Quelles ressources de sécurité un développeur * chapeau blanc * devrait-il suivre de nos jours?
Quels sites, comptes Twitter, logiciels FOSS un white-hat code 'hacker' devrait suivre ces jours-ci?
Inclure:
- Informations de dernière minute sur les nouveaux problèmes de sécurité (RSS, Twitter, etc.)
- Un site Web qui suit les problèmes de sécurité non corrigés par fournisseur
- Comptes Twitter, blogs, etc. de personnes bien connues dans le monde de la sécurité de l'information.
- Qui sont ces gens?
- Pourquoi sont-ils connus?
- Communautés qui publient des informations sur les exploits zero day
- Blogs, Twitter, conférences, chat rooms (irc)
- Un expert en la matière qui fournit des conseils à jour sur la cryptologie (algorithme, longueur de clé, etc.) et des informations à jour sur la sécurité de chacun
- Logiciels et outils Open Source qui aident les développeurs intéressés par l'espace de sécurité
- Informations sur les projets de loi et les lois qui appliquent le piratage informatique aux États-Unis et à l'étranger (de préférence dans une langue qu'un programmeur comprendrait).
- Comprendrait probablement la loi CAN-SPAM et la législation sur la confidentialité par État
- Un site qui publie une liste exhaustive des techniques et permutations XSS; et nous espérons que le code que vous pouvez utiliser pour vous protéger
S'il vous plaît, N'incluez PAS:
- Conseils communs aux groupes de soutien des infrastructures et des réseaux
- Une exception serait le récent problème de sécurité ASP.NET.
- Toute liste ou notification qui ne se concentre pas sur le code ou la programmation.
- Logiciels et outils qui ne sont pas open source
- Listes de contrôle de déploiement (surtout s'il n'y a pas de code associé)
- Forums généraux et listes de discussion, sauf s'ils sont bien connus et approuvés par la communauté de la sécurité
Étant donné que les lecteurs ne sont probablement pas des experts dans tous ces domaines, veuillez nous en dire un peu plus sur chaque lien et ne pas créer un "dépotoir" de liens. Essayez sérieusement de ne pas publier de liens en double.
Puisqu'il s'agit de "sécurité" .stackexchange.com, j'espère obtenir une gamme de réponses plus diversifiée que le site sysadmin typique. D'après mon expérience, les administrateurs système restent à l'écart du code, et les développeurs n'ont vraiment aucune crainte en ce qui concerne le fil.
Par souci de concision, je n'en ajouterai que deux:
- Le blog modéré de [~ # ~] owasp [~ # ~] - ils regroupent des publications de qualité à partir de nombreux flux de sécurité divers, principalement autour de nouvelles attaques , vecteurs, etc.
- Blog SDL de Microsoft , principalement axé sur les stratégies de correction, l'atténuation, la modélisation des menaces, etc., et également de temps en temps une analyse très ouverte et honnête des failles de sécurité découvertes et l'effet (ou son absence) du SDL.
- (Bientôt j'espère que http://security.stackexchange.com sera considéré comme une offre de choix ... :))
je vais énumérer quelques ressources que je suis pour rester à jour sur les problèmes de sécurité:
- Security Focus : vous trouverez sur ce site une multitude d'informations sur les vulnérabilités et toutes sortes de sujets généraux et spécifiques liés à la sécurité. il héberge également une multitude de listes de diffusion traitant de différents aspects de la sécurité de l'information.
- le blog de Bruce Schneier : je ne pense pas avoir besoin d'expliquer qui est Bruce Schneier, mais si vous n'aviez pas entendu parler de ce type, vous pouvez lire à son sujet ici .
- Twitter de Bruce Schneier : Bruce a également un compte Twitter que je trouve intéressant de suivre.
- liste de diffusion de sécurité spécifique au produit/fournisseur: chaque grand ou petit produit digne de ce nom a une liste de sécurité qui est utilisée pour suivre et partager des informations sur les problèmes de sécurité avec le produit qui sont découverts au fil du temps. par exemple, j'avais l'habitude d'utiliser massivement slackware et de suivre avec diligence leur liste de diffusion d'avis de sécurité pour que slackware fonctionne sur mon système à jour avec tous les correctifs de sécurité.
- phrack.com : ce magazine est un puits d'informations sur les vulnérabilités, les exploits, les bugs et tout ce qui a un rapport avec la sécurité des informations et du réseau.
Voici quelques-uns de mes sites préférés à suivre (j'utilise RSS pour tous):
- En détail sur les nombres binaires, avec quelques articles récents concernant la sécurité http://www.exploringbinary.com
- Le SANS Internet Storm Center, pour les alertes de sécurité Internet http://isc.sans.ed
- Liste InfoSec News, pour les nouvelles de sécurité consolidées http://www.infosecnews.org/
- Podcast SecurityNow http://grc.com/securitynow.htm
- Daily Dave, liste de diffusion de la sécurité technique https://lists.immunitysec.com/mailman/listinfo/dailydave
- Le blog de Didier Stevens, beaucoup de messages de sécurité liés aux PDF http://blog.didierstevens.com
- Le blog de F-Secure, pour les alertes de malware répandues http://www.f-secure.com/weblog
- le blog de lcamtuf, pour les articles de sécurité technique http://lcamtuf.blogspot.com/
- TaoSecurity, axé sur la surveillance de la sécurité du réseau http://taosecurity.blogspot.com/
- Le blog de Ksplice, plus sur les logiciels et Linux, mais avec une touche de sécurité http://blog.ksplice.com
Je trouve cela très instructif à lire ce blog . L'auteur prend des annonces de vulnérabilité, généralement dans le noyau Linux mais aussi dans d'autres projets open source, et montre:
- le code vulnérable
- quel est le problème
- le patch
Pourquoi personne n'a mentionné Exploit-DB ?
**Éditer:
Je recommande fortement à tous ce projet: pentest-bookmark . Personnellement, j'ai trouvé beaucoup d'informations utiles.
Comment personne n'a encore mentionné Krebs? Il est l'un des journalistes de sécurité les plus connus et les plus fiables du marché.
Je publierais plus, mais l'OP n'en a demandé qu'un par poste (ce que certaines personnes ont évidemment négligé de lire).
26
une publication américaine spécialisée dans la publication d'informations techniques sur une variété de sujets, notamment les systèmes de commutation téléphonique, les protocoles et services Internet, ainsi que des informations générales concernant l'ordinateur "clandestin" et l'aile gauche, et parfois (mais pas récemment), les questions anarchistes.
lightbluetouchpaper.org - le blog du groupe de sécurité du laboratoire informatique de l'Université de Cambridge - fournit une couverture sur les problèmes juridiques émergents au Royaume-Uni, entre autres éléments d'intérêt, mais pas nécessairement un avantage pratique immédiat pour les codeurs.
Le blog de Nate Lawson fournit des trucs pratiques de vulnérabilité et d'atténuation vraiment sympas au niveau du code. Il a co-développé la cryptographie BD + pour BluRay et a fait des présentations à RSA, BlackHat et Google Tech Talk.
DefCon
Lancé à l'origine en 1993, il était censé être une partie pour le membre de "Platinum Net", un réseau de piratage basé sur le protocole Fido à partir du Canada. En tant que principal hub américain, j'aidais l'organisateur de Platinum Net (j'oublie son nom) à planifier une soirée de clôture pour tous les systèmes BBS membres et leurs utilisateurs. Il allait fermer le réseau lorsque son père a pris un nouvel emploi et a dû déménager. Nous parlons de l'endroit où nous pourrions le tenir, quand tout d'un coup il est parti tôt et a disparu. Je préparais juste une fête pour un réseau qui était fermé, à l'exception de mes nœuds américains. J'ai décidé quoi diable, j'inviterai les membres de tous les autres réseaux que mon système BBS (A Dark Tangent System) faisait partie de Cyber Crime International (CCI), Hit Net, Tired of Protection (ToP), et comme 8 autres dont je ne me souviens pas. Pourquoi ne pas inviter tout le monde sur #hack? Bonne idée!
Pour très trucs techniques, suivre la littérature de recherche est une excellente ressource. Je suis les flux de cryptographie et d'ingénierie logicielle du serveur de pré-impression (arxiv.org), je ne lis certainement pas tous les articles, mais il est utile de voir ce que le monde universitaire propose, pour suivre les résumés et plonger dans le matériel intéressant ou pertinent.
Logiciels et outils Open Source qui aident les développeurs intéressés par l'espace de sécurité:
Créez un compte Twitter afin de pouvoir suivre les recherches/hackers de sécurité populaires au sein de la communauté. Recherchez les récentes conférences de hackers et recherchez de nouvelles présentations et traquez le compte Twitter du présentateur. S'ils microbloguent des informations personnelles, ne les suivez pas, mais conservez-les s'ils retweetent des nouvelles. Regardez les recommandations de Twitter et les personnes qu'ils suivent et poursuivez le processus. Vous vous retrouvez avec un flux de nouvelles évalué par les pairs assez impressionnant.
Essayez également de traîner dans IRC canaux de support pour divers projets open source liés à la sécurité. J'ai beaucoup appris en passant du temps dans #metasploit, pour être honnête.
Beau site Web, composé de documents mis à jour quotidiennement, de diapositives, d'audios, de vidéos de conférences de sécurité. Assez énorme base de données d'informations de sécurité.
J'ai lu http://rootsecure.net pendant un certain temps, juste un conglomérat de liens de sécurité quotidiens, bien que le webmaster ait laissé le processus de publication d'articles entre les mains de la communauté.
Haacked est une excellente ressource pour les développeurs Web sur la pile Microsoft
Least Privilege est un autre excellent outil conçu pour l'authentification, l'identité et la fédération avec les technologies Microsoft.
Je recommanderais vivement HNN Cast de SpaceRogue
Il s'agit d'une distribution vidéo hebdomadaire qui résume les principales histoires de la semaine précédente ainsi que de nouveaux outils et mises à jour liés à la sécurité.
https://www.reddit.com/r/netsec/wiki/meetups/citysec Ceci est ULtimate Resouces vous aurez trouver dans le champ infosec Période