it-swarm-tr.com

Beyaz şapka * geliştiricisi * bu günlerde hangi güvenlik kaynaklarını izlemelidir?

Hangi siteleri, Twitter hesaplarını, FOSS yazılımlarını bu günlerde white-hat kod 'hacker' izlemeli?

Şunları Dahil Edin:

  • Yeni güvenlik sorunları hakkında en yeni bilgiler (RSS, Twitter, vb.)
  • Satıcı başına gönderilmemiş güvenlik sorunlarını izleyen bir web sitesi
  • Bilgi güvenliği dünyasında tanınmış kişilerden Twitter hesapları, bloglar vb.
    • Bu insanlar kim?
    • Ne için biliniyorlar?
  • Sıfır gün istismarları hakkında bilgi yayınlayan topluluklar
    • Bloglar, Twitter, konferanslar, sohbet odaları (irc)
  • Kriptoloji (algoritma, anahtar uzunluğu, vb.) Hakkında güncel rehberlik ve her birinin ne kadar güvenli olduğuna dair güncel bilgiler sağlayan bir konu uzmanı
  • Güvenlik alanıyla ilgilenen geliştiricilere yardımcı olan Açık Kaynaklı Yazılımlar ve araçlar
  • ABD'de ve yurtdışında bilgisayar korsanlığı uygulayan faturalar ve yasalar hakkında bilgi (tercihen bir programcının anlayacağı dilde).
    • Muhtemelen CAN-SPAM yasasını ve eyalet başına gizlilik mevzuatını içerir
  • XSS tekniklerinin ve permütasyonlarının kapsamlı bir listesini yayınlayan bir site; ve umarım kendinizi korumak için kullanabilirsiniz

Lütfen, Şunlara dahil ETMEYİN:

  • Altyapı ve ağ destek grupları arasında ortak olan rehberlik
    • Bir istisna, en son ASP.NET güvenlik sorunu olacaktır.
    • Kod veya programlamaya odaklanmayan herhangi bir liste veya bildirim.
  • Açık kaynaklı olmayan yazılım ve araçlar
  • Dağıtım kontrol listeleri (özellikle kendisiyle ilişkilendirilmiş bir kod yoksa)
  • Güvenlik topluluğu tarafından iyi bilinmedikçe ve güvenilmedikçe, genel forumlar ve tartışma listeleri

Okuyucular muhtemelen tüm bu alanlarda uzman olmadığından, lütfen her bağlantı hakkında biraz bilgi verin ve bağlantıların "dökümünü" yaratmayın. Yinelenen bağlantılar yayınlamamak için ciddi bir girişimde bulunun.

Bu "güvenlik" .stackexchange.com olduğundan, tipik sysadmin sitesinden daha çeşitli yanıtlar almayı umuyorum. Deneyimlerime göre, sistem yöneticileri koddan uzak duruyor ve geliştiriciler tel konusunda gerçekten korkmuyorlar.

76

Kısaca, sadece iki tane ekleyeceğim:

  • OWASP 'ın yönettiği blogu - çoğunlukla yeni saldırılar, vektörler vb. gibi çok çeşitli güvenlik beslemelerinden kaliteli yayınlar toplarlar.
  • Microsoft'un SDL blog , çoğunlukla iyileştirme stratejileri, hafifletme, tehdit modelleme vb. Ve ayrıca arada bir keşfedilen güvenlik kusurlarının ve SDL'nin etkisinin (veya eksikliğinin) çok açık ve dürüst bir analizi .
  • (Yakında umarım http://security.stackexchange.com en iyi teklif olarak kabul edilecektir ... :))
33
AviD

ben güvenlik sorunları hakkında güncel tutmak için takip birkaç kaynak listeleyeceğim:

  1. Güvenlik Odağı : Bu web sitesinde güvenlik açıkları ve güvenlikle ilgili her türlü genel ve özel konu hakkında bir dizi bilgi bulacaksınız. ayrıca bilgi güvenliğinin farklı yönleriyle ilgilenen bir dizi posta listesine de ev sahipliği yapıyor.
  2. Bruce Schneier'in blog : Bruce Schneier'in kim olduğunu açıklamaya ihtiyacım olduğunu sanmıyorum, ama adamı duymamış olsaydın, onun hakkında okuyabilirsin burada .
  3. Bruce Schneier'in Twitter : Bruce'un da takip etmeye değer bulduğum bir Twitter hesabı var.
  4. ürüne/satıcıya özgü güvenlik posta listesi: tuzuna değer her büyük veya küçük üründe, zaman içinde bulunan ürünle güvenlikle ilgili sorunlar hakkındaki bilgileri izlemek ve paylaşmak için kullanılan bir güvenlik listesi bulunur. Örneğin, slackware'i yoğun olarak kullandım ve slackware'in tüm güvenlik düzeltmeleriyle güncel kalmasını sağlamak için güvenlik tavsiyeleri posta listesini titizlikle takip ettim.
  5. phrack.com : Bu dergi, güvenlik açıkları, istismarlar, hatalar ve bilgi ve ağ güvenliği ile ilgisi olan her şey hakkında iyi bir bilgi.
20
ayaz

Takip edilecek en sevdiğim sitelerden bazıları (Hepsi için RSS kullanıyorum):

  1. Güvenlikle ilgili bazı yeni yayınlar içeren ikili sayılar hakkında derinlemesine http://www.exploringbinary.com
  2. İnternet güvenlik uyarıları için SANS İnternet Fırtına Merkezi http://isc.sans.ed
  3. Konsolide güvenlik haberleri için InfoSec Haber listesi http://www.infosecnews.org/
  4. SecurityNow podcast http://grc.com/securitynow.htm
  5. Günlük Dave, teknik güvenlik posta listesi https://lists.immunitysec.com/mailman/listinfo/dailydave
  6. Didier Stevens'ın blogu, PDF ile ilgili birçok güvenlik yayını http://blog.didierstevens.com
  7. Yaygın kötü amaçlı yazılım uyarıları için F-Secure'un blogu http://www.f-secure.com/weblog
  8. teknik güvenlik gönderileri için lcamtuf'un blogu http://lcamtuf.blogspot.com/
  9. TaoSecurity, ağ güvenliği izlemeye odaklandı http://taosecurity.blogspot.com/
  10. Ksplice'ın blogu, yazılım ve Linux hakkında daha fazla bilgi, ancak güvenlik aromasıyla http://blog.ksplice.com
15
Eugene Kogan

Okumayı çok öğretici buluyorum bu blog . Yazar, genellikle Linux çekirdeğinde ama aynı zamanda diğer açık kaynaklı projelerde güvenlik açığı duyuruları alır ve şunları gösterir:

  • savunmasız kod
  • sorun nedir
  • yama
8
user185

Neden kimse bahsetmedi Exploit-DB ?

**Düzenle:

Bu projeyi herkese tavsiye ediyorum: pentest-bookmark . Şahsen birçok yararlı bilgi buldum.

7
Tornike
7
Orca

Henüz kimse Krebs'ten nasıl bahsetmedi? Oradaki en tanınmış ve güvenilir güvenlik gazetecilerinden biridir.

KrebsOnSecurity

Ben daha fazla yazı olurdu, ama OP sadece yazı başına bir istedi (ki açıkça bazı insanlar okumayı ihmal).

7
mrnap

26

telefon anahtarlama sistemleri, İnternet protokolleri ve hizmetleri ile bilgisayar "yeraltı" ve sol kanadı ile ilgili genel haberler ve bazen (ancak yakın zamanda değil) anarşist konular da dahil olmak üzere çeşitli konularda teknik bilgi yayınlama konusunda uzmanlaşmış bir Amerikan yayını.

6
Everett

lightbluetouchpaper.org - Cambridge Üniversitesi Bilgisayar Laboratuvarı Güvenlik Grubu'nun blogu - İngiltere'de diğer ilgili bitler arasında ortaya çıkan yasal konular hakkında kapsama alanı sağlar, ancak kodlayıcılara hemen pratik fayda sağlamaz.

Nate Lawson'ın blog kod düzeyinde gerçekten güzel pratik güvenlik açığı ve hafifletme öğeleri sağlar. BluRay için BD + kripto parasını geliştirdi ve RSA, BlackHat ve Google Tech Talk'ta sunum yaptı.

5
Bell

DefCon

Başlangıçta 1993 yılında başlatılan, Kanada dışında Fido protokolü tabanlı bir saldırı ağı olan "Platinum Net" üyesi olmaktı. Ana ABD merkezi olarak Platinum Net organizatörüne (adını unuttum) tüm üye BBS sistemleri ve kullanıcıları için bir kapanış partisi planlamasına yardımcı oluyordum. Babası yeni bir işe girdiğinde ve taşınmak zorunda kaldığında ağı kapatacaktı. Nerede tutabileceğimizden bahsediyoruz, aniden erken gittiğinde ve kayboldu. ABD düğümlerim dışında, kapatılmış bir ağ için bir parti planlıyordum. Cehenneme karar verdim, BBS (A Dark Teğet Sistemi) sistemimin diğer tüm ağların üyelerini Cyber ​​Crime International (CCI), Hit Net, Tired of Protection (ToP) ve benzeri bir parçası olarak davet edeceğim 8 tane daha hatırlayamıyorum. Neden herkesi #hack'e davet etmiyorsun? İyi bir fikir!

4
Everett

çok teknik şeyler için, araştırma literatürüne ayak uydurmak harika bir kaynaktır. Baskı öncesi sunucunun (arxiv.org) kriptografi ve yazılım mühendisliği beslemelerini takip ediyorum, kesinlikle her gazeteyi okumuyorum ama akademinin ne ile geldiğini görmek, özetleri ve dalışları hızlandırmak ilginç veya alakalı bir materyale.

3
user185

Açık Alan Güvenlik alanıyla ilgilenen geliştiricilere yardımcı olan yazılımlar ve araçlar:

http://fuzzdb.googlecode.com

2
user1569

Topluluk içindeki popüler güvenlik araştırmalarını/bilgisayar korsanlarını takip edebilmeniz için bir Twitter hesabı edinin. En son hacker konferanslarına bakın ve yeni sunumlar arayın ve sunucunun Twitter hesabını araştırın. Kişisel bilgileri mikroblog ederlerse takip etmeyi bırakın, ancak haberleri retweetlerse saklayın. Twitter'ın önerilerine ve takip ettikleri kişilere bakın ve sürece devam edin. Sonunda harika bir hakemli haber akışı ile sonuçlanırsınız.

Ayrıca güvenlikle ilgili çeşitli açık kaynaklı projeler için IRC destek kanallarında takılmayı deneyin.

1
chao-mu

lonerunners.net'ten SecDocs

Güzel web sitesi, günlük olarak güncellenen makaleler, slaytlar, sesler, güvenlik konferanslarından videolar içerir. Güvenlik bilgileri oldukça büyük veritabanı.

1
p____h

http://rootsecure.net bir süredir günlük güvenlik bağlantılarının bir araya gelmesine rağmen, web yöneticisi makale gönderme sürecini topluluğun elinde bırakmış olsa da.

1
Orbit

Haacked , Microsoft yığınındaki Web Geliştiricileri için harika bir kaynaktır

En Küçük Ayrıcalık , Microsoft teknolojileriyle Kimlik Doğrulama, Kimlik ve Federasyon için tasarlanmış bir başka harika ürün.

1

SpaceRogue's HNN Cast tavsiye

http://www.hackernews.com

Güvenlikle ilgili yeni araçlar ve güncellemelerden bahsetmenin yanı sıra, bir önceki haftanın en iyi haberlerini özetleyen haftalık bir video yayınıdır.

1
Casey
0
kiran
0
Ankush_nl