Proszę o poradę co przeczytać. Część 1

Dzielenie się przydatnymi informacjami ze społecznością jest zawsze przyjemnością. Poprosiliśmy naszych pracowników o polecenie zasobów, które sami odwiedzają, aby być na bieżąco z wydarzeniami w świecie bezpieczeństwa informacji. Wybór okazał się duży, więc musiałam podzielić go na dwie części. Część pierwsza.

Twitter

• Informacje o Grupie NCC to blog techniczny dużej firmy zajmującej się bezpieczeństwem informacji, która regularnie publikuje swoje badania, narzędzia/wtyczki do Burpa.
• Gynvaela Coldwinda — badacz bezpieczeństwa, założyciel czołowego zespołu ctf Dragon Sector.
• Bajt zerowy — tweety na temat hakowania i sprzętu.
• HackSmitha - Programista i badacz SDR w zakresie bezpieczeństwa RF i IoT, tweetów/retweetów, w tym dotyczących hakowania sprzętu.
• DirectoryRanger — o bezpieczeństwie Active Directory i Windows.
• Binni Shah — pisze głównie o sprzęcie, retweetuje posty na różne tematy związane z bezpieczeństwem informacji.

Telegram

• Zespół [MIS]ter i [MIS]sis — IB oczami RedTeam. Mnóstwo wysokiej jakości materiałów na temat ataków na Active Directory.
• Znak cudzysłowu — typowy kanał o błędach internetowych dla fanów błędów internetowych. Najczęściej nacisk kładziony jest na analizy wykorzystania typowych podatności i porady dotyczące efektywnego wykorzystania oprogramowania, mniej znanych, ale przydatnych funkcji.
• Cyberkurwa — kanał poświęcony technologii i bezpieczeństwu informacji.
• Wycieki informacji — podsumowanie wycieków danych.
• Administrator z listem — kanał poświęcony administracji systemem. Niezupełnie bezpieczeństwo informacji, ale przydatne.
• linkmeup to kanał podcastów Linkmeup, na którym od 2011 roku entuzjaści omawiają sieci, technologie i bezpieczeństwo informacji. Polecamy również zajrzeć broker.
• Life-Hack [Life-Hack]/Hakowanie — posty o hakowaniu i ochronie napisane zrozumiałym językiem (najlepsze dla początkujących).
• r0 Załoga (kanał) — zestawienie przydatnych materiałów, głównie na temat RE, tworzenia exploitów i analizy złośliwego oprogramowania.

Repozytorium Github

• kabachook/k8s-security - uwagi na temat bezpieczeństwa kubernetes.
• Alexis Ahmed/haker101 — zestaw lekcji wideo na temat bezpieczeństwa w sieci, analiza podatności, zadania praktyczne.
• Hack-with-Github/Awesome-Hacking - zbiór repozytoriów na tematy dla hakerów, pentesterów i badaczy bezpieczeństwa. Musimy zejść głębiej.
• Ściągawka EdOverflow/bugbounty
• infosecn1nja/AD-Atak-Obrona

blogi

• Project Zero - zwykle nie trzeba przedstawiać, ale jeśli o nich nie słyszałeś: to zespół fajnych specjalistów, którzy szukają podatności na poziomie „zdalnego jailbreaka dla topowego iOS bez interakcji z użytkownikiem”, a nie dla samego pieniędzy, ale ze względu na bezpieczeństwo wszystkich.
• Blog PortSwiggera — blog twórców Burp Suite, który stał się de facto standardem bezpieczeństwa w sieci. Dedykowany oczywiście bezpieczeństwu aplikacji internetowych.
• Bezpieczeństwo oprogramowania układowego
• Bezpieczeństwo usługi Active Directory
• Bezpieczeństwo informacji w Black Hills — napisali wiele narzędzi/skryptów, które są całkiem przydatne do audytu, oprócz bloga aktywnie dzielą się swoją wiedzą w swoich podcastach.
• Sjoerda Langkempera. Bezpieczeństwo aplikacji internetowych
• Ziemia Pentestera — co tydzień publikowane jest tutaj podsumowanie zawierające filmy i artykuły na temat pentestingu.

youtube

Blogerzy

• GynvaelEN — artykuły wideo, w tym od znanego Gynvaela Coldwinda z zespołu bezpieczeństwa Google i założyciela topowego zespołu CTF Dragon Sector, w którym opowiada wiele ciekawych rzeczy na temat inżynierii wstecznej, programowania, rozwiązywania zadań CTF i audytu kodu .
• Przepełnienie na żywo - kanał z treściami bardzo wysokiej jakości - prostym językiem o fajnych metodach eksploatacji. Na BugBounty pojawiają się także analizy ciekawych raportów.
• STOK — kanał z naciskiem na BugBounty, cenne porady i wywiady z czołowymi łowcami błędów platformy HackerOne.
• IppSec — przejeżdżające samochody na Hack the box.
• Akademia CQURE to firma specjalizująca się w audytowaniu infrastruktury Windows. Wiele przydatnych filmów na temat różnych aspektów systemów Windows.

Konferencje

• ZeroNocy
• Czarny kapelusz
• DEFCON
• Festiwal Bezpieczeństwa
• RUXCON
• OfensywaCon
• ZWIAD
• SyScan
• Żołnierzecon
• Shakacon spółka z ograniczoną odpowiedzialnością
• Infiltrować
• Konferencja DEFCON
• CCC
• Konferencja poświęcona bezpieczeństwu Hack In The Box
• Microsoft BlueHat
• H2HC
• Konferencja bezpieczeństwa EkoParty
• Tłum robali
• OwaspGlobalny

Konferencje akademickie

• Sympozjum NDSS
• Sympozjum IEEE na temat bezpieczeństwa i prywatności
• FOSDEM
• USENIX
• Konferencja USENIX Enigmy
• Międzynarodowe sympozjum na temat badań nad atakami, włamaniami i obroną (RAID)

Konferencje przemysłowe

• Linux Foundation
• LLVM

Systematyzacja wiedzy (SoK)

Tego typu praca naukowa może być bardzo przydatna na samym początku zgłębiania nowego tematu lub przy porządkowaniu informacji. Znalezienie takiej pracy nie jest trudne, oto kilka przykładów:

• SoK: (Stan) The Art of War: Techniki ofensywne w analizie binarnej
• SoK: Wieczna wojna w pamięci
• SoK: Spraw, aby JIT-Spray znów był świetny
• SoK: Konsensus w dobie blockchainów
• SoK: Świeci światłem na stosy cieni
• SoK: Dezynfekcja dla bezpieczeństwa
• SoK: Zautomatyzowana różnorodność oprogramowania
• SoK: Systematyczny przegląd oprogramowania do wykrywania phishingu w sieci Web
• SoK: Zastosowanie uczenia maszynowego w bezpieczeństwie – ankieta
• SoK: Bezpieczeństwo pojedynczego logowania

Pierwotnym źródłem

Mamy nadzieję, że znalazłeś dla siebie coś nowego. W kolejnej części podpowiemy, co warto przeczytać, jeśli interesuje Cię np. problem spełnialności formuł w teoriach i uczeniu maszynowym w obszarze bezpieczeństwa, a także podpowiemy, czyje raporty na temat jailbreak iOS być przydatnym.

Będzie nam miło, jeśli podzielisz się w komentarzach swoimi znaleziskami lub blogiem autorskim.

Źródło: www.habr.com