Посоветуйте, что почитать. Часть 1

05.02.2020

Делиться с сообществом полезной информацией всегда приятно. Мы составили топ ресурсов, которые сами посещаем, чтобы быть в курсе событий в мире ИБ. Подборка получилась внушительная, так что разбиваем её на две части.

Часть первая:

Twitter

  • NCC Group Infosec -- технический блог крупной ИБ компании, которая регулярно выпускает свои исследования, инструменты/плагины для Burp Suite.
  • Gynvael Coldwind -- исследователь безопасности, основатель топовой ctf-команды Dragon Sector.
  • Null Byte -- твиты про хакинг и железо.
  • HackSmith -- разработчик SDR и исследователь в области безопасности RF и IoT, твитит/ретвитит в том числе про взлом железа.
  • DirectoryRanger -- про безопасность Active Directory и Windows.
  • Binni Shah -- пишет в основном про железо, ретвитит посты на самые разные темы ИБ.

Telegram

  • [MIS]ter & [MIS]sis Team -- ИБ глазами RedTeam. Много качественного материала, посвященного атакам на Active Directory.
  • Кавычка -- типичный канал про веб-баги для любителей веб-багов. Чаще всего делается акцент на разборах способов эксплуатации типовых уязвимостей и советах по эффективному применению ПО, менее известные, но полезные фичи.
  • Киберп*eц -- канал про технологии и ИБ.
  • Утечки информации -- дайджест утечек данных.
  • Админим с Буквой -- канал про системное администрирование. Не совсем ИБ, но полезно.
  • linkmeup -- канал подкаста linkmeup, на котором энтузиасты с 2011 года обсуждают сети, технологии и ИБ. Советуем также заглянуть на сайт.
  • Life-Hack [Жизнь-Взлом]/Хакинг -- посты про взлом и защиту понятным языком (для начинающих самое то).
  • r0 Crew (Channel) -- дайджест полезных материалов преимущественно по RE, exploit dev и malware analysis.

Github repository

Blogs

  • Project Zero -- обычно не нуждаются в представлении, но если вы о них не слышали: это команда крутых специалистов, которые занимаются поиском уязвимостей уровня "remote jailbreak for top iOS without user interaction", и не ради денег, а ради всеобщей безопасности.
  • PortSwigger Blog -- блог разработчиков комбайна Burp Suite, ставшего де-факто стандартом для веб-безопасности. Посвящен, конечно же, безопасности веб-приложений.
  • Firmware Security
  • Active Directory Security
  • Black Hills Information Security -- написали много довольно полезных при аудите утилит/скриптов, помимо блога, активно делятся знаниями в своих подкастах.
  • Sjoerd Langkemper. Web application security
  • Pentester Land -- каждую неделю здесь публикуется дайджест с видео и статьями по пентесту.

Youtube

Блогеры

  • GynvaelEN -- видео-райтапы, в том числе от небезызвестного Gynvael Coldwind из Google security team и основателя топовой ctf-команды Dragon Sector, где он рассказывает много интересного про реверс, программирование, решение CTF-тасков и аудит кода.
  • LiveOverflow -- канал с очень качественным контентом — простым языком про крутые методы эксплуатации. Также встречаются разборы интересных отчетов по BugBounty.
  • STÖK -- канал с акцентом на BugBounty, ценные советы и интервью с топ-багхантерами площадки HackerOne.
  • IppSec -- прохождение машин на Hack the box.
  • CQURE Academy -- компания, специализирующаяся на аудите Windows инфраструктуры. Много полезных видео о различных аспектах Windows систем.

Конференции

Академические конференции

Индустриальные конференции

Systematization of Knowledge (SoK)

Этот тип академических работ будет полезен на старте погружения в новую тему или при систематизации информации. Найти такие работы несложно, вот несколько примеров:

Надеемся, вы нашли для себя что-то новое. В следующей части расскажем, что почитать, если вы заинтересовались, например, задачей выполнимости формул в теориях и машинным обучением в сфере безопасности, подскажем, чьи доклады про jailbreak iOS будут полезны.