it-swarm-es.com

¿Qué recursos de seguridad debe seguir un desarrollador de sombrero blanco * en estos días?

¿Qué sitios, cuentas de Twitter, software FOSS deberían seguir un white-hat código 'hacker' en estos días?

Incluir:

  • Información de última hora sobre nuevos problemas de seguridad (RSS, Twitter, etc.)
  • Un sitio web que rastrea problemas de seguridad sin parches por proveedor
  • Cuentas de Twitter, blogs, etc. de personas conocidas en el mundo de la seguridad de la información.
    • ¿Quienes son esas personas?
    • ¿Por qué son conocidos?
  • Comunidades que publican información sobre exploits de día cero
    • Blogs, Twitter, conferencias, salas de chat (irc)
  • Un experto en la materia que proporciona orientación actualizada sobre criptología (algoritmo, longitud de clave, etc.) e información actualizada sobre la seguridad de cada uno
  • Software y herramientas de código abierto que ayudan a los desarrolladores interesados ​​en el espacio de seguridad
  • Información sobre facturas y leyes que aplican la piratería informática en los EE. UU. Y en el extranjero (preferiblemente en un idioma que un programador entienda).
    • Probablemente incluiría la ley CAN-SPAM y la legislación de privacidad por estado
  • Un sitio que publica una lista exhaustiva de técnicas y permutaciones XSS; y con suerte código que puedes usar para protegerte

Por favor, NO incluya:

  • Orientación común entre los grupos de apoyo de infraestructura y red
    • Una excepción sería el reciente problema de seguridad de ASP.NET.
    • Cualquier lista o notificación que no se centre en el código o la programación.
  • Software y herramientas que no son de código abierto
  • Listas de verificación de implementación (especialmente si no hay código asociado)
  • Foros generales y listas de discusión, a menos que sean conocidos y confiables por la comunidad de seguridad

Dado que es probable que los lectores no sean expertos en todas estas áreas, háganos saber un poco sobre cada enlace y no cree un "vertedero" de enlaces. Haga un intento serio de no publicar enlaces duplicados.

Como se trata de "seguridad" .stackexchange.com, espero obtener una gama más diversa de respuestas que el sitio típico de administrador de sistemas. En mi experiencia, los administradores de sistemas se mantienen alejados del código, y los desarrolladores realmente no tienen miedo cuando se trata del cable.

76
goodguys_activate

Para ser concisos, solo agregaré dos:

  • Blog moderado de OWASP : agregan publicaciones de calidad de muchas fuentes de seguridad diversas, principalmente en torno a nuevos ataques, vectores, etc.
  • Microsoft's SDL blog , enfocado principalmente en estrategias de remediación, mitigación, modelado de amenazas, etc., y también de vez en cuando un análisis honesto y muy abierto de fallas de seguridad descubiertas y el efecto (o falta de ellas) del SDL .
  • (Pronto espero que http://security.stackexchange.com se considere una oferta superior ... :))
33
AviD

voy a enumerar un par de recursos que sigo para mantenerme al día sobre problemas de seguridad:

  1. Security Focus : encontrará una gran cantidad de información en ese sitio web sobre vulnerabilidades y todo tipo de temas generales y específicos relacionados con la seguridad. También alberga una gran cantidad de listas de correo relacionadas con diferentes aspectos de la seguridad de la información.
  2. blog de Bruce Schneier : no creo que necesite explicar quién es Bruce Schneier, pero si no has oído hablar del chico, puedes leer sobre él por aquí .
  3. Twitter de Bruce Schneier : Bruce también tiene una cuenta de Twitter que creo que vale la pena seguir.
  4. lista de correo de seguridad específica del producto/proveedor: cada producto grande o pequeño que vale la pena tiene una lista de seguridad que se utiliza para rastrear y compartir información sobre problemas relacionados con la seguridad con el producto que se descubren con el tiempo. por ejemplo, solía usar mucho slackware y seguí la lista de correo de sus avisos de seguridad diligentemente para mantener el slackware ejecutándose en mi sistema actualizado con todas las correcciones de seguridad.
  5. phrack.com : esta revista es una gran cantidad de información sobre vulnerabilidades, vulnerabilidades, errores y todo lo que tiene que ver con la información y la seguridad de la red.
20
ayaz

Estos son algunos de mis sitios favoritos para seguir (uso RSS para todos ellos):

  1. En profundidad sobre números binarios, con algunas publicaciones recientes relevantes para la seguridad http://www.exploringbinary.com
  2. El Centro de tormentas de Internet SANS, para alertas de seguridad en Internet http://isc.sans.ed
  3. Lista de noticias de InfoSec, para noticias de seguridad consolidadas http://www.infosecnews.org/
  4. SecurityNow podcast http://grc.com/securitynow.htm
  5. Daily Dave, lista de correo de seguridad técnica https://lists.immunitysec.com/mailman/listinfo/dailydave
  6. Blog de Didier Stevens, muchas publicaciones de seguridad relacionadas con PDF http://blog.didierstevens.com
  7. Blog de F-Secure, para alertas de malware generalizadas http://www.f-secure.com/weblog
  8. blog de lcamtuf, para publicaciones de seguridad técnica http://lcamtuf.blogspot.com/
  9. TaoSecurity, enfocado en el monitoreo de seguridad de red http://taosecurity.blogspot.com/
  10. Blog de Ksplice, más sobre software y Linux, pero con un sabor de seguridad http://blog.ksplice.com
15
Eugene Kogan

Me resulta muy instructivo leer este blog . El autor toma anuncios de vulnerabilidad, generalmente en el kernel de Linux, pero también en otros proyectos de código abierto, y muestra:

  • el código vulnerable
  • cuál es el problema
  • el parche
8
user185

¿Por qué nadie mencionó Exploit-DB ?

**Editar:

Recomiendo encarecidamente a todos este proyecto: pentest-bookmark . Personalmente encontré mucha información útil.

7
Tornike
7
Orca

¿Cómo nadie ha mencionado Krebs todavía? Es uno de los periodistas de seguridad más conocidos y confiables que existen.

KrebsOnSecurity

Publicaría más, pero el OP solo pidió una por publicación (que evidentemente algunas personas no leyeron).

7
mrnap

26

una publicación estadounidense que se especializa en publicar información técnica sobre una variedad de temas, incluidos sistemas de conmutación telefónica, protocolos y servicios de Internet, así como noticias generales sobre la computadora "clandestina" y del ala izquierda y, a veces (pero no recientemente), asuntos anarquistas.

6
Everett

lightbluetouchpaper.org - el blog del Grupo de Seguridad en el Laboratorio de Computación de la Universidad de Cambridge - brinda cobertura sobre asuntos legales emergentes en el Reino Unido, entre otros aspectos de interés, pero no necesariamente un beneficio práctico inmediato para los codificadores.

el blog de Nate Lawson proporciona algunas cosas prácticas de mitigación y vulnerabilidad realmente agradables a nivel de código. Co-desarrolló el cripto BD + para BluRay y ha presentado en RSA, BlackHat y Google Tech Talk.

5
Bell

DefCon

Originalmente iniciado en 1993, estaba destinado a ser una fiesta para miembros de "Platinum Net", una red de piratería basada en el protocolo Fido fuera de Canadá. Como el principal centro de EE. UU. Estaba ayudando al organizador de Platinum Net (se me olvida su nombre) a planificar una fiesta de clausura para todos los sistemas miembros de BBS y sus usuarios. Iba a cerrar la red cuando su padre tomó un nuevo trabajo y tuvo que mudarse. Hablamos de dónde podríamos guardarlo, cuando de repente se fue temprano y desapareció. Estaba planeando una fiesta para una red que se cerró, a excepción de mis nodos estadounidenses. Decidí qué demonios, invitaré a los miembros de todas las otras redes a las que formó parte mi sistema BBS (Un sistema de tangente oscura) incluyendo a Cyber ​​Crime International (CCI), Hit Net, Tired of Protection (ToP) y similares Otros 8 que no puedo recordar. ¿Por qué no invitas a todos en #hack? ¡Buena idea!

4
Everett

Para muy material técnico, mantenerse al día con la literatura de investigación es un gran recurso. Sigo las fuentes de criptografía e ingeniería de software del servidor de preimpresión (arxiv.org), ciertamente no leo todos los artículos, pero es útil para ver qué está surgiendo en la academia, para mantenerme al día con los resúmenes y bucear en el material interesante o relevante.

3
user185

Software y herramientas de código abierto que ayudan a los desarrolladores interesados ​​en el espacio de seguridad:

http://fuzzdb.googlecode.com

2
user1569

Obtenga una cuenta de Twitter para poder seguir las investigaciones/hackers de seguridad populares dentro de la comunidad. Busque conferencias de hackers recientes y busque presentaciones novedosas y busque la cuenta de Twitter del presentador. Si microblogan información personal, deja de seguirla, pero mantenla si retuitean las noticias. Mira las recomendaciones de Twitter y las personas que siguen y continúa el proceso. Terminas con una fuente de noticias revisada por pares bastante impresionante.

También intente pasar el rato en IRC canales de soporte para varios proyectos de código abierto relacionados con la seguridad. Aprendí mucho simplemente pasando el rato en #metasploit, para ser honesto.

1
chao-mu

SecDocs de lonerunners.net

Buen sitio web, consta de documentos actualizados diariamente, diapositivas, audios, videos de conferencias de seguridad. Bastante enorme base de datos de información de seguridad.

1
p____h

He estado leyendo http://rootsecure.net por un tiempo, solo un conglomerado de enlaces de seguridad diarios, aunque el webmaster acaba de dejar el proceso de publicación del artículo en manos de la comunidad.

1
Orbit

Haacked es un gran recurso para desarrolladores web en la pila de Microsoft

Privilegio mínimo es otro excelente para la autenticación, la identidad y la federación con las tecnologías de Microsoft.

1

Recomiendo encarecidamente el HNN Cast de SpaceRogue

http://www.hackernews.com

Es un video semanal que resume las principales historias de la semana anterior y menciona nuevas herramientas y actualizaciones relacionadas con la seguridad.

1
Casey
0
kiran

https://www.reddit.com/r/netsec/wiki/meetups/citysec Esto es lo último en recursos encontrar en el campo infosec Periodo

https://www.reddit.com/r/netsec/wiki/start

0
Ankush_nl