Παρακαλώ συμβουλέψτε τι να διαβάσετε. Μέρος 1

Είναι πάντα χαρά να μοιράζεσαι χρήσιμες πληροφορίες με την κοινότητα. Ζητήσαμε από τους υπαλλήλους μας να προτείνουν πόρους που επισκέπτονται οι ίδιοι προκειμένου να ενημερώνονται για τα γεγονότα στον κόσμο της ασφάλειας πληροφοριών. Η επιλογή αποδείχθηκε μεγάλη, οπότε έπρεπε να τη χωρίσω σε δύο μέρη. Μέρος πρώτο.

Twitter

• NCC Group Infosec είναι ένα τεχνικό ιστολόγιο για μια μεγάλη εταιρεία ασφάλειας πληροφοριών που κυκλοφορεί τακτικά την έρευνά της, τα εργαλεία/πρόσθετα για το Burp.
• Gynvael Coldwind — ερευνητής ασφάλειας, ιδρυτής της κορυφαίας ομάδας ctf Dragon Sector.
• Null Byte — tweets σχετικά με το hacking και το υλικό.
• ΧακΣμιθ - Προγραμματιστής και ερευνητής SDR στον τομέα της ασφάλειας RF και IoT, tweets/retweets, συμπεριλαμβανομένου του hacking υλικού.
• DirectoryRanger — σχετικά με την ασφάλεια του Active Directory και των Windows.
• Μπίνι Σαχ — γράφει κυρίως για υλικό, κάνει retweet αναρτήσεις για διάφορα θέματα ασφάλειας πληροφοριών.

Telegram

• Ομάδα [MIS]ter & [MIS]sis — Η IB μέσα από τα μάτια της RedTeam. Πολύ ποιοτικό υλικό για επιθέσεις στην Active Directory.
• Εισαγωγικό — ένα τυπικό κανάλι σχετικά με σφάλματα ιστού για τους λάτρεις των σφαλμάτων ιστού. Τις περισσότερες φορές, η έμφαση δίνεται στις αναλύσεις του τρόπου εκμετάλλευσης τυπικών τρωτών σημείων και στις συμβουλές για την αποτελεσματική χρήση λογισμικού, λιγότερο γνωστών αλλά χρήσιμων χαρακτηριστικών.
• Cyberfuck — ένα κανάλι για την τεχνολογία και την ασφάλεια των πληροφοριών.
• Διαρροές πληροφοριών — σύνοψη διαρροών δεδομένων.
• Διαχειριστής με Επιστολή — ένα κανάλι σχετικά με τη διαχείριση του συστήματος. Όχι ακριβώς ασφάλεια πληροφοριών, αλλά χρήσιμο.
• linkmeup είναι ένα κανάλι podcast linkmeup όπου οι λάτρεις συζητούν για δίκτυα, τεχνολογίες και ασφάλεια πληροφοριών από το 2011. Σας συνιστούμε επίσης να ρίξετε μια ματιά δικτυακός τόπος.
• Life-Hack [Life-Hack]/Hacking — δημοσιεύσεις σχετικά με το hacking και την προστασία σε σαφή γλώσσα (το καλύτερο για αρχάριους).
• r0 Crew (Κανάλι) — μια σύνοψη χρήσιμων υλικών κυρίως για ανάλυση RE, exploit dev και κακόβουλο λογισμικό.

Αποθήκη Github

• kabachook/k8s-security - σημειώσεις για την ασφάλεια kubernetes.
• Alexis Ahmed/hacker101 — ένα σύνολο μαθημάτων βίντεο σχετικά με την ασφάλεια ιστού, ανάλυση τρωτών σημείων, πρακτικές εργασίες.
• Hack-with-Github/Awesome-Hacking - μια συλλογή αποθετηρίων για θέματα για χάκερ, διεισδυτές και ερευνητές ασφάλειας. Πρέπει να πάμε πιο βαθιά.
• EdOverflow/bugbounty-cheatsheet
• infosecn1nja/AD-Attack-Defense

blogs

• Έργο Zero - συνήθως δεν χρειάζονται κάποια εισαγωγή, αλλά αν δεν τους έχετε ακούσει: αυτή είναι μια ομάδα έξυπνων ειδικών που αναζητούν ευπάθειες στο επίπεδο "απομακρυσμένο jailbreak για κορυφαίο iOS χωρίς αλληλεπίδραση χρήστη" και όχι για χάρη του χρήματα, αλλά για χάρη της ασφάλειας όλων.
• Ιστολόγιο PortSwigger — blog από τους προγραμματιστές του Burp Suite, το οποίο έχει γίνει το de facto πρότυπο για την ασφάλεια ιστού. Αφιερωμένο, φυσικά, στην ασφάλεια εφαρμογών web.
• Ασφάλεια υλικολογισμικού
• Ενεργή ασφάλεια καταλόγου
• Black Hills Information Security — έχουν γράψει πολλά βοηθητικά προγράμματα/σενάρια που είναι αρκετά χρήσιμα για έλεγχο· εκτός από το blog, μοιράζονται ενεργά τις γνώσεις τους στα podcast τους.
• Sjoerd Langkemper. Ασφάλεια διαδικτυακών εφαρμογών
• Pentester Land — κάθε εβδομάδα δημοσιεύεται εδώ μια ανακεφαλαίωση με βίντεο και άρθρα σχετικά με το pentesting.

Youtube

Blogger

• GynvaelEN — εγγραφές βίντεο, συμπεριλαμβανομένου του γνωστού Gynvael Coldwind από την ομάδα ασφαλείας της Google και του ιδρυτή της κορυφαίας ομάδας CTF Dragon Sector, όπου λέει πολλά ενδιαφέροντα πράγματα για την αντίστροφη μηχανική, τον προγραμματισμό, την επίλυση εργασιών CTF και τον έλεγχο κώδικα .
• LiveOverflow - ένα κανάλι με πολύ υψηλής ποιότητας περιεχόμενο - σε απλή γλώσσα σχετικά με δροσερές μεθόδους εκμετάλλευσης. Υπάρχουν επίσης αναλύσεις ενδιαφέρουσες αναφορές για το BugBounty.
• STÖK — ένα κανάλι με έμφαση στο BugBounty, πολύτιμες συμβουλές και συνεντεύξεις με κορυφαίους buughunters της πλατφόρμας HackerOne.
• IppSec — περνώντας αυτοκίνητα στο Hack the box.
• CQURE Academy είναι μια εταιρεία που ειδικεύεται στον έλεγχο της υποδομής των Windows. Πολλά χρήσιμα βίντεο σχετικά με διάφορες πτυχές των συστημάτων Windows.

Συνέδρια

• ZeroNights
• Μαύρο καπέλο
• DEFCON
• Φεστιβάλ Ασφαλείας
• RUXCON
• OffensiveCon
• RECON
• SyScan
• TROOPERScon
• Shakacon LLC
• Διηθώ
• Συνέδριο DEFCON
• CCC
• Διάσκεψη ασφαλείας Hack In The Box
• Microsoft BlueHat
• H2HC
• Συνέδριο ασφαλείας EkoParty
• bugcrowd
• OwaspGlobal

Ακαδημαϊκά συνέδρια

• Συμπόσιο NDSS
• Συμπόσιο IEEE για την ασφάλεια και το απόρρητο
• FOSDEM
• USENIX
• Συνέδριο USENIX Enigma
• Διεθνές Συμπόσιο για την έρευνα σε επιθέσεις, εισβολές και άμυνες (RAID)

Βιομηχανικά συνέδρια

• Το Ίδρυμα Linux
• LLVM

Συστηματοποίηση της γνώσης (ΣΟΚ)

Αυτός ο τύπος ακαδημαϊκής εργασίας μπορεί να είναι πολύ χρήσιμος στην αρχή της κατάδυσης σε ένα νέο θέμα ή κατά την οργάνωση πληροφοριών. Η εύρεση μιας τέτοιας εργασίας δεν είναι δύσκολη, εδώ είναι μερικά παραδείγματα:

• SoK: (State of) The Art of War: Offensive Techniques in Binary Analysis
• SoK: Eternal War in Memory
• SoK: Κάντε το JIT-Spray Great Again
• SoK: Consensus in the Age of Blockchains
• SoK: Shining Light on Shadow Stacks
• SoK: Sanitizing for Security
• SoK: Αυτοματοποιημένη Ποικιλομορφία Λογισμικού
• SoK: Μια συστηματική ανασκόπηση της ανίχνευσης διαδικτυακού ψαρέματος βάσει λογισμικού
• SoK: Applying Machine Learning in Security - A Survey
• SoK: Single Sign-On Security

αρχική πηγή

Ελπίζουμε να βρήκατε κάτι νέο για τον εαυτό σας. Στο επόμενο μέρος, θα σας πούμε τι να διαβάσετε αν σας ενδιαφέρει, για παράδειγμα, το πρόβλημα της ικανοποίησης τύπων σε θεωρίες και μηχανική μάθηση στον τομέα της ασφάλειας, και θα σας πούμε επίσης ποιανού οι αναφορές για το jailbreak iOS θα να εισαι χρησιμος.

Θα χαρούμε να μοιραστείτε τα ευρήματά σας ή το ιστολόγιο του συγγραφέα σας στα σχόλια.

Πηγή: www.habr.com