Quali risorse di sicurezza dovrebbe seguire uno sviluppatore white-hat * in questi giorni? [chiuso]

77

Quali siti, account Twitter, software FOSS dovrebbero seguire un codice bianco codice "hacker" giorni?

Includi:

  • Informazioni tardive su nuovi problemi di sicurezza (RSS, Twitter, ecc.)
  • Un sito Web che tiene traccia dei problemi di sicurezza senza patch per venditore
  • Account Twitter, blog, ecc. di persone ben note nel mondo della sicurezza delle informazioni.
    • Chi sono queste persone?
    • Per cosa sono conosciuti?
  • Comunità che pubblicano informazioni sugli exploit zero day
    • Blog, twitter, conferenze, chat room (irc)
  • Un esperto in materia che fornisce una guida aggiornata su Cryptology (algoritmo, lunghezza della chiave, ecc.) e informazioni aggiornate sulla sicurezza di ciascuno
  • Software Open Source & strumenti che aiutano gli sviluppatori interessati allo spazio di sicurezza
  • Informazioni su fatture e leggi che applicano l'hacking computerizzato negli Stati Uniti e all'estero (preferibilmente nella lingua che un programmatore potrebbe capire).
    • Probabilmente includerebbe l'atto CAN-SPAM e la legislazione sulla privacy per stato
  • Un sito che pubblica un elenco esauriente di tecniche e permutazioni XSS; e, si spera, codice che puoi usare per proteggerti

Per favore, NON includere:

  • Guida comune tra i gruppi di supporto dell'infrastruttura e della rete
    • Un'eccezione potrebbe essere il recente problema di sicurezza di ASP.NET.
    • Qualsiasi elenco o notifica che non si concentra sul codice o sulla programmazione.
  • Software e strumenti che non sono open source
  • Checklist di implementazione (soprattutto se non è associato alcun codice)
  • Forum generali e elenchi di discussione, a meno che non siano conosciuti e considerati affidabili dalla comunità di sicurezza

Poiché i lettori non sono probabilmente esperti in tutte queste aree, fatecelo sapere un po 'su ogni link e non creare una "discarica" di link. Fai un serio tentativo di non pubblicare link duplicati.

Poiché si tratta di "sicurezza" .stackexchange.com, spero di ottenere una gamma più ampia di risposte rispetto al tipico sito di sysadmin. Nella mia esperienza, gli amministratori di sistema si tengono lontani dal codice e gli sviluppatori non hanno davvero paura quando arrivano al filo.

    
posta makerofthings7 27.11.2012 - 11:14
fonte

19 risposte

33

Per concisione, ne aggiungerò solo due:

  • OWASP ha un blog moderato: aggregano post di qualità provenienti da diversi feed di sicurezza, in particolare su nuovi attacchi, vettori, ecc.
  • Il blog SDL di Microsoft, principalmente incentrato su strategie di bonifica, mitigazione, modellazione di minacce, ecc. e anche una volta ogni tanto un'analisi molto aperta e onesta dei difetti di sicurezza scoperti e l'effetto (o la mancanza di ciò) della SDL.
  • (Presto spero che il collegamento sia considerato un prodotto di punta ... :))
risposta data 21.11.2010 - 13:50
fonte
20

Ho intenzione di elencare un paio di risorse che seguo per tenermi aggiornato sui problemi di sicurezza:

  1. Focus sulla sicurezza : troverai un gran numero di informazioni su quel sito web sulle vulnerabilità e tutti i tipi di argomenti generali e specifici relativi alla sicurezza. ospita anche un gran numero di mailing list che trattano diversi aspetti della sicurezza delle informazioni.
  2. Il blog di Bruce Schneier : non credo di dover spiegare chi è Bruce Schneier, ma se non avessi sentito parlare del ragazzo, tu puoi leggere su di lui qui .
  3. Twitter di Bruce Schneier : Bruce ha anche un account Twitter che trovo degno di essere seguito.
  4. mailing list di sicurezza specifico per prodotto / fornitore: ogni prodotto grande o piccolo che valga la pena contiene un elenco di sicurezza che viene utilizzato per tracciare e condividere informazioni sui problemi relativi alla sicurezza con il prodotto che vengono scoperti nel tempo. ad esempio, usavo molto pesantemente slackware e seguivo diligentemente la mailing list dei loro consigli sulla sicurezza per mantenere aggiornato lo slackware sul mio sistema con tutte le correzioni di sicurezza.
  5. phrack.com : questa rivista è un pozzo di informazioni su vulnerabilità, exploit, bug e tutto ciò che ha a che fare con le informazioni e la sicurezza della rete .
risposta data 20.11.2010 - 19:30
fonte
15

Ecco alcuni dei miei siti preferiti da seguire (io uso RSS per tutti loro):

  1. Approfondimento sui numeri binari, con alcuni post recenti rilevanti per la sicurezza link
  2. SANS Internet Storm Center, per avvisi di sicurezza Internet link
  3. Elenco di notizie di InfoSec, per notizie di sicurezza consolidate link
  4. SecurityNow podcast link
  5. Daily Dave, mailing list di sicurezza tecnica link
  6. Il blog di Didier Stevens, molti post sulla sicurezza relativi al PDF link
  7. Il blog di F-Secure, per avvisi di malware diffusi link
  8. blog di lcamtuf, per i post sulla sicurezza tecnica link
  9. TaoSecurity, incentrata sul monitoraggio della sicurezza della rete link
  10. Il blog di Ksplice, più su software e Linux, ma con un collegamento di sicurezza
risposta data 09.02.2011 - 18:18
fonte
8

Trovo molto istruttivo leggere questo blog . L'autore prende annunci di vulnerabilità, solitamente nel kernel di Linux ma anche in altri progetti open source, e mostra:

  • il codice vulnerabile
  • qual è il problema
  • la patch
risposta data 12.06.2012 - 09:16
fonte
7

link

    
risposta data 26.02.2011 - 19:52
fonte
7

Come mai nessuno ha menzionato Krebs? È uno dei giornalisti di sicurezza più noti e affidabili là fuori.

KrebsOnSecurity

Pubblicherei di più, ma l'OP ha chiesto solo uno per post (che evidentemente alcune persone hanno trascurato di leggere).

    
risposta data 28.02.2011 - 04:38
fonte
7

Perché nessuno ha menzionato Exploit-DB ?

** Edit:

Consiglio vivamente a tutti questo progetto: pentest-bookmark . Personalmente ho trovato molte informazioni utili.

    
risposta data 10.05.2011 - 16:21
fonte
6

2600

una pubblicazione americana specializzata nella pubblicazione di informazioni tecniche su una varietà di argomenti tra cui sistemi di commutazione telefonica, protocolli e servizi Internet, nonché notizie generali riguardanti il computer "sotterraneo" e l'ala sinistra, e talvolta (ma non di recente), problemi anarchici.

    
risposta data 20.11.2010 - 15:38
fonte
5

lightbluetouchpaper.org - il blog del Security Group presso l'Università di Cambridge Computer Laboratory - fornisce copertura su questioni legali emergenti nel Regno Unito tra gli altri elementi di interesse ma non necessariamente immediati vantaggi pratici per i programmatori.

Il blog di Nate Lawson fornisce alcuni argomenti di vulnerabilità e di mitigazione pratici veramente interessanti a livello di codice. Ha co-sviluppato il BD + crypto per BluRay e ha presentato a RSA, BlackHat e Google Tech Talk.

    
risposta data 21.02.2011 - 22:34
fonte
4

DefCon

Originariamente iniziato nel 1993, era destinato ad essere una festa per membro di "Platinum Net", una rete di hacking basata sul protocollo Fido al di fuori del Canada. Come principale hub degli Stati Uniti, stavo aiutando l'organizzatore di Platinum Net (ho dimenticato il suo nome) a pianificare una festa di chiusura per tutti i sistemi BBS membri e i loro utenti. Stava per chiudere la rete quando suo padre ha preso un nuovo lavoro e ha dovuto andarsene. Stiamo parlando di dove potremmo tenerlo, quando all'improvviso se ne andò presto e scomparve. Stavo solo progettando una festa per una rete che era stata chiusa, tranne che per i miei nodi statunitensi. Ho deciso cosa diavolo, inviterò i membri di tutte le altre reti il mio sistema BBS (A Dark Tangent System) faceva parte di Cyber Crime International (CCI), Hit Net, Tired of Protection (ToP) e simili 8 altri che non ricordo. Perché non invitare tutti su #hack? Buona idea!

    
risposta data 20.11.2010 - 15:44
fonte
3

Per gli aspetti tecnici molto , tenere il passo con la letteratura di ricerca è una grande risorsa. Seguo i feed di crittografia e ingegneria software del server di pre-stampa (arxiv.org), di certo non leggo tutti i fogli, ma è utile vedere che cosa accadrà al mondo accademico, per tenere il passo con gli abstract e le immersioni nel materiale interessante o pertinente.

    
risposta data 27.06.2011 - 15:49
fonte
2

Software Open Source & strumenti che aiutano gli sviluppatori interessati allo spazio di sicurezza:

link

    
risposta data 27.02.2011 - 23:25
fonte
1

Haacked è un'ottima risorsa per gli sviluppatori Web sullo stack Microsoft

Minimo privilegio è un altro grande strumento per l'autenticazione, l'identità e la federazione con le tecnologie Microsoft.

    
risposta data 07.02.2011 - 17:19
fonte
1

Consiglio vivamente il cast HNN di SpaceRogue

link

È un cast video settimanale che raccoglie le notizie più importanti della settimana precedente e menziona nuovi strumenti e aggiornamenti relativi alla sicurezza.

    
risposta data 26.02.2011 - 19:06
fonte
1

SecDocs da lonerunners.net

Bel sito web, composto da giornali, diapositive, audio, video dalle conferenze sulla sicurezza aggiornate quotidianamente. Database abbastanza grande di informazioni sulla sicurezza.

    
risposta data 07.06.2012 - 17:31
fonte
1

Ho letto link per un po ', solo un conglomerato di collegamenti di sicurezza giornalieri, sebbene il webmaster abbia appena lasciato il processo di pubblicazione dell'articolo nelle mani del Comunità.

    
risposta data 07.06.2012 - 17:52
fonte
1

Ottieni un account Twitter in modo da poter seguire le ricerche di sicurezza / gli hacker all'interno della community. Consulta le recenti conferenze sugli hacker e cerca nuove presentazioni e cerca l'account Twitter del presentatore. Se si microblog informazioni personali, non seguire, ma tenerli se retweet notizie. Guarda le raccomandazioni di Twitter e le persone che seguono e continua il processo. Finisci con un feed di notizie peer-reviewed davvero impressionante.

Prova anche a frequentare i canali di supporto IRC per vari progetti open source legati alla sicurezza. Ho imparato molto dal passare del tempo in #metasploit, per essere onesti.

    
risposta data 10.06.2012 - 06:37
fonte
0

link Questo è ULtimate Resouces che troverai nel campo infosec Periodo

link

    
risposta data 07.05.2016 - 23:14
fonte

Leggi altre domande sui tag