Episódios
-
🎙️ Rozmawiam ze specjalistami od uwierzytelniania, aby odpowiedzieć na wszystkie palące Was pytania.
Źródła:
🌐 @secfense - Fast Track To Passwordless
https://secfense.com/
📖 ebook od @secfense Czym są passkeys i jak skutecznie wdrożyć logowanie bez hasła w organizacji?
https://secfense.com/pl/passkey
💬 Kontakt do @secfense aby umówić się na spotkanie
https://secfense.com/pl/kontakt/
👫 Stowarzyszenie FIDO
https://fidoalliance.org/
🤔 Czym jest i jak działa passkey?
https://www.passkeys.io/
🌐 Czym jest WebAuthn? Przetestuj API.
https://webauthn.io/
📩 WebAuthn registration process overview
https://developers.yubico.com/Developer_Program/WebAuthn_Starter_Kit/WebAuthn_Registration_Flow.html
🔗 Indeks serwisów wspierających passkeys
https://passkeys.directory/
📔 Słownik pojęć
https://passkeys.dev/docs/reference/terms/
💊 Technikalia dotyczące U2F oraz passkeys w pigułce
https://www.imperialviolet.org/2023/07/23/u2f-to-passkeys.html
🔒 Discoverable FIDO Credentials
https://developers.yubico.com/Passkeys/Passkey_concepts/Discoverable_vs_non-discoverable_credentials.html
📟 Rodzaje uwierzytelniaczy
https://developers.yubico.com/Passkeys/Passkey_concepts/Authenticator_types.html
📱 Single Device vs multi Device Credentials
https://developers.yubico.com/Passkeys/Passkey_concepts/Single_device_vs_multi_device_credentials.html
📜 Mity według @1PasswordVideos
https://passage.1password.com/post/seven-misunderstandings-about-passkeys
🔐 Google makes passkeys the default sign-in method for all users
https://techcrunch.com/2023/10/10/google-makes-passkeys-the-default-sign-in-method-for-all-users/
Relevant xkcd: https://xkcd.com/1553/
© Wszystkie znaki handlowe należą do ich prawowitych właścicieli.
❤️ Dziękuję za Waszą uwagę.
Znajdziecie mnie również na:
Instagramie @mateuszemsi https://www.instagram.com/mateuszemsi/
Twitterze @MateuszChrobok https://twitter.com/MateuszChrobok
Mastodonie https://infosec.exchange/@mateuszchrobok
LinkedInie @mateuszchrobok https://www.linkedin.com/in/mateuszchrobok/
Patronite @MateuszChrobok https://patronite.pl/MateuszChrobok
Podcasty na:
Anchor https://anchor.fm/mateusz-chrobok
Spotify https://open.spotify.com/show/6y6oWs20HwRejktOWHTteR
Apple Podcasts https://apple.co/3OwjvOh
Dziękujemy za gościnę William Rabbit&CO w Krakowie!
Rozdziały:
00:00 Intro
01:05 Intro cd
06:45 Bezpieczeństwo vs menedżery haseł
11:08 Zapisywanie passkeys w menedżerze haseł
12:37 Wyciek hashowanych haseł
15:38 Różnica FIDO a SSH Key
16:55 Ataki man-in-the-middle
17:44 Wsparcie dla kontekstu
19:44 Logowanie na nieswoim urządzeniu
22:01 To mniej, czy więcej pracy?
23:49 Wiele kont w jednej usłudze
24:49 Co z Linuksami?
26:09 Intuicyjność
27:57 Biometria - konieczna czy nie?
29:05 Zgubienie telefonu
31:33 Tylko jedno urządzenie
32:34 PIN i biometria nie są bezpieczne
33:32 Bezpieczeństwo kluczy sprzętowych
34:53 Social engineering
36:46 Kradzież tokenów sesji
37:48 Kolejny standard
38:27 Władza dla korporacji
39:43 Użycie do profilowania
41:26 Google to zło!
43:30 Zaproszenie
44:12 Co Robić i Jak Żyć?
#Passkeys #bezpieczeństwo #uwierzytelnianie #logowanie #hasło #współpracareklamowa
https://www.youtube.com/watch?v=rf6LriO_dy8
-
Microsoft zaprezentował fukcję Recall, ale to chyba już krok za daleko.
Źródła:
https://tinyurl.com/bdfekdkd
https://tinyurl.com/vzcyhk33
#AI #copilot #recall #Windows
https://www.youtube.com/watch?v=_gvkgAyxAKI
-
Estão a faltar episódios?
-
Na StackOverflow, którego pewnie nie trzeba przedstawiać żadnemu programiście, wybuchł bunt. Z powodu sztucznej inteligencji.
Źródła:
https://tinyurl.com/2utz5vjv
https://tinyurl.com/54bz4ea6
#programowanie #chatGPT #OpenAI #StackOverflow
https://www.youtube.com/watch?v=MFC2RfQgnM4
-
☠️ Jak zatruć cały internet? Jaką rolę w tym procesie odgrywają wielkie modele językowe? I co ma z tym wspólnego nowopodpisana umowa pomiędzy redditem a Google?
Źródła:
🤝 Google: An expanded partnership with Reddit
https://blog.google/inside-google/company-announcements/expanded-reddit-partnership
↕️ Reddit: Expanding our Partnership with Google
https://www.redditinc.com/blog/reddit-and-google-expand-partnership
☠️ AI Is Poisoning Reddit to Promote Products and Game Google With 'Parasite SEO’
https://www.404media.co/ai-is-poisoning-reddit-to-promote-products-and-game-google-with-parasite-seo
💻 Poisoning Web-Scale Training Datasets is Practical
N. Carlini, M. Jagielski, C. A. Choquette-Choo, D. Paleka, W. Pearce, H. Anderson, A. Terzis, K. Thomas, F. Tramèr
https://doi.org/10.48550/arXiv.2302.10149
🤬 A lot of Redditors hate the Reddit IPO
https://www.theverge.com/2024/2/24/24081441/reddit-shares-redditor-ipo-user-risk
Jeżeli nie ufasz skracanym linkom (bardzo dobrze!) to dodaj na ich końcu plusik ‘+’.
W ten sposób podejrzysz na stronie bit.ly/tinyurl dokąd prowadzą.
Relevant xkcd: https://xkcd.com/1838/
© Wszystkie znaki handlowe należą do ich prawowitych właścicieli.
❤️ Dziękuję za Waszą uwagę.
Znajdziecie mnie również na:
Instagramie @mateuszemsi https://www.instagram.com/mateuszemsi/
Twitterze @MateuszChrobok https://twitter.com/MateuszChrobok
Mastodonie https://infosec.exchange/@mateuszchrobok
LinkedInie @mateuszchrobok https://www.linkedin.com/in/mateuszchrobok/
Patronite @MateuszChrobok https://patronite.pl/MateuszChrobok
Podcasty na:
Anchor https://anchor.fm/mateusz-chrobok
Spotify https://open.spotify.com/show/6y6oWs20HwRejktOWHTteR
Apple Podcasts https://apple.co/3OwjvOh
Rozdziały:
00:00 Intro
00:31 Współpraca
02:33 Treść
05:07 Dane
09:46 Domena
12:46 Zrzut
16:07 Atak
18:42 CRJŻ
#reddit #ai #monopol #Google #LLM
https://www.youtube.com/watch?v=EXk0IYtSpes
-
Wielka Brytania postanowiła zakazać słabych haseł. Prawnie.
Źródła:
https://tinyurl.com/3k8tc6cp
#hasło #bezpieczeństwo #IoT #Internet
https://www.youtube.com/watch?v=jhRhjHY5kS0
-
Znowu ktoś twierdzi, że Signal nie jest bezpiecznym komunikatorem. Tym kimś jest tym razem… Elon Musk?
Źródła:
https://tinyurl.com/4cpt9rvy
#signal #Twitter #szyfrowanie #Musk
https://www.youtube.com/watch?v=DZzwNO0v8MU
-
🪆 Na czym to ja ostatnio skończyłem? A, racja. Opowiadałem o tym, jak w niezwykle wyrafinowany sposób grupa APT29, czyli cyberszpiedzy ze Służby Wywiadu Zagranicznego Federacji Rosyjskiej, przejęła kontrolę nad oprogramowaniem Orion, produkowanym przez firmę Solarwinds.
Zapraszam na ciąg dalszy tej historii i kolejny odcinek serii opowieści z mchu i paproci o grupach cyberprzestępczych powiązanych z wywiadami różnych krajów. Tym razem Polska też odegra w niej pewną rolę.
Źródła:
🐤 Early Bird Catches the Wormhole: Observations from the StellarParticle Campaign
https://www.crowdstrike.com/blog/observations-from-the-stellarparticle-campaign/
🗑️ OS Credential Dumping, MITRE ATT&CK
https://attack.mitre.org/techniques/T1003/
🕵🏻 Russian cyberspies targeted the Slovak government for months
https://therecord.media/russian-cyberspies-targeted-slovak-government-for-months
🤔 What Is Cobalt Strike and How Does It Work?
https://www.cynet.com/network-attacks/cobalt-strike-white-hat-hacker-powerhouse-in-the-wrong-hands/
🇫🇷 France warns of Nobelium cyberspies attacking French orgs
https://www.bleepingcomputer.com/news/security/france-warns-of-nobelium-cyberspies-attacking-french-orgs/
😶🌫️ FoggyWeb: Targeted NOBELIUM malware leads to persistent backdoor
https://www.microsoft.com/en-us/security/blog/2021/09/27/foggyweb-targeted-nobelium-malware-leads-to-persistent-backdoor/
🖲️ Trello From the Other Side: Tracking APT29 Phishing Campaigns
https://www.mandiant.com/resources/blog/tracking-apt29-phishing-campaigns
💾 Russian APT29 Hackers Use Online Storage Services, DropBox and Google Drive
https://unit42.paloaltonetworks.com/cloaked-ursa-online-storage-services-campaigns/
☑️ MagicWeb: NOBELIUM’s post-compromise trick to authenticate as anyone
https://www.microsoft.com/en-us/security/blog/2022/08/24/magicweb-nobeliums-post-compromise-trick-to-authenticate-as-anyone/
🇵🇱 NOBELIUM Uses Poland's Ambassador’s Visit to the U.S. to Target EU Governments Assisting Ukraine
https://blogs.blackberry.com/en/2023/03/nobelium-targets-eu-governments-assisting-ukraine
🇷🇺 CERT Polska i SKW ostrzegają przed działaniami rosyjskich szpiegów
https://cert.pl/posts/2023/04/kampania-szpiegowska-apt29/
🔎 Kampania szpiegowska wiązana z rosyjskimi służbami specjalnymi
https://www.gov.pl/web/baza-wiedzy/kampania-szpiegowska-wiazana-z-rosyjskimi-sluzbami-specjalnymi
🧑💻 Midnight Blizzard conducts targeted social engineering over Microsoft Teams
https://www.microsoft.com/en-us/security/blog/2023/08/02/midnight-blizzard-conducts-targeted-social-engineering-over-microsoft-teams/
💥 APT29 Attacks Embassies Using CVE-2023-38831
https://www.rnbo.gov.ua/files/2023_YEAR/CYBERCENTER/november/APT29 attacks Embassies using CVE-2023-38831 - report en.pdf
👍🏻 AlessandroZ / LaZagne @ GitHub - PublicCredentials recovery project
https://github.com/AlessandroZ/LaZagne
Relevant xkcd: https://xkcd.com/1573/
© Wszystkie znaki handlowe należą do ich prawowitych właścicieli.
❤️ Dziękuję za Waszą uwagę.
Znajdziecie mnie również na:
Instagramie @mateuszemsi https://www.instagram.com/mateuszemsi/
Twitterze @MateuszChrobok https://twitter.com/MateuszChrobok
Mastodonie https://infosec.exchange/@mateuszchrobok
LinkedInie @mateuszchrobok https://www.linkedin.com/in/mateuszchrobok/
Patronite @MateuszChrobok https://patronite.pl/MateuszChrobok
Podcasty na:
Anchor https://anchor.fm/mateusz-chrobok
Spotify https://open.spotify.com/show/6y6oWs20HwRejktOWHTteR
Apple Podcasts https://apple.co/3OwjvOh
Rozdziały:
00:00 Intro
01:10 2021 StellarParticle
05:50 2021 Dyplomacja
09:13 2022 Trello
14:43 2023 ADFS
16:53 2023 Polska
18:10 2023 Inaczej
20:55 2023 TeamCity
22:35 Co Robić i Jak Żyć?
#Rosja #SVR #APT29 #szpiedzy #cyberwojna
https://www.youtube.com/watch?v=2Tm1eP8QqYQ
-
Niedługo zapaść ma wyrok, czy Google ma nielegalny monopol, czy też nie.
Źródła:
https://tinyurl.com/4v9ebwdd
https://tinyurl.com/3envd2yp
#Google #monopol #proces #USA
https://www.youtube.com/watch?v=rm9feJqjpLU
-
Czy Rosja próbuje wpływać na różne, w tym nielegalne sposoby na politykę innych krajów?
Źródła:
https://tinyurl.com/5n99w6nd
https://tinyurl.com/mrzjcjsb
#APT28 #Rosja #cyberbezpieczeństwo #atak
https://www.youtube.com/watch?v=JzVhlUTg3ho
-
Gracze masowo odinstalowują swoją ukochaną grę, League of Legends. Dlaczego?
Źródła:
https://tinyurl.com/3ed6u4j9
https://tinyurl.com/2cn6meyb
#LoL #Vanguard #Valorant #antycheat
https://www.youtube.com/watch?v=Qs2OXZzL5LY
-
🍖 Ileż można odpoczywać przy grillu? Na szczęście kiedy my odpoczywamy, to inni czuwają nad naszym bezpieczeństwem. Również w internecie.
Źródła:
📊 Raport roczny CSIRT KNF za 2023.
https://cebrf.knf.gov.pl/images/Raport_roczny_CSIRT_KNF.pdf
⚽️ Oszustwo w sieci. Robert Lewandowski twarzą fałszywej reklamy. Nie daj się nabrać
https://tech.wp.pl/oszustwo-w-sieci-robert-lewandowski-twarza-falszywej-reklamy-nie-daj-sie-nabrac,6403163926877825a
✉️ Booking.com customers targeted by scam ‘confirmation’ emails
https://www.theguardian.com/money/2023/oct/23/bookingcom-customers-targeted-by-scam-confirmation-emails
Relevant xkcd: https://xkcd.com/2553/
© Wszystkie znaki handlowe należą do ich prawowitych właścicieli.
❤️ Dziękuję za Waszą uwagę.
Znajdziecie mnie również na:
Instagramie @mateuszemsi https://www.instagram.com/mateuszemsi/
Twitterze @MateuszChrobok https://twitter.com/MateuszChrobok
Mastodonie https://infosec.exchange/@mateuszchrobok
LinkedInie @mateuszchrobok https://www.linkedin.com/in/mateuszchrobok/
Patronite @MateuszChrobok https://patronite.pl/MateuszChrobok
Podcasty na:
Anchor https://anchor.fm/mateusz-chrobok
Spotify https://open.spotify.com/show/6y6oWs20HwRejktOWHTteR
Apple Podcasts https://apple.co/3OwjvOh
Rozdziały:
00:00 Intro
00:31 CSIRT
01:48 Reklamy
06:27 Phishing
09:26 Stealer
11:38 Co Robić i Jak Żyć?
#2023 #raport #CSIRT #KNF #cyberbezpieczeństwo
https://www.youtube.com/watch?v=vqLcRazzY1I
-
Stany Zjednoczone właśnie przeżywają swój Newag-moment. O co chodzi?
Źródła:
https://tinyurl.com/3dntne9b
https://tinyurl.com/2tnwu8h6
#Boeing #afera #USA #senat
https://www.youtube.com/watch?v=tCUIVUA1c8Y
-
Czy lubicie, kiedy Wasze dane, na przykład związane z Waszym zdrowiem, są udostępniane bez Waszej wiedzy Facebookowi czy Googlowi? I to przez nasze Państwo?
Źródła:
https://tinyurl.com/mtv8av4v
#RODO #panoptykon #prywatność #Ministerstwo
https://www.youtube.com/watch?v=xlLU4ZvhXfc
-
Czy wiadomości przesyłane przez Telegrama są rzeczywiście bezpieczne? Zdania w tej kwestii są podzielone.
Źródła:
https://tinyurl.com/yc36zn9h
https://tinyurl.com/mr3yhjy6
#Telegram #Rosja #bezpieczeństwo #komunikacja
https://www.youtube.com/watch?v=BsHz1iZ7C7E
-
🔏 Szyfrowanie to nie tylko przyjemność, ale wręcz obowiązek. Szyfrujemy przecież komunikację ze swoim bankiem, rozmowy ze znajomymi prowadzone poprzez różnorakie komunikatory, czy w końcu zawartość naszych telefonów i komputerów. Opiera się w swoich podstawach na matematyce, często zresztą na liczbach pierwszych wybieranych losowo. I to właśnie ta losowość, nazywana fachowo entropią, jest najistotniejszym elementem koniecznym do skutecznego zaszyfrowania prowadzonej komunikacji. No bo jeżeli szyfrowanie nie jest losowe to być może da się też przewidzieć, np. jaka liczba pierwsza została wybrana podstawą naszego szyfru. A stąd już tylko krok do położenia go na łopatki i szybkiego złamania, skutkującego możliwością podsłuchiwania wszystkiego co przesyłamy. Jak do tego nie dopuścić?
Źródła:
💻 Understanding Entropy: The Key to Secure Cryptography and Randomness
https://www.netdata.cloud/blog/understanding-entropy-the-key-to-secure-cryptography-and-randomness/
🏮 How do lava lamps help with Internet encryption?
https://www.cloudflare.com/en-gb/learning/ssl/lava-lamp-encryption/
🇬🇧 Inside the London office where swinging pendulums keep cyber threats at bay
https://www.ianvisits.co.uk/articles/inside-the-london-office-where-swinging-pendulums-keep-cyber-threats-at-bay-71054/
📄 Non-Proprietary Public Use Document for Samsung TRNG
https://csrc.nist.gov/CSRC/media/projects/cryptographic-module-validation-program/documents/entropy/E81_PublicUse.pdf
📑 Fast Digital TRNG Based on Metastable Ring Oscillator
https://iacr.org/archive/ches2008/51540162/51540162.pdf
🥼 The science of encryption: prime numbers and mod n arithmetic
https://math.berkeley.edu/~kpmann/encryption.pdf
🌋 LavaRand in Production: The Nitty-Gritty Technical Details
https://blog.cloudflare.com/lavarand-in-production-the-nitty-gritty-technical-details
🌀 Harnessing chaos in Cloudflare offices
https://blog.cloudflare.com/harnessing-office-chaos
🦊 nicolewelch / lavalamp @ GitHub
https://github.com/nicolewelch/lavalamp
Relevant xkcd: https://xkcd.com/237/
© Wszystkie znaki handlowe należą do ich prawowitych właścicieli.
❤️ Dziękuję za Waszą uwagę.
Znajdziecie mnie również na:
Instagramie @mateuszemsi https://www.instagram.com/mateuszemsi/
Twitterze @MateuszChrobok https://twitter.com/MateuszChrobok
Mastodonie https://infosec.exchange/@mateuszchrobok
LinkedInie @mateuszchrobok https://www.linkedin.com/in/mateuszchrobok/
Patronite @MateuszChrobok https://patronite.pl/MateuszChrobok
Podcasty na:
Anchor https://anchor.fm/mateusz-chrobok
Spotify https://open.spotify.com/show/6y6oWs20HwRejktOWHTteR
Apple Podcasts https://apple.co/3OwjvOh
Rozdziały:
00:00 Intro
1:27 Komputery
05:56 Analog(ia)
09:27 Generatory
14:01 Co Robić i Jak Żyć?
#szyfrowanie #entropia #losowość #bezpieczeństwo #podsłuchiwanie
https://www.youtube.com/watch?v=kvHQ7A3TM3w
-
Oszukiwanie w grach nie popłaca. I to z wielu powodów.
Źródła:
https://tinyurl.com/55zrfnye
https://tinyurl.com/32evnxs8
#cheater #oszust #malware #Redline
https://www.youtube.com/watch?v=bTPRGJDu2aQ
- Mostrar mais