защитить передаваемые данные или авторское право на ПО.
Перед покупкой SSL-сертификата, мы рекомендуем узнать какой формат файла подходит для вашего веб-сервера. Наши специалисты готовы помочь и ответить на вопросы.

Источник

Книги о кибербезопасности: 5+ рекомендаций наших экспертов

Недавно у меня состоялся показательный разговор с Алексеем Малановым, сотрудником «Лаборатории» и опытным исследователем вредоносных программ, о том, может ли, например, сотрудник отдела по связям с общественностью (=не технарь) стать вирусным аналитиком? Ответ был простой и сложный одновременно: основы программирования, архитектура процессоров, особенности операционных систем, сетевые протоколы… В общем, «купи книжку по Ассемблеру и приходи лет через пять».

А что, если подняться на уровень выше? От анализа конкретных экземпляров вредоносных программ (что само по себе непросто) перейти к комплексному исследованию компьютерных инцидентов? Этим у нас занимается подразделение Global Research and Analysis Team (GReaT). К ним я недавно обратился с похожим вопросом: какие книги они могут порекомендовать другим специалистам по компьютерной безопасности (имея в виду, что азы программирования и прочие базовые вещи уже освоены)? В результате получился список из пяти книг — а на самом деле из десяти :-), — с которым можно ознакомиться под катом.

Для начала небольшой дисклеймер: чуть ниже вы увидите много ссылок на Amazon, и вовсе не потому, что наши эксперты предпочитают закупаться книгами именно там. Во-первых, первоначальный список популярных книг о безопасности, который показывали экспертам, мы взяли именно оттуда. Эксперты отметили интересные книги и добавили свои рекомендации, причем мы получили отзывы от наших коллег сразу из 10 разных стран мира. Ограничивать специалистов только книгами, переведенными на русский язык, было бы неправильно. К счастью, на английском все упомянутые здесь издания доступны в электронном виде (как минимум — в версии Kindle Edition у Amazon, а возможно, и у других продавцов). Если вам известно об издании книг из списка на русском – дайте знать в комментариях. Ну, поехали!

1. Practical Reverse Engineering: x86, x64, ARM, Windows Kernel, Reversing Tools, and Obfuscation
Bruce Dang; 2014 год
Ссылка

Если по результатам прочтения первой главы у вас создастся впечатление о некоей легковесности подачи, то это впечатление ложное. Читая эту книгу, я даже было порадовался тому, что все изложено простым и понятным даже для неспециалиста языком, и немедленно за это поплатился.

После вступления на вас немедленно обрушивается поток детализированной информации о реверс-инженеринге, особенностях работы ядра Windows и процессорных архитектурах без особых скидок на уровень подготовки. Тем не менее, это скорее учебник, чем справочное руководство для опытного специалиста. Работа исследователя в сфере безопасности чаще всего начинается именно с анализа вредоносного кода, и эта книга вполне подходит для ознакомления с данной задачей.

2. The Practice of Network Security Monitoring: Understanding Incident Detection and Response
Richard Bejtlich; 2013 год
Ссылка

В книге дается качественный обзор инструментов для мониторинга сетевой безопасности. Что важно, описание инструментов для мониторинга дополняется практическими примерами их применения. Не ясно правда, зачем в книге в таком объеме даны дампы сетевого трафика — особенно это бросается в глаза в бумажном издании. По словам наших экспертов, если вы впервые знакомитесь с темой безопасности в компьютерных сетях, то эта книга — одно из лучших пособий.

3. Threat Modeling: Designing for Security
Adam Shostack; 2014 год
Ссылка

Хотя моделированием угроз интуитивно занимается каждый из нас, очень немногие делают это профессионально. Адам Шостак — один из таких редких профи. Его труднопереводимая работа в Microsoft называется Security Development Lifecycle Threat Modeling; накопленный трудовой опыт воплотился в толстенной шестисотстраничной книге, которая пригодится и начинающим, и опытным специалистам.

Начиная с простых вещей вроде четырехходовки «Что мы строим», «Что может пойти не так с построенным», «Что мы можем сделать по поводу того, что может пойти не так» и «Хорош ли наш анализ», Шостак погружается в каждый из аспектов моделирования угроз весьма глубоко, предлагая проверенные на личном опыте методики, программные инструменты и маленькие хитрости, помогающие построить эффективную модель угроз чему угодно. Кстати, в книге достаточно четко выделены аспекты, которые больше пригодятся разработчикам приложений, архитекторам ИТ-систем, и специалистам по безопасности, что также полезно.

Чтение книги очень скрашивает интеллигентный троллинг, к которому автор прибегает регулярно, описывая клише, часто всплывающие при моделировании угроз, или ситуации на встречах с участниками проекта (например, совершенно не компьютерная, а человеческая проблема в стиле «так кто же отвечает за проверку этого SQL-запроса?»).

4. Android Hacker’s Handbook
Joshua J. Drake; 2014 год
Ссылка

В отличие от экосистемы ПК, где, ввиду количества и «возраста» угроз, научная и практическая работа по их анализу ведется уже давно, платформа Android — быстро догоняющий новичок. Поэтому в нашем списке книга по безопасности Android только одна, и она посвящена не столько анализу вредоносных программ, сколько обзору всего спектра угроз для мобильных устройств — от уязвимостей в ОС до разработки приложений с учетом требований безопасности. В аннотации к книге указано, что это «первое издание для IT-профессионалов, ответственных за безопасность смартфонов». 500-страничного тома недостаточно, чтобы в подробностях описать все аспекты мобильной безопасности, но большинство таких проблем в этой книге как минимум обозначены. Один из авторов этой книги, кстати, раньше был экспертом «Лаборатории Касперского».

5. The Art of Computer Virus Research and Defense
Peter Szor; 2005 год
Ссылка

Единственная книга из пятерки, выпущенная целых 9 лет назад. До появления Android и iOS, планшетов и практики использования личных компьютеров на работе, кибер-оружия и многих других элементов современной компьютерно-сетевой реальности. Тем не менее, возраст конкретно этой книге нисколько не мешает, и по одной простой причине: развитие индустрии защиты от киберугроз здесь описывается в ретроспективе. А понимать, «откуда что взялось», очень важно, независимо от того, чем вы занимаетесь. Например потому, что угрозы на мобильных устройствах развиваются практически по тому же сценарию, что и угрозы для обычных ПК (только гораздо быстрее).

Кстати, следить за деятельностью наших экспертов из GReaT можно в Твиттере. Регулярно пополняемый список твиттеров можно найти вот здесь.

Бонус-треки 🙂
Practical Malware Analysis: The Hands-On Guide to Dissecting Malicious Software
Michael Sikorski; 2012 год
Ссылка
Эту книгу можно рассматривать в качестве альтернативы труду Брюса Дэнга или в качестве дополнения.

Reversing: Secrets of Reverse Engineering
Eldad Eilam; 2005 год
Ссылка
Примеры в этой книге, выпущенной также 9 лет назад, могут показаться устаревшими. Но (относительная) простота изложения темы для кого-то окажется более ценной, чем актуальность платформ и инструментов.

The Art of Software Security Assessment: Identifying and Preventing Software Vulnerabilities (Mark Dowd; 2006; ссылка).

The IDA Pro Book: The Unofficial Guide to the World’s Most Popular Disassembler (Chris Eagle; 2011; ссылка).

The Art of Memory Forensics: Detecting Malware and Threats in Windows, Linux, and Mac Memory (Michael Hale Ligh; 2014; ссылка).

А какие книги по данной тематике порекомендуете вы?

Источник

Книги по информационной безопасности. Знакомимся ближе с ИБ

Хаб «Информационная безопасность» один из самых популярных на Хабре. Более того, в последние годы вопрос конфиденциальности в сети становится очень актуальным, учитывая сканирование наших электронных писем. Но кроме специалистов в данной сфере мало кто в этом разбирается, поэтому давайте попробуем познакомиться с информационной безопасностью поближе и применить ее в своих проектах, как это сделали мы.

Начнем с самого начала. Что же такое информационная безопасность?
Информационная безопасность — это процесс обеспечения конфиденциальности, целостности и доступности информации.
Конфиденциальность: Обеспечение доступа к информации только авторизованным пользователям.
Целостность: Обеспечение достоверности и полноты информации и методов ее обработки.
Доступность: Обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

Мы подготовили для Вас небольшой список литературы по информационной безопасности, в данном посте 9 книг (7 на русском и 2 на английском), остальное продолжим публиковать позже или можете сами поискать у нас на сайте.

1. Блинов — Информационная безопасность
В учебном пособии рассматривается текущее состояние дел в области информационной безопасности. Приводятся основные термины и определения согласно принятым нормативно-правовым документам на территории России. Одна из глав посвящена обзору международных оценочных стандартов в области информационной безопасности. Освещаются вопросы построения защищенных информационных систем на основе применения математических моделей. Данное учебное пособие предназначено для студентов старших курсов специальности «Прикладная информатика в экономике». Является первой теоретической частью цикла учебных пособий по информационной безопасности.

2. Борис Бейзер — Тестирование черного ящика
Книга доктора Бейзера «Тестирование черного ящика» давно была признана классическим трудом в области поведенческого тестирования разнообразных систем. В ней глубоко рассматриваются основные вопросы тестирования программного обеспечения, позволяющие отыскать максимум ошибок при минимуме временных затрат. Чрезвычайно подробно излагаются основные методики тестирования, покрывающие все спектры аспектов разработки программных систем. Методичность и широта изложения делают эту книгу незаменимым помощником при проверке правильности функционирования программных решений. Книга предназначена для тестировщиков программного обеспечения и программистов, стремящихся повысить качество своей работы.

3. Алексей Петровский- Эффективный хакинг для начанающих и не только
Сейчас это наш мир… мир электроники, изменений и прелести бод. Мы пользуемся уже имеющимися услугами, не платя даже за то, что может быть очень дешевым, и ты можешь называть нас преступниками. Мы исследуем… Мы существуем без цвета кожи, без национальности, без религиозных уклонов… Ты создаешь атомные бомбы, воюешь, убиваешь, ты лжешь нам, и пытаешься заствить нас поверить в свои собственные действия, мы все еще преступники. Да, я-преступник. Мои преступления ради любопытства. Судя по разговорам и мыслям люде, мои преступления не выглядят приятными. Мои преступления для того, чтобы перехитрить тебя, и чтобы ты никогда не простил меня. Я хакер и это мой манифест. Ты сможешь остановить меня, но ты не сможешь остановить нас всех…

4. Горбатов и Полянская — Основы технологии PKI
Рассматриваются основы технологии инфраструктур открытых ключей. Даются базовые определения. Анализируются основные подходы к реализации инфраструктур открытых ключей, описываются архитектура, структуры данных, компоненты и сервисы PKI. Предлагается классификация стандартов и спецификаций в области инфраструктур открытых ключей. Рассматриваются проблемные ситуации и риски, политика PKI, правовые аспекты использования технологии PKI. Описываются программные продукты ведущих мировых и российских компаний-производителей программного обеспечения для поддержки PKI (по состоянию на момент выхода в свет первого издания книги). Для студентов и аспирантов высших учебных заведений, слушателей курсов повышения квалификации, а также для широкого круга читателей, интересующихся современными проблемами информационной безопасности.

5. Петренко и Курбатов — Политики безопасности компании при работе в интернет
Книга является первым полным русскоязычным практическим руководством по вопросам разработки политик информационной безопасности в отечественных компаниях и организациях и отличается от других источников, преимущественно изданных за рубежом, тем, что в ней последовательно изложены все основные идеи, методы и способы практического решения разработки, внедрения, и поддержки политик безопасности в различных российских государственных и коммерческих структурах. Книга может быть полезна руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), ответственным за утверждение политик безопасности и организацию режима информационной безопасности; внутренним и внешним аудиторам (CISA); менеджерам высшего эшелона управления компанией (ТОР-менеджерам), которым приходится разрабатывать и внедрять политики безопасности в компании; администраторам безопасности, системным и сетевым администраторам, администраторам БД, которые отвечают за соблюдение правил безопасности в отечественных корпоративных информационных системах. Книга также может использоваться в качестве учебного пособия студентами и аспирантами соответствующих технических специальностей.

6. Михайлов и Жуков — Защита мобильных телефонов от атак
Книга посвящена вопросам обеспечения безопасности мобильных устройств. В книге рассматривается более 40 вариантов вредоносных действий, с помощью которых злоумышленники похищают конфиденциальные данные, незаконно снимают денежные средства или прослушивают телефонные разговоры. О большинстве рассматриваемых уязвимостей ранее не было известно широкой общественности. Читатель познакомится с главными признаками атак на свой телефон, а также узнает, что нужно делать, чтобы не стать жертвой мошенников. Приведены аргументы, показывающие реальность осуществления рассматриваемых угроз. Вместе с тем, чтобы не провоцировать мошенников на преступные действия, не приводится информация о том, какие именно мобильные аппараты несовершенны с точки зрения безопасности, а также как этими уязвимостями можно воспользоваться. Книга рассчитана на широкий круг читателей и будет полезна как специалистам по защите информации, так и простым пользователям мобильных телефонов.

7. Саттон, Грин, Амини — Фаззинг: Исследование уязвимостей методом грубой силы
Фаззинг — это процесс отсылки намеренно некорректных данных в исследуемый объект с целью вызвать ситуацию сбоя или ошибку. Настоящих правил фаззинга нет. Это такая технология, при которой успех измеряется исключительно результатами теста. Для любого отдельно взятого продукта количество вводимых данных может быть бесконечным. Фаззинг — это процесс предсказания, какие типы программных ошибок могут оказаться в продукте, какие именно значения ввода вызовут эти ошибки. Таким образом, фаззинг — это более искусство, чем наука. Настоящая книга — первая попытка отдать должное фаззингу как технологии. Знаний, которые даются в книге, достаточно для того, чтобы начать подвергать фаззингу новые продукты и строить собственные эффективные фаззеры. Ключ к эффективному фаззингу состоит в знании того, какие данные и для каких продуктов нужно использовать и какие инструменты необходимы для управления процессом фаззинга. Книга представляет интерес для обширной аудитории: как для тех читателей, которым ничего не известно о фаззинге, так и для тех, кто уже имеет существенный опыт.
В книге рассказывается:
— Почему фаззинг упрощает разработку тестов и отлавливает ошибки, которые трудно обнаружить другими методами
— Как организовать фаззинг: от идентификации входных данных до оценки пригодности продукта к эксплуатации
— Что необходимо для успешного фаазинга
— Как создать и внедрить умный механизм обнаружения сбоев
— Чем отличаются мутационные фаззеры от порождающих
— Как автоматизировать фаззинг аргументов программы и переменных окружения
— Каким образом лучше организовывать фаззинг данных в оперативной памяти
— Как разработать собственный интерфейс и приложения фаззинга

8. Alan Conheim — Computer security and cryptography
This book updates readers with all the tools, techniques, and concepts needed to understand and implement data security systems. It presents a wide range of topics for a thorough understanding of the factors that affect the efficiency of secrecy, authentication, and digital signature schema. Most importantly, readers gain hands-on experience in cryptanalysis and learn how to create effective cryptographic systems.

9. Kord Davis — Ethics of Big Data
What are your organization’s policies for generating and using huge datasets full of personal information? This book examines ethical questions raised by the big data phenomenon, and explains why enterprises need to reconsider business decisions concerning privacy and identity. Authors Kord Davis and Doug Patterson provide methods and techniques to help your business engage in a transparent and productive ethical inquiry into your current data practices. Both individuals and organizations have legitimate interests in understanding how data is handled. Your use of data can directly affect brand quality and revenue—as Target, Apple, Netflix, and dozens of other companies have discovered. With this book, you’ll learn how to align your actions with explicit company values and preserve the trust of customers, partners, and stakeholders.

Источник