Kacper Szurek

Opowiadam o bezpieczeństwie w prosty i zrozumiały sposób.

Kategorie:
Edukacja

Odcinki od najnowszych:

Jak chronić dzieci w Internecie - poradnik dla rodziców
2019-11-12 08:00:00

Parę lat temu magazyn „The Guardian” zapytał osoby profesjonalnie zajmujące się bezpieczeństwem, jak chronić dzieci korzystające z Internetu. W dzisiejszym odcinku podcastu Szurkogadanie przedstawię te pomysły, a także rozszerzę je o swój komentarz. Jeżeli więc jesteś rodzicem, który dba o dobro dzieci – ten odcinek jest dla Ciebie. Materiał w formie tekstowej: https://security.szurek.pl/jak-chronic-dziecko-w-internecie.html 1:07 Zacznij rozmawiać jak najwcześniej 1:47 Tłumacz na czym polega bezpieczeństwo 2:03 Jeżeli nie zrobił byś czegoś twarzą w twarz – nie rób tego w Internecie 3:03 Prywatność adresu domowego 3:49 Z Internetu nic nie ginie 5:13 Wygląd strony o niczym nie świadczy 6:00 Długofalowe skutki 6:31 Nie przyjmuj darmowych prezentów od nieznajomych 6:59 Nasze dane jako waluta 7:39 Gry Free-to-play 8:44 Niebezpieczne bajki na YouTube 10:07 Blokady nie zawsze działają 10:46 Zostań znajomym dziecka w serwisach społecznościowych 11:51 Świat się zmienia a z nim zagrożenia 12:26 Anonimowość to fikcja 13:32 Staraj się wyjaśniać niezrozumiałe rzeczy 14:01 Geolokalizacja zdjęć 14:40 Bezpieczeństwo gier 15:20 Gdzie szukać pomocy Tekst źródłowy: https://www.theguardian.com/technology/2014/aug/11/how-to-keep-kids-safe-online-children-advice Komiks o psach: https://en.wikipedia.org/wiki/On_the_Internet,_nobody_knows_you're_a_dog Klasyfikacja wiekowa gier PEGI: https://pegi.info/pl Poradnik NASK: https://akademia.nask.pl/pliki/2-jak-zapewnic-dzieciom-bezpieczenstwo-w-internecie-poradnik-dla-rodzicow.pdf Pomoc telefoniczna dla rodziców 800 100 100: https://800100100.pl/ Zgłaszanie nielegalnych treści: https://dyzurnet.pl Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/

Parę lat temu magazyn „The Guardian” zapytał osoby profesjonalnie zajmujące się bezpieczeństwem, jak chronić dzieci korzystające z Internetu.

W dzisiejszym odcinku podcastu Szurkogadanie przedstawię te pomysły, a także rozszerzę je o swój komentarz.

Jeżeli więc jesteś rodzicem, który dba o dobro dzieci – ten odcinek jest dla Ciebie.


Materiał w formie tekstowej: https://security.szurek.pl/jak-chronic-dziecko-w-internecie.html


1:07 Zacznij rozmawiać jak najwcześniej

1:47 Tłumacz na czym polega bezpieczeństwo

2:03 Jeżeli nie zrobił byś czegoś twarzą w twarz – nie rób tego w Internecie

3:03 Prywatność adresu domowego

3:49 Z Internetu nic nie ginie

5:13 Wygląd strony o niczym nie świadczy

6:00 Długofalowe skutki

6:31 Nie przyjmuj darmowych prezentów od nieznajomych

6:59 Nasze dane jako waluta

7:39 Gry Free-to-play

8:44 Niebezpieczne bajki na YouTube

10:07 Blokady nie zawsze działają

10:46 Zostań znajomym dziecka w serwisach społecznościowych

11:51 Świat się zmienia a z nim zagrożenia

12:26 Anonimowość to fikcja

13:32 Staraj się wyjaśniać niezrozumiałe rzeczy

14:01 Geolokalizacja zdjęć

14:40 Bezpieczeństwo gier

15:20 Gdzie szukać pomocy


Tekst źródłowy: https://www.theguardian.com/technology/2014/aug/11/how-to-keep-kids-safe-online-children-advice

Komiks o psach: https://en.wikipedia.org/wiki/On_the_Internet,_nobody_knows_you're_a_dog

Klasyfikacja wiekowa gier PEGI: https://pegi.info/pl

Poradnik NASK: https://akademia.nask.pl/pliki/2-jak-zapewnic-dzieciom-bezpieczenstwo-w-internecie-poradnik-dla-rodzicow.pdf

Pomoc telefoniczna dla rodziców 800 100 100: https://800100100.pl/

Zgłaszanie nielegalnych treści: https://dyzurnet.pl


Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/

Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1


Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O

Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz

Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4

Anchor: https://anchor.fm/kacperszurek/

Krzysztof Kotowicz: Rób to co lubisz
2019-11-04 08:00:00

Dzisiaj moim gościem jest Krzysztof Kotowicz, który pracuje jako Senior Software Engineer w teamie Information Security Engineering w Google. Osoba, która o XSS wie naprawdę wiele. Z tego wywiadu dowiesz się o aktualnym stanie bezpieczeństwa serwisów internetowych i nowych standardach, które mają pomóc chronić użytkowników. Transkrypcja wywiadu: https://security.szurek.pl/krzysztof-kotowicz.html 0:18 Kim jesteś? 1:01 Co to jest XSS? 2:39 Jak przekonać biznes? 4:25 Jak działa Trusted Types? 5:21 Minusy Trusted Types 8:19 Kto powinien być odpowiedzialny za kod polityk? 10:06 Jak wygląda praca w ramach Security Working Group? 12:37 Kto decyduje co trafia do przeglądarki? 13:57 Jak wyeliminować reflected XSS? 16:27 Do czego ma służyć CSP? 18:22 XSS vs Angular 22:19 Obejście CSP przy pomocy CDN 23:42 Kompatybilność a bezpieczeństwo 25:18 XSS Auditor 28:48 Sposób na kod HTML od użytkownika 33:25 Co byś usunął z JS? 35:09 Rozszerzenia w przeglądarkach 38:44 Rada dla początkujących 40:21 Czy osoby zajmujące się bezpieczeństwem powinny umieć programować? 41:40 Krzysztof Kotowicz programuje w … 42:21 Czy Bug Bounty wyprze normalne testy penetracyjne? 44:29 Największy minus Bug Bounty 47:23 Największy koszt Bug Bounty 48:43 Co to jest "script gadget"? 51:10 Czy można usunąć gadżety z frameworków? 53:31 Node i NPM  56:09 Jak radzisz sobie z nudą i powtarzalnością pracy? 58:05 Twój najciekawszy błąd to … 59:40 Za 10 lat chciałbym aby … 59:57 XS-Leaks 61:49 XS-Search w praktyce 65:24 Przyszłość Chromium Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ Angular logo: https://angular.io/

Dzisiaj moim gościem jest Krzysztof Kotowicz, który pracuje jako Senior Software Engineer w teamie Information Security Engineering w Google.

Osoba, która o XSS wie naprawdę wiele.

Z tego wywiadu dowiesz się o aktualnym stanie bezpieczeństwa serwisów internetowych i nowych standardach, które mają pomóc chronić użytkowników.


Transkrypcja wywiadu: https://security.szurek.pl/krzysztof-kotowicz.html


0:18 Kim jesteś?

1:01 Co to jest XSS?

2:39 Jak przekonać biznes?

4:25 Jak działa Trusted Types?

5:21 Minusy Trusted Types

8:19 Kto powinien być odpowiedzialny za kod polityk?

10:06 Jak wygląda praca w ramach Security Working Group?

12:37 Kto decyduje co trafia do przeglądarki?

13:57 Jak wyeliminować reflected XSS?

16:27 Do czego ma służyć CSP?

18:22 XSS vs Angular

22:19 Obejście CSP przy pomocy CDN

23:42 Kompatybilność a bezpieczeństwo

25:18 XSS Auditor

28:48 Sposób na kod HTML od użytkownika

33:25 Co byś usunął z JS?

35:09 Rozszerzenia w przeglądarkach

38:44 Rada dla początkujących

40:21 Czy osoby zajmujące się bezpieczeństwem powinny umieć programować?

41:40 Krzysztof Kotowicz programuje w …

42:21 Czy Bug Bounty wyprze normalne testy penetracyjne?

44:29 Największy minus Bug Bounty

47:23 Największy koszt Bug Bounty

48:43 Co to jest "script gadget"?

51:10 Czy można usunąć gadżety z frameworków?

53:31 Node i NPM 

56:09 Jak radzisz sobie z nudą i powtarzalnością pracy?

58:05 Twój najciekawszy błąd to …

59:40 Za 10 lat chciałbym aby …

59:57 XS-Leaks

61:49 XS-Search w praktyce

65:24 Przyszłość Chromium


Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/

Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1


Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O

Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz

Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4

Anchor: https://anchor.fm/kacperszurek/


Angular logo: https://angular.io/

Jak uruchomić program Bug Bounty w swojej firmie?
2019-09-23 08:00:00

Jesteś prezesem lub osobą odpowiedzialną za bezpieczeństwo firmy? Zastanawiasz się jak zwiększyć bezpieczeństwo? A może program Bug Bounty? Co to takiego i czy mojej firmie się opłaci? Jakie są plusy i minusy? Postaram się obalić mity powiązane z tym tematem, a także opisać jak można rozpocząć wdrażanie takiego tematu z punktu widzenia firmy. Na czym można oszczędzić i ile to tak naprawdę kosztuje? Więcej informacji na blogu: https://security.szurek.pl/jak-uruchomic-program-bug-bounty-w-firmie.html 1:09 Jak wygląda test penetracyjny? 1:54 Plusy i minusy pentestu 2:50 Co to jest Bug Bounty? 3:25 Główna różnica pomiędzy pentestem 3:54 Ile to kosztuje? 4:32 Co to jest platforma 5:26 Średnie kwoty wypłat 6:49 Różnica pomiędzy prywatnym a publicznym programem 8:18 Jakie firmy mogą brać udział? 10:11 Od czego zacząć? 11:08 Start bez pieniędzy 12:07 Definiowanie zakresu 13:01 Współpraca pomiędzy działami 13:39 Jak rozliczyć koszty 14:32 Czy mogę zaufać hackerom? 15:24 Naprawa przyczyny a nie błędu 16:08 Sprawdzanie logów 16:51 Signal to noise ratio 17:50 Odnajdowanie słabych punktów 18:55 Live events Dodatkowe materiały: https://go.synack.com/rs/738-OEX-476/images/CrowdsourcedSecurityTesting_FINAL_5-29-2018.pdf https://www.hackerone.com/sites/default/files/2018-07/The%20Hacker-Powered%20Security%20Report%202018.pdf https://medium.com/engineers-optimizely/raising-the-security-bug-bounty-b8abeb46409a https://www.hackerone.com/sites/default/files/2017-05/Case%20Study%20-%20GitHub%20-%20FINAL.pdf Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ Icon made by Freepik www.flaticon.com

Jesteś prezesem lub osobą odpowiedzialną za bezpieczeństwo firmy?

Zastanawiasz się jak zwiększyć bezpieczeństwo?

A może program Bug Bounty?

Co to takiego i czy mojej firmie się opłaci?

Jakie są plusy i minusy?

Postaram się obalić mity powiązane z tym tematem, a także opisać jak można rozpocząć wdrażanie takiego tematu z punktu widzenia firmy.

Na czym można oszczędzić i ile to tak naprawdę kosztuje?


Więcej informacji na blogu: https://security.szurek.pl/jak-uruchomic-program-bug-bounty-w-firmie.html


1:09 Jak wygląda test penetracyjny?

1:54 Plusy i minusy pentestu

2:50 Co to jest Bug Bounty?

3:25 Główna różnica pomiędzy pentestem

3:54 Ile to kosztuje?

4:32 Co to jest platforma

5:26 Średnie kwoty wypłat

6:49 Różnica pomiędzy prywatnym a publicznym programem

8:18 Jakie firmy mogą brać udział?

10:11 Od czego zacząć?

11:08 Start bez pieniędzy

12:07 Definiowanie zakresu

13:01 Współpraca pomiędzy działami

13:39 Jak rozliczyć koszty

14:32 Czy mogę zaufać hackerom?

15:24 Naprawa przyczyny a nie błędu

16:08 Sprawdzanie logów

16:51 Signal to noise ratio

17:50 Odnajdowanie słabych punktów

18:55 Live events


Dodatkowe materiały:

https://go.synack.com/rs/738-OEX-476/images/CrowdsourcedSecurityTesting_FINAL_5-29-2018.pdf

https://www.hackerone.com/sites/default/files/2018-07/The%20Hacker-Powered%20Security%20Report%202018.pdf

https://medium.com/engineers-optimizely/raising-the-security-bug-bounty-b8abeb46409a

https://www.hackerone.com/sites/default/files/2017-05/Case%20Study%20-%20GitHub%20-%20FINAL.pdf


Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/

Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1


Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O

Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz

Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4

Anchor: https://anchor.fm/kacperszurek/


Icon made by Freepik www.flaticon.com

Jak nie zostać słupem? Metody oszustw
2019-09-16 08:00:00

Na jakie metody oszustw można natknąć się przeglądając oferty na popularnych portalach ogłoszeniowych? Kim jest słup oraz jak można nim zostać? Jak to możliwe, że przestępca może wykonać przelew z naszego konta? Czy pośrednictwo w zakupie kryptowalut to dobra metoda dorabiania do kieszonkowego? Przesyłka za pobraniem nie taka bezpieczna jak się nam wydaje. Więcej informacji na blogu: http://security.szurek.pl/jak-nie-zostac-slupem-metody-oszustw.html 0:55 Nigeryjski przekręt 1:34 Darmowe przedmioty 2:51 Początek problemów 4:33 Zweryfikowany odbiorca 6:14 Słup 6:58 Konto w banku 8:02 Kryptowaluty 9:37 Metoda na wakacje 11:14 Fałszywe sklepy internetowe 12:30 Ufam ale kontroluje 12:34 Przesyłka za pobraniem Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ #podcast #szurkogadanie #oszustwa

Na jakie metody oszustw można natknąć się przeglądając oferty na popularnych portalach ogłoszeniowych?

Kim jest słup oraz jak można nim zostać?

Jak to możliwe, że przestępca może wykonać przelew z naszego konta?

Czy pośrednictwo w zakupie kryptowalut to dobra metoda dorabiania do kieszonkowego?

Przesyłka za pobraniem nie taka bezpieczna jak się nam wydaje.


Więcej informacji na blogu: http://security.szurek.pl/jak-nie-zostac-slupem-metody-oszustw.html


0:55 Nigeryjski przekręt

1:34 Darmowe przedmioty

2:51 Początek problemów

4:33 Zweryfikowany odbiorca

6:14 Słup

6:58 Konto w banku

8:02 Kryptowaluty

9:37 Metoda na wakacje

11:14 Fałszywe sklepy internetowe

12:30 Ufam ale kontroluje

12:34 Przesyłka za pobraniem


Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/

Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1


Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O

Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz

Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4

Anchor: https://anchor.fm/kacperszurek/


#podcast #szurkogadanie #oszustwa

Jak rozpocząć przygodę z programami Bug Bounty?
2019-09-02 08:00:00

Jak rozpocząć swoja przygodę z poszukiwaniem błędów? Na co zwrócić szczególną uwagę? Zaczniemy od znalezienia interesującego nas programu. Następnie wyjaśnię co to jest zakres (scope). Później poszukamy subdomen, które można testować. Tutaj przydatny okaże się serwis Virustotal albo Certificate Transparency Log oraz archive.org. Dalej krótkie przypomnienie co to jest głębokie ukrycie i dlaczego nie powinno się go używać. Cały materiał zakończymy informacjami o rekonesansie i błędach, jakie można odnaleźć w sklepach internetowych. Więcej informacji na blogu: http://security.szurek.pl/jak-rozpoczac-przygode-z-bug-bounty.html 0:53 Pieniądze 2:20 Duplikaty 3:37 Platformy 4:49 Zakres 5:28 Open redirection 6:19 Wildcard 6:59 Subdomeny 7:41 Certificate transparency 9:11 Virustotal 10:01 Writeup 10:32 archive.org 11:52 Głębokie ukrycie 12:39 Git 13:50 GitHub 14:43 Chmura 15:34 Rekonesans Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/

Jak rozpocząć swoja przygodę z poszukiwaniem błędów?

Na co zwrócić szczególną uwagę?

Zaczniemy od znalezienia interesującego nas programu.

Następnie wyjaśnię co to jest zakres (scope).

Później poszukamy subdomen, które można testować.

Tutaj przydatny okaże się serwis Virustotal albo Certificate Transparency Log oraz archive.org.

Dalej krótkie przypomnienie co to jest głębokie ukrycie i dlaczego nie powinno się go używać.

Cały materiał zakończymy informacjami o rekonesansie i błędach, jakie można odnaleźć w sklepach internetowych.


Więcej informacji na blogu: http://security.szurek.pl/jak-rozpoczac-przygode-z-bug-bounty.html


0:53 Pieniądze

2:20 Duplikaty

3:37 Platformy

4:49 Zakres

5:28 Open redirection

6:19 Wildcard

6:59 Subdomeny

7:41 Certificate transparency

9:11 Virustotal

10:01 Writeup

10:32 archive.org

11:52 Głębokie ukrycie

12:39 Git

13:50 GitHub

14:43 Chmura

15:34 Rekonesans


Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/

Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1


Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O

Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz

Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4

Anchor: https://anchor.fm/kacperszurek/

SSL - czy akceptować wygasły certyfikat?
2019-08-26 08:00:00

Czy namawianie do akceptowania certyfikatu SSL, który wygasł i nie jest prawidłowy, jest OK? A może jest to sprzeczne z dobrymi praktykami? Jakie inne komunikaty błędów możemy napotkać podczas przeglądania Internetu przy pomocy protokołu HTTPS? O czym one świadczą i jakie są ich powody? A także kiedy mogą informować one o potencjalnym ataku, a kiedy tylko pokazują ignorancję właściciela witryny? Ja jestem Kacper Szurek, a to kolejny odcinek podcastu Szurkogadanie, w którym tłumaczę zawiłe kwestie powiązane z bezpieczeństwem komputerowym w prosty i zrozumiały sposób. Więcej informacji na blogu: http://security.szurek.pl/ssl-czy-akceptowac-wygasly-certyfikat.html 0:46 Po co szyfrujemy połączenie 2:09 Klucz prywatny 2:38 Czy to prawidłowy klucz? 3:22 Główne urzędy certyfikacji 4:02 Uprawnienia do zarządzania domeną 5:02 Certyfikat typu OV 6:25 Ważność certyfikatu 7:09 Automatyczne generowanie certyfikatów 8:22 To połączenie nie jest prywatne 9:03 Zaawansowane opcje 10:06 badssl.com 10:41 Certyfikat expired 12:40 Błędna praktyka 13:42 Wrong host 15:00 Self-signed 15:50 Untrusted root 17:04 Revoked 17:43 Podsumowanie Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/

Czy namawianie do akceptowania certyfikatu SSL, który wygasł i nie jest prawidłowy, jest OK?

A może jest to sprzeczne z dobrymi praktykami?

Jakie inne komunikaty błędów możemy napotkać podczas przeglądania Internetu przy pomocy protokołu HTTPS?

O czym one świadczą i jakie są ich powody?

A także kiedy mogą informować one o potencjalnym ataku, a kiedy tylko pokazują ignorancję właściciela witryny?

Ja jestem Kacper Szurek, a to kolejny odcinek podcastu Szurkogadanie, w którym tłumaczę zawiłe kwestie powiązane z bezpieczeństwem komputerowym w prosty i zrozumiały sposób.


Więcej informacji na blogu: http://security.szurek.pl/ssl-czy-akceptowac-wygasly-certyfikat.html


0:46 Po co szyfrujemy połączenie

2:09 Klucz prywatny

2:38 Czy to prawidłowy klucz?

3:22 Główne urzędy certyfikacji

4:02 Uprawnienia do zarządzania domeną

5:02 Certyfikat typu OV

6:25 Ważność certyfikatu

7:09 Automatyczne generowanie certyfikatów

8:22 To połączenie nie jest prywatne

9:03 Zaawansowane opcje

10:06 badssl.com

10:41 Certyfikat expired

12:40 Błędna praktyka

13:42 Wrong host

15:00 Self-signed

15:50 Untrusted root

17:04 Revoked

17:43 Podsumowanie


Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/

Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1


Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O

Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz

Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4

Anchor: https://anchor.fm/kacperszurek/

Czy WordPress jest bezpieczny?
2019-08-12 08:00:00

WordPress to najpopularniejszy system blogowy w Internecie. Średnio już co 3 strona korzysta właśnie z tego systemu do obsługi swoich treści. Jednak przez te lata wokół tego narzędzia narosło wiele mitów. Czy WordPress jest bezpieczny? Czy korzystanie z niego niesie za sobą jakieś konsekwencje? Ja jestem Kacper Szurek a to kolejny odcinek podcastu Szurkogadanie, w którym postaram się odpowiedzieć na to pytanie. Więcej informacji na blogu: https://security.szurek.pl/czy-wordpress-jest-bezpieczny.html 0:34 Ilość błędów 1:33 XSS 2:42 Code Execution 4:20 Pluginy 4:50 Kto tworzy dodatki? 6:23 Bezpieczeństwo 7:44 Dodatkowe zabezpieczenia 8:26 Bruteforce 9:22 2FA 10:17 Geolokalizacja 12:11 Edytor plików 12:52 wp-login.php 13:50 Integralność plików 14:17 Kradzione szablony 14:38 XMLRPC Baza błędów: https://wpvulndb.com/ WordPress: https://wordpress.org Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1

WordPress to najpopularniejszy system blogowy w Internecie.

Średnio już co 3 strona korzysta właśnie z tego systemu do obsługi swoich treści.

Jednak przez te lata wokół tego narzędzia narosło wiele mitów.

Czy WordPress jest bezpieczny?

Czy korzystanie z niego niesie za sobą jakieś konsekwencje?

Ja jestem Kacper Szurek a to kolejny odcinek podcastu Szurkogadanie, w którym postaram się odpowiedzieć na to pytanie.


Więcej informacji na blogu: https://security.szurek.pl/czy-wordpress-jest-bezpieczny.html


0:34 Ilość błędów

1:33 XSS

2:42 Code Execution

4:20 Pluginy

4:50 Kto tworzy dodatki?

6:23 Bezpieczeństwo

7:44 Dodatkowe zabezpieczenia

8:26 Bruteforce

9:22 2FA

10:17 Geolokalizacja

12:11 Edytor plików

12:52 wp-login.php

13:50 Integralność plików

14:17 Kradzione szablony

14:38 XMLRPC


Baza błędów: https://wpvulndb.com/

WordPress: https://wordpress.org


Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/

Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1

Kontrolowane włamanie do firmy
2019-08-05 08:00:00

W jaki sposób można uzyskać nieautoryzowany dostęp do biura Twojej firmy? Jakie metody można zastosować aby ominąć ochronę, bramki bezpieczeństwa i panią na recepcji? Na jakie zachowanie należy zwrócić uwagę oraz dlaczego nie warto podpinać wiatraczków USB do naszego komputera? Przewodnik jak może wyglądać kontrolowane włamanie się do firmy. Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Transkrypcja: https://security.szurek.pl/kontrolowane-wlamanie-do-firmy.html 0:42 Rekonesans 1:07 Phishing 2:06 Oszustwo na komornika 3:59 Jak ominąć bramki? 5:34 Klon karty 8:00 Wi-Fi 9:38 Jak wejść do firmy? 10:37 BLEKey 12:11 Xero i drukarki 13:14 RubberDucky 14:06 Packet Squirrel 15:03 Gadżety USB

W jaki sposób można uzyskać nieautoryzowany dostęp do biura Twojej firmy?

Jakie metody można zastosować aby ominąć ochronę, bramki bezpieczeństwa i panią na recepcji?

Na jakie zachowanie należy zwrócić uwagę oraz dlaczego nie warto podpinać wiatraczków USB do naszego komputera?

Przewodnik jak może wyglądać kontrolowane włamanie się do firmy.


Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/

Transkrypcja: https://security.szurek.pl/kontrolowane-wlamanie-do-firmy.html


0:42 Rekonesans

1:07 Phishing

2:06 Oszustwo na komornika

3:59 Jak ominąć bramki?

5:34 Klon karty

8:00 Wi-Fi

9:38 Jak wejść do firmy?

10:37 BLEKey

12:11 Xero i drukarki

13:14 RubberDucky

14:06 Packet Squirrel

15:03 Gadżety USB

Jak działa flaga SameSite cookie?
2019-07-29 08:02:13

W Internecie pojawiła się informacja iż już za niedługo możemy być świadkami końca błędów typu CSRF. Dzisiaj opowiem o mechanizmie SameSite cookie, którego celem jest ochrona przed atakami Cross Site Request Forgery. Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ Transkrypcja: https://security.szurek.pl/co-to-jest-samesite-cookie.html 1:12 Protokół HTTP 1:55 Jak działają ciasteczka 3:19 Flaga Secure 4:43 Flaga HttpOnly 6:08 Na czym polega CSRF 7:25 Przykład wykorzystania CSRF 8:33 Sprawdzanie nagłówków Origin oraz Referer 9:21 Wykorzystywanie losowych tokenów 10:45 SameSite=Strict 12:04 Co przestanie działać? 12:45 Ciasteczka a prywatność 13:57 SameSite=Lax 14:52 Koniec błędów CSRF? 15:43 Minusy rozwiązania

W Internecie pojawiła się informacja iż już za niedługo możemy być świadkami końca błędów typu CSRF.

Dzisiaj opowiem o mechanizmie SameSite cookie, którego celem jest ochrona przed atakami Cross Site Request Forgery.


Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/

Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1

Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O

Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz

Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4

Anchor: https://anchor.fm/kacperszurek/


Transkrypcja: https://security.szurek.pl/co-to-jest-samesite-cookie.html


1:12 Protokół HTTP

1:55 Jak działają ciasteczka

3:19 Flaga Secure

4:43 Flaga HttpOnly

6:08 Na czym polega CSRF

7:25 Przykład wykorzystania CSRF

8:33 Sprawdzanie nagłówków Origin oraz Referer

9:21 Wykorzystywanie losowych tokenów

10:45 SameSite=Strict

12:04 Co przestanie działać?

12:45 Ciasteczka a prywatność

13:57 SameSite=Lax

14:52 Koniec błędów CSRF?

15:43 Minusy rozwiązania

Czy moje hasło jest bezpieczne? Jak działa serwis have I been pwned?
2019-07-01 08:00:00

Średnio raz na parę miesięcy Internet obiega informacja o kolejnym wycieku danych z różnego rodzaju serwisów. Raz są tą same emaile, raz email razem z hasłami przechowywanymi w postaci hasza. Zdarzają się również wycieki z miejsc, w których nasze hasło zapisane było w czystej postaci - bez żadnego szyfrowania i haszowania. Media szybko podchwytują dany temat i budują swego rodzaju panikę w oparciu o takie zdarzenia. To sprawia, że coraz więcej osób zadaje sobie pytanie: "Czy ja również padłem ofiarą danego zdarzenia"? W jaki sposób mogę sprawdzić czy moje hasło jest bezpieczne? Załóżmy, że właśnie dowiedziałeś się o dużym wycieku danych i chciałbyś sprawdzić czy któreś z twoich haseł znajduje się w ogólnodostępnej bazie. Jakie masz możliwości? Pierwsza to odnalezienie linków do takiej bazy i ściągnięcie jej na własny komputer. Ale nie każdy posiada techniczną wiedzę, aby je przeszukać. Dane mogą być słabo uporządkowane, rozdzielone na wiele plików. Pozostają jeszcze kwestie prawne. Plusy rozwiązania? Hasła sprawdzamy na swoim komputerze więc nikt oprócz nas nie wie jakiego hasła wyszukiwaliśmy. Druga opcja to skorzystanie z zewnętrznych serwisów. Wystarczy podać nasze hasło w formularzu na takiej stronie - a serwer zwróci informacje czy posiada takowe hasło w swojej bazie. Ale tutaj pojawia się problem. Wszak wysyłamy nasze hasło. Nie mamy pewności czy osoba, która tworzy dany serwis ma dobre zamiary. Dlatego powstały witryny - gdzie hasło przesyłane jest w postaci jakiego hasza. Tym razem twórca witryny nie otrzymuje bezpośrednio naszego hasła, ale otrzymuje hasz naszego hasła. Tylko że posiadając dużą liczbę haseł które wyciekły, może dla każdego z nich wyliczyć odpowiedni skrót i porównać z wartością przesyłaną przez nas. W ten sposób może dowiedzieć się jakie jest nasze hasło, nawet pomimo tego iż użyliśmy funkcji haszującej. Generalnie chodzi nam o taki sposób, w którym prześlemy hasło - bo przecież chcemy je sprawdzić ale równocześnie go nie prześlemy - bo nie chcemy, aby ktoś wiedział jak ono wygląda, a to swego rodzaju paradoks. I tutaj do gry wchodzi matematyka a mówiąc dokładniej pojęcie `k-anonymity`. Załóżmy, że jesteśmy firmą produkującą innowacyjne leki. Z jednej strony chcielibyśmy się podzielić wynikami badań w magazynach branżowych z drugiej jednak strony nie możemy tego zrobić, ponieważ żaden pacjent nie chciał by aby ktoś publicznie z imienia i nazwiska opisywał na co jest chory. Dlatego też takie dane trzeba zanonimizować - czyli usnąć informacje, na podstawie których można by było zidentyfikować konkretną osobę. Polega to na ukrywaniu pewnych danych, chociażby zamiany imienia i nazwiska na gwiazdkę. Podobne rozwiązanie zastosowano w serwisie. Zamiast całego hasha do serwisu wysyłamy tylko jego pierwsze 5 znaków. Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ Sprawdź czy Twoje hasło jest bezpieczne: https://haveibeenpwned.com/ Stock footage provided by Videvo, downloaded from www.videvo.net Free Stock Videos by Videezy Sparks On Machine by wastedgeneration is licensed under CC BY #podcast #hasła #wyciek

Średnio raz na parę miesięcy Internet obiega informacja o kolejnym wycieku danych z różnego rodzaju serwisów.

Raz są tą same emaile, raz email razem z hasłami przechowywanymi w postaci hasza.

Zdarzają się również wycieki z miejsc, w których nasze hasło zapisane było w czystej postaci - bez żadnego szyfrowania i haszowania.

Media szybko podchwytują dany temat i budują swego rodzaju panikę w oparciu o takie zdarzenia.

To sprawia, że coraz więcej osób zadaje sobie pytanie: "Czy ja również padłem ofiarą danego zdarzenia"?

W jaki sposób mogę sprawdzić czy moje hasło jest bezpieczne?


Załóżmy, że właśnie dowiedziałeś się o dużym wycieku danych i chciałbyś sprawdzić czy któreś z twoich haseł znajduje się w ogólnodostępnej bazie.

Jakie masz możliwości?

Pierwsza to odnalezienie linków do takiej bazy i ściągnięcie jej na własny komputer.

Ale nie każdy posiada techniczną wiedzę, aby je przeszukać.

Dane mogą być słabo uporządkowane, rozdzielone na wiele plików.

Pozostają jeszcze kwestie prawne.

Plusy rozwiązania? Hasła sprawdzamy na swoim komputerze więc nikt oprócz nas nie wie jakiego hasła wyszukiwaliśmy.


Druga opcja to skorzystanie z zewnętrznych serwisów.

Wystarczy podać nasze hasło w formularzu na takiej stronie - a serwer zwróci informacje czy posiada takowe hasło w swojej bazie.

Ale tutaj pojawia się problem. Wszak wysyłamy nasze hasło.

Nie mamy pewności czy osoba, która tworzy dany serwis ma dobre zamiary.


Dlatego powstały witryny - gdzie hasło przesyłane jest w postaci jakiego hasza.

Tym razem twórca witryny nie otrzymuje bezpośrednio naszego hasła, ale otrzymuje hasz naszego hasła.

Tylko że posiadając dużą liczbę haseł które wyciekły, może dla każdego z nich wyliczyć odpowiedni skrót i porównać z wartością przesyłaną przez nas.

W ten sposób może dowiedzieć się jakie jest nasze hasło, nawet pomimo tego iż użyliśmy funkcji haszującej.


Generalnie chodzi nam o taki sposób, w którym prześlemy hasło - bo przecież chcemy je sprawdzić ale równocześnie go nie prześlemy - bo nie chcemy, aby ktoś wiedział jak ono wygląda, a to swego rodzaju paradoks.

I tutaj do gry wchodzi matematyka a mówiąc dokładniej pojęcie `k-anonymity`.

Załóżmy, że jesteśmy firmą produkującą innowacyjne leki.

Z jednej strony chcielibyśmy się podzielić wynikami badań w magazynach branżowych z drugiej jednak strony nie możemy tego zrobić, ponieważ żaden pacjent nie chciał by aby ktoś publicznie z imienia i nazwiska opisywał na co jest chory.

Dlatego też takie dane trzeba zanonimizować - czyli usnąć informacje, na podstawie których można by było zidentyfikować konkretną osobę.

Polega to na ukrywaniu pewnych danych, chociażby zamiany imienia i nazwiska na gwiazdkę.


Podobne rozwiązanie zastosowano w serwisie.

Zamiast całego hasha do serwisu wysyłamy tylko jego pierwsze 5 znaków.


Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O

Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz

Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4

Anchor: https://anchor.fm/kacperszurek/


Sprawdź czy Twoje hasło jest bezpieczne: https://haveibeenpwned.com/


Stock footage provided by Videvo, downloaded from www.videvo.net

Free Stock Videos by Videezy

Sparks On Machine by wastedgeneration is licensed under CC BY


#podcast #hasła #wyciek

Informacja dotycząca prawa autorskich: Wszelka prezentowana tu zawartość podkastu jest własnością jego autora

Wyszukiwanie

Kategorie