Olá a todos.
Todos sabem que hoje em dia, com a quantidade de ataques digitais a acontecer non-stop, saber proteger uma infraestrutura não é só para quem trabalha diretamente em cibersegurança. Nós que no nosso core somos administradores de sistemas, também estamos nesta dança!
E a melhor forma de evitar erros de segurança é treinar e praticar. Não estou a falar de aprender só através de manuais—estou a falar de pôr as mãos na massa em plataformas que simulem ataques reais.
Vi recentemente um post no reddit sobre o tema, descobri uns que não conhecia e achei pertinente trazer para a nossa comunidade os mais falados por lá.
A maior parte tem módulos ou formações grátis e caso desejem mesmo investir nesse aspeto da vossa carreira, existem módulos pagos avançados.
Com este pensamento em mente, e preparando rapidamente na minha lista de recursos, estes são os que recomendo:
Hack The Box:
Se querem aprender a invadir sistemas de forma ética para melhor os proteger, o Hack The Box é um clássico. Com máquinas virtuais vulneráveis, podemos testar técnicas de exploração sem quebrar a lei. Excelente para quem quer afiar as suas habilidades de penetração e compreender como um atacante pensa.
URL: https://www.hackthebox.com/
Hack This Site:
Este site é ideal para iniciantes. Com desafios que vão do básico ao avançado, ensina-nos a identificar vulnerabilidades comuns, desde injeções SQL até cross-site scripting (XSS). A vantagem? É tudo dentro da lei, educativo e muito divertido!
URL: https://www.hackthissite.org/
Immersive Labs:
Aqui o foco é a aprendizagem baseada em cenários. Perfeito para empresas que querem treinar as suas equipas de TI e cibersegurança. Os desafios vão desde identificação de malware até gestão de crises cibernéticas, simulando situações reais.
URL: https://www.immersivelabs.com/
Over the Wire:
Para quem curte desafios de terminal, este é top! Desde aprender a navegar em Linux até a exploração de vulnerabilidades, o Over the Wire ensina de forma progressiva, sendo perfeito tanto para sysadmins como para aspirantes a pentesters.
URL: https://overthewire.org/wargames/
Parrot CTFs:
Capture the Flag (CTF) é uma das melhores formas de treinar cibersegurança. O Parrot CTFs foca-se em desafios de criptografia, forense digital e engenharia reversa. Ideal para quem quer dominar estas áreas.
URL: https://parrot-ctfs.com/
Pentester Lab:
Querem aprender a explorar aplicações web? Este site oferece exercícios práticos em ambientes controlados, abordando desde vulnerabilidades simples a complexas. É perfeito para sysadmins e devops que querem garantir que as suas aplicações estão seguras.
URL: https://pentesterlab.com/
PicoCTF:
Criado pela Universidade Carnegie Mellon, o PicoCTF é excelente para iniciantes. Com desafios em formato de jogo, torna o processo de aprendizagem divertido. Ideal para quem está a começar na cibersegurança.
URL: https://picoctf.org/
Proving Grounds:
Do Offensive Security, o mesmo pessoal por trás do OSCP, o Proving Grounds oferece máquinas vulneráveis semelhantes às que encontram no exame OSCP. Ótimo para quem quer tornar-se um pentester certificado ou simplesmente aprender exploração de redes.
URL: https://www.offsec.com/labs/individual/
PwnTillDawn:
Um CTF contínuo onde podem testar as vossas habilidades contra máquinas reais. Com desafios que vão desde a enumeração de serviços até a obtenção de root, é perfeito para desenvolver competências práticas.
URL: https://online.pwntilldawn.com/
RangerForce:
Focado em segurança empresarial, o RangerForce oferece simulações de ataques em infraestruturas corporativas. Ideal para sysadmins que querem aprender a defender redes e sistemas contra ameaças modernas.
URL: https://www.rangeforce.com/
Root Me:
Se depois do menu servido anteriormente já estão a ficar saturados e procuram variedade, o Root Me tem mais de 400 desafios em áreas como cracking, web, redes e criptografia. Excelente para quem quer diversificar as suas competências.
URL: https://www.root-me.org/
The Hackers Labs:
Com desafios focados em redes e exploração de sistemas, este site é perfeito para quem quer entender como proteger infraestruturas críticas. Além disso, oferece um ambiente colaborativo para trocar ideias com outros entusiastas.URL: https://thehackerslabs.com/
TryHackMe:
Com cursos estruturados e laboratórios práticos, o TryHackMe é ideal tanto para iniciantes como para profissionais. Os módulos são explicativos e vão do básico ao avançado, ajudando até os sysadmins a entender como evitar falhas na configuração de servidores.URL: https://tryhackme.com/
VulnHub:
Querem praticar quando estão de férias sem uma conexão online? O VulnHub oferece máquinas vulneráveis para descarregar e testar no vosso ambiente local. Perfeito para simular ataques e aprender a mitigar vulnerabilidades. É um dos meus favoritos, e uma das razões pela qual a minha mulher está a um passo de me proibir de levar o portátil de férias.
URL: https://www.vulnhub.com/
Vulnmachines:
Com uma abordagem semelhante ao VulnHub, este site disponibiliza máquinas para treino offline. Ideal para sysadmins que querem testar a segurança das suas infraestruturas de forma controlada, mas sem medo de partir nada.URL: https://vulnmachines.com/
Pwn College:
Criado pela Universidade do Arizona – e provavelmente apoiada por alguma agência governamental americana com três letras – , o Pwn College ensina exploração binária de forma progressiva. É perfeito para quem quer aprofundar os conhecimentos em segurança de sistemas operativos – the big red book.
URL: https://pwn.college/
MalDev Academy:
Se o vosso interesse é desenvolvimento de malware ético, o MalDev Academy é o sítio certo. Ensina como o malware funciona para que possam criar defesas eficazes. Perfeito para quem quer proteger os sistemas contra ameaças avançadas.
URL: https://maldevacademy.com/
Quer trabalhem diretamente em cibersegurança ou administrem sistemas, entender como os ataques acontecem ajuda-vos a evitar erros de configuração e a reforçar a segurança da vossa infraestrutura.
Afinal, e ao contrario do que é vendido não basta saber instalar firewalls e antivírus—é preciso saber pensar como um atacante para tentar estar sempre um passo à frente.
Chegamos a fim de mais um post semanal. Neste toquei a camada superior deste tipo de sites – e acreditem que existem muitos mais. Lembrem-se sempre que praticar de forma ética é a melhor maneira de aprender a proteger o que importa.
E claro, já sabem que se encontrarem algo menos correcto, ou que poderia ser melhorado – por exemplo com sites que conhecam e usam para hands-on training, pf digam. Será um prazer os incluir nesta lista.
Um abraço e até ao post da próxima semana.
Nuno