Links

• Análise de Malwares, URL e Phishing (online)
• Auditoria, Compliance, PLD/FT, Regulatório e Riscos
• Diversos
• Forense Computacional e Digital
• Iniciativas, Guias e Projetos Interessantes
• Newsletters

• Normas, Padrões e Metodologias
• Pesquisas
• Podcasts
• Scanners online de vulnerabilidades
• Segurança da Informação
• Treinamentos e Certificações
• Vulnerabilidades Conhecidas

Análise de Malwares, URL e Phishing (online)

• Anti-Ransomware (No More Ransom) : ferramentas grátis de descriptografia
• CheckPhish : engine para detecção de sites phishings. Permite verificar uma URL em tempo real sem qualquer análise manual. Portanto, ao contrário de outras abordagens (por exemplo, black lists), o CheckPhish pode fornecer uma detecção de phishing mais rápida e completamente automatizada
• Dr Web : anti-vírus online oferecido pelo Dr. Web
• Jotti Virus Scan : serviço online gratuito que permite a você verificar arquivos suspeitos com vários antivírus
• PhishCheck : engine customizada para análise e detecção de sites suspeitos de phishing. A ferramenta verifica o que está por trás de uma URL suspeita, capturando a tela do site, reunindo informações como WHOIS, ASN, endereço IP, geolocalização de IP e registra todos os recursos carregados pelo site.
• URL Scan : serviço que analisa sites e os recursos que eles solicitam. Assim como o Inspetor do navegador, o urlscan permitirá que você dê uma olhada nos recursos individuais que são solicitados quando um site é carregado. A ideia é permitir que usuários até inexperientes vejam o que um site em particular está solicitando em segundo plano, inclusive, pode ser utilizado para análise de redirecionamento e screenshots de phishing.
• ViCheck : serviço de sandbox online que aceita qualquer tipo de arquivo, desde que possa ser executado em um sistema operacional Windows. Além de analisar o comportamento do arquivo, também verifica se há executáveis incorporados em documentos, código de shell e explorações comuns.
• Virus Total : serviço online e gratuito que analisa arquivos e URLs suspeitas e facilita a rápida detecção de vírus, worms, cavalos de troia, dentre outros tipos de arquivos maliciosos. Verifica em mais de 68 inspetores de sites online de renome e alguns deles são: AegisLab WebGuard, Avira, BitDefender, Comodo Site Inspector, K7AntiVirus, Malware Domain Blocklist, MalwareDomainList, SecureBrain, Spam404, Sucuri SiteCheck, Web Security Guard, Yandex Safebrowsing, ZeusTracker, Kaspersky e ZCloudsec. Recomendo!

Auditoria, Compliance, PLD/FT, Regulatório e Riscos

• Auditoria Interna
• CADE - Conselho Administrativo de Defesa Econômica
• CNEP - Cadastro Nacional de Empresas Punidas
• COAF - Conselho de Controle de Atividades Financeiras
• Compliance Review
• Compliance Total
• CONACI - Conselho Nacional de Controle Interno
• COSO - Committee of Sponsoring Organizations of the Treadway Commission
• Crossover Consulting & Auditing
• Instituto dos Profissionais de Prevenção à Lavagem de Dinheiro e ao Financiamento do Terrorismo - IPLD
• Instituto Ethos
• Instituto Compliance Brasil
• Instituto Compliance Rio
• Instituto ARC
• Instituto Não Aceito Corrupção
• IBGC - Instituto Brasileiro de Governança Corporativa
• ICTS - Auditoria e Consultoria em Gestão de Riscos e Compliance
• FCPA Compliance Report
• FCPAméricas
• FCPA Cases
• FCPA Blog
• GIFT - Global Initiative for Fiscal Transparency
• Etisphere
• ENCCLA - Estratégia Nacional de Combate à Corrupção e à Lavagem de Dinheiro
• Department of Justice (DOJ)
• ISO 19600 Sistema de Gestão de Compliance
• ISO 31000
• ISO 37001:2016 Anti-bribery Management Systems Requirements with Guidance for Use
• LEC - Legal, Ethics & Compliance
• Legis Compliance
• Marcos Assi - Massi Consultoria
• Movimento de Combate à Corrupção Eleitoral
• MPF - Ministério Público Federal
• Ministério da Transparência e Controladoria-Geral da União
• MP Compliance & Governance
• Observatório Português de Compliance e Regulatório
• OECD
• Pacto Global - ONU
• Portal da Transparência
• Portal de Auditoria
• Portal de Compliance
• Prêmio Empresa Pró-Ética
• SCCE - Society of Corporate Compliance and Ethics
• Transparência Brasil
• Transparency International
• Unidos Contra a Corrupção
• U.S. Securities and Exchange Commission (SEC)

Diversos

• Associação dos Peritos Judiciais, Árbitros, Conciliadores e Mediadores de Minas Gerais (ASPEJUDI)
• Associação dos Peritos Judiciais do Estado de São Paulo (APEJESP)
• Association of Certified Fraud Examiner (ACFE) : maior organização anti-fraude do mundo e principal fornecedora de educação e certificação de treinamento anti-fraude.
• High Technology Crime Investigation Association (HTCIA) : organização que se dedica a apoiar o treinamento de profissionais envolvidos na descoberta e no combate aos crimes de alta tecnologia.
• Registro.br : departamento do NIC.br responsável pelas atividades de registro e manutenção dos nomes de domínios que usam o .br.
• Sociedade Brasileira de Ciências Forenses (SBCF) : associação sem fins econômicos, voltada à promoção de pesquisas e ensino em Ciências Forenses.
• Stolen Camera Finder : utilize o número de série de uma câmera para tentar localizar fotos na internet que foram tiradas com a mesma

Forense Computacional e Digital

• Cadastro Nacional de Peritos : permite orientar juízes, advogados e promotores de justiça na pesquisa de peritos e assistentes técnicos em processos judiciais.
• Código de assinatura de um tipo de arquivo : ferramenta online
• Computer Forensics World : comunidade para profissionais de computação forense.
• Conversor de Datas e Timestamps : ferramenta online
• Decodificar código Base64 : ferramenta online
• DFIR - Digital Forensics and Incident Response : página excelente mantida pelo Marcelo Caiado. Aborda temas como segurança da informação, forense, notícias, vídeos, apresentações e muito mais
• e-Forensics Magazine : revista eletrônica profissional sobre segurança da informação com foco em análise forense digital e na resposta a incidentes.
• Esteganografia : ferramenta online
• ForensicKB : portal de computação forense, análise de malwares e investigações digitais.
• Forensic Focus : portal de forense digital para profissionais de computação forense eDiscovery.
• Tracer de e-mail : ferramenta online

Iniciativas, Guias e Projetos Interessantes

• Autodefesa contra Vigilância : Dicas, Ferramentas e Tutoriais para uma maior segurança nas comunicações online
• Autodefesa no e-mail
• Como Combater a Vigilância Online
• Cultura de Segurança : Manual para ativistas
• Eu e Minha Sombra : Assuma o controle de seus dados
• Protestos : Vai Protestar? Proteja-se!
• Safer Nudes : Guia Sensual de Segurança Digital
• Security in a Box : Ferramentas de segurança digital para todas as pessoas

Newsletters

• Meio : newsletter diária (segunda à sexta-feira), trazendo produções de conteúdo sobre acontecimentos retirados das principais manchetes de notícias publicadas em outros portais. Os textos não ultrapassam oito minutos de leitura.
• Nexo Jornal : oferece duas listas exclusivas para os assinantes, o primeiro de manhã cedo. Aos sábados, enviam um resumo dos acontecimentos da semana e aos domingos, sugestões de leituras externas que aprofundam as principais pautas, reforçando o serviço de curadoria da equipe do projeto.
• Portal da Privacidade : newsletter mensal direcionada especialmente ao tema da Privacidade e da Proteção dos Dados Pessoais, como atualização dos Projetos de Lei, aplicação das leis existentes, direito comparado, artigos de relevância, definições técnicas e notícias relacionadas ao assunto. Organizada pelo escritório de advocacia especializado em Direito Digital, Opice Blum.
• TecMundo : newsletter semanal do portal de mesmo nome, apresenta as principais notícias da semana sobre tecnologia.
• The Hack : newsletter brasileira, aborda assuntos como hacking, segurança e tecnologia.

Normas, Padrões e Metodologias

• ABNT NBR ISO/IEC 27037:2013 – Diretrizes para identificação, coleta, aquisição e preservação de evidência digital
• Convenção sobre o Cibercrime (conhecida como Convenção de Budapeste)
• CSA Cloud Security Alliance - Mapping the Forensic Standard ISO/IEC 27037 to Cloud Computing
• Família ISO 27000
• ISO 27001:2013
• ISO 27002:2013
• ISO 27037:2012
• Ministério da Justiça - Secretaria Nacional de Segurança Pública | Procedimento Operacional Padrão: Perícia Criminal
• Ministério Público Federal - Procuradoria da República no Estados de SP - Grupo de Combate aos Crimes Cibernéticos | Crimes Cibernéticos - Manual Prático de Investigação
• NCJRS (National Criminal Justice Reference Service)
• NIST (National Insitute of Standards and Technology)
• OSSTMM (Open Source Security Testing Methodology Manual)
• OWASP (Open Web Application Security Project)
• PTES (Penetration Testing Execution Standard)
• RFC 3227 em Português – Diretrizes para Coleta e Arquivamento de Evidências (Guidelines for Evidence Collection and Archiving)
• Technical Guide to Information Security Testing and Assessment (NIST)

Pesquisas

• Digital Forensics Search : mecanismo de busca personalizado que está configurado para pesquisar apenas em blogs, grupos, fóruns ou outros sites relacionados a forense digital e a resposta a incidentes.
• Forensics Wiki : wiki com informações sobre forense digital.
• Rede de Informação Legislativa e Jurídica (LEXML) : iniciativa do governo eletrônico brasileiro com o objetivo de estabelecer padrões abertos, integração de processos de trabalho e compartilhamento de dados, no contexto da identificação e estruturação de informações legislativas e jurídicas.

Podcasts

• Segurança Legal : podcast brasileiro sobre temas que envolvem Direito da Tecnologia, Segurança da Informação, e tecnologia de forma geral.
• SegInfocast : outro podcast brasileiro que aborda Segurança da Informação.

Scanners online de vulnerabilidades

• Acunetix - Free Website Vulnerability Scanner Online
• Detectify - Domain and Web Application Security : conhecido scanner de vulnerabilidades online que permite que proprietários de empresas, equipes da infosec e desenvolvedores verifiquem mais de 1000 vulnerabilidades conhecidas automaticamente. Também verifica seu site em relação aos principais testes de vulnerabilidade do OWASP, permite integrar verificações de segurança com ferramentas populares de desenvolvimento, como Slack, Zapier e Jira, e exporta os resultados de todas as vulnerabilidades encontradas como resumo ou relatório completo.
• Google Transparency Report: Navegação Segura - malware e phishing : a tecnologia de Navegação segura do Google analisa bilhões de URLs por dia em busca de websites não seguros. Todos os dias, descobrimos milhares de novos sites com problemas de segurança. Muitos deles são websites legítimos que foram comprometidos. Ao detectar sites não seguros, exibimos avisos na Pesquisa Google e nos navegadores da Web. Além disso, você pode pesquisar para ver se é perigoso visitar um determinado website no momento.
• ImmuniWeb Security Test - Website Security Test | Security Scan for GDPR and PCI DSS Compliance : executa verificações de segurança e privacidade de aplicativos da Web, incluindo vulnerabilidades conhecidas publicamente, software desatualizado em execução no servidor remoto, métodos HTTP, cabeçalhos HTTP (HSTS, X-Frame-Options, X-Powered-By , X-Content-Type-Options, X-XSS-Protection, CSP, Public-Key-Pins e mais), verificação de black list, detecção remota de WAF, bem como detecção de campanha de cryptojacking em arquivos Javascript. Com uma interface amigável baseada na Web, a verificação relata os resultados em segundos e fornece uma pontuação final de segurança, informando sobre todas as vulnerabilidades encontradas e se você é qualificado como compatível com PCI DSS.
• Netsparker Cloud - Online Vulnerability Scanner for Website Security : é um scanner online escalável de vulnerabilidades para vários usuários, com fluxo de trabalho corporativo incorporado e ferramentas de teste. Pode identificar milhares de variantes de vulnerabilidades de segurança diferentes, incluindo SQL Injection, XSS (Cross-site Scripting), DOM XSS, Inclusão Local de Arquivo e falhas listadas na lista das 10 principais questões de segurança mais importantes do OWASP.
• Observatory (by Mozilla) - Check Various Security Elements : fundado pela Mozilla Foundation, este scanner de segurança analisará seu site usando métodos diferentes para identificar possíveis bugs e falhas de segurança em seus aplicativos e servidores da web.
• Pentest Web Server Vulnerability Scanner : desenvolvido pela PenTest-Tools, conhecida por sua ampla gama de ferramentas infosec que podem verificar seu site contra vários tipos de vulnerabilidades. Os resultados mostram um resumo da classificação de risco, possíveis arquivos confidenciais encontrados, vulnerabilidades de execução remota de comandos, estatísticas de injeção SQL, leituras arbitrárias de arquivos, software de servidor desatualizado, serviços mal configurados, software e tecnologias de servidor encontrados, bem como um arquivo robots.txt e uma verificação completa do cabeçalho de segurança HTTP.
• Probe.ly - Website Vulnerability Scanner | Automate Security Testing : apesar de não ser muito conhecido, é altamente capaz. O Probe.ly examinará seus aplicativos da web para encontrar problemas de segurança e vulnerabilidades e fornecer sugestões sobre como corrigi-los. O Probe.ly pode ser usado para executar as 10 principais verificações do OWASP, bem como para verificar a conformidade com PCI-DSS, ISO27001, HIPAA e GDPR.
• Quick Free Online Web Site Security Scanning : analisa seu site em busca de atividade maliciosa, detecção de malware, phishing, verificação de blacklist, worms, backdoors, cavalos de troia, proteção de transações, etc.
• Quttera - Online Website Malware Scanner : Verifica iframe, arquivos maliciosos, arquivos suspeitos, links externos e status de blacklist do site.
• ScanURL - Website/URL/Link Scanner Safety Check for Phishing, Malware, Viruses : verifica seu site na Navegação Segura do Google, no PhishTank e na Web of Trust.
• ScanWP - Free Online WordPress Scan : executa uma verificação básica, verificando se todos os seus arquivos do WordPress estão atualizados ou não, obtém pontuação de 100 em seu site. Também sugere que você aumente a segurança e oculte sua versão do WordPress. O scanner visita sua página inicial e verifica a etiqueta do gerador. Nota - A equipe principal do WordPress decidiu que exibir sua versão do WordPress ao público não é uma preocupação de segurança.
• SiteGuarding - Website Malware Scanner : verifica se há malware, blacklist de sites, spam injetado, defacements, firewall do site, links, scripts e análise de links.
• SSL Server Test (Powered by Qualys SSL Labs) : este serviço online gratuito realiza uma análise profunda da configuração de qualquer servidor Web SSL na Internet pública.
• Sucuri SiteCheck, Free Website Malware Scanner and Security Scanner : embora o Sucuri SiteCheck tenha se tornado famoso como um scanner de malware, ele também realiza algumas tarefas de verificação de vulnerabilidades. O relatório completo mostra os resultados da verificação de malware, lista negra e status do site de firewall de serviços de terceiros, como Google Safe Browsing, Norton Safe Web, McAfee, PhishTank e Spamhaus. Ele também analisará o código do seu site para verificar se há erros no servidor, spam e qualquer código malicioso injetado nos arquivos HTML, CSS e Javascript.
• Threat zero ZeroCERT - Free Online URL Scanner : executa uma varredura simples, também mostra suas informações sobre o Page Rank e Whois do Google. Também há um painel de configurações. Você pode ajustar a profundidade da verificação, agentes do usuário, etc.
• Tinfoil Security - Security for Developers and DevOps : ótima solução para detecção de vulnerabilidades. Essa verificação gratuita fornece acesso a um período de teste durante o qual você pode verificar se há vulnerabilidades no seu site contra uma ampla variedade de falhas de segurança, principais CVEs e fingerprints.
• UpGuard - Cloud Scanner: avaliação gratuita de risco de site : scanner de vulnerabilidade bem rápido, totalmente gratuito, uma maneira econômica de verificar seu site contra mais de 40 vulnerabilidades de segurança de alta gravidade e CVEs populares. A plataforma examinará automaticamente seu servidor, aplicativos da web e rede, incluindo, entre outros, ataques intermediários, ataques entre sites, ataques de email fraudulentos, ataques de sequestro de domínio, infecções por malware, portas abertas e registros DNS não autenticados. Depois de concluído, o scanner mostrará um resumo da empresa por trás do nome de domínio, a classificação de segurança cibernética, bem como a descrição completa de cada vulnerabilidade encontrada em seu nome de domínio e aplicativos da web.
• urlquery URL Scanner : uma técnica comum usada por hackers e malware é redirecionar os visitantes do site para um site de spam. Esses hacks redirecionam apenas usuários não conectados, o que lhes permite passar despercebidos por um longo tempo. O verificador de URLs urlquery simplesmente verifica um determinado URL para detectar se ele redireciona usuários, inicia um download de malware, define cookies e muito mais. Essas informações podem ser usadas para analisar melhor o status de segurança do seu site.
• URL Void: Identify websites involved in malware incidents, fraudulent and spamming activities : verifica possíveis vulnerabilidades em 26 softwares de verificação online de renome, mostra suas informações de IP, tráfego Alexa, etc.
• Web Cookies Scanner - Scan for HTTP, Flash, HTML5, CANVAS cookies, SSL/TLS and HTTP security : ferramenta completa de verificação de vulnerabilidades de sites que baseia seus testes na análise de cookies HTTP, tecnologias envolvidas (Flash, HTML5 localStorage, sessionStorage, CANVAS, Supercookies, Evercookies) e sessões HTTP, além de incluir HTML, SSL / Recursos de verificação de vulnerabilidade do TLS. A verificação analisa três tipos diferentes de cookies, como cookies de domínio de terceiros, cookies persistentes e cookies de sessão.
• Website Malware Scanner: Free Online Web Scan for Malware Infections : oferece uma verificação completa que inclui verificação de blacklist, phishing, downloads de malware, download drive-by, worms, backdoors, cavalos de troia, iframes suspeitos, vírus heurístico, códigos suspeitos, conexões suspeitas e atividades suspeitas.
• WordPress Security, Testing and Analysis - Reconnaissance & Security Testing for WordPress : compara seu site à navegação segura do Google, plugins ativos, tema, enumeração de usuários, indexação de diretórios, verificação de malware do Google, link externo, iframe vinculado e arquivos JS vinculados.
• WordPress Security Check - Vulnerability Detector Online : analisa seu site WordPress em busca de armadilhas comuns e exibe uma mensagem do que pode ser aprimorado em termos de segurança, dentre outros recursos.
• WordPress Security Scan: test vulnerabilities of a WordPress installation - by HackerTarget : verifica a segurança do aplicativo, plugins do WordPress, ambiente de hospedagem e servidor web. O verificador de segurança baixa algumas páginas do seu site e realiza análises raw no código HTML. Também verifica a enumeração do usuário, indexação de diretórios, sites vinculados, JavaScripts vinculados e iframes vinculados.
• WordPress Security Scanner : verifica seu site em busca de meta tags WordPress, readme.html, cabeçalhos de resposta que contêm informações detalhadas da versão do PHP, lista de nomes de usuários, verificação de informações desnecessárias em tentativas de login com falha, arquivo install.php acessível via HTTP, arquivo upgrade.php acessível via HTTP, arquivo upgrade.php acessível via HTTP , pasta de uploads navegáveis, link EditURI presente no cabeçalho da página, interface administrativa de entrega via HTTPS e link do Windows Live Writer no cabeçalho da página.
• WordPress Vulnerability Scanner - WPScan : encontre vulnerabilidades e explorações no núcleo, plugins e temas do WordPress.
• WPScans: Online WordPress Security Scan for Vulnerabilities : verifica seu site com seus algoritmos de verificação inteligentes e verifica se há bugs conhecidos que foram indexados no banco de dados de vulnerabilidades do WPScan, que contém mais de 4000 vulnerabilidades relatadas. Também tenta identificar os plugins que você executa e comparar suas versões com o banco de dados de bugs. Além disso, o wpscan verifica vários erros conhecidos que as pessoas cometem ao configurar sua instalação do WordPress.

Segurança da Informação

• Anchises Moraes : blog do profissional de segurança Anchises Moraes, sempre com excelentes postagens relacionados ao tema.
• Cartilha Família + Segura: Ética e Segurança Digital : recomendações e dicas para a família sobre o uso correto das novas tecnologias, cartilha elaborada pelo Ministério Público do Distrito Federal e Territórios (MPDFT).
• Cartilha de Segurança para a Internet : contém recomendações e dicas sobre como você pode aumentar a sua segurança na Internet.
• Catálogo de fraudes : relação sempre atualizada das fraudes identificadas e divulgadas pelo CAIS / RNP cujo intuito é conscientizar a comunidade sobre os principais golpes que estão em circulação.
• CERT.br - Recomendações para Notificações de Incidentes de Segurança : detalhes sobre como reportar os incidentes e como encontrar os emails de contato das redes.
• Exploit DB : referência em exploits, shellcodes e security papers. Mais que recomendado!
• Departamento de Segurança da Informação e Comunicações (GSI/DSIC) : Gabinete de Segurança Institucional da Presidência da República
• Portal da Privacidade : apresenta relevantes acontecimentos sobre o tema Privacidade e Proteção de Dados, no Brasil e no exterior, incluindo legislação, Projetos de Lei, além de interessantes artigos, jurisprudência atualizada e comentada, bem como notícias.
• Seginfo : site brasileiro com notícias, artigos e inovação em tecnologia e segurança da informação.
• Security Focus : excelente portal com temas relacionados à segurança da informação, lista de endereços BUGTRAQ, etc. Mais que recomendado!
• WPScan Vulnerability Database : banco de dados de vulnerabilidades para WordPress Core, Temas e Plugins. Compilado pelo WPScan Team e vários outros colaboradores desde o lançamento do WPScan.

Treinamentos e Certificações

• (ISC)²
• ComÊxito
• CompTIA
• EC-Council
• EXIN
• GIAC
• ISACA
• SANS Institute
• TI Exames

Vulnerabilidades Conhecidas

• CERT - Vulnerability Notes Database
• Common Vulnerabilities and Exposures
• CVE Details
• CVE Microsoft
• Microsoft Security Advisories and Bulletins
• NVID – National Vulnerability Database
• Vulnerability Notes Database