¿Qué recursos de seguridad debe seguir un * desarrollador * de sombrero blanco estos días? [cerrado]

Navega tus respuestas
77

¿Qué sitios, cuentas de twitter, software de software libre deben un white-hat código 'hacker' siga estos días?

Incluye:

  • Información de última hora sobre nuevos problemas de seguridad (RSS, Twitter, etc.)
  • Un sitio web que rastrea problemas de seguridad sin parches por proveedor
  • cuentas de Twitter, blogs, etc. de personas bien conocidas en el mundo de la seguridad de la información.
    • ¿Quiénes son estas personas?
    • ¿Por qué son conocidos?
  • Comunidades que publican información sobre exploits de día cero.
    • Blogs, twitter, conferencias, salas de chat (irc)
  • Un experto en la materia que proporciona orientación actualizada sobre criptología (algoritmo, longitud de clave, etc.) e información actualizada sobre la seguridad de cada uno
  • Software de código abierto & herramientas que ayudan a los desarrolladores interesados en el espacio de seguridad
  • Información sobre los proyectos de ley y las leyes que aplican la piratería informática en los EE. UU. y en el extranjero (preferiblemente en un lenguaje que un programador entendería).
    • Probablemente incluiría la ley CAN-SPAM y la legislación de privacidad por estado
  • Un sitio que publica una lista exhaustiva de técnicas y permutaciones de XSS; y con suerte el código que puede usar para protegerse

Por favor, NO incluir:

  • Orientación que es común entre la infraestructura y los grupos de apoyo de red.
    • Una excepción sería el problema de seguridad reciente de ASP.NET.
    • Cualquier lista o notificación que no se centre en el código o la programación.
  • Software y herramientas que no son de código abierto
  • Listas de verificación de implementación (especialmente si no hay ningún código asociado)
  • Los foros generales y las listas de discusión, a menos que sean bien conocidos y de confianza para la comunidad de seguridad

Dado que es probable que los lectores no sean expertos en todas estas áreas, háganos saber un poco sobre cada enlace y no crear un "vertedero" de enlaces. Haga un intento serio de no publicar enlaces duplicados.

Dado que esto es "seguridad" .stackexchange.com, espero obtener una gama más diversa de respuestas que el sitio típico de sysadmin. En mi experiencia, los administradores de sistemas se mantienen alejados del código, y los desarrolladores realmente no tienen miedo cuando se trata del tema.

    
pregunta makerofthings7 27.11.2012 - 11:14
fuente

19 respuestas

33

Por concisión, solo agregaré dos:

  • El blog moderado de OWASP - agregan publicaciones de calidad de una gran variedad de feeds de seguridad, principalmente en torno a nuevos ataques, vectores, etc.
  • blog de SDL de Microsoft, que se enfoca principalmente en estrategias de remediación, mitigación, modelado de amenazas, etc., y también de vez en cuando un análisis muy abierto y honesto de los fallos de seguridad descubiertos y el efecto (o falta de ellos) del SDL.
  • (Pronto espero que enlace se considere una oferta superior ... :))
respondido por el AviD 21.11.2010 - 13:50
fuente
20

Voy a enumerar un par de recursos que sigo para estar al día sobre temas de seguridad:

  1. Enfoque en la seguridad : encontrará una gran cantidad de información en ese sitio web sobre vulnerabilidades y todo tipo de temas generales y específicos relacionados con la seguridad. también alberga una gran cantidad de listas de correo que tratan diferentes aspectos de la seguridad de la información.
  2. blog de Bruce Schneier : no creo que deba explicar quién es Bruce Schneier, pero si no había oído hablar de ese tipo, Puede leer sobre él aquí .
  3. Twitter de Bruce Schneier : Bruce también tiene una cuenta de Twitter que creo que vale la pena seguir.
  4. lista de correo de seguridad específica del producto / proveedor: cada producto, grande o pequeño, tiene una lista de seguridad que se utiliza para rastrear y compartir información sobre problemas relacionados con la seguridad del producto que se descubren a lo largo del tiempo. por ejemplo, solía usar slackware en gran medida y seguí sus listas de correo de avisos de seguridad con diligencia para mantener el software en mi sistema actualizado con todas las correcciones de seguridad.
  5. phrack.com : esta revista es una fuente de información sobre vulnerabilidades, vulnerabilidades, errores y todo lo demás que tenga que ver con la información y la seguridad de la red. .
respondido por el ayaz 20.11.2010 - 19:30
fuente
15

Estos son algunos de mis sitios favoritos para seguir (uso RSS para todos):

  1. En profundidad sobre los números binarios, con algunas publicaciones recientes relevantes para la seguridad enlace
  2. El SANS Internet Storm Center, para alertas de seguridad de Internet enlace
  3. Lista de noticias de InfoSec, para noticias de seguridad consolidadas enlace
  4. podcast de SecurityNow enlace
  5. Daily Dave, lista de correo de seguridad técnica enlace
  6. Blog de Didier Stevens, muchas publicaciones de seguridad relacionadas con PDF enlace
  7. blog de F-Secure, para alertas de malware generalizadas enlace
  8. blog de lcamtuf, para publicaciones técnicas de seguridad enlace
  9. TaoSecurity, centrado en el monitoreo de seguridad de la red enlace
  10. Blog de Ksplice, más información sobre software y Linux, pero con un sabor de seguridad enlace
respondido por el Eugene Kogan 09.02.2011 - 18:18
fuente
8

Me parece muy instructivo leer este blog . El autor toma anuncios de vulnerabilidad, generalmente en el kernel de Linux pero también en otros proyectos de código abierto, y muestra:

  • el código vulnerable
  • cuál es el problema
  • el parche
respondido por el Graham Lee 12.06.2012 - 09:16
fuente
7

enlace

    
respondido por el Orca 26.02.2011 - 19:52
fuente
7

¿Cómo nadie ha mencionado a Krebs todavía? Es uno de los periodistas de seguridad más conocidos y confiables que existen.

KrebsOnSecurity

Yo publicaría más, pero el OP solo solicitó uno por publicación (que evidentemente algunas personas se negaron a leer).

    
respondido por el mrnap 28.02.2011 - 04:38
fuente
7

¿Por qué nadie mencionó Exploit-DB ?

** Editar:

Recomendaría encarecidamente este proyecto a todos: pentest-bookmark . Personalmente encontré muchas informaciones útiles.

    
respondido por el tokozedg 10.05.2011 - 16:21
fuente
6

2600

una publicación estadounidense que se especializa en la publicación de información técnica sobre una variedad de temas que incluyen sistemas de conmutación telefónica, protocolos y servicios de Internet, así como noticias generales sobre la computadora "subterránea" y de izquierda, y algunas veces (pero no recientemente), Cuestiones anarquistas.

    
respondido por el Everett 20.11.2010 - 15:38
fuente
5

lightbluetouchpaper.org - el blog de Security Group en el Laboratorio de Computación de la Universidad de Cambridge - brinda cobertura sobre problemas legales emergentes en el Reino Unido entre otros puntos de interés, pero no necesariamente un beneficio práctico inmediato para los codificadores.

El blog de Nate Lawson proporciona una vulnerabilidad práctica y de mitigación realmente agradable a nivel de código. Co-desarrolló el BD + crypto para BluRay y ha presentado en RSA, BlackHat y Google Tech Talk.

    
respondido por el Bell 21.02.2011 - 22:34
fuente
4

DefCon

Originalmente comenzó en 1993, estaba destinado a ser parte de un miembro de "Platinum Net", una red de piratería basada en el protocolo Fido fuera de Canadá. Como centro principal de EE. UU., Estaba ayudando al organizador de Platinum Net (no recuerdo su nombre) a planear una fiesta de cierre para todos los sistemas miembros de BBS y sus usuarios. Iba a cerrar la red cuando su papá aceptó un nuevo trabajo y tuvo que mudarse. Hablamos de dónde podríamos sostenerlo, cuando de repente se fue temprano y desapareció. Estaba planeando una fiesta para una red que se cerró, a excepción de mis nodos de EE. UU. Decidí qué demonios, invitaré a los miembros de todas las demás redes, mi sistema BBS (A Dark Tangent System) fue parte de la inclusión de Cyber Crime International (CCI), Hit Net, Tired of Protection (ToP) y otros 8 otros que no puedo recordar. ¿Por qué no invitar a todos en #hack? Buena idea!

    
respondido por el Everett 20.11.2010 - 15:44
fuente
3

Para cosas muy técnicas , mantenerse al día con la literatura de investigación es un gran recurso. Sigo las fuentes de criptografía e ingeniería de software del servidor de preimpresión (arxiv.org). Ciertamente no leo todos los periódicos, pero es útil ver qué es lo que se propone la academia para mantenerse al día con los resúmenes y bucear. en el material interesante o relevante.

    
respondido por el user185 27.06.2011 - 15:49
fuente
2

Software de código abierto & Herramientas que ayudan a los desarrolladores interesados en el espacio de seguridad:

enlace

    
respondido por el user1569 27.02.2011 - 23:25
fuente
1

Haacked es un excelente recurso para desarrolladores web en la pila de Microsoft

Least Privilege es otro grandioso dirigido a la autenticación, identidad y federación con tecnologías de Microsoft.

    
respondido por el random65537 07.02.2011 - 17:19
fuente
1

Recomiendo encarecidamente HNN Cast de SpaceRogue

enlace

Es un video semanal que reúne las principales noticias de la semana anterior, además de mencionar nuevas herramientas y actualizaciones relacionadas con la seguridad.

    
respondido por el Casey 26.02.2011 - 19:06
fuente
1

SecDocs from lonerunners.net

El sitio web de Niza está compuesto de artículos diarios actualizados, diapositivas, audios, videos de conferencias de seguridad. Bastante enorme base de datos de información de seguridad.

    
respondido por el p____h 07.06.2012 - 17:31
fuente
1

He estado leyendo enlace durante un tiempo, solo una conglomeración de enlaces de seguridad diarios, aunque el webmaster acaba de dejar el proceso de publicación del artículo en manos de comunidad.

    
respondido por el Orbit 07.06.2012 - 17:52
fuente
1

Obtenga una cuenta de Twitter para poder seguir las investigaciones / hackers de seguridad más populares dentro de la comunidad. Busque conferencias de hackers recientes y busque presentaciones novedosas y busque la cuenta de twitter del presentador. Si contienen microblogs de información personal, dejen de seguirlos, pero guárdelos si retuitean noticias. Mire las recomendaciones de Twitter y las personas que siguen y continúe el proceso. Terminas con un excelente feed de noticias revisado por pares.

También intente salir en canales de soporte de IRC para varios proyectos de código abierto relacionados con la seguridad. Aprendí mucho de solo pasar el rato en #metasploit, para ser honesto.

    
respondido por el chao-mu 10.06.2012 - 06:37
fuente
0

enlace Estos son los últimos recursos que encontrará en el campo de información sobre el período

enlace

    
respondido por el Ankush_nl 07.05.2016 - 23:14
fuente

Lea otras preguntas en las etiquetas

Riesgos de otorgar a los desarrolladores derechos de administrador en sus propias PC ¿Debo usar AntiForgeryToken en todos los formularios, incluso en el inicio de sesión y el registro?