Episodi

  • 0:00 Wprowadzenie

    1:11 Hierarchia w DNS

    1:50 Problem "man in the middle"

    2:30 Podstawy DNSSEC

    3:07 RRset

    3:40 RRsig

    4:37 ZSK oraz KSK

    5:17 Jak sprawdzić podpis

    6:00 Analogia do podpisywania umowy

    7:17 DNSKey

    8:12 Weryfikacja DNSKey

    9:05 Serwery ROOT

    10:00 Ceremonia podpisywania kluczy

    10:48 Podział na role

    11:29 Krypto oficerowie

    12:20 Odblokowanie modułu HSM

    13:26 Dokumentacja

    14:05 Sytuacje awaryjne 

    Źródła:

    https://www.internetsociety.org/wp-content/uploads/2017/08/DNS-Key.jpg

    https://www.technologyuk.net/computing/website-development/world-wide-web/domain-name-system.shtml

    https://hacks.mozilla.org/2018/05/a-cartoon-intro-to-dns-over-https/

    https://www.cloudflare.com/dns/dnssec/how-dnssec-works/

    https://medium.com/iocscan/how-dnssec-works-9c652257be0

    https://www.iana.org/domains/root/files

    https://www.iana.org/dnssec/ceremonies/41

    https://data.iana.org/ksk-ceremony/25/KC25_Script.pdf

    https://www.cloudflare.com/dns/dnssec/root-signing-ceremony/ 

    https://www.flickr.com/photos/kjd/4711837398/in/album-72157624302045698/

    https://en.wikipedia.org/wiki/Shamir%27s_Secret_Sharing

    https://searchsecurity.techtarget.com/news/252482099/COVID-19-strains-critical-certificate-authority-processes

    Mój blog: https://security.szurek.pl/

    Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/

    Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1

    Kanał na Discord: https://od0dopentestera.pl/discord

    Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O

    Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz

    Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4

    Anchor: https://anchor.fm/kacperszurek/

    #od0dopentestera #bezpieczeństwo #dns

  • Chcesz poczuć się jak prawdziwy szpieg obcego wywiadu nie wychodząc z domu? Spróbuj wykonać mikrokropkę – malutką fotografię wielkości ziarnka grochu, która może przechowywać treść całej kartki A4.

    Co to jest mikrofilm? Do czego służył i jak był wykorzystywany? 

    0:00 Mikrokropka

    0:49 Co to jest mikrofilm, mikrokropka, mikropunkt

    2:36 Jak tworzono miniaturowe fotografie w przeszłości i gdzie je chowano

    4:09 Metoda Brytyjska tworzenia mikrofilmów

    6:11 Faza druga - zmniejszanie rozmiaru przy pomocy kartonu

    6:59 Jak wygląda domowej roboty mikrokropka

    Mikrokropka, mikropunkt lub generalnie mikrofilm to miniaturowa fotografia wykonana przez specjalne urządzenie będące połączeniem aparatu i mikroskopu.

    Taka kropka zawiera zminiaturyzowane dane tekstowe lub fotografie. Dzięki tej technologii kartkę formatu A4 można zmieścić w pojedynczej kropce, która wielkością przypomina kropkę wykonaną przy pomocy maszyny do pisania.

    Posiadając analogowy aparat fotograficzny, czarno-białą kliszę, karton, nożyczki oraz taśmę klejącą można spróbować stworzyć własny mikrofilm w domu.

    W tym filmie pokazuje cały proces tworzenia mikrofilmu - na podstawie opisu użytkownika @hexadecim8.

    Korzysta on z dwu etapowej metody Brytyjskiej - gdzie najpierw uzyskuje się fotografię o wielkości okołu 2 cm, którą następnie można ponownie zmniejszyć do około 2 mm.

    Źródła:

    https://github.com/hexa-decim8/microdot

    https://twitter.com/hexadecim8/status/1277725141825400833

    https://upload.wikimedia.org/wikipedia/commons/b/b5/German_microdots_World_War_II_Mexico_Spain.jpg

    https://pl.wikipedia.org/wiki/Mikrokropka

    https://www.spymuseum.org/exhibition-experiences/about-the-collection/collection-highlights/concealment-ring-for-microdots/

    https://upload.wikimedia.org/wikipedia/commons/7/75/Hollow_dollar.jpg

    https://www.cryptomuseum.com/covert/camera/minox/enlarger/index.htm

    https://www.amazon.com/Ultimate-Spy-H-Keith-Melton/dp/1465436006

    Mój blog: https://security.szurek.pl/

    Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/

    Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1

    Kanał na Discord: https://od0dopentestera.pl/discord

    Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O

    Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz

    Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4

    Anchor: https://anchor.fm/kacperszurek/

    #od0dopentestera #szurkogadanie #bezpieczeństwo

  • Episodi mancanti?

    Fai clic qui per aggiornare il feed.

  • Dziś każdy z nas może prowadzić tajne rozmowy telefoniczne przy pomocy smartfona i specjalnej aplikacji. Ale jeszcze kilkadziesiąt lat temu nie było to takie proste.

    W tym odcinku opowiem historię telefonu STU-III, który był używany w Stanach Zjednoczonych do prowadzenia tajnych rozmów.

    Dowiesz się:

    • Jak szyfrowano rozmowy podczas II Wojny Światowej

    • Jak wyglądała maszyna SIGSALY oraz mechanizm „turn tables”

    • Na czym polega szyfr z kluczem jednorazowym

    • Co to jest KSD-64 czyli fizyczny klucz z materiałem kryptograficznym

    • Jak wyglądała procedura inicjalizacji bezpiecznego telefonu

    • Co trzeba było zrobić aby wykonać bezpieczne połączenie

    • Jak sprawiono, że klucz bez telefonu był bezużyteczny

    • Co robiono w sytuacjach awaryjnych podczas próby kradzieży telefonu

    Bibliografia:

    https://upload.wikimedia.org/wikipedia/commons/8/8b/STU-IIIphones.nsa.jpg

    https://www.cryptomuseum.com/crypto/usa/sigsaly/

    https://pl.wikipedia.org/wiki/Szyfr_z_kluczem_jednorazowym

    https://commons.wikimedia.org/wiki/File:SIGRUV_encryption_disk,_SIGSALY_Speech_Encipherment_System_exhibit_-_National_Cryptologic_Museum_-_DSC07923.JPG

    https://upload.wikimedia.org/wikipedia/commons/4/48/Dual_turntables%2C_SIGSALY_Speech_Encipherment_System_exhibit_-_National_Cryptologic_Museum_-_DSC07924.JPG

    https://upload.wikimedia.org/wikipedia/commons/9/9d/STU_III_secure_telephone_1.jpg

    https://upload.wikimedia.org/wikipedia/commons/7/72/Ksd-64.jpg

    http://www.tscm.com/STUIIIhandbook.html

    https://www.cryptomuseum.com/crypto/usa/stu3/

    https://www.cryptomuseum.com/crypto/usa/ksd64/index.htm

    https://www.cryptomuseum.com/crypto/motorola/sectel/index.htm

    http://www.jproc.ca/crypto/stuiii.html

    Mój blog: https://security.szurek.pl/

    Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/

    Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1

    Kanał na Discord: https://od0dopentestera.pl/discord

    Hack The Box: https://www.hackthebox.eu/

    Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O

    Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz

    Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4

    Anchor: https://anchor.fm/kacperszurek/

  • Jak chronić numer PESEL? Gdzie można uzyskać informacje o naszych kontach bankowych?

    Jak działa E-sąd? Jak działa BIK – Biuro Informacji Kredytowej?

    Gdzie zgłosić kradzież dowodu?

    Jak nie zostać słupem: https://www.youtube.com/watch?v=NUCVlSnA0hk

    Jak działa kradzież karty SIM: https://www.youtube.com/watch?v=FjDBMzweZj8

    0:44 PESEL

    1:34 Gdzie można znaleźć numery PESEL

    5:52 Centralna informacja o rachunkach

    8:08 E-sąd

    9:46 Biuro informacji kredytowej

    14:17 Bezpieczny PESEL

    16:40 Co gdy ktoś wykorzystał nasze dane

    Centralna informacja o rachunkach: http://www.centralnainformacja.pl/

    Zgłoś utratę dowodu: https://www.gov.pl/web/gov/zglos-utrate-lub-uszkodzenie-swojego-dowodu-osobistego-uniewaznij-dowod

    E-sąd: https://www.e-sad.gov.pl/

    Dokumenty Zastrzeżone: https://dokumentyzastrzezone.pl/

    BIK: https://www.bik.pl/

    Bezpieczny PESEL: http://bezpiecznypesel.pl/

    Chroń PESEL: http://chronpesel.pl/

    Poradnik Polskiego Związku Instytucji Pożyczkowych: https://pzip.pl/aktualnosci/2018/8/21/pade-ofiar-kradziey-tosamoci-podpowiadamy-co-powiniene-zrobi-krok-po-kroku

    EKRS: https://ekrs.ms.gov.pl/

    Dziennik Ustaw: http://dziennikustaw.gov.pl/

    ERIF: https://erif.pl/

    Big InfoMonitor: https://www.big.pl/

    KBiG: https://www.kbig.pl/

    Materiał na wykop.pl: https://www.wykop.pl/link/4889373/i-ty-mozesz-byc-ofiara-pieprz-ch-parabankow/

    Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O

    Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz

    Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4

    Anchor: https://anchor.fm/kacperszurek/

    #pesel #kradzież #szurkogadanie

  • Czy kody SMS z banku chronią nas przed atakiem? A może lepsza jest aplikacja mobilna?

    Jak działa dwuskładnikowe uwierzytelnianie? Czy można je obejść/zaatakować? Czym różni się 2FA od U2F?

    Po co nam klucze bezpieczeństwa - np. Yubikey?

    Jak chronić się przed phishingiem?

    Jak skonfigurować swoje konto pocztowe?

    Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/

    Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1

    Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O

    Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz

    Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4

    Anchor: https://anchor.fm/kacperszurek/

    #od0dopentestera #2fa #bezpieczeństwo

  • Jak wyglądają narzędzia używane podczas ataków na firmy? Co mogą robić? Ile kosztują?

    * WiFi Pineapple - jak atakuje się sieci WIFI

    * USB Rubber Ducky - dlaczego powinieneś się wylogować gdy odchodzisz od komputera

    * USB Killer - niszczenie portów USB

    * Proxmark - czy klonowanie kart dostępu jest możliwe

    * MouseJack - bezpieczeństwo bezprzewodowych prezenterów

    * USB Ninja - czy rozróżnisz prawdziwy kabel od złośliwego

    Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/

    Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1

    Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O

    Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz

    Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4

    Anchor: https://anchor.fm/kacperszurek/

    #od0dopentestera #pentest #hacking

  • Jak zostać pentesterem/specjalistą bezpieczeństwa?

    Od czego zacząć naukę? Gdzie szukać materiałów edukacyjnych?

    Jakie ścieżki kariery istnieją?

    Czy znajomość programowania jest potrzebna?

    Czy kursy coś dają? Czy muszę mieć studia?

    Co to jest Bug Bounty i dlaczego może mi pomóc?

    Jakie umiejętności są przydatne/konieczne?

    Gdzie i jak można ćwiczyć? Co to jest CTF?

    Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/

    Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1

    Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O

    Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz

    Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4

    Anchor: https://anchor.fm/kacperszurek/

    #od0dopentestera #pentest #praca

  • Na co zwrócić uwagę podczas pracy z domu?

    Co ustawić i czego się obawiać?

    Proste porady w przystępnej formie z obszernymi wytłumaczeniami.

    Prezentacja do pobrania: https://cdn.szurek.pl/bezpieczenstwo_pracy_zdalnej_kacper_szurek.pdf

    Tekst na blogu: https://security.szurek.pl/bezpieczenstwo-pracy-zdalnej.html

    Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/

    Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1

    Materiały w formie tekstowej: https://security.szurek.pl/

    #zostanwdomu #biznes #bezpieczeństwo

  • Dzisiaj o ataku BadWPAD, dzięki któremu można podsłuchiwać i modyfikować niezaszyfrowany ruch internetowy na twoim komputerze.

    Myślisz że temat Cię nie dotyczy?

    Jeżeli korzystasz z Windowsa i przeglądarki internetowej istnieje spora szansa, że używasz bądź używałeś tej funkcji w przeszłości nawet nie zdając sobie z tego sprawy?

    Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/

    Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1

    Materiał w formie tekstowej: https://security.szurek.pl/badwpad.html

    (0:38) Serwer proxy

    (1:17) Web Proxy Auto-Discovery Protocol

    (2:07) Plik PAC

    (3:06) Plik PAC poprzez DHCP

    (3:55) PAC poprzez DNS

    (4:27) Sufiks DNS

    (5:28) DNS name devolution

    (6:40) Poprawka z 2009

    (7:09) Polski akcent

    (8:28) WPAD Name Collision

    (9:25) Domeny najwyższego poziomu

    (10:25) Zalecenia dla administratorów

    (11:05) Atak lokalny

    Analiza krajowych domen WPAD: https://blog.redteam.pl/2019/05/sinkholing-badwpad-wpadblock-wpadblocking-com.html

    Przejęcie domen przez CERT: https://www.cert.pl/news/single/przejecie-domen-pl-zwiazanych-z-atakiem-badwpad/

    Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O

    Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz

    Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4

    Anchor: https://anchor.fm/kacperszurek/

    #od0dopentestera #windows #wpad

  • Jesteś programistą, który otrzymał zadanie naprawienia błędu typu XSS – czyli cross site scripting.

    Teoretycznie wiesz, że jest to możliwość wykonania zewnętrznego kodu JS w obrębie danej domeny.

    Z drugiej jednak strony, nie do końca rozumiesz pośpiech i konieczność ich naprawiania.

    Przecież samemu tworzysz kod na co dzień, więc co złego może się stać.

    A może jesteś prezesem firmy bądź osobą odpowiedzialną za bezpieczeństwo i nie wiesz jak wyjaśnić ten problem osobom mniej obeznanym w technologiach?

    Ten odcinek jest właśnie dla Ciebie.

    Postaram się w nim wyjaśnić przy użyciu prostych przykładów, jak ataki XSS mogą wpłynąć na biznes – także od tej finansowej strony.

    Dzięki temu wytłumaczenie dlaczego warto naprawiać te błędy i dlaczego mogą być one niebezpieczne dla naszej organizacji – powinno być dużo prostsze.

    Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/

    Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1

    Materiał w formie tekstowej: https://security.szurek.pl/skutki-xss.html

    (0:49) Skąd bierze się XSS

    (2:13) Skutki cudzego kodu

    (3:27) Po co kraść hasło

    (4:45) Podmiana reklam

    (6:00) Deanonimizacji użytkownika

    (6:35) XSS worm

    (7:49) Złośliwe oprogramowanie

    (8:39) Atak DDOS

    (9:55) Keylogger w JS

    (10:55) XSS Auditor

    Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O

    Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz

    Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4

    Anchor: https://anchor.fm/kacperszurek/

    Baking Cookies Timelapse CC BY 3.0 beachfrontbroll.com

    Free Stock footage by Videezy

    Stock footage provided by Videvo, downloaded from https://www.videvo.net

    #od0dopentestera #xss #programowanie

  • Dzisiaj o jednej z nowszych rodzajów podatności, tak zwanych Cross Site Leaks.

    Uogólniając, błędy tego rodzaju w specyficznych okolicznościach pozwalają na odpowiedź tak/nie na zadane wcześniej pytanie.

    Nie wydaje się to zatem niczym spektakularnym.

    Nie ma wybuchów i wykonywania zdalnego kodu na serwerze.

    Na pozór wydaje się zatem, że to nic nie znacząca klasa podatności.

    Diabeł tkwi w szczegółach i wszystko zależy od systemu, z jakim mamy do czynienia.

    Jeśli to serwer sądowy – można sprawdzić czy obywatel X był karany.

    W przypadku szpitala – możliwe jest zweryfikowanie, czy Kowalski choruje na raka prostaty.

    Błąd w banku pozwoli dowiedzieć się, czy użytkownik posiada więcej niż milion złotych na koncie.

    Możliwe jest także poznanie hasła użytkownika.

    Każde pytanie można bowiem zamienić na serię pytań tak/nie.

    Czy pierwszy znak hasła zawiera się pomiędzy cyfrą 0 a 9.

    A może jest to litera Z?

    Materiał w formie tekstowej: https://security.szurek.pl/xsleaks-cross-site-leaks.html

    0:18 Cross Site Leaks

    0:47 Odpowiedź na pytanie tak/nie

    1:57 Same origin policy

    3:03 Żądania POST do strony

    3:35 Zewnętrzne API

    4:20 Nagłówek CORS

    4:53 Czas trwania żądań

    6:08 Tag iframe

    7:53 XSS Auditor

    10:02 Wykrywanie pobierania plików

    10:38 onerror

    11:15 Deanonimizacja użytkowników

    Więcej informacji: https://github.com/xsleaks/xsleaks/

    Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/

    Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1

    Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O

    Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz

    Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4

    Anchor: https://anchor.fm/kacperszurek/

    #pentest #xsleaks #programowanie

  • Wojciech Dworakowski - prezes firmy Securing.

    Na co zwrócić uwagę podczas zawierania kontraktu z firmą oferującą testy penetracyjne?

    Co to jest OWASP? Jak często zdarza się nie znajdować błędów?

    Transkrypcja wywiadu: https://security.szurek.pl/wojciech-dworakowski.html

    0:54 Co to jest OWASP Top 10

    2:23 Inne projekty OWASP to ...

    5:56  Gdzie znajdę informacje o spotkaniach

    7:15 Jak rozpocząć przygodę jako prelegent

    9:52 Jak zmieniało się bezpieczeństwo na przestrzeni lat

    11:31 Na co zwrócić uwagę podczas pentestu

    12:50 Ile średnio trwa test penetracyjny

    13:30 Czy zdarza się nie znajdować błędów

    14:47 Jak powinien wyglądać raport

    15:15 Czy programowanie jest potrzebne w pracy

    15:50 Czy prace można zautomatyzować

    17:21 Czy Bug Bounty stanowi konkurencję

    19:17 Jak wygląda bezpieczeństwo usług rządowych

    21:02 Jaką książkę byś polecił

    22:09 Jak uczyć programistów pisania bezpiecznego kodu

    21:15 Przykłady ciekawych błędów

    24:20 Jakie podatności ignorujemy

    24:27 Co sądzisz o płatnościach mobilnych

    25:47 Chmura vs bezpieczeństwo

    27:40 Testy PCI DSS

    28:49 Certyfikacja usług

    31:11 Pentesty a prawo

    32:57 Bezpieczny język programowania

    33:18 Ilość odnalezionych błędów vs ich jakość

    33:56 Socjotechnika

    35:20 Udostępnianie kodu źródłowego

    37:29 Aplikacje mobilne

    38:27 Modelowanie zagrożeń

    39:15 Bezpieczeństwo a projektowanie systemów

    40:33 Naprawianie błędów

    43:33 Czy zewnętrzne testy są konieczne

    44:58 Jaki sposób logowania do usług wybrać

    47:13 Rzemiosło w pracy pentestera

    48:35 Ciekawe projekty waszej firmy

    50:33 Blockchain

    52:15 E-wybory

    53:34 Rada dla użytkowników

    Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/

    Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1

    Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O

    Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz

    Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4

    Anchor: https://anchor.fm/kacperszurek/

    #podcast #szurkogadanie #securing

  • Domowy router stanowi swoistą pierwszą linię obrony przed atakującymi. 

    Jak się przed nimi obronić? Na jakie zagrożenia jesteśmy narażeni? Co warto sprawdzić?

    1:32 Serwer DHCP

    1:59 Dane DNS

    2:40 DNS Hijacking

    4:24 Botnet

    5:10 Pliki na dysku

    5:35 Firewall

    6:11 WPA2

    6:32 Łamanie haseł

    7:28 Nazwa SSID

    8:11 Standardowe hasła

    8:44 WPS

    9:13 UPNP

    9:48 Port forwarding

    10:29 Aktualizacje

    10:54 Fizyczny dostęp

    11:17 SSH, Telnet, SNPM

    11:40 Błędy bezpieczeństwa

    12:10 Logi

    12:44 Weryfikacja konfiguracji

    13:12 Punkty do sprawdzenia

    Materiał w formie tekstowej: https://security.szurek.pl/jak-zabezpieczyc-router-bezpieczenstwo-sieci-domowej.html

    Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/

    Lista punktów do sprawdzenia: https://routersecurity.org/

    Weryfikacja publicznych adresów: https://www.shodan.io/

    Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O

    Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz

    Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4

    Anchor: https://anchor.fm/kacperszurek/

    #podcast #szurkogadanie #router

  • Marcin Ludwiszewski jest szefem zespołu „Cyber” w Deloitte. Zajmuje się testami ofensywnymi, obroną przed atakami oraz definiowaniem długoterminowych planów strategicznych w obrębie cyberbezpieczeństwa. Z wywiadu dowiesz się co to jest red teaming, na czym polega, jak wygląda taka praca oraz usłyszysz o ciekawych sytuacjach z życia.

    Transkrypcja wywiadu: https://security.szurek.pl/marcin-ludwiszewski.html

    0:37 Co to jest red teaming?

    1:42 Co jest wyznacznikiem sukcesu w red teamingu?

    5:14 Czy różni się od testu penetracyjnego?

    6:17 Ile kosztuje red teaming?

    9:15 Aspekty prawne

    13:11 Czy korzystacie z wytrychów?

    17:04 Czy atakujecie komórki?

    19:00 Co to jest wstępne rozpoznanie?

    21:53 Czy zdarzyły się wam wpadki?

    24:11 Ciekawe sytuacje

    33:05 Ulubione narzędzia

    35:37 Polecane książki

    36:53 Różnica pomiędzy sektorem publicznym i prywatnym

    39:46 Czego nauczyła Cię praca w ABW?

    40:17 Jak zachęcić młodych zdolnych?

    41:29 Co to jest CSIRT?

    43:31 Bezpieczeństwo urzędów

    44:49 W co zainwestować pieniądze?

    48:41 Jak edukować pracowników?

    50:32 Cyberarmia

    51:00 Najczęściej popełniane błędy

    52:12 Bezpieczeństwo dzieci w Internecie

    53:44 Klucze sprzętowe w organizacjach

    54:44 Jak radzić sobie ze stresem

    56:52 Najlepszy czas i data do przeprowadzenia ataku to ...

    59:12 Strategie bezpieczeństwa

    Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/

    Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1

    Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O

    Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz

    Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4

    Anchor: https://anchor.fm/kacperszurek/

    #podcast #szurkogadanie #deloitte

  • TOFU (z angielskiego “Trust On First Use”) tłumaczymy na język polski jako „zaufanie przy pierwszym użyciu”. Mówiąc obrazowo: gdy pierwszy raz uzyskujemy jakąś informację, traktujemy ją jako pewnik i wykorzystujemy tą wiedzę kolejnym razem.

    W informatyce koronnym przykładem może być sytuacja, w której łączymy się z nowym serwerem przy użyciu protokołu SSH.

    Ale jak ten termin jest powiązany z komunikatorem Signal?

    Transkrypcja: https://security.szurek.pl/trust-on-first-use.html

    1:20 Zaufanie przy pierwszym użyciu

    2:25 Zielone światło sygnalizatora

    3:23 Dziennik ustaw

    4:22 NASK 

    5:06 HTTPS

    6:16 Podpisany plik PDF

    7:28 Klucz publiczny

    8:50 Kod zabezpieczenia

    9:39 Reinstalacja aplikacji

    11:05 Siatka kontaktów

    12:17 Key signing party

    13:12 Keybase

    13:51 Potencjalne rozwiązanie problemu

    NASK: https://www.dns.pl/regulamin_gov_pl

    Let’s Encrypt: https://letsencrypt.org/

    Dziennik ustaw: http://dziennikustaw.gov.pl/

    Narodowe Centrum Certyfikacji: https://www.nccert.pl/

    Signal: https://signal.org/blog/safety-number-updates/

    GPG: https://gnupg.org/

    MIT PGP Public Key Server: https://pgp.mit.edu/

    Key signing party: https://en.wikipedia.org/wiki/Key_signing_party

    Web of trust: https://en.wikipedia.org/wiki/Web_of_trust

    Keybase: https://keybase.io/blog/chat-apps-softer-than-tofu

    Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/

    Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1

    Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O

    Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz

    Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4

    Anchor: https://anchor.fm/kacperszurek/

    #podcast #signal #whatsapp

  • Jak wygląda przekręt na pomoc techniczną?

    Oszustwo z wykorzystaniem zwrotu środków.

    Jak przy pomocy socjotechniki nieupoważnionej osobie udało się zostać właścicielem domeny `gov`?

    Transkrypcja: https://security.szurek.pl/przekrety-przez-telefon.html

    0:52 Własna subdomena gov

    1:53 Konsekwencje przejęcia domeny

    2:37 Wpływ na wybory

    3:10 Jak powinna wyglądać weryfikacja domeny

    3:45 Przejmowanie domen .pl

    5:01 Jak działa Registry Lock

    5:40 Zmiana numeru konta pracownika

    6:48 Zmiana numeru konta podwykonawcy

    7:17 Przekręt na zwrot środków

    8:18 Zmiana kodu HTML na komputerze ofiary

    9:15 Zakup kart zdrapek

    9:41 Fałszywa pomoc techniczna

    10:17 Wyskakujące reklamy

    11:03 Etap straszenia

    12:02 Więcej informacji

    Blog Brian Krebs: https://krebsonsecurity.com/2019/11/its-way-too-easy-to-get-a-gov-domain-name/

    Jak działa Registry Lock: https://www.dns.pl/pl_registry_lock

    Kanał Jim Browning: https://www.youtube.com/channel/UCBNG0osIBAprVcZZ3ic84vw

    Informacje Microsoft: https://support.microsoft.com/en-au/help/4013405/windows-protect-from-tech-support-scams

    Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/

    Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1

    Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O

    Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz

    Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4

    Anchor: https://anchor.fm/kacperszurek/

    #podcast #scam #oszustwo

  • Metadata Service generuje dynamiczne klucze pozwalające na dostęp do różnych usług w chmurze Amazon.

    Dzięki temu nie ma potrzeby przechowywania haseł w kodzie strony.

    Niestety, dzięki podatności Server Side Request Forgery i błędów w kodzie strony, możliwe jest uzyskanie nieautoryzowanego dostęp do naszych danych.

    Aby temu zapobiec, EC2 wprowadza IMDSv2 mający zapobiec większości ataków.

    Transkrypcja: https://security.szurek.pl/imdsv2-amazon-ec2-instance-metadata-service.html

    0:49 Jak przechowywać klucze API w chmurze

    1:28 Co to jest EC2 Instance Metadata Service

    2:29 Na czym polega Server Side Request Forgery

    3:31 Jak filtrować dane od użytkownika

    4:23 Amazon EC2 Instance Metadata Service (IMDSv2)

    5:05 Pobieranie tokena przy użyciu metody PUT

    6:18 Ochrona przed błędnie skonfigurowanymi serwerami Reverse Proxy

    7:54 Ochrona przed błędnie skonfigurowanymi serwerami VPN

    8:26 Pakiety z niską wartością TTL

    9:18 Wnioski

    Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/

    Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1

    Materiały prasowe: https://aws.amazon.com/blogs/security/defense-in-depth-open-firewalls-reverse-proxies-ssrf-vulnerabilities-ec2-instance-metadata-service/

    Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O

    Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz

    Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4

    Anchor: https://anchor.fm/kacperszurek/

    #podcast #ssrf #ec2

  • Adam Lange pracuje jako VP Head of Cyber Threat Hunting w Standard Chartered Bank.

    Opowiada na czym polega Threat Hunting oraz co to jest phishing.

    Z wywiadu dowiesz się jak rozpocząć swoją przygodę z bezpieczeństwem a także co zrobić, gdy doszło do ataku na naszą osobę.

    Rozmawiamy także o PSD2, SIM-swap i metodach działania internetowych przestępców.

    Transkrypcja wywiadu: https://security.szurek.pl/adam-lange.html

    0:16 Kim jesteś, co robisz?

    0:42 Na czym polega Threat Hunting?

    1:27 Proaktywne podejście do obrony

    2:25 Co jest najtrudniejsze w Twojej pracy

    3:26 Stosunek zagrożeń do fałszywych alarmów

    4:04 Metody działania przestępców

    5:25 Czy automatyzacja pracy jest możliwa

    6:20 Co z małymi firmami

    7:46 Jak zastąpić IOC

    10:00 Makra w Office

    11:45 Chmura a bezpieczeństwo

    13:02 Praca zdalna i własne urządzenia

    14:29 Na czym polega phishing

    15:48 Edukacja dzieci

    17:04 Jak rozpoznać prawdziwą witrynę banku

    19:18 Gdzie zgłosić złośliwą witrynę

    21:09 Usunięcie strony z Internetu

    24:01 Co sądzisz o PSD2

    26:16 SIM-swap

    28:12 Rada dla początkujących

    29:45 Adam Lange programuje w ...

    31:40 Ulubiony przykład phishingu

    32:51 Metoda picture-in-picture 

    33:46 Atak homograficzny

    34:51 Kto jest odpowiedzialny za kradzież

    36:56 Co zrobić gdy padliśmy ofiarą ataku

    Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/

    Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1

    Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O

    Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz

    Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4

    Anchor: https://anchor.fm/kacperszurek/

    #podcast #szurkogadanie #lange

  • Parę lat temu magazyn „The Guardian” zapytał osoby profesjonalnie zajmujące się bezpieczeństwem, jak chronić dzieci korzystające z Internetu.

    W dzisiejszym odcinku podcastu Szurkogadanie przedstawię te pomysły, a także rozszerzę je o swój komentarz.

    Jeżeli więc jesteś rodzicem, który dba o dobro dzieci – ten odcinek jest dla Ciebie.

    Materiał w formie tekstowej: https://security.szurek.pl/jak-chronic-dziecko-w-internecie.html

    1:07 Zacznij rozmawiać jak najwcześniej

    1:47 Tłumacz na czym polega bezpieczeństwo

    2:03 Jeżeli nie zrobił byś czegoś twarzą w twarz – nie rób tego w Internecie

    3:03 Prywatność adresu domowego

    3:49 Z Internetu nic nie ginie

    5:13 Wygląd strony o niczym nie świadczy

    6:00 Długofalowe skutki

    6:31 Nie przyjmuj darmowych prezentów od nieznajomych

    6:59 Nasze dane jako waluta

    7:39 Gry Free-to-play

    8:44 Niebezpieczne bajki na YouTube

    10:07 Blokady nie zawsze działają

    10:46 Zostań znajomym dziecka w serwisach społecznościowych

    11:51 Świat się zmienia a z nim zagrożenia

    12:26 Anonimowość to fikcja

    13:32 Staraj się wyjaśniać niezrozumiałe rzeczy

    14:01 Geolokalizacja zdjęć

    14:40 Bezpieczeństwo gier

    15:20 Gdzie szukać pomocy

    Tekst źródłowy: https://www.theguardian.com/technology/2014/aug/11/how-to-keep-kids-safe-online-children-advice

    Komiks o psach: https://en.wikipedia.org/wiki/On_the_Internet,_nobody_knows_you're_a_dog

    Klasyfikacja wiekowa gier PEGI: https://pegi.info/pl

    Poradnik NASK: https://akademia.nask.pl/pliki/2-jak-zapewnic-dzieciom-bezpieczenstwo-w-internecie-poradnik-dla-rodzicow.pdf

    Pomoc telefoniczna dla rodziców 800 100 100: https://800100100.pl/

    Zgłaszanie nielegalnych treści: https://dyzurnet.pl

    Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/

    Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1

    Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O

    Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz

    Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4

    Anchor: https://anchor.fm/kacperszurek/

  • Dzisiaj moim gościem jest Krzysztof Kotowicz, który pracuje jako Senior Software Engineer w teamie Information Security Engineering w Google.

    Osoba, która o XSS wie naprawdę wiele.

    Z tego wywiadu dowiesz się o aktualnym stanie bezpieczeństwa serwisów internetowych i nowych standardach, które mają pomóc chronić użytkowników.

    Transkrypcja wywiadu: https://security.szurek.pl/krzysztof-kotowicz.html

    0:18 Kim jesteś?

    1:01 Co to jest XSS?

    2:39 Jak przekonać biznes?

    4:25 Jak działa Trusted Types?

    5:21 Minusy Trusted Types

    8:19 Kto powinien być odpowiedzialny za kod polityk?

    10:06 Jak wygląda praca w ramach Security Working Group?

    12:37 Kto decyduje co trafia do przeglądarki?

    13:57 Jak wyeliminować reflected XSS?

    16:27 Do czego ma służyć CSP?

    18:22 XSS vs Angular

    22:19 Obejście CSP przy pomocy CDN

    23:42 Kompatybilność a bezpieczeństwo

    25:18 XSS Auditor

    28:48 Sposób na kod HTML od użytkownika

    33:25 Co byś usunął z JS?

    35:09 Rozszerzenia w przeglądarkach

    38:44 Rada dla początkujących

    40:21 Czy osoby zajmujące się bezpieczeństwem powinny umieć programować?

    41:40 Krzysztof Kotowicz programuje w …

    42:21 Czy Bug Bounty wyprze normalne testy penetracyjne?

    44:29 Największy minus Bug Bounty

    47:23 Największy koszt Bug Bounty

    48:43 Co to jest "script gadget"?

    51:10 Czy można usunąć gadżety z frameworków?

    53:31 Node i NPM 

    56:09 Jak radzisz sobie z nudą i powtarzalnością pracy?

    58:05 Twój najciekawszy błąd to …

    59:40 Za 10 lat chciałbym aby …

    59:57 XS-Leaks

    61:49 XS-Search w praktyce

    65:24 Przyszłość Chromium

    Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/

    Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1

    Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O

    Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz

    Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4

    Anchor: https://anchor.fm/kacperszurek/

    Angular logo: https://angular.io/