Моля за съвет какво да чета. Част 1

Винаги е удоволствие да споделяме полезна информация с общността. Помолихме нашите служители да препоръчат ресурси, които самите те да посещават, за да бъдат в крак със събитията в света на информационната сигурност. Изборът се оказа голям и се наложи да го разделя на две части. Част първа.

Twitter

• NCC Group Infosec е технически блог на голяма компания за информационна сигурност, която редовно публикува своите изследвания, инструменти/плъгини за Burp.
• Gynvael Coldwind — изследовател по сигурността, основател на най-добрия ctf екип Dragon Sector.
• Нулев байт — туитове за хакване и хардуер.
• ХакСмит - SDR разработчик и изследовател в областта на RF и IoT сигурността, туитове/ретуитове, включително за хардуерно хакване.
• DirectoryRanger — относно сигурността на Active Directory и Windows.
• Бини Шах — пише главно за хардуер, ретуитва публикации по различни теми за информационна сигурност.

Telegram

• [MIS]ter & [MIS]sis екип — IS през очите на RedTeam. Много качествени материали за атаки срещу Active Directory.
• Кавичка — типичен канал за уеб грешки за фенове на уеб грешки. Най-често се набляга на анализи как да се използват типични уязвимости и съвети за ефективно използване на софтуер, по-малко известни, но полезни функции.
• Кибер майната — канал за технологии и информационна сигурност.
• Течове на информация — обобщение на изтичането на данни.
• Админ с писмо — канал за системна администрация. Не точно информационна сигурност, но полезно.
• linkmeup е подкаст канал на linkmeup, където ентусиастите обсъждат мрежи, технологии и информационна сигурност от 2011 г. Също така ви препоръчваме да разгледате уебсайт.
• Life-Hack [Life-Hack]/Хакване — публикации за хакване и защита на ясен език (най-доброто за начинаещи).
• r0 Crew (канал) — обобщение на полезни материали главно за RE, разработка на експлойт и анализ на зловреден софтуер.

Github хранилище

• kabachook/k8s-сигурност - бележки относно сигурността на kubernetes.
• Алексис Ахмед/hacker101 — набор от видео уроци по уеб сигурност, анализ на уязвимости, практически задачи.
• Hack-with-Github/Awesome-Hacking - колекция от хранилища по теми за хакери, пентестъри и изследователи по сигурността. Трябва да отидем по-дълбоко.
• EdOverflow/bugbounty-cheatsheet
• infosecn1nja/AD-Атака-Защита

блогове

• Проект Нула - обикновено не се нуждаят от представяне, но ако не сте чували за тях: това е екип от готини специалисти, които търсят уязвимости на ниво „дистанционен джейлбрейк за топ iOS без взаимодействие с потребителя“, а не заради пари, но в името на сигурността на всички.
• Блог на PortSwigger — блог от разработчиците на Burp Suite, който се превърна в де факто стандарт за уеб сигурност. Посветен, разбира се, на сигурността на уеб приложенията.
• Защита на фърмуера
• Сигурност на Active Directory
• Информационна сигурност на Black Hills — те са написали много помощни програми/скриптове, които са доста полезни за одит; в допълнение към блога, те активно споделят знанията си в своите подкасти.
• Сьорд Лангкемпер. Сигурност на уеб приложенията
• Пентестър земя — всяка седмица тук се публикува дайджест с видеоклипове и статии за pentesting.

Youtube

блогъри

• GynvaelEN — видео коментари, включително от добре познатия Gynvael Coldwind от екипа по сигурността на Google и основател на топ CTF екипа Dragon Sector, където той разказва много интересни неща за обратното инженерство, програмирането, решаването на CTF задачи и одита на кода .
• LiveOverflow - канал с много висококачествено съдържание - на прост език за готини методи за експлоатация. Има и анализи на интересни доклади на BugBounty.
• STÖK — канал с акцент върху BugBounty, ценни съвети и интервюта с топ търсачи на платформата HackerOne.
• IppSec — преминаващи коли на Hack the box.
• Академия CQURE е компания, специализирана в одит на Windows инфраструктура. Много полезни видеоклипове за различни аспекти на Windows системите.

конференции

• ZeroNights
• Black Hat
• DEFCON
• Сигурен фест
• РУКСОН
• OffensiveCon
• RECON
• SyScan
• TROOPERScon
• Shakacon LLC
• Инфилтрация
• Конференция DEFCON
• CCC
• Конференция за сигурност на Hack In The Box
• Microsoft BlueHat
• H2HC
• Конференция за сигурност на EkoParty
• bugcrowd
• OwaspGlobal

Академични конференции

• Симпозиум на NDSS
• IEEE симпозиум за сигурност и поверителност
• FOSDEM
• USENIX
• Конференция на USENIX Enigma
• Международен симпозиум за изследване на атаки, прониквания и защити (RAID)

Индустриални конференции

• Фондацията на Линукс
• LLVM

Систематизация на знанията (SoK)

Този тип академична работа може да бъде много полезна в самото начало на потапяне в нова тема или при организиране на информация. Намирането на такава работа не е трудно, ето няколко примера:

• SoK: (Състояние) Изкуството на войната: Офанзивни техники в двоичния анализ
• SoK: Вечна война в паметта
• SoK: Направете JIT-Spray страхотен отново
• SoK: Консенсус в ерата на блокчейните
• SoK: Блестяща светлина върху Shadow Stacks
• SoK: Саниране за сигурност
• SoK: Автоматизирано софтуерно разнообразие
• SoK: Систематичен преглед на софтуерно базирано откриване на фишинг в мрежата
• SoK: Прилагане на машинно обучение в сигурността - Анкета
• SoK: Сигурност с единично влизане

Основен източник

Надяваме се, че сте намерили нещо ново за себе си. В следващата част ще ви кажем какво да прочетете, ако се интересувате например от проблема с изпълнимостта на формулите в теориите и машинното обучение в областта на сигурността, а също така ще ви кажем чии доклади за джейлбрейк на iOS ще бъди полезен.

Ще се радваме, ако споделите вашите находки или блога на вашия автор в коментарите.

Източник: www.habr.com