it-swarm-eu.dev

Quali risorse di sicurezza dovrebbe seguire uno * sviluppatore * dal cappello bianco in questi giorni?

Quali siti, account Twitter, software FOSS dovrebbero seguire un white hat codice "hacker" in questi giorni?

Includi:

  • Informazioni aggiornate sui nuovi problemi di sicurezza (RSS, Twitter, ecc.)
  • Un sito Web che tiene traccia dei problemi di sicurezza senza patch per fornitore
  • Account Twitter, blog, ecc. Di persone famose nel mondo della sicurezza delle informazioni.
    • Chi e 'questa gente?
    • Per cosa sono noti?
  • Comunità che pubblicano informazioni sugli exploit zero day
    • Blog, Twitter, conferenze, chat room (irc)
  • Un esperto in materia che fornisce una guida aggiornata sulla crittografia (algoritmo, lunghezza della chiave, ecc.) E informazioni aggiornate sulla sicurezza di ciascuno
  • Software e strumenti open source che aiutano gli sviluppatori interessati allo spazio di sicurezza
  • Informazioni su fatture e leggi che applicano la pirateria informatica negli Stati Uniti e all'estero (preferibilmente nella lingua che un programmatore comprenderebbe).
    • Includerebbe probabilmente l'atto CAN-SPAM e la legislazione sulla privacy per stato
  • Un sito che pubblica un elenco esaustivo di tecniche e permutazioni XSS; e si spera che tu possa usare il codice per proteggerti

Per favore, NON includere:

  • Guida comune tra i gruppi di supporto della rete e dell'infrastruttura
    • Un'eccezione sarebbe il recente problema di sicurezza ASP.NET.
    • Qualsiasi elenco o notifica che non si concentri sul codice o sulla programmazione.
  • Software e strumenti che non sono open source
  • Liste di controllo della distribuzione (specialmente se non è associato alcun codice)
  • Forum generali ed elenchi di discussione, a meno che non siano ben noti e considerati affidabili dalla comunità della sicurezza

Poiché i lettori probabilmente non sono esperti in tutte queste aree, ti preghiamo di farci sapere un po 'di ogni link e non creare una "discarica" ​​di link. Fai un serio tentativo di non pubblicare link duplicati.

Poiché si tratta di "sicurezza" .stackexchange.com spero di ottenere una gamma più diversificata di risposte rispetto al tipico sito di amministratore di sistema. Nella mia esperienza, gli amministratori di sistema stanno lontano dal codice e gli sviluppatori non hanno davvero paura quando si tratta di passare al filo.

76

Per concisione, ne aggiungerò solo due:

  • [~ # ~] owasp [~ # ~] blog moderato - aggregano post di qualità provenienti da molti feed di sicurezza diversi, principalmente attorno a nuovi attacchi , vettori, ecc.
  • Blog di Microsoft SDL , incentrato principalmente su strategie di riparazione, mitigazione, modellizzazione delle minacce ecc. E anche una volta ogni tanto un'analisi molto aperta e onesta dei difetti di sicurezza scoperti e l'effetto (o la sua mancanza) dell'SDL.
  • (Presto spero che http://security.stackexchange.com sarà considerato un'offerta top ... :))
33
AviD

elencherò un paio di risorse che seguo per tenermi aggiornato sui problemi di sicurezza:

  1. Focus sulla sicurezza : troverai un gran numero di informazioni su quel sito Web relative alle vulnerabilità e ogni sorta di argomenti generali e specifici relativi alla sicurezza. ospita anche una serie di mailing list che trattano diversi aspetti della sicurezza delle informazioni.
  2. Blog di Bruce Schneier : non credo di dover spiegare chi sia Bruce Schneier, ma se non avessi sentito parlare del ragazzo, puoi leggere di lui qui .
  3. Twitter di Bruce Schneier : Bruce ha anche un account Twitter che trovo degno di essere seguito.
  4. mailing list di sicurezza specifica per prodotto/fornitore: ogni prodotto grande o piccolo degno di nota ha un elenco di sicurezza che viene utilizzato per tenere traccia e condividere informazioni sui problemi di sicurezza con il prodotto scoperti nel tempo. per esempio, usavo pesantemente lo slackware e seguivo diligentemente la mailing list dei loro avvisi di sicurezza per mantenere aggiornato lo slackware sul mio sistema con tutte le correzioni di sicurezza.
  5. phrack.com : questa rivista è un pozzo di informazioni su vulnerabilità, exploit, bug e tutto ciò che ha a che fare con la sicurezza delle informazioni e della rete.
20
ayaz

Ecco alcuni dei miei siti preferiti da seguire (utilizzo RSS per tutti):

  1. Approfondimento sui numeri binari, con alcuni post recenti rilevanti per la sicurezza http://www.exploringbinary.com
  2. SANS Internet Storm Center, per avvisi sulla sicurezza di Internet http://isc.sans.ed
  3. Elenco di notizie di InfoSec, per notizie sulla sicurezza consolidate http://www.infosecnews.org/
  4. Podcast SecurityNow http://grc.com/securitynow.htm
  5. Daily Dave, mailing list sulla sicurezza tecnica https://lists.immunitysec.com/mailman/listinfo/dailydave
  6. Blog di Didier Stevens, molti post sulla sicurezza relativi ai PDF http://blog.didierstevens.com
  7. Blog di F-Secure, per avvisi malware diffusi http://www.f-secure.com/weblog
  8. blog di lcamtuf, per post sulla sicurezza tecnica http://lcamtuf.blogspot.com/
  9. TaoSecurity, incentrato sul monitoraggio della sicurezza della rete http://taosecurity.blogspot.com/
  10. Blog di Ksplice, più su software e Linux, ma con un sapore di sicurezza http://blog.ksplice.com
15
Eugene Kogan

Trovo molto istruttivo leggere questo blog . L'autore prende annunci di vulnerabilità, di solito nel kernel Linux ma anche altri progetti open source, e mostra:

  • il codice vulnerabile
  • qual è il problema
  • la patch
8
user185

Perché nessuno ha menzionato Exploit-DB ?

**Modificare:

Consiglio vivamente a tutti questo progetto: pentest-bookmark . Personalmente ho trovato molte informazioni utili.

7
Tornike
7
Orca

In che modo nessuno ha ancora menzionato Krebs? È uno dei giornalisti di sicurezza più noti e affidabili là fuori.

KrebsOnSecurity

Vorrei postare di più, ma l'OP ne ha richiesto solo uno per post (che evidentemente alcune persone hanno trascurato di leggere).

7
mrnap

26

una pubblicazione americana specializzata nella pubblicazione di informazioni tecniche su una varietà di argomenti tra cui sistemi di commutazione telefonica, protocolli e servizi Internet, nonché notizie generali relative al computer "sotterraneo" e di sinistra, e talvolta (ma non di recente), questioni anarchiche.

6
Everett

lightbluetouchpaper.org - il blog del Security Group presso il Computer Laboratory dell'Università di Cambridge - fornisce una copertura sulle questioni legali emergenti nel Regno Unito tra gli altri elementi di interesse, ma non necessariamente un vantaggio pratico immediato per i programmatori.

blog di Nate Lawson fornisce alcune vulnerabilità pratiche davvero piacevoli e cose di mitigazione a livello di codice. Ha co-sviluppato il BD + crypto per BluRay e ha presentato a RSA, BlackHat e Google Tech Talk.

5
Bell

DefCon

Iniziato originariamente nel 1993, doveva essere una festa per i membri di "Platinum Net", una rete di hacking basata sul protocollo Fido proveniente dal Canada. Come principale hub statunitense stavo aiutando l'organizzatore Platinum Net (ho dimenticato il suo nome) a pianificare una festa di chiusura per tutti i sistemi BBS membri e i loro utenti. Stava per chiudere la rete quando suo padre ha assunto un nuovo lavoro e ha dovuto trasferirsi. Stiamo parlando di dove potremmo tenerlo, quando all'improvviso se ne andò presto e scomparve. Stavo solo organizzando una festa per una rete che era stata chiusa, ad eccezione dei miei nodi statunitensi. Ho deciso che diavolo, inviterò i membri di tutte le altre reti che il mio sistema BBS (A Dark Tangent System) faceva parte di Cyber ​​Crime International (CCI), Hit Net, Tired of Protection (ToP) e simili 8 altri che non ricordo. Perché non inviti tutti su #hack? Buona idea!

4
Everett

Per molto cose tecniche, tenere il passo con la letteratura di ricerca è una grande risorsa. Seguo i feed di crittografia e ingegneria del software del server di prestampa (arxiv.org), certamente non leggo tutti i documenti ma è utile vedere cosa sta succedendo il mondo accademico, per tenermi al passo con gli abstract e le immersioni nel materiale interessante o pertinente.

3
user185

Software e strumenti open source che aiutano gli sviluppatori interessati allo spazio di sicurezza:

http://fuzzdb.googlecode.com

2
user1569

Ottieni un account Twitter in modo da poter seguire le ricerche/gli hacker più diffusi all'interno della community. Cerca le recenti conferenze degli hacker e cerca nuove presentazioni e dai la caccia all'account Twitter del presentatore. Se microblogano le informazioni personali, non seguire, ma conservale se ritwittano le notizie. Guarda i consigli di Twitter e le persone che seguono e continua il processo. Finisci con un fantastico feed di notizie peer-reviewed.

Prova anche ad uscire in IRC canali di supporto per vari progetti open source relativi alla sicurezza. Ho imparato molto dal passare il tempo in #metasploit, a dire il vero.

1
chao-mu

SecDocs da lonerunners.net

Bel sito web, composto da giornali aggiornati, diapositive, audio, video da conferenze sulla sicurezza. Database piuttosto vasto di informazioni sulla sicurezza.

1
p____h

Stavo leggendo http://rootsecure.net per un po ', solo un agglomerato di collegamenti di sicurezza giornalieri, anche se il webmaster ha appena lasciato il processo di pubblicazione dell'articolo nelle mani della comunità.

1
Orbit

Haacked è un'ottima risorsa per gli sviluppatori Web nello stack Microsoft

Least Privilege è un altro grande ideato per l'autenticazione, l'identità e la federazione con le tecnologie Microsoft.

1

Consiglio vivamente il cast HNN di SpaceRogue

http://www.hackernews.com

È un cast di video settimanali che completa le storie più importanti della settimana precedente e menziona nuovi strumenti e aggiornamenti relativi alla sicurezza.

1
Casey
0
kiran
0
Ankush_nl