Kacper Szurek
Opowiadam o bezpieczeństwie w prosty i zrozumiały sposób.
Kategorie:
Edukacja
Edukacja
BadWPAD - jak działają pliki PAC
2020-03-16 08:00:00
Dzisiaj o ataku BadWPAD, dzięki któremu można podsłuchiwać i modyfikować niezaszyfrowany ruch internetowy na twoim komputerze.
Myślisz że temat Cię nie dotyczy?
Jeżeli korzystasz z Windowsa i przeglądarki internetowej istnieje spora szansa, że używasz bądź używałeś tej funkcji w przeszłości nawet nie zdając sobie z tego sprawy?
Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/
Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1
Materiał w formie tekstowej: https://security.szurek.pl/badwpad.html
(0:38) Serwer proxy
(1:17) Web Proxy Auto-Discovery Protocol
(2:07) Plik PAC
(3:06) Plik PAC poprzez DHCP
(3:55) PAC poprzez DNS
(4:27) Sufiks DNS
(5:28) DNS name devolution
(6:40) Poprawka z 2009
(7:09) Polski akcent
(8:28) WPAD Name Collision
(9:25) Domeny najwyższego poziomu
(10:25) Zalecenia dla administratorów
(11:05) Atak lokalny
Analiza krajowych domen WPAD: https://blog.redteam.pl/2019/05/sinkholing-badwpad-wpadblock-wpadblocking-com.html
Przejęcie domen przez CERT: https://www.cert.pl/news/single/przejecie-domen-pl-zwiazanych-z-atakiem-badwpad/
Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O
Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz
Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4
Anchor: https://anchor.fm/kacperszurek/
#od0dopentestera #windows #wpad
Dzisiaj o ataku BadWPAD, dzięki któremu można podsłuchiwać i modyfikować niezaszyfrowany ruch internetowy na twoim komputerze.
Myślisz że temat Cię nie dotyczy?
Jeżeli korzystasz z Windowsa i przeglądarki internetowej istnieje spora szansa, że używasz bądź używałeś tej funkcji w przeszłości nawet nie zdając sobie z tego sprawy?
Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/
Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1
Materiał w formie tekstowej: https://security.szurek.pl/badwpad.html
(0:38) Serwer proxy
(1:17) Web Proxy Auto-Discovery Protocol
(2:07) Plik PAC
(3:06) Plik PAC poprzez DHCP
(3:55) PAC poprzez DNS
(4:27) Sufiks DNS
(5:28) DNS name devolution
(6:40) Poprawka z 2009
(7:09) Polski akcent
(8:28) WPAD Name Collision
(9:25) Domeny najwyższego poziomu
(10:25) Zalecenia dla administratorów
(11:05) Atak lokalny
Analiza krajowych domen WPAD: https://blog.redteam.pl/2019/05/sinkholing-badwpad-wpadblock-wpadblocking-com.html
Przejęcie domen przez CERT: https://www.cert.pl/news/single/przejecie-domen-pl-zwiazanych-z-atakiem-badwpad/
Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O
Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz
Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4
Anchor: https://anchor.fm/kacperszurek/
#od0dopentestera #windows #wpad
Skutki XSS
2020-03-09 08:00:00
Jesteś programistą, który otrzymał zadanie naprawienia błędu typu XSS – czyli cross site scripting.
Teoretycznie wiesz, że jest to możliwość wykonania zewnętrznego kodu JS w obrębie danej domeny.
Z drugiej jednak strony, nie do końca rozumiesz pośpiech i konieczność ich naprawiania.
Przecież samemu tworzysz kod na co dzień, więc co złego może się stać.
A może jesteś prezesem firmy bądź osobą odpowiedzialną za bezpieczeństwo i nie wiesz jak wyjaśnić ten problem osobom mniej obeznanym w technologiach?
Ten odcinek jest właśnie dla Ciebie.
Postaram się w nim wyjaśnić przy użyciu prostych przykładów, jak ataki XSS mogą wpłynąć na biznes – także od tej finansowej strony.
Dzięki temu wytłumaczenie dlaczego warto naprawiać te błędy i dlaczego mogą być one niebezpieczne dla naszej organizacji – powinno być dużo prostsze.
Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/
Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1
Materiał w formie tekstowej: https://security.szurek.pl/skutki-xss.html
(0:49) Skąd bierze się XSS
(2:13) Skutki cudzego kodu
(3:27) Po co kraść hasło
(4:45) Podmiana reklam
(6:00) Deanonimizacji użytkownika
(6:35) XSS worm
(7:49) Złośliwe oprogramowanie
(8:39) Atak DDOS
(9:55) Keylogger w JS
(10:55) XSS Auditor
Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O
Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz
Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4
Anchor: https://anchor.fm/kacperszurek/
Baking Cookies Timelapse CC BY 3.0 beachfrontbroll.com
Free Stock footage by Videezy
Stock footage provided by Videvo, downloaded from https://www.videvo.net
#od0dopentestera #xss #programowanie
Jesteś programistą, który otrzymał zadanie naprawienia błędu typu XSS – czyli cross site scripting.
Teoretycznie wiesz, że jest to możliwość wykonania zewnętrznego kodu JS w obrębie danej domeny.
Z drugiej jednak strony, nie do końca rozumiesz pośpiech i konieczność ich naprawiania.
Przecież samemu tworzysz kod na co dzień, więc co złego może się stać.
A może jesteś prezesem firmy bądź osobą odpowiedzialną za bezpieczeństwo i nie wiesz jak wyjaśnić ten problem osobom mniej obeznanym w technologiach?
Ten odcinek jest właśnie dla Ciebie.
Postaram się w nim wyjaśnić przy użyciu prostych przykładów, jak ataki XSS mogą wpłynąć na biznes – także od tej finansowej strony.
Dzięki temu wytłumaczenie dlaczego warto naprawiać te błędy i dlaczego mogą być one niebezpieczne dla naszej organizacji – powinno być dużo prostsze.
Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/
Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1
Materiał w formie tekstowej: https://security.szurek.pl/skutki-xss.html
(0:49) Skąd bierze się XSS
(2:13) Skutki cudzego kodu
(3:27) Po co kraść hasło
(4:45) Podmiana reklam
(6:00) Deanonimizacji użytkownika
(6:35) XSS worm
(7:49) Złośliwe oprogramowanie
(8:39) Atak DDOS
(9:55) Keylogger w JS
(10:55) XSS Auditor
Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O
Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz
Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4
Anchor: https://anchor.fm/kacperszurek/
Baking Cookies Timelapse CC BY 3.0 beachfrontbroll.com
Free Stock footage by Videezy
Stock footage provided by Videvo, downloaded from https://www.videvo.net
#od0dopentestera #xss #programowanie
Cross site leaks - XS-Leaks - co to jest i na czym polega?
2020-02-17 08:00:00
Dzisiaj o jednej z nowszych rodzajów podatności, tak zwanych Cross Site Leaks.
Uogólniając, błędy tego rodzaju w specyficznych okolicznościach pozwalają na odpowiedź tak/nie na zadane wcześniej pytanie.
Nie wydaje się to zatem niczym spektakularnym.
Nie ma wybuchów i wykonywania zdalnego kodu na serwerze.
Na pozór wydaje się zatem, że to nic nie znacząca klasa podatności.
Diabeł tkwi w szczegółach i wszystko zależy od systemu, z jakim mamy do czynienia.
Jeśli to serwer sądowy – można sprawdzić czy obywatel X był karany.
W przypadku szpitala – możliwe jest zweryfikowanie, czy Kowalski choruje na raka prostaty.
Błąd w banku pozwoli dowiedzieć się, czy użytkownik posiada więcej niż milion złotych na koncie.
Możliwe jest także poznanie hasła użytkownika.
Każde pytanie można bowiem zamienić na serię pytań tak/nie.
Czy pierwszy znak hasła zawiera się pomiędzy cyfrą 0 a 9.
A może jest to litera Z?
Materiał w formie tekstowej: https://security.szurek.pl/xsleaks-cross-site-leaks.html
0:18 Cross Site Leaks
0:47 Odpowiedź na pytanie tak/nie
1:57 Same origin policy
3:03 Żądania POST do strony
3:35 Zewnętrzne API
4:20 Nagłówek CORS
4:53 Czas trwania żądań
6:08 Tag iframe
7:53 XSS Auditor
10:02 Wykrywanie pobierania plików
10:38 onerror
11:15 Deanonimizacja użytkowników
Więcej informacji: https://github.com/xsleaks/xsleaks/
Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/
Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1
Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O
Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz
Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4
Anchor: https://anchor.fm/kacperszurek/
#pentest #xsleaks #programowanie
Dzisiaj o jednej z nowszych rodzajów podatności, tak zwanych Cross Site Leaks.
Uogólniając, błędy tego rodzaju w specyficznych okolicznościach pozwalają na odpowiedź tak/nie na zadane wcześniej pytanie.
Nie wydaje się to zatem niczym spektakularnym.
Nie ma wybuchów i wykonywania zdalnego kodu na serwerze.
Na pozór wydaje się zatem, że to nic nie znacząca klasa podatności.
Diabeł tkwi w szczegółach i wszystko zależy od systemu, z jakim mamy do czynienia.
Jeśli to serwer sądowy – można sprawdzić czy obywatel X był karany.
W przypadku szpitala – możliwe jest zweryfikowanie, czy Kowalski choruje na raka prostaty.
Błąd w banku pozwoli dowiedzieć się, czy użytkownik posiada więcej niż milion złotych na koncie.
Możliwe jest także poznanie hasła użytkownika.
Każde pytanie można bowiem zamienić na serię pytań tak/nie.
Czy pierwszy znak hasła zawiera się pomiędzy cyfrą 0 a 9.
A może jest to litera Z?
Materiał w formie tekstowej: https://security.szurek.pl/xsleaks-cross-site-leaks.html
0:18 Cross Site Leaks
0:47 Odpowiedź na pytanie tak/nie
1:57 Same origin policy
3:03 Żądania POST do strony
3:35 Zewnętrzne API
4:20 Nagłówek CORS
4:53 Czas trwania żądań
6:08 Tag iframe
7:53 XSS Auditor
10:02 Wykrywanie pobierania plików
10:38 onerror
11:15 Deanonimizacja użytkowników
Więcej informacji: https://github.com/xsleaks/xsleaks/
Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/
Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1
Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O
Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz
Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4
Anchor: https://anchor.fm/kacperszurek/
#pentest #xsleaks #programowanie
Wojciech Dworakowski: Jak powinien wyglądać test penetracyjny
2020-02-03 08:00:00
Wojciech Dworakowski - prezes firmy Securing.
Na co zwrócić uwagę podczas zawierania kontraktu z firmą oferującą testy penetracyjne?
Co to jest OWASP? Jak często zdarza się nie znajdować błędów?
Transkrypcja wywiadu: https://security.szurek.pl/wojciech-dworakowski.html
0:54 Co to jest OWASP Top 10
2:23 Inne projekty OWASP to ...
5:56 Gdzie znajdę informacje o spotkaniach
7:15 Jak rozpocząć przygodę jako prelegent
9:52 Jak zmieniało się bezpieczeństwo na przestrzeni lat
11:31 Na co zwrócić uwagę podczas pentestu
12:50 Ile średnio trwa test penetracyjny
13:30 Czy zdarza się nie znajdować błędów
14:47 Jak powinien wyglądać raport
15:15 Czy programowanie jest potrzebne w pracy
15:50 Czy prace można zautomatyzować
17:21 Czy Bug Bounty stanowi konkurencję
19:17 Jak wygląda bezpieczeństwo usług rządowych
21:02 Jaką książkę byś polecił
22:09 Jak uczyć programistów pisania bezpiecznego kodu
21:15 Przykłady ciekawych błędów
24:20 Jakie podatności ignorujemy
24:27 Co sądzisz o płatnościach mobilnych
25:47 Chmura vs bezpieczeństwo
27:40 Testy PCI DSS
28:49 Certyfikacja usług
31:11 Pentesty a prawo
32:57 Bezpieczny język programowania
33:18 Ilość odnalezionych błędów vs ich jakość
33:56 Socjotechnika
35:20 Udostępnianie kodu źródłowego
37:29 Aplikacje mobilne
38:27 Modelowanie zagrożeń
39:15 Bezpieczeństwo a projektowanie systemów
40:33 Naprawianie błędów
43:33 Czy zewnętrzne testy są konieczne
44:58 Jaki sposób logowania do usług wybrać
47:13 Rzemiosło w pracy pentestera
48:35 Ciekawe projekty waszej firmy
50:33 Blockchain
52:15 E-wybory
53:34 Rada dla użytkowników
Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/
Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1
Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O
Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz
Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4
Anchor: https://anchor.fm/kacperszurek/
#podcast #szurkogadanie #securing
Wojciech Dworakowski - prezes firmy Securing.
Na co zwrócić uwagę podczas zawierania kontraktu z firmą oferującą testy penetracyjne?
Co to jest OWASP? Jak często zdarza się nie znajdować błędów?
Transkrypcja wywiadu: https://security.szurek.pl/wojciech-dworakowski.html
0:54 Co to jest OWASP Top 10
2:23 Inne projekty OWASP to ...
5:56 Gdzie znajdę informacje o spotkaniach
7:15 Jak rozpocząć przygodę jako prelegent
9:52 Jak zmieniało się bezpieczeństwo na przestrzeni lat
11:31 Na co zwrócić uwagę podczas pentestu
12:50 Ile średnio trwa test penetracyjny
13:30 Czy zdarza się nie znajdować błędów
14:47 Jak powinien wyglądać raport
15:15 Czy programowanie jest potrzebne w pracy
15:50 Czy prace można zautomatyzować
17:21 Czy Bug Bounty stanowi konkurencję
19:17 Jak wygląda bezpieczeństwo usług rządowych
21:02 Jaką książkę byś polecił
22:09 Jak uczyć programistów pisania bezpiecznego kodu
21:15 Przykłady ciekawych błędów
24:20 Jakie podatności ignorujemy
24:27 Co sądzisz o płatnościach mobilnych
25:47 Chmura vs bezpieczeństwo
27:40 Testy PCI DSS
28:49 Certyfikacja usług
31:11 Pentesty a prawo
32:57 Bezpieczny język programowania
33:18 Ilość odnalezionych błędów vs ich jakość
33:56 Socjotechnika
35:20 Udostępnianie kodu źródłowego
37:29 Aplikacje mobilne
38:27 Modelowanie zagrożeń
39:15 Bezpieczeństwo a projektowanie systemów
40:33 Naprawianie błędów
43:33 Czy zewnętrzne testy są konieczne
44:58 Jaki sposób logowania do usług wybrać
47:13 Rzemiosło w pracy pentestera
48:35 Ciekawe projekty waszej firmy
50:33 Blockchain
52:15 E-wybory
53:34 Rada dla użytkowników
Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/
Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1
Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O
Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz
Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4
Anchor: https://anchor.fm/kacperszurek/
#podcast #szurkogadanie #securing
Jak zabezpieczyć router – bezpieczeństwo sieci domowej?
2020-01-13 08:00:00
Domowy router stanowi swoistą pierwszą linię obrony przed atakującymi.
Jak się przed nimi obronić? Na jakie zagrożenia jesteśmy narażeni? Co warto sprawdzić?
1:32 Serwer DHCP
1:59 Dane DNS
2:40 DNS Hijacking
4:24 Botnet
5:10 Pliki na dysku
5:35 Firewall
6:11 WPA2
6:32 Łamanie haseł
7:28 Nazwa SSID
8:11 Standardowe hasła
8:44 WPS
9:13 UPNP
9:48 Port forwarding
10:29 Aktualizacje
10:54 Fizyczny dostęp
11:17 SSH, Telnet, SNPM
11:40 Błędy bezpieczeństwa
12:10 Logi
12:44 Weryfikacja konfiguracji
13:12 Punkty do sprawdzenia
Materiał w formie tekstowej: https://security.szurek.pl/jak-zabezpieczyc-router-bezpieczenstwo-sieci-domowej.html
Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/
Lista punktów do sprawdzenia: https://routersecurity.org/
Weryfikacja publicznych adresów: https://www.shodan.io/
Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O
Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz
Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4
Anchor: https://anchor.fm/kacperszurek/
#podcast #szurkogadanie #router
Domowy router stanowi swoistą pierwszą linię obrony przed atakującymi.
Jak się przed nimi obronić? Na jakie zagrożenia jesteśmy narażeni? Co warto sprawdzić?
1:32 Serwer DHCP
1:59 Dane DNS
2:40 DNS Hijacking
4:24 Botnet
5:10 Pliki na dysku
5:35 Firewall
6:11 WPA2
6:32 Łamanie haseł
7:28 Nazwa SSID
8:11 Standardowe hasła
8:44 WPS
9:13 UPNP
9:48 Port forwarding
10:29 Aktualizacje
10:54 Fizyczny dostęp
11:17 SSH, Telnet, SNPM
11:40 Błędy bezpieczeństwa
12:10 Logi
12:44 Weryfikacja konfiguracji
13:12 Punkty do sprawdzenia
Materiał w formie tekstowej: https://security.szurek.pl/jak-zabezpieczyc-router-bezpieczenstwo-sieci-domowej.html
Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/
Lista punktów do sprawdzenia: https://routersecurity.org/
Weryfikacja publicznych adresów: https://www.shodan.io/
Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O
Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz
Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4
Anchor: https://anchor.fm/kacperszurek/
#podcast #szurkogadanie #router
Marcin Ludwiszewski: O cyberatakach, obronie i red teamingu
2020-01-07 08:00:00
Marcin Ludwiszewski jest szefem zespołu „Cyber” w Deloitte. Zajmuje się testami ofensywnymi, obroną przed atakami oraz definiowaniem długoterminowych planów strategicznych w obrębie cyberbezpieczeństwa. Z wywiadu dowiesz się co to jest red teaming, na czym polega, jak wygląda taka praca oraz usłyszysz o ciekawych sytuacjach z życia.
Transkrypcja wywiadu: https://security.szurek.pl/marcin-ludwiszewski.html
0:37 Co to jest red teaming?
1:42 Co jest wyznacznikiem sukcesu w red teamingu?
5:14 Czy różni się od testu penetracyjnego?
6:17 Ile kosztuje red teaming?
9:15 Aspekty prawne
13:11 Czy korzystacie z wytrychów?
17:04 Czy atakujecie komórki?
19:00 Co to jest wstępne rozpoznanie?
21:53 Czy zdarzyły się wam wpadki?
24:11 Ciekawe sytuacje
33:05 Ulubione narzędzia
35:37 Polecane książki
36:53 Różnica pomiędzy sektorem publicznym i prywatnym
39:46 Czego nauczyła Cię praca w ABW?
40:17 Jak zachęcić młodych zdolnych?
41:29 Co to jest CSIRT?
43:31 Bezpieczeństwo urzędów
44:49 W co zainwestować pieniądze?
48:41 Jak edukować pracowników?
50:32 Cyberarmia
51:00 Najczęściej popełniane błędy
52:12 Bezpieczeństwo dzieci w Internecie
53:44 Klucze sprzętowe w organizacjach
54:44 Jak radzić sobie ze stresem
56:52 Najlepszy czas i data do przeprowadzenia ataku to ...
59:12 Strategie bezpieczeństwa
Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/
Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1
Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O
Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz
Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4
Anchor: https://anchor.fm/kacperszurek/
#podcast #szurkogadanie #deloitte
Marcin Ludwiszewski jest szefem zespołu „Cyber” w Deloitte. Zajmuje się testami ofensywnymi, obroną przed atakami oraz definiowaniem długoterminowych planów strategicznych w obrębie cyberbezpieczeństwa. Z wywiadu dowiesz się co to jest red teaming, na czym polega, jak wygląda taka praca oraz usłyszysz o ciekawych sytuacjach z życia.
Transkrypcja wywiadu: https://security.szurek.pl/marcin-ludwiszewski.html
0:37 Co to jest red teaming?
1:42 Co jest wyznacznikiem sukcesu w red teamingu?
5:14 Czy różni się od testu penetracyjnego?
6:17 Ile kosztuje red teaming?
9:15 Aspekty prawne
13:11 Czy korzystacie z wytrychów?
17:04 Czy atakujecie komórki?
19:00 Co to jest wstępne rozpoznanie?
21:53 Czy zdarzyły się wam wpadki?
24:11 Ciekawe sytuacje
33:05 Ulubione narzędzia
35:37 Polecane książki
36:53 Różnica pomiędzy sektorem publicznym i prywatnym
39:46 Czego nauczyła Cię praca w ABW?
40:17 Jak zachęcić młodych zdolnych?
41:29 Co to jest CSIRT?
43:31 Bezpieczeństwo urzędów
44:49 W co zainwestować pieniądze?
48:41 Jak edukować pracowników?
50:32 Cyberarmia
51:00 Najczęściej popełniane błędy
52:12 Bezpieczeństwo dzieci w Internecie
53:44 Klucze sprzętowe w organizacjach
54:44 Jak radzić sobie ze stresem
56:52 Najlepszy czas i data do przeprowadzenia ataku to ...
59:12 Strategie bezpieczeństwa
Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/
Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1
Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O
Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz
Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4
Anchor: https://anchor.fm/kacperszurek/
#podcast #szurkogadanie #deloitte
Jak działa kod zabezpieczenia w Signal?
2019-12-09 08:00:00
TOFU (z angielskiego “Trust On First Use”) tłumaczymy na język polski jako „zaufanie przy pierwszym użyciu”. Mówiąc obrazowo: gdy pierwszy raz uzyskujemy jakąś informację, traktujemy ją jako pewnik i wykorzystujemy tą wiedzę kolejnym razem.
W informatyce koronnym przykładem może być sytuacja, w której łączymy się z nowym serwerem przy użyciu protokołu SSH.
Ale jak ten termin jest powiązany z komunikatorem Signal?
Transkrypcja: https://security.szurek.pl/trust-on-first-use.html
1:20 Zaufanie przy pierwszym użyciu
2:25 Zielone światło sygnalizatora
3:23 Dziennik ustaw
4:22 NASK
5:06 HTTPS
6:16 Podpisany plik PDF
7:28 Klucz publiczny
8:50 Kod zabezpieczenia
9:39 Reinstalacja aplikacji
11:05 Siatka kontaktów
12:17 Key signing party
13:12 Keybase
13:51 Potencjalne rozwiązanie problemu
NASK: https://www.dns.pl/regulamin_gov_pl
Let’s Encrypt: https://letsencrypt.org/
Dziennik ustaw: http://dziennikustaw.gov.pl/
Narodowe Centrum Certyfikacji: https://www.nccert.pl/
Signal: https://signal.org/blog/safety-number-updates/
GPG: https://gnupg.org/
MIT PGP Public Key Server: https://pgp.mit.edu/
Key signing party: https://en.wikipedia.org/wiki/Key_signing_party
Web of trust: https://en.wikipedia.org/wiki/Web_of_trust
Keybase: https://keybase.io/blog/chat-apps-softer-than-tofu
Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/
Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1
Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O
Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz
Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4
Anchor: https://anchor.fm/kacperszurek/
#podcast #signal #whatsapp
TOFU (z angielskiego “Trust On First Use”) tłumaczymy na język polski jako „zaufanie przy pierwszym użyciu”. Mówiąc obrazowo: gdy pierwszy raz uzyskujemy jakąś informację, traktujemy ją jako pewnik i wykorzystujemy tą wiedzę kolejnym razem.
W informatyce koronnym przykładem może być sytuacja, w której łączymy się z nowym serwerem przy użyciu protokołu SSH.
Ale jak ten termin jest powiązany z komunikatorem Signal?
Transkrypcja: https://security.szurek.pl/trust-on-first-use.html
1:20 Zaufanie przy pierwszym użyciu
2:25 Zielone światło sygnalizatora
3:23 Dziennik ustaw
4:22 NASK
5:06 HTTPS
6:16 Podpisany plik PDF
7:28 Klucz publiczny
8:50 Kod zabezpieczenia
9:39 Reinstalacja aplikacji
11:05 Siatka kontaktów
12:17 Key signing party
13:12 Keybase
13:51 Potencjalne rozwiązanie problemu
NASK: https://www.dns.pl/regulamin_gov_pl
Let’s Encrypt: https://letsencrypt.org/
Dziennik ustaw: http://dziennikustaw.gov.pl/
Narodowe Centrum Certyfikacji: https://www.nccert.pl/
Signal: https://signal.org/blog/safety-number-updates/
GPG: https://gnupg.org/
MIT PGP Public Key Server: https://pgp.mit.edu/
Key signing party: https://en.wikipedia.org/wiki/Key_signing_party
Web of trust: https://en.wikipedia.org/wiki/Web_of_trust
Keybase: https://keybase.io/blog/chat-apps-softer-than-tofu
Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/
Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1
Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O
Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz
Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4
Anchor: https://anchor.fm/kacperszurek/
#podcast #signal #whatsapp
Przekręty przez telefon
2019-12-02 08:00:00
Jak wygląda przekręt na pomoc techniczną?
Oszustwo z wykorzystaniem zwrotu środków.
Jak przy pomocy socjotechniki nieupoważnionej osobie udało się zostać właścicielem domeny `gov`?
Transkrypcja: https://security.szurek.pl/przekrety-przez-telefon.html
0:52 Własna subdomena gov
1:53 Konsekwencje przejęcia domeny
2:37 Wpływ na wybory
3:10 Jak powinna wyglądać weryfikacja domeny
3:45 Przejmowanie domen .pl
5:01 Jak działa Registry Lock
5:40 Zmiana numeru konta pracownika
6:48 Zmiana numeru konta podwykonawcy
7:17 Przekręt na zwrot środków
8:18 Zmiana kodu HTML na komputerze ofiary
9:15 Zakup kart zdrapek
9:41 Fałszywa pomoc techniczna
10:17 Wyskakujące reklamy
11:03 Etap straszenia
12:02 Więcej informacji
Blog Brian Krebs: https://krebsonsecurity.com/2019/11/its-way-too-easy-to-get-a-gov-domain-name/
Jak działa Registry Lock: https://www.dns.pl/pl_registry_lock
Kanał Jim Browning: https://www.youtube.com/channel/UCBNG0osIBAprVcZZ3ic84vw
Informacje Microsoft: https://support.microsoft.com/en-au/help/4013405/windows-protect-from-tech-support-scams
Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/
Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1
Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O
Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz
Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4
Anchor: https://anchor.fm/kacperszurek/
#podcast #scam #oszustwo
Jak wygląda przekręt na pomoc techniczną?
Oszustwo z wykorzystaniem zwrotu środków.
Jak przy pomocy socjotechniki nieupoważnionej osobie udało się zostać właścicielem domeny `gov`?
Transkrypcja: https://security.szurek.pl/przekrety-przez-telefon.html
0:52 Własna subdomena gov
1:53 Konsekwencje przejęcia domeny
2:37 Wpływ na wybory
3:10 Jak powinna wyglądać weryfikacja domeny
3:45 Przejmowanie domen .pl
5:01 Jak działa Registry Lock
5:40 Zmiana numeru konta pracownika
6:48 Zmiana numeru konta podwykonawcy
7:17 Przekręt na zwrot środków
8:18 Zmiana kodu HTML na komputerze ofiary
9:15 Zakup kart zdrapek
9:41 Fałszywa pomoc techniczna
10:17 Wyskakujące reklamy
11:03 Etap straszenia
12:02 Więcej informacji
Blog Brian Krebs: https://krebsonsecurity.com/2019/11/its-way-too-easy-to-get-a-gov-domain-name/
Jak działa Registry Lock: https://www.dns.pl/pl_registry_lock
Kanał Jim Browning: https://www.youtube.com/channel/UCBNG0osIBAprVcZZ3ic84vw
Informacje Microsoft: https://support.microsoft.com/en-au/help/4013405/windows-protect-from-tech-support-scams
Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/
Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1
Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O
Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz
Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4
Anchor: https://anchor.fm/kacperszurek/
#podcast #scam #oszustwo
IMDSv2: Ochrona przed atakami SSRF
2019-11-25 08:00:00
Metadata Service generuje dynamiczne klucze pozwalające na dostęp do różnych usług w chmurze Amazon.
Dzięki temu nie ma potrzeby przechowywania haseł w kodzie strony.
Niestety, dzięki podatności Server Side Request Forgery i błędów w kodzie strony, możliwe jest uzyskanie nieautoryzowanego dostęp do naszych danych.
Aby temu zapobiec, EC2 wprowadza IMDSv2 mający zapobiec większości ataków.
Transkrypcja: https://security.szurek.pl/imdsv2-amazon-ec2-instance-metadata-service.html
0:49 Jak przechowywać klucze API w chmurze
1:28 Co to jest EC2 Instance Metadata Service
2:29 Na czym polega Server Side Request Forgery
3:31 Jak filtrować dane od użytkownika
4:23 Amazon EC2 Instance Metadata Service (IMDSv2)
5:05 Pobieranie tokena przy użyciu metody PUT
6:18 Ochrona przed błędnie skonfigurowanymi serwerami Reverse Proxy
7:54 Ochrona przed błędnie skonfigurowanymi serwerami VPN
8:26 Pakiety z niską wartością TTL
9:18 Wnioski
Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/
Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1
Materiały prasowe: https://aws.amazon.com/blogs/security/defense-in-depth-open-firewalls-reverse-proxies-ssrf-vulnerabilities-ec2-instance-metadata-service/
Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O
Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz
Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4
Anchor: https://anchor.fm/kacperszurek/
#podcast #ssrf #ec2
Metadata Service generuje dynamiczne klucze pozwalające na dostęp do różnych usług w chmurze Amazon.
Dzięki temu nie ma potrzeby przechowywania haseł w kodzie strony.
Niestety, dzięki podatności Server Side Request Forgery i błędów w kodzie strony, możliwe jest uzyskanie nieautoryzowanego dostęp do naszych danych.
Aby temu zapobiec, EC2 wprowadza IMDSv2 mający zapobiec większości ataków.
Transkrypcja: https://security.szurek.pl/imdsv2-amazon-ec2-instance-metadata-service.html
0:49 Jak przechowywać klucze API w chmurze
1:28 Co to jest EC2 Instance Metadata Service
2:29 Na czym polega Server Side Request Forgery
3:31 Jak filtrować dane od użytkownika
4:23 Amazon EC2 Instance Metadata Service (IMDSv2)
5:05 Pobieranie tokena przy użyciu metody PUT
6:18 Ochrona przed błędnie skonfigurowanymi serwerami Reverse Proxy
7:54 Ochrona przed błędnie skonfigurowanymi serwerami VPN
8:26 Pakiety z niską wartością TTL
9:18 Wnioski
Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/
Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1
Materiały prasowe: https://aws.amazon.com/blogs/security/defense-in-depth-open-firewalls-reverse-proxies-ssrf-vulnerabilities-ec2-instance-metadata-service/
Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O
Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz
Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4
Anchor: https://anchor.fm/kacperszurek/
#podcast #ssrf #ec2
Adam Lange: róbcie bezpieczeństwo, będzie fajnie, mamy cukierki
2019-11-18 08:00:00
Adam Lange pracuje jako VP Head of Cyber Threat Hunting w Standard Chartered Bank.
Opowiada na czym polega Threat Hunting oraz co to jest phishing.
Z wywiadu dowiesz się jak rozpocząć swoją przygodę z bezpieczeństwem a także co zrobić, gdy doszło do ataku na naszą osobę.
Rozmawiamy także o PSD2, SIM-swap i metodach działania internetowych przestępców.
Transkrypcja wywiadu: https://security.szurek.pl/adam-lange.html
0:16 Kim jesteś, co robisz?
0:42 Na czym polega Threat Hunting?
1:27 Proaktywne podejście do obrony
2:25 Co jest najtrudniejsze w Twojej pracy
3:26 Stosunek zagrożeń do fałszywych alarmów
4:04 Metody działania przestępców
5:25 Czy automatyzacja pracy jest możliwa
6:20 Co z małymi firmami
7:46 Jak zastąpić IOC
10:00 Makra w Office
11:45 Chmura a bezpieczeństwo
13:02 Praca zdalna i własne urządzenia
14:29 Na czym polega phishing
15:48 Edukacja dzieci
17:04 Jak rozpoznać prawdziwą witrynę banku
19:18 Gdzie zgłosić złośliwą witrynę
21:09 Usunięcie strony z Internetu
24:01 Co sądzisz o PSD2
26:16 SIM-swap
28:12 Rada dla początkujących
29:45 Adam Lange programuje w ...
31:40 Ulubiony przykład phishingu
32:51 Metoda picture-in-picture
33:46 Atak homograficzny
34:51 Kto jest odpowiedzialny za kradzież
36:56 Co zrobić gdy padliśmy ofiarą ataku
Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/
Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1
Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O
Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz
Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4
Anchor: https://anchor.fm/kacperszurek/
#podcast #szurkogadanie #lange
Adam Lange pracuje jako VP Head of Cyber Threat Hunting w Standard Chartered Bank.
Opowiada na czym polega Threat Hunting oraz co to jest phishing.
Z wywiadu dowiesz się jak rozpocząć swoją przygodę z bezpieczeństwem a także co zrobić, gdy doszło do ataku na naszą osobę.
Rozmawiamy także o PSD2, SIM-swap i metodach działania internetowych przestępców.
Transkrypcja wywiadu: https://security.szurek.pl/adam-lange.html
0:16 Kim jesteś, co robisz?
0:42 Na czym polega Threat Hunting?
1:27 Proaktywne podejście do obrony
2:25 Co jest najtrudniejsze w Twojej pracy
3:26 Stosunek zagrożeń do fałszywych alarmów
4:04 Metody działania przestępców
5:25 Czy automatyzacja pracy jest możliwa
6:20 Co z małymi firmami
7:46 Jak zastąpić IOC
10:00 Makra w Office
11:45 Chmura a bezpieczeństwo
13:02 Praca zdalna i własne urządzenia
14:29 Na czym polega phishing
15:48 Edukacja dzieci
17:04 Jak rozpoznać prawdziwą witrynę banku
19:18 Gdzie zgłosić złośliwą witrynę
21:09 Usunięcie strony z Internetu
24:01 Co sądzisz o PSD2
26:16 SIM-swap
28:12 Rada dla początkujących
29:45 Adam Lange programuje w ...
31:40 Ulubiony przykład phishingu
32:51 Metoda picture-in-picture
33:46 Atak homograficzny
34:51 Kto jest odpowiedzialny za kradzież
36:56 Co zrobić gdy padliśmy ofiarą ataku
Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/
Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1
Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O
Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz
Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4
Anchor: https://anchor.fm/kacperszurek/
#podcast #szurkogadanie #lange