Quali risorse di sicurezza dovrebbe seguire uno sviluppatore white-hat * in questi giorni? [chiuso]

Per concisione, ne aggiungerò solo due:

• OWASP ha un blog moderato: aggregano post di qualità provenienti da diversi feed di sicurezza, in particolare su nuovi attacchi, vettori, ecc.
• Il blog SDL di Microsoft, principalmente incentrato su strategie di bonifica, mitigazione, modellazione di minacce, ecc. e anche una volta ogni tanto un'analisi molto aperta e onesta dei difetti di sicurezza scoperti e l'effetto (o la mancanza di ciò) della SDL.
• (Presto spero che il collegamento sia considerato un prodotto di punta ... :))

Ho intenzione di elencare un paio di risorse che seguo per tenermi aggiornato sui problemi di sicurezza:

1. Focus sulla sicurezza : troverai un gran numero di informazioni su quel sito web sulle vulnerabilità e tutti i tipi di argomenti generali e specifici relativi alla sicurezza. ospita anche un gran numero di mailing list che trattano diversi aspetti della sicurezza delle informazioni.
2. Il blog di Bruce Schneier : non credo di dover spiegare chi è Bruce Schneier, ma se non avessi sentito parlare del ragazzo, tu puoi leggere su di lui qui .
3. Twitter di Bruce Schneier : Bruce ha anche un account Twitter che trovo degno di essere seguito.
4. mailing list di sicurezza specifico per prodotto / fornitore: ogni prodotto grande o piccolo che valga la pena contiene un elenco di sicurezza che viene utilizzato per tracciare e condividere informazioni sui problemi relativi alla sicurezza con il prodotto che vengono scoperti nel tempo. ad esempio, usavo molto pesantemente slackware e seguivo diligentemente la mailing list dei loro consigli sulla sicurezza per mantenere aggiornato lo slackware sul mio sistema con tutte le correzioni di sicurezza.
5. phrack.com : questa rivista è un pozzo di informazioni su vulnerabilità, exploit, bug e tutto ciò che ha a che fare con le informazioni e la sicurezza della rete .

Ecco alcuni dei miei siti preferiti da seguire (io uso RSS per tutti loro):

1. Approfondimento sui numeri binari, con alcuni post recenti rilevanti per la sicurezza link
2. SANS Internet Storm Center, per avvisi di sicurezza Internet link
3. Elenco di notizie di InfoSec, per notizie di sicurezza consolidate link
4. SecurityNow podcast link
5. Daily Dave, mailing list di sicurezza tecnica link
6. Il blog di Didier Stevens, molti post sulla sicurezza relativi al PDF link
7. Il blog di F-Secure, per avvisi di malware diffusi link
8. blog di lcamtuf, per i post sulla sicurezza tecnica link
9. TaoSecurity, incentrata sul monitoraggio della sicurezza della rete link
10. Il blog di Ksplice, più su software e Linux, ma con un collegamento di sicurezza

Trovo molto istruttivo leggere questo blog . L'autore prende annunci di vulnerabilità, solitamente nel kernel di Linux ma anche in altri progetti open source, e mostra:

• il codice vulnerabile
• qual è il problema
• la patch

Come mai nessuno ha menzionato Krebs? È uno dei giornalisti di sicurezza più noti e affidabili là fuori.

KrebsOnSecurity

Pubblicherei di più, ma l'OP ha chiesto solo uno per post (che evidentemente alcune persone hanno trascurato di leggere).

Perché nessuno ha menzionato Exploit-DB ?

** Edit:

Consiglio vivamente a tutti questo progetto: pentest-bookmark . Personalmente ho trovato molte informazioni utili.

2600

una pubblicazione americana specializzata nella pubblicazione di informazioni tecniche su una varietà di argomenti tra cui sistemi di commutazione telefonica, protocolli e servizi Internet, nonché notizie generali riguardanti il computer "sotterraneo" e l'ala sinistra, e talvolta (ma non di recente), problemi anarchici.

lightbluetouchpaper.org - il blog del Security Group presso l'Università di Cambridge Computer Laboratory - fornisce copertura su questioni legali emergenti nel Regno Unito tra gli altri elementi di interesse ma non necessariamente immediati vantaggi pratici per i programmatori.

Il blog di Nate Lawson fornisce alcuni argomenti di vulnerabilità e di mitigazione pratici veramente interessanti a livello di codice. Ha co-sviluppato il BD + crypto per BluRay e ha presentato a RSA, BlackHat e Google Tech Talk.

DefCon

Originariamente iniziato nel 1993, era destinato ad essere una festa per membro di "Platinum Net", una rete di hacking basata sul protocollo Fido al di fuori del Canada. Come principale hub degli Stati Uniti, stavo aiutando l'organizzatore di Platinum Net (ho dimenticato il suo nome) a pianificare una festa di chiusura per tutti i sistemi BBS membri e i loro utenti. Stava per chiudere la rete quando suo padre ha preso un nuovo lavoro e ha dovuto andarsene. Stiamo parlando di dove potremmo tenerlo, quando all'improvviso se ne andò presto e scomparve. Stavo solo progettando una festa per una rete che era stata chiusa, tranne che per i miei nodi statunitensi. Ho deciso cosa diavolo, inviterò i membri di tutte le altre reti il mio sistema BBS (A Dark Tangent System) faceva parte di Cyber Crime International (CCI), Hit Net, Tired of Protection (ToP) e simili 8 altri che non ricordo. Perché non invitare tutti su #hack? Buona idea!

Per gli aspetti tecnici molto , tenere il passo con la letteratura di ricerca è una grande risorsa. Seguo i feed di crittografia e ingegneria software del server di pre-stampa (arxiv.org), di certo non leggo tutti i fogli, ma è utile vedere che cosa accadrà al mondo accademico, per tenere il passo con gli abstract e le immersioni nel materiale interessante o pertinente.

Software Open Source & strumenti che aiutano gli sviluppatori interessati allo spazio di sicurezza:

link

Haacked è un'ottima risorsa per gli sviluppatori Web sullo stack Microsoft

Minimo privilegio è un altro grande strumento per l'autenticazione, l'identità e la federazione con le tecnologie Microsoft.

Consiglio vivamente il cast HNN di SpaceRogue

link

È un cast video settimanale che raccoglie le notizie più importanti della settimana precedente e menziona nuovi strumenti e aggiornamenti relativi alla sicurezza.

SecDocs da lonerunners.net

Bel sito web, composto da giornali, diapositive, audio, video dalle conferenze sulla sicurezza aggiornate quotidianamente. Database abbastanza grande di informazioni sulla sicurezza.

Ho letto link per un po ', solo un conglomerato di collegamenti di sicurezza giornalieri, sebbene il webmaster abbia appena lasciato il processo di pubblicazione dell'articolo nelle mani del Comunità.

Ottieni un account Twitter in modo da poter seguire le ricerche di sicurezza / gli hacker all'interno della community. Consulta le recenti conferenze sugli hacker e cerca nuove presentazioni e cerca l'account Twitter del presentatore. Se si microblog informazioni personali, non seguire, ma tenerli se retweet notizie. Guarda le raccomandazioni di Twitter e le persone che seguono e continua il processo. Finisci con un feed di notizie peer-reviewed davvero impressionante.

Prova anche a frequentare i canali di supporto IRC per vari progetti open source legati alla sicurezza. Ho imparato molto dal passare del tempo in #metasploit, per essere onesti.

• Sezioni di formazione sulla sicurezza offensive

• Exploit-DB per gli ultimi exploit e documenti

• SecurityTube per video, tutorial e altro

link Questo è ULtimate Resouces che troverai nel campo infosec Periodo

link