r/secbr

▲ 2 r/secbr

Com a vinda da IA e todas as mudanças que ela causou na TI no geral, como está o mercado pra segurança?

Sei que é uma pergunta chata, mas vendo como o mercado de Dev parece estar deteriorando e como trampo de Dev virou basicamente uma espécie de purgatório onde te obrigam a usar IA para entregar um produto o mais rápido possível me bateu essa dúvida.

Meu plano inicial era começar como dev e depois de alguns anos de xp migrar para sec para algo como appsec. Mas ultimamente não vejo que valha mt a pena fazer esse trajeto.

Sei que as vagas para novatos em segurança é bem escassas e tals, mas queria saber como está mercado de modo geral, é mt difícil para o pessoal com xp se realocar ou conseguir empregos novos? Coisas desse tipo.

Sei que é um tópico chato então já me desculpo desde já.

reddit.com
u/Tesla-42 — 7 hours ago
▲ 6 r/secbr

Discord hackeado

Entrei num site que simulava um jogo e baixei o arquivo. O hacker teve acesso ao um email que não uso a anos, troquei a senha de tudo que uso com frequência que tinha a mesma senha e atualizei tudo pra confirmação de dois fatores. Solicitei a exclusão da minha conta do discord e desconectei o meu pc da internet.

Realizei a restauração o Pc para o dia 27/06 antes de ter baixado o arquivo, os arquivos ainda estavam no Pc, só não sei se funcional. Executei uma verificação pesada logo em seguida e não foi encontrado nada. Preciso formatar o Pc? Ainda corro risco do hacker estar conectado?

reddit.com
u/navicla — 1 day ago
▲ 8 r/secbr

Tentaram me hackear, devo me preocupar?

Aproximadamente meia-noite me ligaram desse número, achei estranho e obviamente não atendi. Dormi e durante a madrugada parece que tentaram acessar algumas contas ou criar nesse "Rebtel" uma conta vim meu número. Aparentemente não conseguiram entrar no e-mail, mas ainda tô com a pulga atrás da orelha. Como prossigo?

u/OkLight2015 — 1 day ago
▲ 7 r/secbr

Concurso para segurança

boa noite, gente.

atualmente estou no meu ultimo ano de federal, e ja estou no mercado como CLT há uns meses como junior de blue team, depois de uns anos no suporte e 8 meses como estag.

no entanto, mesmo ganhando relativamente bem (ganho 4k e moro c meus pais, to guardando dinheiro para sair de casa e ajudo nas despesas), tenho pensado mt em estudar appsec e tentar bounties em paralelo, ainda mais agr que a faculdade ta tranquila.

no entanto a longo prazo sei q meu emprego atual não tem estabilidade, muito menos salários compativeis com o mercado. pensei em prestar concurso pro dataprev agora em agosto para dar uma estabilizada na vida enquanto desenvolvo a parte dos bounties e me estabilizo, mas n sei se é uma boa na nossa área.

oq acham? vale a pena?

reddit.com
u/Odd_Job_4332 — 2 days ago
▲ 10 r/secbr

Quanto ganham os analistas de soc atualmente?

Pessoal, vi uns valores na Internet relacionados ao N1 de 1800 até 3500$, nada muito preciso, para os que estao dentro da área qual e o salário atual, e quanto é o minimo aceitável para um N1?

E qual salario dos outros níveis?

reddit.com
u/meth0dyman — 3 days ago
▲ 9 r/secbr

Começando em cyber segurança

Estou começando em cyber segurança, quero me profissionalizar nessa área para começar a ter meu próprio dinheiro. Estou aprendendo o básico de programação pra ter uma noção do que fazer, este vídeo já é o suficiente pra partir para a próxima fase?

-https://youtu.be/epf-WQdVis0?is=6EZ-NCtqWmMsa9K\_

Me ajudem por favor, mesmo vendo vídeos ainda estou muito confuso do que preciso aprender até eu realmente começar em cyber segurança

u/Batatapaia12 — 3 days ago
▲ 3 r/secbr+1 crossposts

PROCURO INICIANTES EM PENTESTER WEB, MAIS DETALHES A BAIXO...

Procuro pessoas pra fazer colaborações futuras, se quiser saber mais detalhes, meu instagram é tech_networking, só pedir solicitação pra seguir e dizer que veio por causa desse post no redit.

reddit.com
u/Useful_Salt_7499 — 5 days ago
▲ 5 r/secbr

sobre ter várias contas de e-mail… boa prática?

sempre fui uma pessoa que prezou por segurança on-line. perdi uma conta ainda muito nova que tinha várias informações minhas, então, desde o acontecido sempre fiquei meio obcecada por senhas diferentes, verificação em 2 fatores e afins.

ultimamente, andei me questionando o quão segura estou mesmo com essas configurações ativadas. vi por exemplo, que é super fácil dados do .gov vazarem e meu e-mail ficar por aí pronto pra um brute force ou cair em caixa de spam.

queria saber se seria legal a estratégia de criar um email apenas para o cofre (bitwarden), um email pra gov e outro email pra minhas coisas mais pessoais. apenas a fim de evitar essa exposição mesmo!

além disso tenho outra preocupação: tenho fotos íntimas que guardo pra mim mesma. e sempre morro de medo de algum dia isso se virar contra mim!

o que acham?

reddit.com
u/soberxz — 5 days ago
▲ 11 r/secbr

Tenho um Stalker chato arruinando minha vida, me ajudeeeem:'(

Olá,

Recentemente tenho tido um problema muito chato com pessoas stalkeando minhas redes sociais e me perseguindo. Não suspeito de ninguém em específico mas Recentemente, uma conta fake no instagram perturbou meu juízo falando sobre coisas muito pessoais por ai. Gostaria de encontrar um profissional ético para descobrir quem é a pessoa por trás da conta ( se é que me entendem). Pago um valor justo. Se alguém estiver interessado em me ajudar, agradeço. Chamem por aqui.

reddit.com
u/Ancient_Leg_7866 — 5 days ago
▲ 12 r/secbr

sobre a área da cibersegurança, oportunidades e experiências de trabalho

Olá, bom dia!!! Queria saber como é a experiência de trabalhar na área da cibersegurança, se vale a pena, se é extremamente estressante e vc tem q ficar mendigando oportunidade de trabalho e mandanda currículo p várias empresas, pra qm tá cm 18 anos e tá começando, q tbm vai fazer faculdade de téc e vai entrar nessa área vale a pena? Salário? Tempo? Evolução? Paz?

reddit.com
u/askeladd_txz — 6 days ago
▲ 14 r/secbr

único analista na empresa, por onde começar?

Acabei de ser promovido de dev a analista de cibersegurança na empresa que trabalho, só tem um problema....não existe setor de cibersegurança kkk (estou tendo que reformular tudo).
Até então conhecia muito sobre segurança ofensiva e uma ou outra ferramenta para monitoramento (o básico)
Porém tô tendo que mexer com GRC, compliance, blue team....e queria dicas de materiais para estudar isso tudo. Algum canal que faz conteúdo sobre, ou mesmo cursos acessíveis
Também aceito indicação de certificações iniciais.

reddit.com
u/Even_Huckleberry_131 — 6 days ago
▲ 9 r/secbr

Qual é a pós-graduação em Cyber Threat Intelligence com melhor custo benefício?

Pessoal, estou pesquisando pós-graduações em Cyber Threat Intelligence / CTI no Brasil e queria ouvir a opinião de quem já fez, conhece alguém que fez ou trabalha na área.
Não estou procurando só um diploma. Quero algo que realmente ajude na formação técnica e analítica para atuar com CTI. Quem já fez alguma pós nessa área no Brasil: qual recomenda? E qual vocês evitariam? Também aceito sugestões de formações alternativas, mentorias, certificações ou cursos que sejam mais fortes que uma pós tradicional.

reddit.com
u/Designer_Smile_8250 — 7 days ago
▲ 6 r/secbr

Com o andar da carreira vocês mudaram bastante sua percepção da área?

Fala, r/sec

Estive pensando esses dias como no início eu só queria saber do lado estritamente ténico (afinal, sou uma pessoa 'dos compiuter'). A solução sempre passava por melhorar o script, melhorar o alerta, melhorar o sistema, melhorar a integração etc.

Pode ser uma conclusão meio burra ou óbvia, mas percebo que o gap principal tende a ser governança. Ninguém sabe como, porque, quem é responsável por áreas críticas do negócio.

Com a IA, então, virou loucura. Só querem melhorar a dashboard ou, quando muito, dar "ticks" na listinha da compliance pra não tomar no lombo.

Todo mundo quer ser responsável por implantar a novidade, dar palestrinha, mas "ninguém" quer ser responsável, nem sabe (ou quer) aplicar guardrails elementares.

enfim, meio /rant, mas gostaria das perspectivas de vocês.

reddit.com
u/Get-Cimlnstance — 7 days ago
▲ 39 r/secbr

Interessante estudar pelo o hack the box

Tô achando melhor estudar pelo o hack the box, tá sendo interessante ele te faz pensar pesquisar etc

Queria dicas sobre a área sinto que ainda tenho uma base horrível em redes por isso vou estudar novamente anotar denovo e por aí vai.

u/netsec_log — 8 days ago
▲ 40 r/secbr+2 crossposts

CURRÍCULO

Eai pessoal tranquilo? Tenho 23 anos sou suporte n1 em uma ISP grande no nordeste, faço funções de n2 tranquilamente e n3 eu não tenho os contatos necessários, comecei a estudar pra cibersegurança, atualmente estou fazendo uma trilha de um site q vi no LinkedIn (infosec) e tryhackme, aproveitando até começar ver coisas que não sei (pelo oq vi até agr tenho uma base boa) pra poder dividir os estudos entre novos aprendizados e simulados da comptia sec+, me candidatei pra várias vagas já, várias mesmo e só uma tive retorno positivo que meu perfil era bom porém o salário q coloquei era alto demais(botei a média do Google para analista NOC jr) gostaria de dicas para meu currículo

Pontos que sei que estão faltando:

Faculdade, certificados e cursos, infelizmente tive q dedicar mt tempo pra trabalho e bicos pq Salvador eh uma cidade meio foda então só estou com tempo de começar essas coisas agora mas nunca deixe de aprender acompanhar notícias( falo acima sobre ter uma base boa e saber boa parte do início das trilhas)

Projetos em ciber msm, ainda não fiz nenhum homelab ou soc simulado mas pretendo fazer, até então maioria dos projetos são pra ISP mesmo e todos no github

u/quimicrat — 8 days ago
▲ 75 r/secbr+1 crossposts

TV Box com ADB exposto na porta 5555 sem autenticação – Vulnerabilidade ou configuração insegura?

Por curiosidade e também por segurança, eu estava realizando um scan na minha rede local procurando dispositivos com a porta 5555 aberta (ADB TCP/IP).

Utilizei:

sudo nmap -p 5555 --open

O scan retornou um IP com a porta 5555 aberta. Em seguida executei:

sudo nmap -O

O Nmap identificou o dispositivo como um Android relativamente antigo. O único equipamento na minha casa que fazia sentido ser esse Android era um TV Box.

Resolvi testar:

adb connect :5555

Fiquei em frente à TV esperando alguma solicitação de autorização aparecer, já que normalmente o ADB exige que a Depuração USB esteja habilitada, o Modo Desenvolvedor ativado e que o usuário autorize a conexão.

Para minha surpresa, o terminal retornou:

connected to :5555

sem qualquer aviso na tela.

Depois executei:

adb shell

e obtive acesso ao shell do sistema.

Por curiosidade, utilizei também o scrcpy e consegui espelhar a tela do aparelho normalmente, novamente sem qualquer solicitação de autorização ou mensagem na TV.

Além disso, foi possível enviar comandos de entrada simulando o controle remoto através do ADB, navegar pelos menus, abrir aplicativos e interagir com a interface remotamente.

O que me chamou a atenção foi que eu nunca habilitei manualmente a depuração nesse aparelho e praticamente não encontrei análises técnicas ou pesquisas sobre esse modelo específico.

Na opinião de vocês, isso se enquadra como uma vulnerabilidade de segurança ou apenas uma configuração insegura deixada pelo fabricante? Considerando que qualquer dispositivo na mesma rede poderia potencialmente obter acesso ao TV Box, achei a situação bastante preocupante.

u/Reasonable_Key_2624 — 11 days ago
▲ 20 r/secbr

Montado estratégia - DEV para CyberSec/Pentest

Fala, pessoal! Beleza?

Antes de tudo, dei uma boa varrida nos posts e não encontrei nada esclarecedor de fato, ainda fiquei com dúvidas.

Sou desenvolvedor web (C#) e decidi investir no conhecimento na área de Segurança da Informação. Meu foco é aprender Pentest, Web Hacking e Análise de Vulnerabilidades para me tornar um profissional da área, aprender a desenvolver aplicações confiáveis, aprender a me defender, como um ataque funciona, saber analisar vulnerabilidades em um código e etc.

Sei que o ecossistema de CyberSec é muito dependente de infraestrutura. Por isso, entendo que meu primeiro é entender sobre REDE DE COMPUTADORES, LINUX (terminal, permissões, serviços, redes) antes mesmo de começar a disparar ferramentas de exploit, automatizar scripts de invasão ou algo relacionado a isso.

Meu "patrocinador" vai investir na minha educação, mas uma das exigências é a preferência em cursos ou plataformas nacionais (do Brasil) neste momento.

O meu objetivo agora não é só achar cursos, mas entender a cronologia exata do passo a passo para eu não queimar etapas e nem ficar boiando nos conteúdos avançados.

Quero estruturar minha trilha em alguma ordem lógica antes de começar a praticar de fato e ir atrás de certificações. Estava pensando em algo assim:

  1. Fundamentos de Redes: Entender protocolos (TCP/IP, UDP, HTTP/S, DNS), portas e roteamento a fundo.
  2. Dominar o Linux: Terminal, permissões, gerenciamento de processos, serviços e segurança do sistema operacional.
  3. Segurança e Web Hacking: OWASP Top 10, exploração de vulnerabilidades, code review e análise de falhas em aplicações.
  4. Laboratórios Práticos: Ambientes controlados para aplicar o conhecimento de invasão.
  5. Certificações

Faz sentido essa ordem? O que vocês mudariam ou acrescentariam nesse fluxo?

Já fiz uma breve pesquisa e achei algumas plataformas e já tem diversas informações. Estou, meio que, perdido com tanta propaganda kkk.

Vai ser uma boa oportunidade pra ter esse conhecimento para aplicar no meu trabalho e num futuro, poder migrar de fato de área. Me interesso pela parte de segurança antes mesmo de trabalhar como desenvolvedor. Uma boa parte da galera, vejo que vem pelo hype ou até mesmos pelas profecias de alguns "gurus", mas eu entendo que é um caminho árduo pra seguir e gostaria de fazer da forma correta.

Fico grato com as informações que vão ser geradas aqui. Valeu demais!!

reddit.com
u/fiRStMiND_ — 9 days ago
▲ 14 r/secbr+1 crossposts

Como agir de forma correta ao encontrar uma vulnerabilidade?

A minha pergunta pode ser simples pra alguns, mas a minha dúvida é genuína. Recentemente eu tava dando uma olhada no sistema de uma empresa relativamente grande aqui do BR, e encontrei uma vulnerabilidade crítica.

A empresa é do meio de segurança, e a vulnerabilidade que eu encontrei consegue burlar todos os protocolos de segurança deles, é uma coisa até meio grotesca.

Acho que essa pode ser uma boa oportunidade de fazer a coisa certa e dar aquele UP na carreira, uma vez que eu sou meio novato com essa coisa toda, e não é todo dia que se encontra algo assim. Dicas pra mim? Valeu galera!

reddit.com
u/eusoufog — 10 days ago
▲ 9 r/secbr+1 crossposts

Desconto Para CompTIA Security +

Fala pessoal boa tarde, estou finalizando minha preparação pro CompTIA Security + e queria saber se vocês sabem de alguma forma de conseguir desconto na certificação, já pesquisei aqui no sub mas achei temas semelhantes a 5 meses atrás e acho que mudou um pouco o mercado dado oque venho pesquisado.

Sei que o curso da google da coursera dava 30% de desconto mas não consigo fazer ele por agora, também mensagem pro Leonard (Diretor da CompTIA na america latina) para saber se eles tem alguma recomendação ou coisa do tipo e ainda estou aguardando uma resposta.

Vocês sabem de alguma forma pra conseguir desconto na certificação? Atualmente ele esta R$1.600,00 em média na PersonVUE, acho que o mesmo no site direto da Comptia.

reddit.com
u/LooseBranch708 — 12 days ago
▲ 9 r/secbr+1 crossposts

Procurando conselho na área de Cybersegurança no Canadá

Tenho andado pensativo sobre minha situação atual e gostaria de ouvir algumas sugestões.

Moro no Rio de Janeiro (região serrana), tenho 26 anos, me formei há cerca de 8 meses em Engenharia da Computação e atualmente recebo R$ 3.000 por mês. Fui promovido de Help Desk para Analista de Inteligência Júnior há 3 meses. (pra quem conhece a área: Tenho CompTIA Security+ e ISO 27001 de certificações)

Recentemente tenho refletido bastante, a ponto de me preocupar. A empresa onde trabalho não tem uma perspectiva clara de promoção, e mesmo quando há avanço, o aumento salarial é pequeno. Hoje, o nível júnior recebe cerca de R$ 3.000 e o pleno em torno de R$ 3.800, enquanto no mercado brasileiro um pleno geralmente ganha entre R$ 5.500 e R$ 8.000.

Vejo colegas bem capacitados na empresa, com inglês avançado, certificações e até falam três línguas, que ainda assim não recebem salários compatíveis com o mercado. O próprio tech lead, por exemplo, não chega a ganhar R$ 8.000.

Até certo ponto, meu salário atende minhas necessidades atuais, mas sinto que não investi seis anos de faculdade para permanecer nessa situação por muito tempo. No momento, tenho cerca de R$ 10.300 investidos (que com muito suor venho guardando a 2 anos).

Uma alternativa que considero mais viável e que também é um sonho antigo desde os meus 16 anos é trabalhar no Canadá.

Com o cenário atual, vejo empresas reduzindo custos por conta de investimentos em IA, além da diminuição do trabalho remoto. No Brasil, para manter um funcionário que recebe R$ 2.000, a empresa acaba tendo um custo de R$ 4.000 devido a encargos e imposto. (dificil)

Recentemente, conversei com um amigo do trabalho (o único mais próximo que tenho no serviço) e fizemos um levantamento informal de que levaria cerca de 33 anos para conseguir quitar uma casa no Brasil, o que sinceramente não é algo que desejo.

Já tirei meu passaporte e estou apenas aguardando ficar pronto para retirar na Polícia Federal. Meu nível de inglês ainda gira em torno do B1, consigo entender bem, mas tenho muita dificuldade para me comunicar. Faço aulas semanais, mas em alguns momentos parece que simplesmente “travo” e não consigo me expressar direito. (Parece um niandertal falando)

Dito isso, gostaria de ouvir opiniões: quanto eu precisaria comprovar financeiramente para imigrar para o Canadá no meu caso, considerando que iria com minha namorada?

Qualquer opinião, sugestão é bem-vinda.

reddit.com
u/Longjumping_Key4520 — 12 days ago