Welchen Sicherheitsressourcen sollte ein White-Hat * Entwickler * heutzutage folgen?
Welchen Websites, Twitter-Konten und FOSS-Software sollte heutzutage ein White-Hat Code-Hacker folgen?
Schließen Sie ein:
- Aktuelle Informationen zu neuen Sicherheitsproblemen (RSS, Twitter usw.)
- Eine Website, die nicht gepatchte Sicherheitsprobleme pro Anbieter verfolgt
- Twitter-Konten, Blogs usw. von bekannten Personen aus der Welt der Informationssicherheit.
- Wer sind diese Leute?
- Wofür sind sie bekannt?
- Communitys, die Informationen zu Zero-Day-Exploits veröffentlichen
- Blogs, Twitter, Konferenzen, Chatrooms (irc)
- Ein Fachexperte, der aktuelle Anleitungen zur Kryptologie (Algorithmus, Schlüssellänge usw.) sowie aktuelle Informationen zur jeweiligen Sicherheit bietet
- Open Source Software und Tools, die Entwicklern helfen, die sich für den Sicherheitsbereich interessieren
- Informationen zu Rechnungen und Gesetzen, die Computer-Hacking in den USA und im Ausland anwenden (vorzugsweise in einer Sprache, die ein Programmierer verstehen würde).
- Würde wahrscheinlich das CAN-SPAM-Gesetz und die Datenschutzgesetze pro Staat beinhalten
- Eine Site, die eine vollständige Liste von XSS-Techniken und -Permutationen veröffentlicht. und hoffentlich Code, mit dem Sie sich schützen können
Bitte NICHT einschließen:
- Anleitung, die in den Infrastruktur- und Netzwerkunterstützungsgruppen üblich ist
- Eine Ausnahme wäre das aktuelle ASP.NET-Sicherheitsproblem.
- Jede Liste oder Benachrichtigung, die sich nicht auf Code oder Programmierung konzentriert.
- Software und Tools, die nicht Open Source sind
- Bereitstellungschecklisten (insbesondere wenn kein Code zugeordnet ist)
- Allgemeine Foren und Diskussionslisten, sofern sie nicht von der Sicherheitsgemeinschaft bekannt und vertrauenswürdig sind
Da die Leser wahrscheinlich kein Experte in all diesen Bereichen sind, teilen Sie uns bitte ein wenig über jeden Link mit und schaffen Sie keine "Müllhalde" für Links. Versuchen Sie ernsthaft, keine doppelten Links zu veröffentlichen.
Da dies "Sicherheit" ist .stackexchange.com Ich hoffe, dass ich eine breitere Palette von Antworten erhalten kann als die typische Sysadmin-Site. Nach meiner Erfahrung halten sich Systemadministratoren vom Code fern, und Entwickler haben wirklich keine Angst, wenn es um den Draht geht.
Der Kürze halber füge ich nur zwei hinzu:
- OWASP 's moderierter Blog - sie aggregieren hochwertige Beiträge aus vielen verschiedenen Sicherheits-Feeds, hauptsächlich zu neuen Angriffen, Vektoren usw.
- Microsoft SDL-Blog , das sich hauptsächlich auf Abhilfemaßnahmen, Schadensbegrenzung, Bedrohungsmodellierung usw. konzentriert und hin und wieder eine sehr offene, ehrliche Analyse der entdeckten Sicherheitslücken und der Auswirkungen (oder des Fehlens) der SDL .
- (Bald hoffe ich, dass http://security.stackexchange.com als Top-Angebot angesehen wird ... :))
ich werde einige Ressourcen auflisten, die ich befolge, um über Sicherheitsprobleme auf dem Laufenden zu bleiben:
- Sicherheitsfokus : Auf dieser Website finden Sie eine Reihe von Informationen zu Sicherheitslücken und allen möglichen allgemeinen und spezifischen Sicherheitsthemen. Es enthält auch eine Reihe von Mailinglisten, die sich mit verschiedenen Aspekten der Informationssicherheit befassen.
- Bruce Schneiers Blog : Ich glaube nicht, dass ich erklären muss, wer Bruce Schneier ist, aber wenn Sie nicht von dem Kerl gehört haben, können Sie über ihn lesen hier drüben .
- Bruce Schneiers Twitter : Bruce hat auch einen Twitter-Account, dem ich folgen sollte.
- produkt-/herstellerspezifische Sicherheits-Mailingliste: Jedes große oder kleine Produkt, das sein Geld wert ist, verfügt über eine Sicherheitsliste, mit der Informationen zu sicherheitsrelevanten Problemen mit dem Produkt, die im Laufe der Zeit entdeckt wurden, verfolgt und ausgetauscht werden können. Zum Beispiel habe ich Slackware häufig verwendet und die Mailingliste mit den Sicherheitshinweisen sorgfältig befolgt, um Slackware auf meinem System mit allen Sicherheitskorrekturen auf dem neuesten Stand zu halten.
- phrack.com : Dieses Magazin enthält zahlreiche Informationen zu Schwachstellen, Exploits, Fehlern und allem anderen, was mit Informations- und Netzwerksicherheit zu tun hat.
Hier sind einige meiner Lieblingsseiten (ich verwende RSS für alle):
- Ausführliche Informationen zu Binärzahlen mit einigen aktuellen sicherheitsrelevanten Beiträgen http://www.exploringbinary.com
- Das SANS Internet Storm Center für Internet-Sicherheitswarnungen http://isc.sans.ed
- InfoSec-Nachrichtenliste für konsolidierte Sicherheitsnachrichten http://www.infosecnews.org/
- SecurityNow-Podcast http://grc.com/securitynow.htm
- Täglich Dave, Mailingliste für technische Sicherheit https://lists.immunitysec.com/mailman/listinfo/dailydave
- Didier Stevens 'Blog, viele PDF-bezogene Sicherheitspostings http://blog.didierstevens.com
- Der Blog von F-Secure für weit verbreitete Malware-Warnungen http://www.f-secure.com/weblog
- lcamtufs Blog für technische Sicherheitspostings http://lcamtuf.blogspot.com/
- TaoSecurity mit Schwerpunkt auf der Überwachung der Netzwerksicherheit http://taosecurity.blogspot.com/
- Ksplices Blog, mehr über Software und Linux, aber mit einer Sicherheitsvariante http://blog.ksplice.com
Ich finde es sehr lehrreich zu lesen dieser Blog . Der Autor nimmt Schwachstellenankündigungen entgegen, normalerweise im Linux-Kernel, aber auch in anderen Open Source-Projekten, und zeigt:
- der anfällige Code
- was das Problem ist
- der Patch
Warum hat niemand Exploit-DB erwähnt?
**Bearbeiten:
Ich kann jedem dieses Projekt nur empfehlen: Pentest-Lesezeichen . Persönlich habe ich viele nützliche Informationen gefunden.
Wie hat noch niemand Krebs erwähnt? Er ist einer der bekanntesten und zuverlässigsten Sicherheitsjournalisten.
Ich würde mehr posten, aber das OP bat nur um einen pro Post (was offensichtlich einige Leute versäumten zu lesen).
26
eine amerikanische Publikation, die sich auf die Veröffentlichung technischer Informationen zu einer Vielzahl von Themen spezialisiert hat, darunter Telefonvermittlungssysteme, Internetprotokolle und -dienste sowie allgemeine Nachrichten über den Computer "Untergrund" und den linken Flügel sowie manchmal (aber nicht in letzter Zeit) anarchistische Themen.
lightbluetouchpaper.org - der Blog der Sicherheitsgruppe am Computerlabor der Universität Cambridge - bietet unter anderem Berichterstattung über aufkommende Rechtsfragen in Großbritannien, aber nicht unbedingt unmittelbaren praktischen Nutzen für Programmierer.
Nate Lawsons Blog bietet einige wirklich nette praktische Informationen zu Sicherheitslücken und Schadensbegrenzung auf Codeebene. Er war Mitentwickler der BD + -Krypto für BluRay und hat auf der RSA, BlackHat und Google Tech Talk vorgestellt.
DefCon
Ursprünglich 1993 gegründet, sollte es eine Party für Mitglieder von "Platinum Net" sein, einem auf dem Fido-Protokoll basierenden Hacking-Netzwerk aus Kanada. Als wichtigster Hub in den USA half ich dem Organisator von Platinum Net (ich vergesse seinen Namen) bei der Planung einer Abschlussparty für alle BBS-Mitgliedssysteme und deren Benutzer. Er würde das Netzwerk schließen, als sein Vater einen neuen Job annahm und wegziehen musste. Wir reden darüber, wo wir es halten könnten, als er plötzlich früh ging und verschwand. Ich plante gerade eine Party für ein Netzwerk, das außer meinen US-Knoten heruntergefahren wurde. Ich entschied, was zum Teufel, ich werde die Mitglieder aller anderen Netzwerke einladen, zu denen mein BBS-System (A Dark Tangent System) gehört, einschließlich Cyber Crime International (CCI), Hit Net, Tired of Protection (ToP) und dergleichen 8 andere, an die ich mich nicht erinnern kann. Warum nicht alle auf #hack einladen? Gute Idee!
Für sehr technische Dinge ist es eine großartige Ressource, mit der Forschungsliteratur Schritt zu halten. Ich folge den Kryptografie- und Software-Engineering-Feeds des Pre-Print-Servers (arxiv.org). Ich lese sicherlich nicht jede Zeitung, aber es ist nützlich zu sehen, was sich die Wissenschaft einfallen lässt, um mit den Abstracts und dem Tauchgang Schritt zu halten in das interessante oder relevante Material.
Open Source Software und Tools, die Entwicklern helfen, die sich für den Sicherheitsbereich interessieren:
Holen Sie sich ein Twitter-Konto, damit Sie gängigen Sicherheitsforschungen/Hackern in der Community folgen können. Suchen Sie nach aktuellen Hacker-Konferenzen, nach neuartigen Präsentationen und suchen Sie den Twitter-Account des Moderators. Wenn sie persönliche Informationen im Microblog veröffentlichen, folgen Sie ihnen nicht, aber behalten Sie sie, wenn sie Nachrichten retweeten. Schauen Sie sich die Empfehlungen von Twitter und die Personen an, denen sie folgen, und setzen Sie den Prozess fort. Am Ende erhalten Sie einen ziemlich großartigen, von Experten geprüften Newsfeed.
Versuchen Sie auch, in IRC Support-Kanälen für verschiedene sicherheitsrelevante Open Source-Projekte abzuhängen. Ich habe viel gelernt, wenn ich nur in #metasploit rumgehangen habe, um ehrlich zu sein.
Schöne Website, besteht aus täglich aktualisierten Papieren, Folien, Audios, Videos von Sicherheitskonferenzen. Ziemlich große Datenbank mit Sicherheitsinformationen.
Ich habe http://rootsecure.net für eine Weile gelesen, nur ein Konglomerat von täglichen Sicherheitslinks, obwohl der Webmaster den Artikelveröffentlichungsprozess gerade in den Händen der Community gelassen hat.
Haacked ist eine großartige Ressource für Webentwickler auf dem Microsoft-Stack
Least Privilege ist eine weitere großartige Funktion, die auf Authentifizierung, Identität und Föderation mit Microsoft-Technologien ausgerichtet ist.
Ich kann SpaceRogues HNN Cast nur empfehlen
Es handelt sich um eine wöchentliche Video-Besetzung, die die Top-Storys der Vorwoche zusammenfasst und neue sicherheitsrelevante Tools und Updates erwähnt.
https://www.reddit.com/r/netsec/wiki/meetups/citysec Dies sind die ultimativen Ressourcen, die Sie benötigen finden Sie im Infosec-Feld Zeitraum