Back to site
Since 2004, our University project has become the Internet's most widespread web hosting directory. Here we like to talk a lot about web servers, web development, networking and security services. It is, after all, our expertise. To make things better we've launched this science section with the free access to educational resources and important scientific material translated to different languages.

Adam Shostack lui personale Pagina de start

Source: http://www.homeport.org/~adam/

 Adam Shostack

Cu unele dintre lucrurile pe care le-am făcut.

Interese am construit (sau a ajutat la construirea)

Elevation Privilege de: Modelare Joc Amenintare
Cea mai simplă cale de a obţine a început de modelare ameninţare. Puteţi descărca o copie de pepagina oficiala de la Microsoft, şi există un post de blog cuanuntul. My Black Hat 2010 vorbesc "Cea mai simplă cale de a obţine a început de modelare ameninţare" acoperă o parte din ce funcţionează jocul.
Noua Şcoală de Information Security (carte)
Adam Shostack şi Andrew Stewart. Noi examinăm unele dintre deficienţele în curs de desfăşurare a profesiei de securitate a informaţiilor, şi să propună câţiva paşi foarte practic că orice persoană fizică sau organizaţie nu poate lua pentru a îmbunătăţi lucrurile. Disponibil de la librării bine acum. Amazon sauInformIT Addison Wesley lui. Exista acum un blog inspirat de carte lahttp://newschoolsecurity.com
Microsoft SDL Amenintare Modelare Tool
Am fost condus la crearea aInstrumentului Amenintare Modeling SDL disponibil ca un download gratuit de la MSDN.
CVE (1997-prezent)
După două Workshop privind Colecţii de date de vulnerabilitate la Purdue, am muncit din greu pentru a facevulnerabilităţi comune şi expunerile pe listă o realitate. CVE este acum larg folosit şi eu sunt un consilier Emerit.
Zero Knowledge Systems, Echipa Evil Genius (1999-2002)
La Zero-Knowledge Systems, am avut privilegiul de a construi şi a conduce o echipa de Geniuses Evil, care a ajutat la construirea unor tehnologii cu adevărat uimitor.
Creşterea de confidenţialitate Tehnologii Simpozion
Am fost un membru al comitetului de direcţie pentru această serie de ateliere de lucru academic. Am organizatdouă în 2002 în San Francisco şinouă în Seattle.
Financiare Internaţionale Criptografie Conferinta (1997-2003)
Am fost vice-preşedinte alAsociaţiei Internaţionale Criptografie, care este dedicat pentru a aduce împreună criptografi, bancheri, şi alţii pentru a avansa teoria şi practica de Criptografie financiar. De asemenea, am ajutat rula un atelier de o săptămână, a avut loc şi alte roluri.

Documentele şi discuţiile şi diapozitive

2011

Reducerea la zero pe metode de reproducere Malware
Volumul 11 din raportul Microsoft Security Intelligence a deschis cu un articol aparut pe modul în care propagă malware. O mare parte din datele-cheie în care este munca mea, si am fost unul dintre autorii articolului featured. Aveţi posibilitatea de a descărca articol prezentateaici, sau a vedea SIR completă de laRaportul de Securitate Intelligence site-ului.
Ingineri sunt şi ei oameni
Keynote laI3P cârnaţi atelier de lucru ("Software-ul şi de securitate Utilizabil Aliniate pentru Inginerie Good"). Similar cu discursul meu SUPE, această dislosed deplin abordarea NEAT la avertismente mai uşor de utilizat, şi a inclus gânduri cu privire la modul de a crea un mediu de invatare.Diapozitivele pentru ingineri sunt oameni Prea v 1.1
Ajută pe inginerii proiectanţi Avertismente NEAT de securitate
Reeder Rob cu mine şi Ellen Kowalczyk Cram. Va prezentam distilare noastră carte de portofel de cum să se proiecteze avertismente de securitate în această lucrare scurt. Unele context suplimentar este în post pe blog, "Adăugarea de securitate utila la SDL." Hârtia esteaici.
Manse Podcast risc: Loops Feedback
M-am alăturat Chris Hayes, Alex Hutton şi Jay Jacobs, şi a crezut că discuţia a fost deosebit de bune. Puteţi asculta sau descărca la "Episodul 14 furtun de risc"

2009-2010

Ingineri sunt şi ei oameni
Keynote laSUPE 2010. În "Ingineri sunt şi ei oameni" Adam Shostack va adresa o legătură într-adesea invizibile în lanţul dintre cercetarea în domeniul securităţii uşor de utilizat şi a vieţii private şi furnizarea de faptul că gradul de utilizare: inginer. De prea multe ori, inginerii se presupune că au timp infinit şi abilităţi pentru teste de utilizabilitate şi repetare. Ei au timp pentru a citi documente, să se adapteze ideilor de cercetare la specificul produsului lor, şi navă încă noi caracteristici interesante. Această convorbire va reuni lecţii din care să permită mii Microsoft de ingineri pentru a modelare ameninţare în mod eficient, împărtăşesc unele noi abordări pentru a uzabilitate securitate inginerie, şi va propune noi directii de cercetare.
Criza in securitatea informatiei
Acesta este un nivel înalt şi să vorbească foarte bine că am revizuit dau discuta unele dintre lecţii de la New School. Am fost, de asemenea vorbit pe modelare ameninţare.

2008

Noua Şcoală de Information Security (carte)
Adam Shostack şi Andrew Stewart. Noi examinăm unele dintre deficienţele în curs de desfăşurare a profesiei de securitate a informaţiilor, şi să propună câţiva paşi foarte practic că orice persoană fizică sau organizaţie nu poate lua pentru a îmbunătăţi lucrurile. Disponibil de la librării bine acum.
Scrierea pe Modelarea Amenintare
La unatelier de realizare a modelelor de securitate, am prezentat "Modelarea Experiente Threat la Microsoft", un titlu care este destul de sine explicativ. (Uşor actualizat la versiunea atelier.)

În revista MSDN, "descoperă defecte de securitate Proiectare Utilizarea Abordarea STRIDE" ş i"revigora procesul de Modeling Amenintare" este despre cum Mă gândesc de modelare a ameninţărilor şi câteva lecţii învăţate. MSDN, de asemenea, a publicat "Noţiuni de bază Cu Instrumentul pentru Threat Modeling SDL."

O serie de posturi pe blog privind lecţiile învăţate de modelare ameninţare la Microsoft. Seria poate fi descărcat ca un doc Word, "The Trouble with Modeling Amenintare."

Silver Bullet Podcast # 26
Dupa lansarea din New School, Gary McGraw-ma intervievat pentru podcast-ul lui Silver Bullet de securitate. "Episodul 26" are legături pentru a asculta sau descărca, şi Gary-l editat într-un articol.

2007

Simpozionul de vara de confidenţialitate
LaSimpozionul de vara de confidenţialitate organizat de Harvard Law School, am dat o scurtă discuţie pe SDL Microsoft şi modul în care aceasta afectate de confidenţialitate.(Cu Sue Glueck.)
Încălcările de securitate sunt bune pentru tine (prezentare de conferinţe, ShmooCon)
La Shmoocon 2007, i-am dat un discurs scurt, intitulat "Încălcări de securitate sunt bune pentru tine."

2006

Modelarea Amenintare: Uncover defecte de securitate Proiectare Utilizarea Abordarea STRIDE
În MSDN revista, cu Shawn Hernan, Lambert Scott şi Ostwald Tomasz. "Modelarea Amenintare: Uncover defecte de securitate Proiectare Utilizarea Abordarea STRIDE."
Schimbul de informaţii de echilibrare şi de confidenţialitate, (Panou de prezentare, Conferinta Nationala de Stiinta, Tehnologie, şi Legea)
La Institutul Naţional al Conferinţei Naţionale de Justiţie privind Ştiinţă, Tehnologie, şi Legea, am participat la un panou pe "Schimbul de informaţii de echilibrare şi de confidenţialitate," şi a prezentat "Protejarea societăţii, prin Protejarea informatiei: reducerea criminalităţii prin schimbul de informaţii mai bună" (Sau obţineţiPowerPoint slide-uri. nu stiu de ce face toate notele vorbitorului că urât portocaliu.)

2005

Principiile de securitate şi de Saltzer Schroeder
Saltzer şi principiile clasice lui Schroeder de securitate a informaţiilor, ilustrat cu scene din Star Wars.
Păstrarea Canalul de internet împotriva phishing (eseu)
Un scurt eseu, derivate din unelepe blog- postări despre phishing.Conservarea Canalul de Internet împotriva phishing
Ritualurile de securitate care să permită Uniunii Pereche-înţelept de variabile Unbound Two (Crypto 2005 prezentare rump)
M. Briceno, J. Callas, T. Cannoy, J. Merchant, A. Shostack, N. van Someren, şi R. Wagner. Slide-uri nu sunt împărtăşite
Anonim proiect listă blogging-ul (vorbesc de conferinţe, Recon)
Recon sunt disponibile capaginile web,Keynote, sauPowerpoint.
Managementul patch-urilor eficiente: Cum sa faci durerea sa dispara (Conducerea vorbi de securitate)
Diapozitive din discursul meu din seria de securitate de conducere sunt on-line caweb,Keynote şiPDF
Evitarea răspunderea: o ruta alternativa la produse mai sigure (Crupa vorbesc Conferinţa, WEIS05)
M-am gândit cu privire la răspunderea în securitatea informaţiilor în ultima vreme, şi au un proiect de scurt eseu larăspunderea Evitarea: o ruta alternativa la produs mai sigur (de asemenea, disponibil înformat PDF)
Bazate pe dovezi de evaluare de securitate (Panel, ShmooCon)
La Shmoocon, Crispin Cowan, Ed Reed, Al Potter şi am fugit o BOF intitulat " Evidence Based Securitate. "Slide-uri noastre sunt toate aici:Crispin Cowan lui (Powerpoint sauPDF),Ed Reed (Powerpoint sauPDF),Al Potter (Powerpoint sauPDF), şia mea (Powerpoint sauPDF)

2004

Dincolo de Patch şi Rugaţi-vă: Securitatea By Design (Securitate vorbi de conducere)
Prezentarea mea de la Conferinta de Leadership de Securitate a fost cu privire la utilizarea instrumentelor de îmbunătăţire a calităţii software-ului şi a operaţiunilor. Puteţi vedeaPowerpoint sauPDF. Aceasta a fost prima în cazul în care am comentat public că "oamenii de securitate sunt de pe Marte, oamenii de afaceri sunt de la Wharton"
Evite, o declama
Câteva cuvinte despreevite, şi de ce eu sunt în tăcere ignorând invitaţia dragi.

2003

Managementul patch-urilor Cuantificarea (trimestriale Secure Business)
Cuantificarea managementul patch-urilor a fost scris pentru @ Miza lui Secure Business trimestrial Q2 2003număr special cu privire la gestionarea patch-uri. Gestionarea de inundaţii de patch-uri acolo, necesită mai mult de forta bruta.
Identitate şi economie: Terorism şi de confidenţialitate (blackhat Sesiuni de informare)
La Briefings Blackhat în Las Vegas, am vorbit despre "Identitate şi Economie: Terorism şi de confidenţialitate" vorbesc se concentrează pe limitele de securitate pe care multi-scop, cărţi de identitate poate oferi, şi sugerează că noi ar trebui să cheltuiască banii în mai multe locuri util.pdf sau Powerpoint
De plată pentru confidenţialitate: Consumatori şi Infrastructuri (hârtie Referereed, Atelier 2 pe economie şi Securitatea Informatiei)
LaAtelier anual două cu privire la economia şi securitatea informaţiilor, am prezentat laplată pentru privata: Consumatori şi Infrastructuri (sauPDF sauPowerPoint), în care mă uit la dorinţa consumatorului de a plăti pentru viaţa privată, precum şi subvenţia acordată invadarea vieţii private de către cărţile de identitate guvern.
Oamenii vor Ever plată de intimitate? (Briefings Blackhat, Amsterdam)
, După eşecul Zero-Knowledge de a vinde gazillions de abonamente pentru software-ul nostru libertate foarte misto, eu sunt de multe ori întrebat, "Will oamenii sa plateasca vreodata pentru confidenţialitate?" (SauPDF sauPowerPoint) Raspunsul meu este da, ei au, nu, şi va continua să. I-am dat, de asemenea, un discurs laSesiuni de informare Blackhat în Amsterdam

2002

Calendarul de aplicare a patch-uri de securitate pentru Uptime Optimal
Calendarul de aplicare a patch-uri de securitate pentru Uptime optima sau[pdf.] Steve Beattie, Seth Arnold, Crispin Cowan, Perry Wagle, Chris Wright, şi Adam Shostack. Prezentat laUSENIX saisprezecea Conferinta Administrare Systems (LISA 2002), Philadelphia, PA, decembrie 2002
Barierele economice la aplicarea tehnologiilor de confidenţialitate existente (hârtie Poziţia, Weis Intai)
Barierele economice la aplicarea tehnologiilor de confidenţialitate existente (Documentul de pozitie). Joan Feigenbaum, Michael J. Freedman, Tomas Sander, şi Adam Shostack.Procedurile deAtelier de lucru pe economie şi securitatea informaţiilor. Berkeley, CA.
Către Tehnologie pentru Protecţia Datelor (Cutter IT Jurnalul)
Către Tehnologie pentru Protecţie de date mai 2002, Cutter IT Journal. (Nu este Online).
Rezultatele nu, Rezoluţiile (eseu)
Rezultatele nu, rezoluţiile cu Bruce Schneier. Iniţial a apărut înFocus de securitate, dar versiunea Crypto-Gram are mai multe corecţii.

Microsoft ma angajat oricum.

O abatere filosofice cu privire la relaţia dintre libertate şi securitate

"Libertatea de care ne bucurăm în guvernul nostru democratic se extinde, de asemenea, la viaţa noastră obişnuită Am deschis arunca orasul nostru către lume,. Şi nu prin acte străin străini exclude de la orice oportunitate de învăţare sau de observare, deşi ochii unui inamic poate ocazional de profit dărnicie noastre Trăim. exact aşa cum ne rugăm şi încă sunt la fel de pregatiti sa intampine orice pericol legitim. Dacă nu cu obiceiuri de muncă, ci de usurinta, curaj şi nu de arta, ci de natura, suntem încă dispuşi să întâlni furie, ne-am dublul avantaj de a nu suferă greutăţi înainte de care avem nevoie pentru a, şi cu care se confruntă ei în ceasul de nevoie ca fara frica ca cei care nu sunt libere de la ei. Pretul de curaj va fi cu siguranta cele mai multe acordate pe bună dreptate pentru cei care cunosc cel mai bine diferenţa dintre greutăţi şi de plăcere şi totuşi nu sunt tentaţi să se micşoreze de la pericol şi acesta este doar oameni democratice, care, fără teamă de consecinţe, conferă beneficiile acestora nu din calcule de oportunitate, dar în încrederea de liberalitate...

De la primele monumente de limbă de Pericle din Atena, 431 BC 
Adăugat 18 septembrie 2001.

2001

Inginerie de confidenţialitate pentru Digital Rights Management Systems (ACM Atelier pentru securitate şi confidenţialitate în DRM)
Inginerie de confidenţialitate pentru Digital Rights Sisteme de Management, Michael J. Freedman, Joan Feigenbaum, Tomas Sander, Adam Shostack, Atelier ACM pentru securitate şi confidenţialitate în Managementul drepturilor digitale pentru 2001,LNCS 2320.
Încredere, Etică şi confidenţialitate (Boston University Law Review)
Încredere, de etică şi de confidenţialitate cu Ian Goldberg, Hill Austin, Adam Shostack, Boston University Law Review, Volume 81, numărul 2, aprilie, 2001. (Nu este on-line)

1999

Zero-Knowledge Systems Whitepapers
Libertatea este cel mai sigur mai usor, de a utiliza software-ul de confidenţialitate făcut vreodată. Whitepapers Libertatea au fost arhivateaici. Am fost un autor principal de trei originale 1.0 Descriere produs: oimagine de ansamblu, o privire de ansamblu similar cu mult mai multedetalii, şi unul peprobleme de securitate.
Către o taxonomie de tehnici de evaluare Network Security (Sesiuni de informare Blackhat)
La briefing blackhat, am prezentat o lucrare facuta cu Scott Blake lucruCătre o taxonomie a Tehnici de evaluare Network Security. Acest lucru a ieşit din munca pe care am făcut, împreună cu echipa restante de oameni de la Netect (acum parte din Bindview Dezvoltare) în crearea scanerului vulnerabilitate HackerShield. Această lucrare este o încercare de a împărtăşi unele dintre lucrurile pe care le-am învăţat în clădirea aceasta.
Breaking Up este greu să faci (cel mai bun de hârtie, Primul Workshop Usenix pe Smartcard-uri)
Lucrarea mea cu Bruce Schneier,Breaking Up este greu să faci: ameninţărilor de securitate pentru Modelare Smartcard-uri a castigat Best of Show laprimul atelier de lucru pe tehnologia Smartcard Usenix.

1997

Perspective privind Obscuritatea (financiar Criptografie, vorbesc rump)
În cadrul conferinţei, am dat două discuţii crupă sesiune, dintre care unul,Perspective asupra Obscuritatea, este disponibil ca o schiţă. (Cred ca acest lucru a ridicat destul de bine.)
Deficienţe în aparenta Client Security Dynamics Server Protocol (Atelier DIMACS privind ameninţările la adresa de reţea)
Deficienţe aparente în protocolul de securitate Dynamics Client Server. Acest document a fost prezentat la workshop DIMACS peAmeninţări de reţea, şi descrie o slăbiciune semnificativă a modelului de securitate Dynamics client server, care a fost aparent stabilit în versiuni ale software-ului mai târziu decât cele am fost de lucru cu.Dynamics de Securitate a răspuns la munca mea înainte de publicare. Sunt foarte încântat că acestea vor fi publicarea protocoalele lor în viitor.Post-scriptum dosarul depus la DIMACS este disponibil, ca este unhtml versiune, dar versiunea html lipseşte două diagrame.
Cod sursă opinie Orientări
Clienţi codul sursă sunt o parte importantă a scris codul de securitate. Am scris catevalinii directoare privind modul în care să realizeze o analiză şi ce să caute.

Unelte am construit sau a ajutat la construirea

Microsoft SDL Amenintare Modelare Tool
Cel mai simplu mod de a obţine încă început de modelare ameninţare. Disponibilaici
P3P Analyzer
Am fost puternic implicat în crearea de Zero-Knowledge lui P3P Analyzer, un instrument pentru a ajuta companiile face cu IE6, interacţiunea cu politicile compactă P3P.
HackerShield (instrument)
Am fost un lider al echipei de design de bază pentruHackershield. Am introdus un număr mare de inovaţii în scanare de securitate, inclusiv scanări programate, drill-down de raportare stil şi actualizări RAPIDFIRE care au devenit acum caracteristici standard în aceste produse.
Libertatea de reţea (Release Sursa)
Condus la eliberarea din codul sursă pentruLibertatea de reţea, unelecod de sprijin lansat sub o licenţă de utilizare non-comercial.Clientul şi uneleconstrui instrucţiuni sunt de asemenea disponibile. Fişierele criptate sunt criptate cu unele cuvinte magice traditionale. Cercetatorii sunt încurajate pentru a verifica directorul lanţ în cadrul tarballs.
PGP Key Auto-retriever (procmail)
M-am întors un script procmail care nu regăsire PGP-cheie pentru orice mesaj (semnat, criptate), veţi obţine. Necesită UNIX. Bătător la ochi, dar nimicfolositor.

Blog-uri şi astfel de

Bloguri
Emergent Combo Jazz Chaos este un blog de ​​grup în materie de securitate, libertate, intimitate şi economie. Şi orice altceva ne simţim ca.

Noua Şcoală de Information Security:Un alt blog de ​​grup, aceasta inspirat de carte

MicrosoftSecurity Development Lifecycle blog este un blog de ​​muncă

Stare de nervozitate
@ Adamshostack

Documentaţie tehnică

STARTTLS Pentru Postfix (instrucţiuni tehnice)
O scurtăpagină cu privire la utilizarea de STARTTLS pentru Postfix împrejurimi criptarea oportuniste de e-mail între servere. Cinci minute de confidenţialitate e-mail mai multe! De ce să aşteptaţi? (Există motive întemeiate ca serverul Homeport.org e mail nu este de a face acest lucru încă care sunt prea complexe pentru a se încadra în această marjă.)
Mediul Chroot DNS
După (1996) probleme cu DNS-ul, am decis că chroot'ing ar fi un pas bun. Iatăinstrucţiuni. Acest lucru este acum depăşită, ca abilitatea de a chroot este acum parte a BIND.
Cum se scrie un proxy
Am scris un document privindCum se scrie un proxy.
Gratuit ce Crypto Biblioteci
După ce cineva a susţinut că ceea ce lumea a fost nevoie de o bibliotecă de cripto, am asamblat compararea informaţiilor disponibile în mod liberbiblioteci crypto.
Privire de ansamblu asupra SSL (versiunea 2) şi S-HTTP
O prezentare generală aSSL (versiunea 2) şiS-HTTP, tehnologii pentru păstrarea paginilor web confidenţiale. Ajută răspunde la întrebarea"Ce parte din Secure Socket 128 bit strat nu aţi înţeles!?"
S/Key Documentaţie
Documentaţie am scris în timp ce la Spitalul Brigham & femeii în ceea ce priveşte S/Key. Ointroducere,note tehnice, şi opas cu pas ghidul de utilizatori. (Dacă ne uităm la titlurile documentului, acolo a fost initial o # 3, care a fost un în care pentru a găsi PGP, dar asta a fost înlocuit cu câteva link-uri.)

Interese Sunt prea sentimental pentru a deconecta

Termeni

Lucrez pentru o companie de software mare în Redmond, WA. Avizele aici şi lucrează în tot ceea ce legate de aici sunt ale mele sau o parte a unei colaborari, cu excepţia cazului când a declarat în mod explicit. Aceasta este o pagină web, nu un cv

Imagini de credit

Extras de laKandinsky, Afişări (III) Concert, cu overlay. Pictura este folosit ca pe coperta cărţii mele.


Original Text:
The opinions here and the work in everything linked here are my own or part of a collaboration, except when explicitly stated.
Показать альтернативный перевод
Published (Last edited): 29-01-2012 , source: http://www.homeport.org/~adam/