Por favor, informe o que ler. Parte 1

É sempre um prazer compartilhar informações úteis com a comunidade. Pedimos aos nossos colaboradores que recomendassem recursos que eles próprios visitam para se manterem a par dos acontecimentos no mundo da segurança da informação. A seleção acabou sendo grande, então tive que dividi-la em duas partes. Parte um.

Twitter

• Informações do Grupo NCC é um blog técnico de uma grande empresa de segurança da informação que lança regularmente suas pesquisas, ferramentas/plugins para Burp.
• Gynvael Vento Frio — pesquisador de segurança, fundador da equipe CTF Dragon Sector.
• Byte Nulo – tweets sobre hackers e hardware.
• Hacksmith - Desenvolvedor e pesquisador de SDR na área de segurança de RF e IoT, tweets/retweets, inclusive sobre hacking de hardware.
• DirectoryRanger — sobre a segurança do Active Directory e do Windows.
• Binni Xá - escreve principalmente sobre hardware, retuíta postagens sobre diversos tópicos de segurança da informação.

Telegram

• Equipe [MIS]ter e [MIS]sis — IB através dos olhos da RedTeam. Muito material de qualidade sobre ataques ao Active Directory.
• Aspas — um canal típico sobre web bugs para fãs de web bugs. Na maioria das vezes, a ênfase está nas análises sobre como explorar vulnerabilidades típicas e no aconselhamento sobre o uso eficaz de software, recursos menos conhecidos, mas úteis.
• Ciberfoda — um canal sobre tecnologia e segurança da informação.
• Vazamentos de informações - resumo de vazamentos de dados.
• Administrador com carta — um canal sobre administração de sistemas. Não é exatamente segurança da informação, mas é útil.
• linkmeup é um canal de podcast linkmeup onde entusiastas discutem redes, tecnologias e segurança da informação desde 2011. Também recomendamos que você dê uma olhada em site.
• Life-Hack [Life-Hack]/Hacking — postagens sobre hacking e proteção em linguagem clara (o melhor para iniciantes).
• r0 Equipe (Canal) - um resumo de materiais úteis principalmente sobre RE, desenvolvimento de exploração e análise de malware.

Repositório Github

• kabachook/k8s-segurança - notas sobre segurança do Kubernetes.
• Alexis Ahmed/hacker101 — um conjunto de videoaulas sobre segurança web, análise de vulnerabilidades, tarefas práticas.
• Hackear com Github/Hacking incrível - uma coleção de repositórios sobre tópicos para hackers, pentesters e pesquisadores de segurança. Precisamos ir mais fundo.
• EdOverflow/bugbounty-cheatsheet
• infosecn1nja/AD-Ataque-Defesa

Blogs

• Project Zero - geralmente não precisa de introdução, mas se você nunca ouviu falar deles: esta é uma equipe de especialistas legais que procuram vulnerabilidades no nível “jailbreak remoto para iOS superior sem interação do usuário”, e não por causa de dinheiro, mas para o bem da segurança de todos.
• Blog do PortSwigger — blog dos desenvolvedores do Burp Suite, que se tornou o padrão de fato para segurança na web. Dedicado, é claro, à segurança de aplicações web.
• Segurança de Firmware
• Segurança do Active Directory
• Segurança da Informação em Black Hills — eles escreveram muitos utilitários/scripts que são bastante úteis para auditoria; além do blog, eles compartilham ativamente seus conhecimentos em seus podcasts.
• Sjoerd Langkemper. Segurança de aplicativos da web
• Terra Pentester — toda semana é publicado aqui um resumo com vídeos e artigos sobre pentesting.

Youtube

Blogueiros

• GynvaelEN — vídeos escritos, inclusive do conhecido Gynvael Coldwind, da equipe de segurança do Google e fundador da principal equipe CTF, Dragon Sector, onde ele conta muitas coisas interessantes sobre engenharia reversa, programação, solução de tarefas CTF e auditoria de código .
• LiveOverflow - um canal com conteúdo de altíssima qualidade - em linguagem simples sobre métodos interessantes de exploração. Também há análises de relatórios interessantes sobre o BugBounty.
• STÖK — um canal com ênfase em BugBounty, conselhos valiosos e entrevistas com os principais caçadores de bugs da plataforma HackerOne.
• IppSec - passando por carros em Hack the box.
• Academia CQURE é uma empresa especializada em auditoria de infraestrutura Windows. Muitos vídeos úteis sobre vários aspectos dos sistemas Windows.

Conferências

• Zero Noites
• Black Hat
• DEFCON
• Festival de Segurança
• RUXCON
• OfensivaCon
• RECON
• SyScan
• TROOPERScon
• Shakacon LLC
• Infiltrar
• Conferência DEFCON
• CCC
• Conferência de segurança Hack In The Box
• Microsoft Blue Hat
• H2HC
• Conferência de segurança EkoParty
• Bugcrowd
• OwaspGlobal

Conferências acadêmicas

• Simpósio NDSS
• Simpósio IEEE sobre Segurança e Privacidade
• FOSDEM
• USENIX
• Conferência USENIX Enigma
• Simpósio Internacional de Pesquisa em Ataques, Intrusões e Defesas (RAID)

Conferências industriais

• A Fundação Linux
• LLVM

Sistematização do Conhecimento (SoK)

Este tipo de trabalho acadêmico pode ser muito útil no início do mergulho em um novo tema ou na organização de informações. Encontrar esse tipo de trabalho não é difícil, aqui estão alguns exemplos:

• SoK: (Estado da) A Arte da Guerra: Técnicas Ofensivas em Análise Binária
• SoK: Guerra Eterna na Memória
• SoK: Torne o JIT-Spray ótimo novamente
• SoK: Consenso na Era dos Blockchains
• SoK: luz brilhante em pilhas de sombras
• SoK: higienização para segurança
• SoK: Diversidade de Software Automatizado
• SoK: uma revisão sistemática da detecção de phishing na Web baseada em software
• SoK: Aplicando aprendizado de máquina em segurança – uma pesquisa
• SoK: segurança de logon único

Fonte original

Esperamos que você tenha encontrado algo novo para você. Na próxima parte, diremos o que ler se você estiver interessado, por exemplo, no problema da satisfatibilidade de fórmulas em teorias e aprendizado de máquina na área de segurança, e também informaremos quais relatórios sobre jailbreak iOS irão seja útil.

Ficaremos felizes se você compartilhar suas descobertas ou o blog do seu autor nos comentários.

Fonte: habr.com