Kacper Szurek
Opowiadam o bezpieczeństwie w prosty i zrozumiały sposób.
Kategorie:
Edukacja
Edukacja
Jak chronić dzieci w Internecie - poradnik dla rodziców
2019-11-12 08:00:00
Parę lat temu magazyn „The Guardian” zapytał osoby profesjonalnie zajmujące się bezpieczeństwem, jak chronić dzieci korzystające z Internetu.
W dzisiejszym odcinku podcastu Szurkogadanie przedstawię te pomysły, a także rozszerzę je o swój komentarz.
Jeżeli więc jesteś rodzicem, który dba o dobro dzieci – ten odcinek jest dla Ciebie.
Materiał w formie tekstowej: https://security.szurek.pl/jak-chronic-dziecko-w-internecie.html
1:07 Zacznij rozmawiać jak najwcześniej
1:47 Tłumacz na czym polega bezpieczeństwo
2:03 Jeżeli nie zrobił byś czegoś twarzą w twarz – nie rób tego w Internecie
3:03 Prywatność adresu domowego
3:49 Z Internetu nic nie ginie
5:13 Wygląd strony o niczym nie świadczy
6:00 Długofalowe skutki
6:31 Nie przyjmuj darmowych prezentów od nieznajomych
6:59 Nasze dane jako waluta
7:39 Gry Free-to-play
8:44 Niebezpieczne bajki na YouTube
10:07 Blokady nie zawsze działają
10:46 Zostań znajomym dziecka w serwisach społecznościowych
11:51 Świat się zmienia a z nim zagrożenia
12:26 Anonimowość to fikcja
13:32 Staraj się wyjaśniać niezrozumiałe rzeczy
14:01 Geolokalizacja zdjęć
14:40 Bezpieczeństwo gier
15:20 Gdzie szukać pomocy
Tekst źródłowy: https://www.theguardian.com/technology/2014/aug/11/how-to-keep-kids-safe-online-children-advice
Komiks o psach: https://en.wikipedia.org/wiki/On_the_Internet,_nobody_knows_you're_a_dog
Klasyfikacja wiekowa gier PEGI: https://pegi.info/pl
Poradnik NASK: https://akademia.nask.pl/pliki/2-jak-zapewnic-dzieciom-bezpieczenstwo-w-internecie-poradnik-dla-rodzicow.pdf
Pomoc telefoniczna dla rodziców 800 100 100: https://800100100.pl/
Zgłaszanie nielegalnych treści: https://dyzurnet.pl
Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/
Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1
Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O
Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz
Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4
Anchor: https://anchor.fm/kacperszurek/
Parę lat temu magazyn „The Guardian” zapytał osoby profesjonalnie zajmujące się bezpieczeństwem, jak chronić dzieci korzystające z Internetu.
W dzisiejszym odcinku podcastu Szurkogadanie przedstawię te pomysły, a także rozszerzę je o swój komentarz.
Jeżeli więc jesteś rodzicem, który dba o dobro dzieci – ten odcinek jest dla Ciebie.
Materiał w formie tekstowej: https://security.szurek.pl/jak-chronic-dziecko-w-internecie.html
1:07 Zacznij rozmawiać jak najwcześniej
1:47 Tłumacz na czym polega bezpieczeństwo
2:03 Jeżeli nie zrobił byś czegoś twarzą w twarz – nie rób tego w Internecie
3:03 Prywatność adresu domowego
3:49 Z Internetu nic nie ginie
5:13 Wygląd strony o niczym nie świadczy
6:00 Długofalowe skutki
6:31 Nie przyjmuj darmowych prezentów od nieznajomych
6:59 Nasze dane jako waluta
7:39 Gry Free-to-play
8:44 Niebezpieczne bajki na YouTube
10:07 Blokady nie zawsze działają
10:46 Zostań znajomym dziecka w serwisach społecznościowych
11:51 Świat się zmienia a z nim zagrożenia
12:26 Anonimowość to fikcja
13:32 Staraj się wyjaśniać niezrozumiałe rzeczy
14:01 Geolokalizacja zdjęć
14:40 Bezpieczeństwo gier
15:20 Gdzie szukać pomocy
Tekst źródłowy: https://www.theguardian.com/technology/2014/aug/11/how-to-keep-kids-safe-online-children-advice
Komiks o psach: https://en.wikipedia.org/wiki/On_the_Internet,_nobody_knows_you're_a_dog
Klasyfikacja wiekowa gier PEGI: https://pegi.info/pl
Poradnik NASK: https://akademia.nask.pl/pliki/2-jak-zapewnic-dzieciom-bezpieczenstwo-w-internecie-poradnik-dla-rodzicow.pdf
Pomoc telefoniczna dla rodziców 800 100 100: https://800100100.pl/
Zgłaszanie nielegalnych treści: https://dyzurnet.pl
Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/
Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1
Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O
Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz
Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4
Anchor: https://anchor.fm/kacperszurek/
Krzysztof Kotowicz: Rób to co lubisz
2019-11-04 08:00:00
Dzisiaj moim gościem jest Krzysztof Kotowicz, który pracuje jako Senior Software Engineer w teamie Information Security Engineering w Google.
Osoba, która o XSS wie naprawdę wiele.
Z tego wywiadu dowiesz się o aktualnym stanie bezpieczeństwa serwisów internetowych i nowych standardach, które mają pomóc chronić użytkowników.
Transkrypcja wywiadu: https://security.szurek.pl/krzysztof-kotowicz.html
0:18 Kim jesteś?
1:01 Co to jest XSS?
2:39 Jak przekonać biznes?
4:25 Jak działa Trusted Types?
5:21 Minusy Trusted Types
8:19 Kto powinien być odpowiedzialny za kod polityk?
10:06 Jak wygląda praca w ramach Security Working Group?
12:37 Kto decyduje co trafia do przeglądarki?
13:57 Jak wyeliminować reflected XSS?
16:27 Do czego ma służyć CSP?
18:22 XSS vs Angular
22:19 Obejście CSP przy pomocy CDN
23:42 Kompatybilność a bezpieczeństwo
25:18 XSS Auditor
28:48 Sposób na kod HTML od użytkownika
33:25 Co byś usunął z JS?
35:09 Rozszerzenia w przeglądarkach
38:44 Rada dla początkujących
40:21 Czy osoby zajmujące się bezpieczeństwem powinny umieć programować?
41:40 Krzysztof Kotowicz programuje w …
42:21 Czy Bug Bounty wyprze normalne testy penetracyjne?
44:29 Największy minus Bug Bounty
47:23 Największy koszt Bug Bounty
48:43 Co to jest "script gadget"?
51:10 Czy można usunąć gadżety z frameworków?
53:31 Node i NPM
56:09 Jak radzisz sobie z nudą i powtarzalnością pracy?
58:05 Twój najciekawszy błąd to …
59:40 Za 10 lat chciałbym aby …
59:57 XS-Leaks
61:49 XS-Search w praktyce
65:24 Przyszłość Chromium
Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/
Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1
Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O
Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz
Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4
Anchor: https://anchor.fm/kacperszurek/
Angular logo: https://angular.io/
Dzisiaj moim gościem jest Krzysztof Kotowicz, który pracuje jako Senior Software Engineer w teamie Information Security Engineering w Google.
Osoba, która o XSS wie naprawdę wiele.
Z tego wywiadu dowiesz się o aktualnym stanie bezpieczeństwa serwisów internetowych i nowych standardach, które mają pomóc chronić użytkowników.
Transkrypcja wywiadu: https://security.szurek.pl/krzysztof-kotowicz.html
0:18 Kim jesteś?
1:01 Co to jest XSS?
2:39 Jak przekonać biznes?
4:25 Jak działa Trusted Types?
5:21 Minusy Trusted Types
8:19 Kto powinien być odpowiedzialny za kod polityk?
10:06 Jak wygląda praca w ramach Security Working Group?
12:37 Kto decyduje co trafia do przeglądarki?
13:57 Jak wyeliminować reflected XSS?
16:27 Do czego ma służyć CSP?
18:22 XSS vs Angular
22:19 Obejście CSP przy pomocy CDN
23:42 Kompatybilność a bezpieczeństwo
25:18 XSS Auditor
28:48 Sposób na kod HTML od użytkownika
33:25 Co byś usunął z JS?
35:09 Rozszerzenia w przeglądarkach
38:44 Rada dla początkujących
40:21 Czy osoby zajmujące się bezpieczeństwem powinny umieć programować?
41:40 Krzysztof Kotowicz programuje w …
42:21 Czy Bug Bounty wyprze normalne testy penetracyjne?
44:29 Największy minus Bug Bounty
47:23 Największy koszt Bug Bounty
48:43 Co to jest "script gadget"?
51:10 Czy można usunąć gadżety z frameworków?
53:31 Node i NPM
56:09 Jak radzisz sobie z nudą i powtarzalnością pracy?
58:05 Twój najciekawszy błąd to …
59:40 Za 10 lat chciałbym aby …
59:57 XS-Leaks
61:49 XS-Search w praktyce
65:24 Przyszłość Chromium
Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/
Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1
Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O
Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz
Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4
Anchor: https://anchor.fm/kacperszurek/
Angular logo: https://angular.io/
Jak uruchomić program Bug Bounty w swojej firmie?
2019-09-23 08:00:00
Jesteś prezesem lub osobą odpowiedzialną za bezpieczeństwo firmy?
Zastanawiasz się jak zwiększyć bezpieczeństwo?
A może program Bug Bounty?
Co to takiego i czy mojej firmie się opłaci?
Jakie są plusy i minusy?
Postaram się obalić mity powiązane z tym tematem, a także opisać jak można rozpocząć wdrażanie takiego tematu z punktu widzenia firmy.
Na czym można oszczędzić i ile to tak naprawdę kosztuje?
Więcej informacji na blogu: https://security.szurek.pl/jak-uruchomic-program-bug-bounty-w-firmie.html
1:09 Jak wygląda test penetracyjny?
1:54 Plusy i minusy pentestu
2:50 Co to jest Bug Bounty?
3:25 Główna różnica pomiędzy pentestem
3:54 Ile to kosztuje?
4:32 Co to jest platforma
5:26 Średnie kwoty wypłat
6:49 Różnica pomiędzy prywatnym a publicznym programem
8:18 Jakie firmy mogą brać udział?
10:11 Od czego zacząć?
11:08 Start bez pieniędzy
12:07 Definiowanie zakresu
13:01 Współpraca pomiędzy działami
13:39 Jak rozliczyć koszty
14:32 Czy mogę zaufać hackerom?
15:24 Naprawa przyczyny a nie błędu
16:08 Sprawdzanie logów
16:51 Signal to noise ratio
17:50 Odnajdowanie słabych punktów
18:55 Live events
Dodatkowe materiały:
https://go.synack.com/rs/738-OEX-476/images/CrowdsourcedSecurityTesting_FINAL_5-29-2018.pdf
https://www.hackerone.com/sites/default/files/2018-07/The%20Hacker-Powered%20Security%20Report%202018.pdf
https://medium.com/engineers-optimizely/raising-the-security-bug-bounty-b8abeb46409a
https://www.hackerone.com/sites/default/files/2017-05/Case%20Study%20-%20GitHub%20-%20FINAL.pdf
Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/
Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1
Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O
Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz
Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4
Anchor: https://anchor.fm/kacperszurek/
Icon made by Freepik www.flaticon.com
Jesteś prezesem lub osobą odpowiedzialną za bezpieczeństwo firmy?
Zastanawiasz się jak zwiększyć bezpieczeństwo?
A może program Bug Bounty?
Co to takiego i czy mojej firmie się opłaci?
Jakie są plusy i minusy?
Postaram się obalić mity powiązane z tym tematem, a także opisać jak można rozpocząć wdrażanie takiego tematu z punktu widzenia firmy.
Na czym można oszczędzić i ile to tak naprawdę kosztuje?
Więcej informacji na blogu: https://security.szurek.pl/jak-uruchomic-program-bug-bounty-w-firmie.html
1:09 Jak wygląda test penetracyjny?
1:54 Plusy i minusy pentestu
2:50 Co to jest Bug Bounty?
3:25 Główna różnica pomiędzy pentestem
3:54 Ile to kosztuje?
4:32 Co to jest platforma
5:26 Średnie kwoty wypłat
6:49 Różnica pomiędzy prywatnym a publicznym programem
8:18 Jakie firmy mogą brać udział?
10:11 Od czego zacząć?
11:08 Start bez pieniędzy
12:07 Definiowanie zakresu
13:01 Współpraca pomiędzy działami
13:39 Jak rozliczyć koszty
14:32 Czy mogę zaufać hackerom?
15:24 Naprawa przyczyny a nie błędu
16:08 Sprawdzanie logów
16:51 Signal to noise ratio
17:50 Odnajdowanie słabych punktów
18:55 Live events
Dodatkowe materiały:
https://go.synack.com/rs/738-OEX-476/images/CrowdsourcedSecurityTesting_FINAL_5-29-2018.pdf
https://www.hackerone.com/sites/default/files/2018-07/The%20Hacker-Powered%20Security%20Report%202018.pdf
https://medium.com/engineers-optimizely/raising-the-security-bug-bounty-b8abeb46409a
https://www.hackerone.com/sites/default/files/2017-05/Case%20Study%20-%20GitHub%20-%20FINAL.pdf
Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/
Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1
Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O
Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz
Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4
Anchor: https://anchor.fm/kacperszurek/
Icon made by Freepik www.flaticon.com
Jak nie zostać słupem? Metody oszustw
2019-09-16 08:00:00
Na jakie metody oszustw można natknąć się przeglądając oferty na popularnych portalach ogłoszeniowych?
Kim jest słup oraz jak można nim zostać?
Jak to możliwe, że przestępca może wykonać przelew z naszego konta?
Czy pośrednictwo w zakupie kryptowalut to dobra metoda dorabiania do kieszonkowego?
Przesyłka za pobraniem nie taka bezpieczna jak się nam wydaje.
Więcej informacji na blogu: http://security.szurek.pl/jak-nie-zostac-slupem-metody-oszustw.html
0:55 Nigeryjski przekręt
1:34 Darmowe przedmioty
2:51 Początek problemów
4:33 Zweryfikowany odbiorca
6:14 Słup
6:58 Konto w banku
8:02 Kryptowaluty
9:37 Metoda na wakacje
11:14 Fałszywe sklepy internetowe
12:30 Ufam ale kontroluje
12:34 Przesyłka za pobraniem
Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/
Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1
Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O
Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz
Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4
Anchor: https://anchor.fm/kacperszurek/
#podcast #szurkogadanie #oszustwa
Na jakie metody oszustw można natknąć się przeglądając oferty na popularnych portalach ogłoszeniowych?
Kim jest słup oraz jak można nim zostać?
Jak to możliwe, że przestępca może wykonać przelew z naszego konta?
Czy pośrednictwo w zakupie kryptowalut to dobra metoda dorabiania do kieszonkowego?
Przesyłka za pobraniem nie taka bezpieczna jak się nam wydaje.
Więcej informacji na blogu: http://security.szurek.pl/jak-nie-zostac-slupem-metody-oszustw.html
0:55 Nigeryjski przekręt
1:34 Darmowe przedmioty
2:51 Początek problemów
4:33 Zweryfikowany odbiorca
6:14 Słup
6:58 Konto w banku
8:02 Kryptowaluty
9:37 Metoda na wakacje
11:14 Fałszywe sklepy internetowe
12:30 Ufam ale kontroluje
12:34 Przesyłka za pobraniem
Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/
Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1
Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O
Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz
Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4
Anchor: https://anchor.fm/kacperszurek/
#podcast #szurkogadanie #oszustwa
Jak rozpocząć przygodę z programami Bug Bounty?
2019-09-02 08:00:00
Jak rozpocząć swoja przygodę z poszukiwaniem błędów?
Na co zwrócić szczególną uwagę?
Zaczniemy od znalezienia interesującego nas programu.
Następnie wyjaśnię co to jest zakres (scope).
Później poszukamy subdomen, które można testować.
Tutaj przydatny okaże się serwis Virustotal albo Certificate Transparency Log oraz archive.org.
Dalej krótkie przypomnienie co to jest głębokie ukrycie i dlaczego nie powinno się go używać.
Cały materiał zakończymy informacjami o rekonesansie i błędach, jakie można odnaleźć w sklepach internetowych.
Więcej informacji na blogu: http://security.szurek.pl/jak-rozpoczac-przygode-z-bug-bounty.html
0:53 Pieniądze
2:20 Duplikaty
3:37 Platformy
4:49 Zakres
5:28 Open redirection
6:19 Wildcard
6:59 Subdomeny
7:41 Certificate transparency
9:11 Virustotal
10:01 Writeup
10:32 archive.org
11:52 Głębokie ukrycie
12:39 Git
13:50 GitHub
14:43 Chmura
15:34 Rekonesans
Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/
Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1
Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O
Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz
Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4
Anchor: https://anchor.fm/kacperszurek/
Jak rozpocząć swoja przygodę z poszukiwaniem błędów?
Na co zwrócić szczególną uwagę?
Zaczniemy od znalezienia interesującego nas programu.
Następnie wyjaśnię co to jest zakres (scope).
Później poszukamy subdomen, które można testować.
Tutaj przydatny okaże się serwis Virustotal albo Certificate Transparency Log oraz archive.org.
Dalej krótkie przypomnienie co to jest głębokie ukrycie i dlaczego nie powinno się go używać.
Cały materiał zakończymy informacjami o rekonesansie i błędach, jakie można odnaleźć w sklepach internetowych.
Więcej informacji na blogu: http://security.szurek.pl/jak-rozpoczac-przygode-z-bug-bounty.html
0:53 Pieniądze
2:20 Duplikaty
3:37 Platformy
4:49 Zakres
5:28 Open redirection
6:19 Wildcard
6:59 Subdomeny
7:41 Certificate transparency
9:11 Virustotal
10:01 Writeup
10:32 archive.org
11:52 Głębokie ukrycie
12:39 Git
13:50 GitHub
14:43 Chmura
15:34 Rekonesans
Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/
Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1
Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O
Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz
Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4
Anchor: https://anchor.fm/kacperszurek/
SSL - czy akceptować wygasły certyfikat?
2019-08-26 08:00:00
Czy namawianie do akceptowania certyfikatu SSL, który wygasł i nie jest prawidłowy, jest OK?
A może jest to sprzeczne z dobrymi praktykami?
Jakie inne komunikaty błędów możemy napotkać podczas przeglądania Internetu przy pomocy protokołu HTTPS?
O czym one świadczą i jakie są ich powody?
A także kiedy mogą informować one o potencjalnym ataku, a kiedy tylko pokazują ignorancję właściciela witryny?
Ja jestem Kacper Szurek, a to kolejny odcinek podcastu Szurkogadanie, w którym tłumaczę zawiłe kwestie powiązane z bezpieczeństwem komputerowym w prosty i zrozumiały sposób.
Więcej informacji na blogu: http://security.szurek.pl/ssl-czy-akceptowac-wygasly-certyfikat.html
0:46 Po co szyfrujemy połączenie
2:09 Klucz prywatny
2:38 Czy to prawidłowy klucz?
3:22 Główne urzędy certyfikacji
4:02 Uprawnienia do zarządzania domeną
5:02 Certyfikat typu OV
6:25 Ważność certyfikatu
7:09 Automatyczne generowanie certyfikatów
8:22 To połączenie nie jest prywatne
9:03 Zaawansowane opcje
10:06 badssl.com
10:41 Certyfikat expired
12:40 Błędna praktyka
13:42 Wrong host
15:00 Self-signed
15:50 Untrusted root
17:04 Revoked
17:43 Podsumowanie
Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/
Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1
Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O
Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz
Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4
Anchor: https://anchor.fm/kacperszurek/
Czy namawianie do akceptowania certyfikatu SSL, który wygasł i nie jest prawidłowy, jest OK?
A może jest to sprzeczne z dobrymi praktykami?
Jakie inne komunikaty błędów możemy napotkać podczas przeglądania Internetu przy pomocy protokołu HTTPS?
O czym one świadczą i jakie są ich powody?
A także kiedy mogą informować one o potencjalnym ataku, a kiedy tylko pokazują ignorancję właściciela witryny?
Ja jestem Kacper Szurek, a to kolejny odcinek podcastu Szurkogadanie, w którym tłumaczę zawiłe kwestie powiązane z bezpieczeństwem komputerowym w prosty i zrozumiały sposób.
Więcej informacji na blogu: http://security.szurek.pl/ssl-czy-akceptowac-wygasly-certyfikat.html
0:46 Po co szyfrujemy połączenie
2:09 Klucz prywatny
2:38 Czy to prawidłowy klucz?
3:22 Główne urzędy certyfikacji
4:02 Uprawnienia do zarządzania domeną
5:02 Certyfikat typu OV
6:25 Ważność certyfikatu
7:09 Automatyczne generowanie certyfikatów
8:22 To połączenie nie jest prywatne
9:03 Zaawansowane opcje
10:06 badssl.com
10:41 Certyfikat expired
12:40 Błędna praktyka
13:42 Wrong host
15:00 Self-signed
15:50 Untrusted root
17:04 Revoked
17:43 Podsumowanie
Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/
Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1
Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O
Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz
Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4
Anchor: https://anchor.fm/kacperszurek/
Czy WordPress jest bezpieczny?
2019-08-12 08:00:00
WordPress to najpopularniejszy system blogowy w Internecie.
Średnio już co 3 strona korzysta właśnie z tego systemu do obsługi swoich treści.
Jednak przez te lata wokół tego narzędzia narosło wiele mitów.
Czy WordPress jest bezpieczny?
Czy korzystanie z niego niesie za sobą jakieś konsekwencje?
Ja jestem Kacper Szurek a to kolejny odcinek podcastu Szurkogadanie, w którym postaram się odpowiedzieć na to pytanie.
Więcej informacji na blogu: https://security.szurek.pl/czy-wordpress-jest-bezpieczny.html
0:34 Ilość błędów
1:33 XSS
2:42 Code Execution
4:20 Pluginy
4:50 Kto tworzy dodatki?
6:23 Bezpieczeństwo
7:44 Dodatkowe zabezpieczenia
8:26 Bruteforce
9:22 2FA
10:17 Geolokalizacja
12:11 Edytor plików
12:52 wp-login.php
13:50 Integralność plików
14:17 Kradzione szablony
14:38 XMLRPC
Baza błędów: https://wpvulndb.com/
WordPress: https://wordpress.org
Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/
Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1
WordPress to najpopularniejszy system blogowy w Internecie.
Średnio już co 3 strona korzysta właśnie z tego systemu do obsługi swoich treści.
Jednak przez te lata wokół tego narzędzia narosło wiele mitów.
Czy WordPress jest bezpieczny?
Czy korzystanie z niego niesie za sobą jakieś konsekwencje?
Ja jestem Kacper Szurek a to kolejny odcinek podcastu Szurkogadanie, w którym postaram się odpowiedzieć na to pytanie.
Więcej informacji na blogu: https://security.szurek.pl/czy-wordpress-jest-bezpieczny.html
0:34 Ilość błędów
1:33 XSS
2:42 Code Execution
4:20 Pluginy
4:50 Kto tworzy dodatki?
6:23 Bezpieczeństwo
7:44 Dodatkowe zabezpieczenia
8:26 Bruteforce
9:22 2FA
10:17 Geolokalizacja
12:11 Edytor plików
12:52 wp-login.php
13:50 Integralność plików
14:17 Kradzione szablony
14:38 XMLRPC
Baza błędów: https://wpvulndb.com/
WordPress: https://wordpress.org
Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/
Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1
Kontrolowane włamanie do firmy
2019-08-05 08:00:00
W jaki sposób można uzyskać nieautoryzowany dostęp do biura Twojej firmy?
Jakie metody można zastosować aby ominąć ochronę, bramki bezpieczeństwa i panią na recepcji?
Na jakie zachowanie należy zwrócić uwagę oraz dlaczego nie warto podpinać wiatraczków USB do naszego komputera?
Przewodnik jak może wyglądać kontrolowane włamanie się do firmy.
Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/
Transkrypcja: https://security.szurek.pl/kontrolowane-wlamanie-do-firmy.html
0:42 Rekonesans
1:07 Phishing
2:06 Oszustwo na komornika
3:59 Jak ominąć bramki?
5:34 Klon karty
8:00 Wi-Fi
9:38 Jak wejść do firmy?
10:37 BLEKey
12:11 Xero i drukarki
13:14 RubberDucky
14:06 Packet Squirrel
15:03 Gadżety USB
W jaki sposób można uzyskać nieautoryzowany dostęp do biura Twojej firmy?
Jakie metody można zastosować aby ominąć ochronę, bramki bezpieczeństwa i panią na recepcji?
Na jakie zachowanie należy zwrócić uwagę oraz dlaczego nie warto podpinać wiatraczków USB do naszego komputera?
Przewodnik jak może wyglądać kontrolowane włamanie się do firmy.
Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/
Transkrypcja: https://security.szurek.pl/kontrolowane-wlamanie-do-firmy.html
0:42 Rekonesans
1:07 Phishing
2:06 Oszustwo na komornika
3:59 Jak ominąć bramki?
5:34 Klon karty
8:00 Wi-Fi
9:38 Jak wejść do firmy?
10:37 BLEKey
12:11 Xero i drukarki
13:14 RubberDucky
14:06 Packet Squirrel
15:03 Gadżety USB
Jak działa flaga SameSite cookie?
2019-07-29 08:02:13
W Internecie pojawiła się informacja iż już za niedługo możemy być świadkami końca błędów typu CSRF.
Dzisiaj opowiem o mechanizmie SameSite cookie, którego celem jest ochrona przed atakami Cross Site Request Forgery.
Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/
Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1
Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O
Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz
Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4
Anchor: https://anchor.fm/kacperszurek/
Transkrypcja: https://security.szurek.pl/co-to-jest-samesite-cookie.html
1:12 Protokół HTTP
1:55 Jak działają ciasteczka
3:19 Flaga Secure
4:43 Flaga HttpOnly
6:08 Na czym polega CSRF
7:25 Przykład wykorzystania CSRF
8:33 Sprawdzanie nagłówków Origin oraz Referer
9:21 Wykorzystywanie losowych tokenów
10:45 SameSite=Strict
12:04 Co przestanie działać?
12:45 Ciasteczka a prywatność
13:57 SameSite=Lax
14:52 Koniec błędów CSRF?
15:43 Minusy rozwiązania
W Internecie pojawiła się informacja iż już za niedługo możemy być świadkami końca błędów typu CSRF.
Dzisiaj opowiem o mechanizmie SameSite cookie, którego celem jest ochrona przed atakami Cross Site Request Forgery.
Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/
Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1
Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O
Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz
Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4
Anchor: https://anchor.fm/kacperszurek/
Transkrypcja: https://security.szurek.pl/co-to-jest-samesite-cookie.html
1:12 Protokół HTTP
1:55 Jak działają ciasteczka
3:19 Flaga Secure
4:43 Flaga HttpOnly
6:08 Na czym polega CSRF
7:25 Przykład wykorzystania CSRF
8:33 Sprawdzanie nagłówków Origin oraz Referer
9:21 Wykorzystywanie losowych tokenów
10:45 SameSite=Strict
12:04 Co przestanie działać?
12:45 Ciasteczka a prywatność
13:57 SameSite=Lax
14:52 Koniec błędów CSRF?
15:43 Minusy rozwiązania
Czy moje hasło jest bezpieczne? Jak działa serwis have I been pwned?
2019-07-01 08:00:00
Średnio raz na parę miesięcy Internet obiega informacja o kolejnym wycieku danych z różnego rodzaju serwisów.
Raz są tą same emaile, raz email razem z hasłami przechowywanymi w postaci hasza.
Zdarzają się również wycieki z miejsc, w których nasze hasło zapisane było w czystej postaci - bez żadnego szyfrowania i haszowania.
Media szybko podchwytują dany temat i budują swego rodzaju panikę w oparciu o takie zdarzenia.
To sprawia, że coraz więcej osób zadaje sobie pytanie: "Czy ja również padłem ofiarą danego zdarzenia"?
W jaki sposób mogę sprawdzić czy moje hasło jest bezpieczne?
Załóżmy, że właśnie dowiedziałeś się o dużym wycieku danych i chciałbyś sprawdzić czy któreś z twoich haseł znajduje się w ogólnodostępnej bazie.
Jakie masz możliwości?
Pierwsza to odnalezienie linków do takiej bazy i ściągnięcie jej na własny komputer.
Ale nie każdy posiada techniczną wiedzę, aby je przeszukać.
Dane mogą być słabo uporządkowane, rozdzielone na wiele plików.
Pozostają jeszcze kwestie prawne.
Plusy rozwiązania? Hasła sprawdzamy na swoim komputerze więc nikt oprócz nas nie wie jakiego hasła wyszukiwaliśmy.
Druga opcja to skorzystanie z zewnętrznych serwisów.
Wystarczy podać nasze hasło w formularzu na takiej stronie - a serwer zwróci informacje czy posiada takowe hasło w swojej bazie.
Ale tutaj pojawia się problem. Wszak wysyłamy nasze hasło.
Nie mamy pewności czy osoba, która tworzy dany serwis ma dobre zamiary.
Dlatego powstały witryny - gdzie hasło przesyłane jest w postaci jakiego hasza.
Tym razem twórca witryny nie otrzymuje bezpośrednio naszego hasła, ale otrzymuje hasz naszego hasła.
Tylko że posiadając dużą liczbę haseł które wyciekły, może dla każdego z nich wyliczyć odpowiedni skrót i porównać z wartością przesyłaną przez nas.
W ten sposób może dowiedzieć się jakie jest nasze hasło, nawet pomimo tego iż użyliśmy funkcji haszującej.
Generalnie chodzi nam o taki sposób, w którym prześlemy hasło - bo przecież chcemy je sprawdzić ale równocześnie go nie prześlemy - bo nie chcemy, aby ktoś wiedział jak ono wygląda, a to swego rodzaju paradoks.
I tutaj do gry wchodzi matematyka a mówiąc dokładniej pojęcie `k-anonymity`.
Załóżmy, że jesteśmy firmą produkującą innowacyjne leki.
Z jednej strony chcielibyśmy się podzielić wynikami badań w magazynach branżowych z drugiej jednak strony nie możemy tego zrobić, ponieważ żaden pacjent nie chciał by aby ktoś publicznie z imienia i nazwiska opisywał na co jest chory.
Dlatego też takie dane trzeba zanonimizować - czyli usnąć informacje, na podstawie których można by było zidentyfikować konkretną osobę.
Polega to na ukrywaniu pewnych danych, chociażby zamiany imienia i nazwiska na gwiazdkę.
Podobne rozwiązanie zastosowano w serwisie.
Zamiast całego hasha do serwisu wysyłamy tylko jego pierwsze 5 znaków.
Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O
Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz
Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4
Anchor: https://anchor.fm/kacperszurek/
Sprawdź czy Twoje hasło jest bezpieczne: https://haveibeenpwned.com/
Stock footage provided by Videvo, downloaded from www.videvo.net
Free Stock Videos by Videezy
Sparks On Machine by wastedgeneration is licensed under CC BY
#podcast #hasła #wyciek
Średnio raz na parę miesięcy Internet obiega informacja o kolejnym wycieku danych z różnego rodzaju serwisów.
Raz są tą same emaile, raz email razem z hasłami przechowywanymi w postaci hasza.
Zdarzają się również wycieki z miejsc, w których nasze hasło zapisane było w czystej postaci - bez żadnego szyfrowania i haszowania.
Media szybko podchwytują dany temat i budują swego rodzaju panikę w oparciu o takie zdarzenia.
To sprawia, że coraz więcej osób zadaje sobie pytanie: "Czy ja również padłem ofiarą danego zdarzenia"?
W jaki sposób mogę sprawdzić czy moje hasło jest bezpieczne?
Załóżmy, że właśnie dowiedziałeś się o dużym wycieku danych i chciałbyś sprawdzić czy któreś z twoich haseł znajduje się w ogólnodostępnej bazie.
Jakie masz możliwości?
Pierwsza to odnalezienie linków do takiej bazy i ściągnięcie jej na własny komputer.
Ale nie każdy posiada techniczną wiedzę, aby je przeszukać.
Dane mogą być słabo uporządkowane, rozdzielone na wiele plików.
Pozostają jeszcze kwestie prawne.
Plusy rozwiązania? Hasła sprawdzamy na swoim komputerze więc nikt oprócz nas nie wie jakiego hasła wyszukiwaliśmy.
Druga opcja to skorzystanie z zewnętrznych serwisów.
Wystarczy podać nasze hasło w formularzu na takiej stronie - a serwer zwróci informacje czy posiada takowe hasło w swojej bazie.
Ale tutaj pojawia się problem. Wszak wysyłamy nasze hasło.
Nie mamy pewności czy osoba, która tworzy dany serwis ma dobre zamiary.
Dlatego powstały witryny - gdzie hasło przesyłane jest w postaci jakiego hasza.
Tym razem twórca witryny nie otrzymuje bezpośrednio naszego hasła, ale otrzymuje hasz naszego hasła.
Tylko że posiadając dużą liczbę haseł które wyciekły, może dla każdego z nich wyliczyć odpowiedni skrót i porównać z wartością przesyłaną przez nas.
W ten sposób może dowiedzieć się jakie jest nasze hasło, nawet pomimo tego iż użyliśmy funkcji haszującej.
Generalnie chodzi nam o taki sposób, w którym prześlemy hasło - bo przecież chcemy je sprawdzić ale równocześnie go nie prześlemy - bo nie chcemy, aby ktoś wiedział jak ono wygląda, a to swego rodzaju paradoks.
I tutaj do gry wchodzi matematyka a mówiąc dokładniej pojęcie `k-anonymity`.
Załóżmy, że jesteśmy firmą produkującą innowacyjne leki.
Z jednej strony chcielibyśmy się podzielić wynikami badań w magazynach branżowych z drugiej jednak strony nie możemy tego zrobić, ponieważ żaden pacjent nie chciał by aby ktoś publicznie z imienia i nazwiska opisywał na co jest chory.
Dlatego też takie dane trzeba zanonimizować - czyli usnąć informacje, na podstawie których można by było zidentyfikować konkretną osobę.
Polega to na ukrywaniu pewnych danych, chociażby zamiany imienia i nazwiska na gwiazdkę.
Podobne rozwiązanie zastosowano w serwisie.
Zamiast całego hasha do serwisu wysyłamy tylko jego pierwsze 5 znaków.
Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O
Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz
Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4
Anchor: https://anchor.fm/kacperszurek/
Sprawdź czy Twoje hasło jest bezpieczne: https://haveibeenpwned.com/
Stock footage provided by Videvo, downloaded from www.videvo.net
Free Stock Videos by Videezy
Sparks On Machine by wastedgeneration is licensed under CC BY
#podcast #hasła #wyciek