Domanda:
Quali risorse di sicurezza dovrebbe seguire uno sviluppatore * white-hat * in questi giorni?
goodguys_activate
2010-11-20 20:16:29 UTC
view on stackexchange narkive permalink

Quali siti, account Twitter, software FOSS dovrebbe seguire un "hacker" di codice white hat?

Includere:

  • Informazioni aggiornate su nuovi problemi di sicurezza (RSS, Twitter, ecc.)
  • Un sito web che tiene traccia dei problemi di sicurezza senza patch per fornitore
  • Account Twitter, blog, ecc. da persone note nel mondo della sicurezza informatica.
    • Chi sono queste persone?
    • Per cosa sono conosciuti?
  • Comunità che pubblicano informazioni sugli exploit zero day
    • Blog, Twitter, conferenze, chat room (irc)
  • Un esperto in materia che fornisce indicazioni aggiornate sulla crittografia (algoritmo, lunghezza della chiave, ecc.) e informazioni aggiornate sulla sicurezza di ciascuna di esse
  • Software open source Strumenti & che assistono gli sviluppatori interessati allo spazio della sicurezza
  • Informazioni su fatture e leggi che applicano la pirateria informatica negli Stati Uniti e all'estero (preferibilmente nella lingua che un programmatore capirebbe) .
    • Includerebbe probabilmente la legge CAN-SPAM e la legislazione sulla privacy per stato
  • Un sito che pubblica un esaustivo elenco di tecniche e permutazioni XSS; e, si spera, codice che puoi utilizzare per proteggerti

Per favore, NON includere:

  • Guida che è comune tra i infrastrutture e gruppi di supporto di rete
    • Un'eccezione sarebbe il recente problema di sicurezza di ASP.NET.
    • Qualsiasi elenco o notifica che non si concentra sul codice o sulla programmazione.
  • Software e strumenti non open source
  • Elenchi di controllo per la distribuzione (specialmente se non è associato alcun codice)
  • Forum generali ed elenchi di discussione , a meno che non siano ben conosciuti e considerati affidabili dalla comunità della sicurezza

Poiché i lettori probabilmente non sono esperti in tutte queste aree, facci sapere qualcosa su ciascun collegamento e non creare una "discarica" ​​di link. Fai un serio tentativo di non pubblicare link duplicati.

Poiché si tratta di "sicurezza" .stackexchange.com spero di ottenere una gamma di risposte più diversificata rispetto al tipico sito di amministratore di sistema. Nella mia esperienza, gli amministratori di sistema stanno lontani dal codice e gli sviluppatori non hanno davvero paura quando si tratta di filo.

Non cercherò di indovinare cosa hai letto altrove. Poiché questa domanda è importante, spero che non mi punirai (-1) per aver cercato di aiutarti.
@Everett - grazie per aver mantenuto lo spirito di questa domanda; anche se non sono le risposte più innovative che spero di trovare;)
NP. Il mio punto con questi due (e il 2600 PodCast) è che portano costantemente al pubblico le novità del settore. Cercare di trovare una nuova fonte di informazioni "rivoluzionaria" è un po 'difficile. Specialmente se leggi i libri, visiti i siti web correnti, segui i tweet aggiornati e vai alle conferenze in corso. Penso che le persone che vogliono questa roba nel pubblico dominio non costruiranno un nuovo sito / modo per ottenere informazioni da un nuovo incidente di sicurezza. Non sto davvero cercando di suonare come un $$.
Potrei spamare questo con EFF, conferenza Hope, vecchi numeri di Blacklisted 411, elenchi di software che potresti trovare nei libri su CEH e CISSP, elenchi di libri correnti, canali IRC, ecc. Alla fine della giornata, nessuno delle mie risposte ti avranno aiutato, perché le conosci già, sono nell'industria da qualche parte.
Diciannove risposte:
#1
+33
AviD
2010-11-21 18:50:50 UTC
view on stackexchange narkive permalink

Per concisione, ne aggiungerò solo due:

  • Blog moderato di OWASP: aggregano post di qualità da molti feed di sicurezza diversi, principalmente nuovi attacchi, vettori, ecc.
  • Il blog SDL di Microsoft, incentrato principalmente su strategie di riparazione, mitigazione, modellazione delle minacce, ecc. e, occasionalmente, un'analisi molto aperta e onesta di ha scoperto falle di sicurezza e l'effetto (o la mancanza di ciò) di SDL.
  • (presto spero che http://security.stackexchange.com sarà considerata una delle migliori offerte. .. :))
#2
+20
ayaz
2010-11-21 00:25:09 UTC
view on stackexchange narkive permalink

elencherò un paio di risorse che seguo per tenermi aggiornato sui problemi di sicurezza:

  1. Security Focus: troverai un gran numero di informazioni su quel sito web sulle vulnerabilità e su tutti i tipi di argomenti generali e specifici relativi alla sicurezza. ospita anche una serie di mailing list che trattano diversi aspetti della sicurezza delle informazioni.
  2. Blog di Bruce Schneier: non credo di aver bisogno di spiegare chi è Bruce Schneier, ma se non hai sentito parlare di lui, puoi leggere di lui qui.
  3. Twitter di Bruce Schneier: Bruce ha anche un account Twitter che trovo degno di essere seguito.
  4. Mailing list di sicurezza specifica per prodotto / fornitore: ogni prodotto grande o piccolo degno di questo nome ha una lista di sicurezza che viene utilizzata per tracciare e condividere informazioni sui problemi relativi alla sicurezza con il prodotto che vengono scoperti nel tempo. per esempio, usavo pesantemente lo slackware e seguivo diligentemente la loro mailing list di avvisi di sicurezza per mantenere slackware in esecuzione sul mio sistema aggiornato con tutte le correzioni di sicurezza.
  5. phrack.com: questa rivista è un pozzo di informazioni su vulnerabilità, exploit, bug e tutto ciò che ha a che fare con le informazioni e la sicurezza della rete.
Risorse molto buone, ma @makerofthings7 * esplicitamente * ha richiesto risorse di codifica / applicazione.
-1: Elenco decente, ma OP ha detto espressamente: "Dato che i lettori probabilmente non sono esperti in tutte queste aree, per favore pubblica un sito / risorsa per post e facci sapere qualcosa al riguardo." Da qui il voto negativo.
#3
+15
Eugene Kogan
2011-02-09 23:18:55 UTC
view on stackexchange narkive permalink

Ecco alcuni dei miei siti preferiti da seguire (uso RSS per tutti loro):

  1. Approfondimento sui numeri binari, con alcuni recenti post rilevanti per la sicurezza http : //www.exploringbinary.com
  2. Il SANS Internet Storm Center, per gli avvisi sulla sicurezza in Internet http://isc.sans.edu
  3. Elenco di notizie di InfoSec, per notizie consolidate sulla sicurezza http://www.infosecnews.org/
  4. Podcast SecurityNow http://grc.com/securitynow.htm
  5. Daily Dave, mailing list sulla sicurezza tecnica https://lists.immunitysec.com/mailman/listinfo/dailydave
  6. Blog di Didier Stevens , molti post sulla sicurezza relativi ai PDF http://blog.didierstevens.com
  7. Blog di F-Secure, per avvisi di malware diffusi http: //www.f -secure.com/weblog
  8. blog di lcamtuf, per post sulla sicurezza tecnica http://lcamtuf.blogspot.com/
  9. TaoSecurity, incentrato sul monitoraggio della sicurezza di rete http://taosecurity.blogspot.com/
  10. Blog di Ksplice, ulteriori informazioni sul d Linux, ma con un tocco di sicurezza http://blog.ksplice.com
#4
+8
user185
2010-11-20 22:03:28 UTC
view on stackexchange narkive permalink

Trovo molto istruttivo leggere questo blog. L'autore prende annunci di vulnerabilità, di solito nel kernel Linux ma anche in altri progetti open source, e mostra:

  • il codice vulnerabile
  • qual è il problema
  • la patch
Quale blog? Questo come in security.stackexchange.com?
@Everett: grazie, avendo problemi con il ribasso e iPad in disaccordo molto recentemente :(
#5
+7
Tornike
2011-02-08 01:33:04 UTC
view on stackexchange narkive permalink

Perché nessuno ha menzionato Exploit-DB?

** Modifica:

Consiglio vivamente a tutti questo progetto: pentest- segnalibro. Personalmente ho trovato molte informazioni utili.

#7
+7
mrnap
2011-02-28 09:38:17 UTC
view on stackexchange narkive permalink

Come mai nessuno ha menzionato Krebs? È uno dei giornalisti di sicurezza più noti e affidabili in circolazione.

KrebsOnSecurity

Vorrei postare di più, ma l'OP ne chiedeva solo uno per post (che evidentemente alcune persone hanno trascurato di leggere).

... ma sentiti libero di aggiungere altri post in modo che possano essere votati individualmente. Lascia che il migliore (i) salga in cima!
O ancora, forse dovrei modificare il post originale per dire solo di provare a non pubblicare link duplicati? I tuoi pensieri? Altrimenti non voglio perdere preziose informazioni
@makerofthings Penso che se il tuo obiettivo è massimizzare la conoscenza, avere un post con forse <= 5 link e assicurarti che non siano duplicati sia una buona politica. In questo modo le persone sono ancora costrette a selezionare le loro migliori risorse, ma limita anche la saturazione eccessiva.
#8
+6
Everett
2010-11-20 20:38:59 UTC
view on stackexchange narkive permalink

2600

una pubblicazione americana specializzata nella pubblicazione di informazioni tecniche su una varietà di argomenti, tra cui sistemi di commutazione telefonica, protocolli e servizi Internet, nonché notizie generali riguardanti il ​​computer questioni "clandestine" e di sinistra, e talvolta (ma non di recente), anarchiche.

Tuttavia, non è molto da sviluppatore. Leggo da un po 'di tempo negli anni '90 e non ricordo più di un paio di pagine di codice. In questi giorni è principalmente "guarda cosa succede se premo i pulsanti del mio microonde in _questo_ ordine". Comunque mi diverto ancora a leggerlo.
#9
+5
Bell
2011-02-22 03:34:49 UTC
view on stackexchange narkive permalink

lightbluetouchpaper.org - il blog del Security Group presso l'Università di Cambridge Computer Laboratory - fornisce una copertura su questioni legali emergenti nel Regno Unito tra gli altri elementi di interesse, ma non necessariamente vantaggi pratici immediati per i programmatori .

Il blog di Nate Lawson fornisce alcune cose pratiche di mitigazione e vulnerabilità davvero interessanti a livello di codice. Ha co-sviluppato la crittografia BD + per BluRay e ha presentato a RSA, BlackHat e Google Tech Talk.

#10
+4
Everett
2010-11-20 20:44:05 UTC
view on stackexchange narkive permalink

DefCon

Inizialmente iniziato nel 1993, era pensato per essere un partito per i membri di "Platinum Net", una rete di hacking basata sul protocollo Fido fuori dal Canada. In qualità di principale hub statunitense, stavo aiutando l'organizzatore di Platinum Net (non ricordo il suo nome) a pianificare una festa di chiusura per tutti i sistemi BBS membri e i loro utenti. Stava per chiudere la rete quando suo padre ha preso un nuovo lavoro e ha dovuto trasferirsi. Stiamo parlando di dove potremmo tenerlo, quando all'improvviso se ne andò presto e scomparve. Stavo solo organizzando una festa per una rete che è stata chiusa, ad eccezione dei miei nodi statunitensi. Ho deciso cosa diavolo, inviterò i membri di tutte le altre reti il ​​mio sistema BBS (A Dark Tangent System) faceva parte di Cyber ​​Crime International (CCI), Hit Net, Tired of Protection (ToP) e simili 8 altri che non ricordo. Perché non invitare tutti su #hack? Buona idea!

#11
+3
user185
2011-06-27 18:49:47 UTC
view on stackexchange narkive permalink

Per cose molto tecniche, stare al passo con la letteratura di ricerca è una grande risorsa. Seguo i feed di crittografia e ingegneria del software del server di pre-stampa (arxiv.org), di certo non leggo tutti i giornali ma è utile per vedere cosa sta inventando il mondo accademico, per tenermi al passo con gli abstract e immergermi nel materiale interessante o pertinente.

#12
+2
user1569
2011-02-28 04:26:00 UTC
view on stackexchange narkive permalink

Software open source Strumenti & che aiutano gli sviluppatori interessati allo spazio della sicurezza:

http://fuzzdb.googlecode.com

#13
+1
p____h
2012-06-07 20:31:17 UTC
view on stackexchange narkive permalink

SecDocs da lonerunners.net

Bel sito web, composto da giornali, diapositive, audio e video aggiornati quotidianamente da conferenze sulla sicurezza. Database piuttosto enorme di informazioni sulla sicurezza.

#14
+1
chao-mu
2012-06-07 19:22:09 UTC
view on stackexchange narkive permalink

Ottieni un account Twitter in modo da poter seguire popolari ricerche di sicurezza / hacker all'interno della comunità. Cerca le recenti conferenze degli hacker e cerca nuove presentazioni e dai la caccia all'account Twitter del relatore. Se inseriscono informazioni personali nel microblog, smetti di seguirle, ma conservale se ritwittano le notizie. Guarda i consigli di Twitter e le persone che seguono e continua il processo. Ti ritroverai con un fantastico feed di notizie sottoposto a revisione paritaria.

Prova anche a frequentare i canali di supporto IRC per vari progetti open source relativi alla sicurezza. Ho imparato molto semplicemente frequentando #metasploit, a dire il vero.

#15
+1
Orbit
2011-02-26 02:11:34 UTC
view on stackexchange narkive permalink

Leggo http://rootsecure.net da un po ', solo un conglomerato di collegamenti di sicurezza quotidiani, sebbene il webmaster abbia appena lasciato il processo di pubblicazione degli articoli nelle mani della comunità.

#16
+1
Casey
2011-02-27 00:06:19 UTC
view on stackexchange narkive permalink

Consiglio vivamente il cast HNN di SpaceRogue

http://www.hackernews.com

Si tratta di un cast video settimanale che completa il notizie principali della settimana precedente, oltre a menzionare nuovi strumenti e aggiornamenti relativi alla sicurezza.

#17
+1
goodguys_activate
2011-02-07 22:19:17 UTC
view on stackexchange narkive permalink

Haacked è un'ottima risorsa per gli sviluppatori Web sullo stack Microsoft

Least Privilege è un'altra grande risorsa orientata all'autenticazione, all'identità e alla federazione con le tecnologie Microsoft.

#19
  0
Ankush_nl
2016-05-08 02:14:22 UTC
view on stackexchange narkive permalink

https://www.reddit.com/r/netsec/wiki/meetups/citysec Queste sono le ULtimate Resouces che troverai nel campo infosec Periodo

https://www.reddit.com/r/netsec/wiki/start



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 2.0 con cui è distribuito.
Loading...