security - software - tipos de seguridad en redes
¿Cómo puedo estar al día con la seguridad de la computadora(especialmente el software)? (15)
Recientemente compré y leí un conjunto de libros sobre seguridad ( Creación de software seguro: cómo evitar los problemas de seguridad de la manera correcta , explotación del software: cómo romper el código y seguridad del software: creación de seguridad ). Aunque creo que el contenido de estos libros será útil en los próximos años, los autores sí reconocen que el mundo de la seguridad informática y de software cambia muy rápidamente. ¿Cuáles son algunas formas en que podría estar al tanto de los últimos acontecimientos en estas áreas?
Ah, no te olvides de las conferencias de piratas informáticos increíblemente interesantes por parte de la CCC . Los nombres de las conferencias tienen un patrón fijo. El último fue 24c3, el siguiente será 25c3. Se llevan a cabo en Berlín, Alemania, y son uno de los mayores puntos de convergencia en hackers y cultura de seguridad en este planeta.
Encontrarás videos y transcripciones de las últimas conferencias en Chaos Radio .
En caso de que no puedas hacer el viaje, las conversaciones generalmente se emiten a través de transmisiones en vivo. Las grabaciones se publican semanas después del evento.
Considere asistir a una reunión local del capítulo de OWASP.
Escuche la seguridad ahora podcast, en twit. Luego, dependiendo de los SO que esté utilizando, debe suscribirse a sus listas de correo de seguridad o rss feed.
IEEE tiene " Seguridad y privacidad " como revista, es bastante bueno.
Luego está el SIGSAC de la ACM y las Transacciones de la ACM sobre Información y Seguridad del Sistema . Ser un miembro de la ACM generalmente es recomendado por los autores del programador práctico.
OWASP ( http://www.owasp.org ) proporciona un feed RSS muy bueno, en su mayoría agregado de muchas fuentes diferentes.
Para la seguridad del software y especialmente la seguridad de las aplicaciones web, OWASP Moderated AppSec News es un excelente canal RSS. Buena relación señal / ruido. Debería ser suficiente para estar actualizado.
Si puede pagarlo (o puede convencer a su empleador para que pague), vaya a por lo menos una conferencia al año. Como último recurso, siempre hay Defcon, que tiene lugar en un fin de semana y cuesta solo $ 100. No es tan profesional como, por ejemplo, Black Hat, pero es mejor que nada.
Sigo a Schneier en Seguridad en mi lector de RSS.
Un blog que disfruto (aparte de Schneier on Security) es Light Blue Touchpaper , un blog colectivo del departamento de investigación de seguridad informática de la Universidad de Cambridge (dirigido por el maravilloso Ross Anderson .
Utilizo muchas de las otras menciones mencionadas anteriormente (Schneier como se menciona), sin embargo, he descubierto que Slashdot honestamente me da la mejor "información" sobre los nuevos vectores de ataque que entran. No siempre es oportuno, y sobre todo solo una descripción general , pero es bueno para publicar vectores en los que nunca pensé.
RIESGOS no es específico de seguridad, pero algunos temas interesantes relacionados con la seguridad se discuten allí.
BUGTRAQ es una lista de correo de seguridad completa que merece la pena. (Cada vez que se revela una vulnerabilidad en un software que se envía con la mayoría de las distribuciones de Linux, hay una gran cantidad de divulgaciones de todas las distribuciones. Esto afecta negativamente la relación señal / ruido a menos que esté usando uno de esos distribuciones)
Algunos blogs relacionados con la seguridad pueden ser interesantes (además de Schneier on Security, que ya se ha vinculado): ... Y me conocerá por Trail of Bits , DoxPara Research (Dan Kaminsky) , Matasano Chargen , Security Development Lifecycle de Microsoft, "Zero Day" de ZDNet.
La sección de Seguridad del Registro . RSS disponible (Soy un gran fan de El Reg)
Además, y podría ser un poco ligero para un codificador, pero la seguridad ahora! podcast con Steve Gibson y Leo Laporte es decente.
Seguridad ahora! no está mal (lo escucho cada semana).
A menudo contiene buenas explicaciones de las tecnologías subyacentes (por ejemplo, ¿cómo sabe un enrutador a dónde enviar un paquete IP?), Aunque creo que funciona un poco.
Si quieres un podcast más hardcore, prueba con el Security Weekly de Paul "dot com" .
Es realmente para probadores de penetración, pero no puedo dejar de pensar que si un probador de penetración lo sabe, yo también.
Para seguridad web suscribo los siguientes Feeds: algunos se actualizan regularmente, otros no.
DanchoDanchevOnSecurity
Internet Storm Center
El registro (seguridad de la empresa)
Boletines de seguridad cibernética de US-CERT
Día cero
ha.ckers.org
y una de mis más recientes agrega : seguridad etiquetada
o simplemente puede agregar todo a su página de iGoogle hope: Mi página de seguridad de iGoogle
Estoy seguro de que hay fuentes más interesantes por ahí si estás más centrado en las aplicaciones.
En cualquier caso, los sitios de alimentación o visita es la única manera de mantenerse realmente al tanto de todo. Las conferencias son geniales y divertidas, pero obtendrás la misma información una hora más tarde a través de la web; generalmente con la ventaja adicional de tener varios puntos de vista para ayudarlo a comprender los temas.