Kacper Szurek

Przegląd zagadnień security.

Kategorie:
Technologia

Odcinki od najnowszych:

Skradziono mi dowód. Co robić? Kradzież tożsamości
2020-05-11 08:00:00

Jak chronić numer PESEL? Gdzie można uzyskać informacje o naszych kontach bankowych? Jak działa E-sąd? Jak działa BIK – Biuro Informacji Kredytowej? Gdzie zgłosić kradzież dowodu? Jak nie zostać słupem: https://www.youtube.com/watch?v=NUCVlSnA0hk Jak działa kradzież karty SIM: https://www.youtube.com/watch?v=FjDBMzweZj8 0:44 PESEL 1:34 Gdzie można znaleźć numery PESEL 5:52 Centralna informacja o rachunkach 8:08 E-sąd 9:46 Biuro informacji kredytowej 14:17 Bezpieczny PESEL 16:40 Co gdy ktoś wykorzystał nasze dane Centralna informacja o rachunkach: http://www.centralnainformacja.pl/ Zgłoś utratę dowodu: https://www.gov.pl/web/gov/zglos-utrate-lub-uszkodzenie-swojego-dowodu-osobistego-uniewaznij-dowod E-sąd: https://www.e-sad.gov.pl/ Dokumenty Zastrzeżone: https://dokumentyzastrzezone.pl/ BIK: https://www.bik.pl/ Bezpieczny PESEL: http://bezpiecznypesel.pl/ Chroń PESEL: http://chronpesel.pl/ Poradnik Polskiego Związku Instytucji Pożyczkowych: https://pzip.pl/aktualnosci/2018/8/21/pade-ofiar-kradziey-tosamoci-podpowiadamy-co-powiniene-zrobi-krok-po-kroku EKRS: https://ekrs.ms.gov.pl/ Dziennik Ustaw: http://dziennikustaw.gov.pl/ ERIF: https://erif.pl/ Big InfoMonitor: https://www.big.pl/ KBiG: https://www.kbig.pl/ Materiał na wykop.pl: https://www.wykop.pl/link/4889373/i-ty-mozesz-byc-ofiara-pieprz-ch-parabankow/ Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ #pesel #kradzież #szurkogadanie

Czy kody SMS są bezpieczne? Jak zabezpieczyć konto?
2020-04-19 11:27:39

Czy kody SMS z banku chronią nas przed atakiem? A może lepsza jest aplikacja mobilna? Jak działa dwuskładnikowe uwierzytelnianie? Czy można je obejść/zaatakować? Czym różni się 2FA od U2F? Po co nam klucze bezpieczeństwa - np. Yubikey? Jak chronić się przed phishingiem? Jak skonfigurować swoje konto pocztowe? Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ #od0dopentestera #2fa #bezpieczeństwo

„HAKERSKIE” GADŻETY - narzędzia używane podczas Red Teamingu
2020-04-06 08:00:00

Jak wyglądają narzędzia używane podczas ataków na firmy? Co mogą robić? Ile kosztują? * WiFi Pineapple - jak atakuje się sieci WIFI * USB Rubber Ducky - dlaczego powinieneś się wylogować gdy odchodzisz od komputera * USB Killer - niszczenie portów USB * Proxmark - czy klonowanie kart dostępu jest możliwe * MouseJack - bezpieczeństwo bezprzewodowych prezenterów * USB Ninja - czy rozróżnisz prawdziwy kabel od złośliwego Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ #od0dopentestera #pentest #hacking

Jak zostać pentesterem/jak zacząć naukę bezpieczeństwa?
2020-03-30 08:00:00

Jak zostać pentesterem/specjalistą bezpieczeństwa? Od czego zacząć naukę? Gdzie szukać materiałów edukacyjnych? Jakie ścieżki kariery istnieją? Czy znajomość programowania jest potrzebna? Czy kursy coś dają? Czy muszę mieć studia? Co to jest Bug Bounty i dlaczego może mi pomóc? Jakie umiejętności są przydatne/konieczne? Gdzie i jak można ćwiczyć? Co to jest CTF? Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ #od0dopentestera #pentest #praca

Bezpieczeństwo pracy zdalnej
2020-03-22 08:00:00

Na co zwrócić uwagę podczas pracy z domu? Co ustawić i czego się obawiać? Proste porady w przystępnej formie z obszernymi wytłumaczeniami. Prezentacja do pobrania: https://cdn.szurek.pl/bezpieczenstwo_pracy_zdalnej_kacper_szurek.pdf Tekst na blogu: https://security.szurek.pl/bezpieczenstwo-pracy-zdalnej.html Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Materiały w formie tekstowej: https://security.szurek.pl/ #zostanwdomu #biznes #bezpieczeństwo

BadWPAD - jak działają pliki PAC
2020-03-16 08:00:00

Dzisiaj o ataku BadWPAD, dzięki któremu można podsłuchiwać i modyfikować niezaszyfrowany ruch internetowy na twoim komputerze. Myślisz że temat Cię nie dotyczy? Jeżeli korzystasz z Windowsa i przeglądarki internetowej istnieje spora szansa, że używasz bądź używałeś tej funkcji w przeszłości nawet nie zdając sobie z tego sprawy? Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Materiał w formie tekstowej: https://security.szurek.pl/badwpad.html (0:38) Serwer proxy (1:17) Web Proxy Auto-Discovery Protocol (2:07) Plik PAC (3:06) Plik PAC poprzez DHCP (3:55) PAC poprzez DNS (4:27) Sufiks DNS (5:28) DNS name devolution (6:40) Poprawka z 2009 (7:09) Polski akcent (8:28) WPAD Name Collision (9:25) Domeny najwyższego poziomu (10:25) Zalecenia dla administratorów (11:05) Atak lokalny Analiza krajowych domen WPAD: https://blog.redteam.pl/2019/05/sinkholing-badwpad-wpadblock-wpadblocking-com.html Przejęcie domen przez CERT: https://www.cert.pl/news/single/przejecie-domen-pl-zwiazanych-z-atakiem-badwpad/ Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ #od0dopentestera #windows #wpad

Skutki XSS
2020-03-09 08:00:00

Jesteś programistą, który otrzymał zadanie naprawienia błędu typu XSS – czyli cross site scripting. Teoretycznie wiesz, że jest to możliwość wykonania zewnętrznego kodu JS w obrębie danej domeny. Z drugiej jednak strony, nie do końca rozumiesz pośpiech i konieczność ich naprawiania. Przecież samemu tworzysz kod na co dzień, więc co złego może się stać. A może jesteś prezesem firmy bądź osobą odpowiedzialną za bezpieczeństwo i nie wiesz jak wyjaśnić ten problem osobom mniej obeznanym w technologiach? Ten odcinek jest właśnie dla Ciebie. Postaram się w nim wyjaśnić przy użyciu prostych przykładów, jak ataki XSS mogą wpłynąć na biznes – także od tej finansowej strony. Dzięki temu wytłumaczenie dlaczego warto naprawiać te błędy i dlaczego mogą być one niebezpieczne dla naszej organizacji – powinno być dużo prostsze. Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Materiał w formie tekstowej: https://security.szurek.pl/skutki-xss.html (0:49) Skąd bierze się XSS (2:13) Skutki cudzego kodu (3:27) Po co kraść hasło (4:45) Podmiana reklam (6:00) Deanonimizacji użytkownika (6:35) XSS worm (7:49) Złośliwe oprogramowanie (8:39) Atak DDOS (9:55) Keylogger w JS (10:55) XSS Auditor Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ Baking Cookies Timelapse CC BY 3.0 beachfrontbroll.com Free Stock footage by Videezy Stock footage provided by Videvo, downloaded from https://www.videvo.net #od0dopentestera #xss #programowanie

Cross site leaks - XS-Leaks - co to jest i na czym polega?
2020-02-17 08:00:00

Dzisiaj o jednej z nowszych rodzajów podatności, tak zwanych Cross Site Leaks. Uogólniając, błędy tego rodzaju w specyficznych okolicznościach pozwalają na odpowiedź tak/nie na zadane wcześniej pytanie. Nie wydaje się to zatem niczym spektakularnym. Nie ma wybuchów i wykonywania zdalnego kodu na serwerze. Na pozór wydaje się zatem, że to nic nie znacząca klasa podatności. Diabeł tkwi w szczegółach i wszystko zależy od systemu, z jakim mamy do czynienia. Jeśli to serwer sądowy – można sprawdzić czy obywatel X był karany. W przypadku szpitala – możliwe jest zweryfikowanie, czy Kowalski choruje na raka prostaty. Błąd w banku pozwoli dowiedzieć się, czy użytkownik posiada więcej niż milion złotych na koncie. Możliwe jest także poznanie hasła użytkownika. Każde pytanie można bowiem zamienić na serię pytań tak/nie. Czy pierwszy znak hasła zawiera się pomiędzy cyfrą 0 a 9. A może jest to litera Z? Materiał w formie tekstowej: https://security.szurek.pl/xsleaks-cross-site-leaks.html 0:18 Cross Site Leaks 0:47 Odpowiedź na pytanie tak/nie 1:57 Same origin policy 3:03 Żądania POST do strony 3:35 Zewnętrzne API 4:20 Nagłówek CORS 4:53 Czas trwania żądań 6:08 Tag iframe 7:53 XSS Auditor 10:02 Wykrywanie pobierania plików 10:38 onerror 11:15 Deanonimizacja użytkowników Więcej informacji: https://github.com/xsleaks/xsleaks/ Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ #pentest #xsleaks #programowanie

Wojciech Dworakowski: Jak powinien wyglądać test penetracyjny
2020-02-03 08:00:00

Wojciech Dworakowski - prezes firmy Securing. Na co zwrócić uwagę podczas zawierania kontraktu z firmą oferującą testy penetracyjne? Co to jest OWASP? Jak często zdarza się nie znajdować błędów? Transkrypcja wywiadu: https://security.szurek.pl/wojciech-dworakowski.html 0:54 Co to jest OWASP Top 10 2:23 Inne projekty OWASP to ... 5:56  Gdzie znajdę informacje o spotkaniach 7:15 Jak rozpocząć przygodę jako prelegent 9:52 Jak zmieniało się bezpieczeństwo na przestrzeni lat 11:31 Na co zwrócić uwagę podczas pentestu 12:50 Ile średnio trwa test penetracyjny 13:30 Czy zdarza się nie znajdować błędów 14:47 Jak powinien wyglądać raport 15:15 Czy programowanie jest potrzebne w pracy 15:50 Czy prace można zautomatyzować 17:21 Czy Bug Bounty stanowi konkurencję 19:17 Jak wygląda bezpieczeństwo usług rządowych 21:02 Jaką książkę byś polecił 22:09 Jak uczyć programistów pisania bezpiecznego kodu 21:15 Przykłady ciekawych błędów 24:20 Jakie podatności ignorujemy 24:27 Co sądzisz o płatnościach mobilnych 25:47 Chmura vs bezpieczeństwo 27:40 Testy PCI DSS 28:49 Certyfikacja usług 31:11 Pentesty a prawo 32:57 Bezpieczny język programowania 33:18 Ilość odnalezionych błędów vs ich jakość 33:56 Socjotechnika 35:20 Udostępnianie kodu źródłowego 37:29 Aplikacje mobilne 38:27 Modelowanie zagrożeń 39:15 Bezpieczeństwo a projektowanie systemów 40:33 Naprawianie błędów 43:33 Czy zewnętrzne testy są konieczne 44:58 Jaki sposób logowania do usług wybrać 47:13 Rzemiosło w pracy pentestera 48:35 Ciekawe projekty waszej firmy 50:33 Blockchain 52:15 E-wybory 53:34 Rada dla użytkowników Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ #podcast #szurkogadanie #securing

Jak zabezpieczyć router – bezpieczeństwo sieci domowej?
2020-01-13 08:00:00

Domowy router stanowi swoistą pierwszą linię obrony przed atakującymi.  Jak się przed nimi obronić? Na jakie zagrożenia jesteśmy narażeni? Co warto sprawdzić? 1:32 Serwer DHCP 1:59 Dane DNS 2:40 DNS Hijacking 4:24 Botnet 5:10 Pliki na dysku 5:35 Firewall 6:11 WPA2 6:32 Łamanie haseł 7:28 Nazwa SSID 8:11 Standardowe hasła 8:44 WPS 9:13 UPNP 9:48 Port forwarding 10:29 Aktualizacje 10:54 Fizyczny dostęp 11:17 SSH, Telnet, SNPM 11:40 Błędy bezpieczeństwa 12:10 Logi 12:44 Weryfikacja konfiguracji 13:12 Punkty do sprawdzenia Materiał w formie tekstowej: https://security.szurek.pl/jak-zabezpieczyc-router-bezpieczenstwo-sieci-domowej.html Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Lista punktów do sprawdzenia: https://routersecurity.org/ Weryfikacja publicznych adresów: https://www.shodan.io/ Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ #podcast #szurkogadanie #router

Informacja dotycząca prawa autorskich: Wszelka prezentowana tu zawartość podkastu jest własnością jego autora

Wyszukiwanie

Kategorie