Kacper Szurek

Phishing to zazwyczaj fałszywe strony, przy pomocy których przestępcy próbują ukraść nasze hasła. Ale istnieją bardziej zaawansowane techniki. Otwarte przekierowania, ataki homograficzne, wykorzystywanie Google Sites czy też problemy z OAuth. Właśnie o tych mniej znanych metodach postaram się opowiedzieć w tym odcinku. 0:00 Wstęp 0:27 Fałszywe gazety i kradzież kont Facebooka 2:11 Otwarte przekierowania w emailach 4:45 Zbyt długie odnośniki w pasku adresu 6:07 Podszywanie się pod komunikaty systemowe 7:23 Atak picture-in-picture 9:00 Jak działa OAuth 10:25 Phishing na użytkowników Gmaila 11:45 Kreator stron od Google 14:39 Symulowane ataki phishingowe 15:31 Kody QR 16:16 Fałszywe kody QR na parkometrach 16:52 Fałszywa pomoc techniczna 17:39 Ataki homograficzne 18:46 Domeny IDN 20:45 Spoofing w pasku adresu 21:21 Zakończenie 📩Newsletter: https://szurek.tv/n 📬Darmowy kurs mailingowy: https://szurek.tv/kurs 💬Facebook: https://www.facebook.com/groups/od0dopentestera 📷Instagram: https://www.instagram.com/kacper.szurek/ 🐦Twitter: https://twitter.com/kacperszurek 💬Discord: https://od0dopentestera.pl/discord Źródła: https://security.szurek.pl/linki/23/

Na czym polega nigeryjski przekręt? Co to jest atak picture-in-picture? Jak wykorzystać różne czcionki do omijania filtrów antyspamowych? Przykłady zaciemniania kodu przy użyciu formuł Excela. Wyjaśnienie działania Clipbankera. Gdzie przestępcy przechowują niebezpieczne pliki? Do czego można wykorzystać harmonogram zadań? Czym charakteryzuje się znak RTL? Jak ukryć treść przy pomocy Alternate Data Stream? 0:00 Wprowadzenie 1:54 Szantaż nieistniejącymi zdjęciami 3:28 SPAM i nigeryjski przekręt 4:17 Omijanie filtrów przy użyciu wielkości czcionki 5:19 Wykorzystanie plików woff 7:15 Nie klikaj w nieznane pliki 7:41 VBScript Encoded Script File 9:02 Fałszywe faktury 9:33 Atak picture-in-picture 11:13 Nieczytelne pliki Worda 12:20 document_open i workbook_open 13:43 Dane ukryte w formularzu 14:42 Pliki zabezpieczone hasłem 16:05 Formuły w Excelu 19:35 Złośliwe paczki PIP i NPM 22:01 Typosquatting 22:34 Clipbanker 24:38 Do czego wykorzystuje się Discorda 26:22 Ukryty plik 26:40 Harmonogram zadań 28:03 Print Spooler 29:26 Wygaszacz ekranu 30:42 Znak RTL 32:22 Alternate Data Streams 33:10 Rejestr systemu Windows 34:19 Windows Subsystem for Linux 35:24 Zakończenie 📩Newsletter: https://szurek.tv/n

Jak zabezpieczone były pierwsze bomby atomowe? Jakie metody wykorzystano aby broń nie mogła zostać użyta przez nieupoważnione osoby? Jak wyglądała procedura weryfikowania rozkazu od prezydenta? Co to są arming plugs, in-fligh insertion, weak link? O tym wszystkim postaram się opowiedzieć w dzisiejszym odcinku.  0:00 Wstęp 0:47 Little boy i "arming plugs" 2:24 In-flight insertion 3:32 Strong links 5:07 Weak links 6:19 Permissive Action Link 8:20 Kody atomowe i rozkaz prezydenta 9:19 Two man rule 9:55 Uruchomienie rakiet - SAC Authenticators 11:59 Harold Hering i zakazane pytanie 12:56 System Perymetr 14:40 Listy ostateczne 15:25 Broken arrow 16:43 B-59 i kryzys kubański 17:31 Wnioski 18:06 Zapis do newslettera 📩Newsletter: https://szurek.tv/n 📬Darmowy kurs mailingowy: https://szurek.tv/kurs 💬Facebook: https://www.facebook.com/groups/od0dopentestera 📷Instagram: https://www.instagram.com/kacper.szurek/ 🐦Twitter: https://twitter.com/kacperszurek 💬Discord: https://od0dopentestera.pl/discord Źródła: https://security.szurek.pl/linki/22/

Jak złośliwe oprogramowanie dostaje się na komputery? Posłuchaj o tych mniej znanych technikach. Złośliwe reklamy w wyszukiwarkach, wykorzystanie powiadomień i rozszerzeń w przeglądarkach, kompromitacje serwerów aktualizacji czy też wykorzystanie makr. 0:00 Wstęp 0:53 Złośliwe reklamy w wyszukiwarkach 3:34 Powiadomienia od przestępców 6:24 Rozszerzenia w przeglądarkach 10:38 Kompromitacja infrastruktury firmy 13:58 Przejęcie serwerów aktualizacji 15:09 Niebezpieczne biblioteki i komponenty 16:42 Nielegalne kopie gier i programów 19:26 Załączniki .exe w mailu 22:02 Makra w dokumentach pakietu Office 23:43 Podszywanie się pod bank 25:50 Insider threat 26:54 Fizyczny dostęp do komputera 28:53 Exploit kit 30:35 Zakończenie 📬Darmowy kurs mailingowy: https://szurek.tv/kurs 📩Newsletter: https://szurek.tv/n 💬Facebook: https://www.facebook.com/groups/od0dopentestera 📷Instagram: https://www.instagram.com/kacper.szurek/ 🐦Twitter: https://twitter.com/kacperszurek 💬Discord: https://od0dopentestera.pl/discord Źródła: https://security.szurek.pl/linki/21/

Myślisz, że tryb prywatny w przeglądarce sprawia, że jesteś niewidzialny? Sądzisz, że jeśli korzystasz z VPNa to nikt nie wie co robisz? W tym filmie postaram Ci się pokazać jak trudno w dzisiejszych czasach zachować anonimowość i prywatność. Zobaczysz jak wiele informacji o naszych działaniach zapisuje system operacyjny oraz strony, z których korzystamy. 0:00 Wstęp 0:50 Prywatność vs anonimowość 1:27 Ułuda anonimowości w Internecie 2:31 Pokój 641A 3:17 Adres IP 4:09 Ciasteczka 5:20 Historia i pamięć podręczna 5:57 Potencjalnie niebezpieczne aplikacje 7:11 Bezpieczny serwer DNS 9:33 VPN i zbieranie logów 11:47 Warrant canary 13:00 Anonimowe metody płatności 13:40 Przypadkowe rozłączenie VPNa 14:30 DNS Leak 15:07 VPN i geolokalizacja 15:27 Sieć TOR 16:30 Ataki korelacyjne 18:00 Klucze GPG 19:06 Szyfrowanie dysku twardego 19:52 Odzyskiwanie usuniętych plików 21:44 ThumbCache - miniaturki obrazków 24:01 Przywracanie systemu 24:47 Monitorowanie urządzeń USB 25:11 Ostatnio otwarte pliki 27:18 UserAssist - czas uruchomienia programów 28:26 Pliki prefetch 29:34 Windows timeline - historia aktywności 30:29 Podgląd zdarzeń 31:37 Ostatnio wykonane komendy 32:03 Moja aktywność w Google i Facebooku 32:51 Zakończenie 📬Darmowy kurs mailingowy: https://szurek.tv/kurs 📩Newsletter: https://szurek.tv/n 💬Facebook: https://www.facebook.com/groups/od0dopentestera 📷Instagram: https://www.instagram.com/kacper.szurek/ 🐦Twitter: https://twitter.com/kacperszurek 💬Discord: https://od0dopentestera.pl/discord Źródła: https://security.szurek.pl/linki/19

Jakie zabezpieczenia stosowano w konsolach Xbox? Jak chroniono się przed piractwem? Zapraszam na historię zabezpieczeń konsoli Microsoftu. Dowiesz się nie tylko jak omijano zabezpieczenia ale też jak one działały.  0:00 Wstęp 0:39 Pierwszy Xbox 1:40 Chain of Trust 2:41 Sekretny ROM 4:12 Tanie kości RAM - Xcodes 5:29 Doktorant "Bunnie" 6:29 Podsłuchanie szyny Hyper Transport 7:38 Pierwsze modchipy 8:07 Nielegalne liczby 8:54 Visor Bug 10:05 TEA - Tiny Encryption Algorithm 11:28 Pytanie do widzów 11:45 Błędy z wykorzystaniem zapisów stanu gry 13:44 Xbox Dashboard i błąd z czcionkami 14:52 Double Dashboard Exploit 15:40 Xbox 360 16:02 eFuses - bezpieczniki 17:45 Atakowanie napędów DVD 20:00 Hitachi, BenQ i LiteON 22:50 Przecinanie ścieżek 23:53 Atak kamikaze 25:09 Zmiana formatu płyty 25:33 AP 25 27:08 iExtreme 27:41 King Kong Exploit 28:36 Timing attack 29:45 Glitch attack 32:46 Zero pairing 34:48 Xbox One 38:12 Tryb deweloperski 39:19 Koniec 📬Darmowy kurs mailingowy: https://szurek.tv/kurs 📩Newsletter: https://szurek.tv/n 💬Facebook: https://www.facebook.com/groups/od0dopentestera 📷Instagram: https://www.instagram.com/kacper.szurek/ 🐦Twitter: https://twitter.com/kacperszurek 💬Discord: https://od0dopentestera.pl/discord Źródła: Linki do wszystkich użytych materiałów znajdziesz na: https://security.szurek.pl/linki/18 Główne źródła: • https://www.researchgate.net/profile/Mathieu-Renard/publication/305154898 • https://habr.com/ru/post/491634/ • https://habr.com/ru/post/495662/ • https://habr.com/ru/post/500246/ • https://events.ccc.de/congress/2005/fahrplan/attachments/674-slides_xbox.pdf • https://bunniefoo.com/nostarch/HackingTheXbox_Free.pdf • https://commons.wikimedia.org/wiki/User:Evan-Amos/VOGM/Xbox • https://commons.wikimedia.org/wiki/User:Evan-Amos/VOGM/Xbox360Pro • https://www.youtube.com/watch?v=U7VwtOrwceo

Phreaking to łamanie zabezpieczeń w celu uzyskania darmowego połączenia telefonicznego. Pamiętasz jeszcze budki telefoniczne? Jak dzwoniono z nich za darmo?  Sprawdź historię walki z Telekomunikacją Polską. Zobacz jak działały karty magnetyczne i jak były chronione. 0:00 Wstęp 1:33 AW-652 „mydelniczka” 2:35 AWS „kanciak” 4:24 TSP-91 „niebieski” 5:04 Pierwsze próby kopiowania kart 6:26 Dorabianie kluczy Abloy 7:32 Szczegóły zabezpieczenia paska magnetycznego 10:07 Nagrywarki do kart 11:54 Skąd brać zużyte karty 12:25 Karty serwisowe i „card programming” 13:15 Wybieranie tonowe i impulsowe 14:52 Wykorzystanie numerów zablokowanych 16:01 Jak zdobyć numer do budki 16:44 Centrum Nadzoru C90 19:15 Oprogramowanie budki 21:09 Zasady prawdziwego phreakera 22:06 Centralki PBX 24:00 Make your URMET smoke 24:25 Karty zielone z wielościeżkowym zapisem 25:59 SAM 28:44 Srebrny URMET 30:10 System DRA 📬Darmowy kurs mailingowy: https://szurek.tv/kurs 📩Newsletter: https://szurek.tv/n 💬Facebook: https://www.facebook.com/groups/od0dopentestera 📷Instagram: https://www.instagram.com/kacper.szurek/ 🐦Twitter: https://twitter.com/kacperszurek 💬Discord: https://od0dopentestera.pl/discord Źródła: Linki do wszystkich użytych materiałów znajdziesz na: https://security.szurek.pl/linki/17 Główne źródła: • https://mirror.1tbps.org/phreaking.eu.org/ • https://github.com/JanuszSpiewa/Archiwum-Polskiego-Phreakingu • http://telesfor99.org/automaty/na-karty/ • http://domwlesie.eu/2016/08/16/historia-telekomunikacji-czesc-6/ • https://nosuchmeetup.pl/assets/talks/2019-11-21_0_Rafal-Wiosna_Phreaking.pdf • http://sputnik.net.pl/telephona/ • https://www.youtube.com/watch?v=j7DEmiHjg8U

Dlaczego piractwo na najnowszych konsolach praktycznie nie istnieje? Jakie metody stosują producenci aby gier nie dało się łatwo kopiować? Dzisiaj opowiem o zabezpieczeniach stosowanych w konsolach PlayStation. Zobaczysz jakie rozwiązania wykorzystywano i jak z czasem użytkownicy znajdowali nietypowe metody obejścia zabezpieczeń. 0:00 Wstęp 0:52 PlayStation 1 1:45 Czarne płyty 2:11 Wobble groove 3:44 Port równoległy i Game Shark 4:44 Tworzenie własnych kodów do gier 6:14 Wykrywanie zmiany płyty 7:14 Swap trick 8:22 Mod chip 9:01 Stealth mod chip 9:47 Libcrypt 10:45 Spyro year of the dragon 13:54 Double swap trick 14:53 PlayStation 2 15:55 Burst cutting area 16:26 Messiah mod chip 17:04 Neo Key 17:53 MechaCon 18:23 Swap Magic 19:38 VAST in Memor32 20:57 Free MCBoot 23:03 Gniazdo rozszerzeń i płyty demo 24:31 PlayStation 3 25:08 Other OS 25:56 Boot order, szyfrowanie plików i dysku 27:48 Hypervisor 28:25 Geohot 30:06 PS3 Jailbreak 30:51 Downgrade i PS3 JIG Module 31:58 PS3 Epic Fail 34:14 Wyciek kluczy 35:59 Zakończenie 📬Darmowy kurs mailingowy: https://szurek.tv/kurs 📩Newsletter: https://szurek.tv/n 💬Facebook: https://www.facebook.com/groups/od0dopentestera 📷Instagram: https://www.instagram.com/kacper.szurek/ 🐦Twitter: https://twitter.com/kacperszurek 💬Discord: https://od0dopentestera.pl/discord Źródła: Linki do wszystkich użytych materiałów znajdziesz na: https://security.szurek.pl/linki/16/ Główne źródła: Console Hacking - fail0verflow https://media.ccc.de/v/27c3-4087-en-console_hacking_2010 Modern Vintage Gamer https://www.youtube.com/watch?v=7HOBQ7HifLE https://www.youtube.com/watch?v=VGMR6FHey68 https://www.youtube.com/watch?v=siOXFGZj_z0 https://www.youtube.com/watch?v=2yQCOso_4hc arhn.eu https://www.youtube.com/watch?v=0pZmP2aQfOk Technology Connections https://www.youtube.com/watch?v=XUwSOfQ1D3c

Co sprawia, że banknoty są trudne do podrobienia? Jakich zabezpieczeń używa się w dokumentach? Jak one działają i czy da się odtworzyć niektóre metody w domu, przy użyciu ogólnodostępnych metod? Dowiesz się o „druku zabezpieczonym”, czyli rodzaju druku, którego celem jest zabezpieczenie ważnych dokumentów przed ich sfałszowaniem. Jako bonus usłyszysz jak odtworzyć niektóre zabezpieczenia w domu (oczywiście w nieco uproszczonej formie). Źródła: Prosty znak wodny: https://blog.doublehelix.csiro.au/make-a-watermark/ Drypoint Plates: https://www.youtube.com/watch?v=NZzm8IdX5oA Spirograf: https://nathanfriend.io/inspiral-web/ Pan Tadeusz na obrazku: https://informatykzakladowy.pl/litwo-ojczyzno-moja-ty-jestes-jak-png-4k-uhd/ Mikrokropka: https://youtube.com/watch?v=FSdrRfchuKs Wprowadzenie do holografii: https://www.youtube.com/watch?v=yVzk7bbQOA8 Jak stworzyć hologram: https://www.youtube.com/watch?v=5IszBMYJ5Ks Co to jest hologram: https://lenovozone.pl/blog/hologramy-i-holografia/

Dlaczego do dekodera wkładamy kartę? Jak w przeszłości łamano zabezpieczenia telewizji satelitarnej? Czy da się stworzyć duplikat karty? Jak działały stare systemy zabezpieczeń Videocipher oraz Videocrypt? 📬Darmowy kurs mailingowy: https://szurek.tv/kurs 💬Facebook: https://www.facebook.com/groups/od0dopentestera 📷Instagram: https://www.instagram.com/kacper.szurek/ 🐦Twitter: https://twitter.com/kacperszurek 💬Discord: https://od0dopentestera.pl/discord Źródła: https://twitter.com/akacastor/status/1055166903717572613 http://www.sat-digest.com/SatXpress/Crypt/Video/VC_Details.txt http://cd.textfiles.com/hackersencyc/PC/CRYPTO/EURO-SCR.HTM

Obecnie większość gier jest przypisywana do naszego wirtualnego konta na Steamie lub innej platformie. Ale jak w przeszłości twórcy gier chronili się przed kopiowaniem ich dzieł? ☎️ Jak używano specjalnego obrotowego koła - Dial a Pirate? 🖨️ Dlaczego do gier dołączano czerwone kartki? 🔎 Jak działało tajemnicze szkło (nie)powiększające? 📘 Po co w pudełkach znajdowały się malutkie książeczki z obrazkami? 💾 Co to są Fuzzy Bit - czyli bity które raz są 0 a raz 1? 💽 Jak Nintendo zabezpieczało swoje kartridże? 🕶️ Na czym polegał Lenslok? 📝 Jak pewien twórca wykorzystał atrament sympatyczny? 💿 Czym charakteryzował się Copylock?

Kilka wskazówek, które mogą zwiększyć Twoje bezpieczeństwo. Alerty BIK, konto w systemie E-sąd, weryfikacja OC w UFG, WAP Billing, cyfrowy testament, U2F i 2FA. ✨Plik PDF: https://cdn.szurek.pl/porady_kacper_szurek.pdf 🔥 Ankieta: https://szurek.tv/ankieta 0:00 Wstęp 0:28 Limit na usługi premium i WAP billing 0:57 Dodatkowy numer telefonu do ogłoszeń 1:30 Spoofing numeru telefonu 2:01 Ustal hasło zwrotne do banku 2:17 Nie klikaj w linki z wiadomości SMS 2:48 Sprawdzaj uprawnienia aplikacji 3:11 Udostępniaj przybliżoną lokalizację 3:35 Ustaw PIN w telefonie 4:02 Włącz usługę "znajdź mój iPhone" 4:19 Nie chwal się zakupami 4:43 Możesz ubezpieczyć starsze samochody 5:16 Videorejestrator w samochodzie może pomóc 5:42 Możesz zweryfikować czy auto ma ważne OC 6:03 Włącz alerty BIK i zastrzeżenia kredytowe 6:54 Monitoruj płatności cykliczne 7:46 Uważaj na fałszywe oferty pracy 8:30 Załóż konto w systemie e-sąd 9:07 Złóż dyspozycję na wypadek śmierci 9:57 Nie udostępniaj kodu BLIK nieznajomym 10:37 Zanim przyłożysz kartę do terminala - sprawdź kwotę 11:16 Włącz U2F/2FA tam gdzie to możliwe 12:26 Zacznij używać menadżera haseł 13:05 Sprawdź ustawienia prywatności 13:42 Zielona kłódka nie oznacza, że strona jest bezpieczna 14:09 Dodaj ostrzeżenia cert.pl do adblocka 14:43 Usuń dane EXIF ze zdjęć przed ich publikacją 15:34 Omijanie systemów bezpieczeństwa serwisów ogłoszeniowych 16:12 Weryfikuj opinie o nowych sklepach 16:53 Włącz szyfrowanie dysku 17:16 Wyłącz obsługę makr 17:45 Nie wysyłaj skanu dowodu osobistego 18:24 Tryb prywatny nie zapewnia anonimowości 18:49 Załóż konto w serwisie Have I Been Pwned 19:09 Nie wierz w reklamy i promocje 19:42 Kup niszczarkę 20:06 Wykonuj kopie bezpieczeństwa 20:31 Skonfiguruj router 21:00 Zastanów się czy potrzebujesz VPNa 21:24 Nie rozmawiaj o sprawach biznesowych w pociągu 21:51 Włącz filtr SafeSearch 22:13 Zakończenie i ankieta 📬Darmowy kurs mailingowy: https://szurek.tv/kurs 📩Newsletter: https://szurek.tv/n 💬Facebook: https://www.facebook.com/groups/od0dopentestera 📷Instagram: https://www.instagram.com/kacper.szurek/ 🐦Twitter: https://twitter.com/kacperszurek 💬Discord: https://od0dopentestera.pl/discord

0:00 Wprowadzenie 1:11 Hierarchia w DNS 1:50 Problem "man in the middle" 2:30 Podstawy DNSSEC 3:07 RRset 3:40 RRsig 4:37 ZSK oraz KSK 5:17 Jak sprawdzić podpis 6:00 Analogia do podpisywania umowy 7:17 DNSKey 8:12 Weryfikacja DNSKey 9:05 Serwery ROOT 10:00 Ceremonia podpisywania kluczy 10:48 Podział na role 11:29 Krypto oficerowie 12:20 Odblokowanie modułu HSM 13:26 Dokumentacja 14:05 Sytuacje awaryjne  Źródła: https://www.internetsociety.org/wp-content/uploads/2017/08/DNS-Key.jpg https://www.technologyuk.net/computing/website-development/world-wide-web/domain-name-system.shtml https://hacks.mozilla.org/2018/05/a-cartoon-intro-to-dns-over-https/ https://www.cloudflare.com/dns/dnssec/how-dnssec-works/ https://medium.com/iocscan/how-dnssec-works-9c652257be0 https://www.iana.org/domains/root/files https://www.iana.org/dnssec/ceremonies/41 https://data.iana.org/ksk-ceremony/25/KC25_Script.pdf https://www.cloudflare.com/dns/dnssec/root-signing-ceremony/  https://www.flickr.com/photos/kjd/4711837398/in/album-72157624302045698/ https://en.wikipedia.org/wiki/Shamir%27s_Secret_Sharing https://searchsecurity.techtarget.com/news/252482099/COVID-19-strains-critical-certificate-authority-processes Mój blog: https://security.szurek.pl/ Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Kanał na Discord: https://od0dopentestera.pl/discord Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ #od0dopentestera #bezpieczeństwo #dns

Chcesz poczuć się jak prawdziwy szpieg obcego wywiadu nie wychodząc z domu? Spróbuj wykonać mikrokropkę – malutką fotografię wielkości ziarnka grochu, która może przechowywać treść całej kartki A4. Co to jest mikrofilm? Do czego służył i jak był wykorzystywany?  0:00 Mikrokropka 0:49 Co to jest mikrofilm, mikrokropka, mikropunkt 2:36 Jak tworzono miniaturowe fotografie w przeszłości i gdzie je chowano 4:09 Metoda Brytyjska tworzenia mikrofilmów 6:11 Faza druga - zmniejszanie rozmiaru przy pomocy kartonu 6:59 Jak wygląda domowej roboty mikrokropka Mikrokropka, mikropunkt lub generalnie mikrofilm to miniaturowa fotografia wykonana przez specjalne urządzenie będące połączeniem aparatu i mikroskopu. Taka kropka zawiera zminiaturyzowane dane tekstowe lub fotografie. Dzięki tej technologii kartkę formatu A4 można zmieścić w pojedynczej kropce, która wielkością przypomina kropkę wykonaną przy pomocy maszyny do pisania. Posiadając analogowy aparat fotograficzny, czarno-białą kliszę, karton, nożyczki oraz taśmę klejącą można spróbować stworzyć własny mikrofilm w domu. W tym filmie pokazuje cały proces tworzenia mikrofilmu - na podstawie opisu użytkownika @hexadecim8. Korzysta on z dwu etapowej metody Brytyjskiej - gdzie najpierw uzyskuje się fotografię o wielkości okołu 2 cm, którą następnie można ponownie zmniejszyć do około 2 mm. Źródła: https://github.com/hexa-decim8/microdot https://twitter.com/hexadecim8/status/1277725141825400833 https://upload.wikimedia.org/wikipedia/commons/b/b5/German_microdots_World_War_II_Mexico_Spain.jpg https://pl.wikipedia.org/wiki/Mikrokropka https://www.spymuseum.org/exhibition-experiences/about-the-collection/collection-highlights/concealment-ring-for-microdots/ https://upload.wikimedia.org/wikipedia/commons/7/75/Hollow_dollar.jpg https://www.cryptomuseum.com/covert/camera/minox/enlarger/index.htm https://www.amazon.com/Ultimate-Spy-H-Keith-Melton/dp/1465436006 Mój blog: https://security.szurek.pl/ Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Kanał na Discord: https://od0dopentestera.pl/discord Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ #od0dopentestera #szurkogadanie #bezpieczeństwo

Dziś każdy z nas może prowadzić tajne rozmowy telefoniczne przy pomocy smartfona i specjalnej aplikacji. Ale jeszcze kilkadziesiąt lat temu nie było to takie proste. W tym odcinku opowiem historię telefonu STU-III, który był używany w Stanach Zjednoczonych do prowadzenia tajnych rozmów. Dowiesz się: • Jak szyfrowano rozmowy podczas II Wojny Światowej • Jak wyglądała maszyna SIGSALY oraz mechanizm „turn tables” • Na czym polega szyfr z kluczem jednorazowym • Co to jest KSD-64 czyli fizyczny klucz z materiałem kryptograficznym • Jak wyglądała procedura inicjalizacji bezpiecznego telefonu • Co trzeba było zrobić aby wykonać bezpieczne połączenie • Jak sprawiono, że klucz bez telefonu był bezużyteczny • Co robiono w sytuacjach awaryjnych podczas próby kradzieży telefonu Bibliografia: https://upload.wikimedia.org/wikipedia/commons/8/8b/STU-IIIphones.nsa.jpg https://www.cryptomuseum.com/crypto/usa/sigsaly/ https://pl.wikipedia.org/wiki/Szyfr_z_kluczem_jednorazowym https://commons.wikimedia.org/wiki/File:SIGRUV_encryption_disk,_SIGSALY_Speech_Encipherment_System_exhibit_-_National_Cryptologic_Museum_-_DSC07923.JPG https://upload.wikimedia.org/wikipedia/commons/4/48/Dual_turntables%2C_SIGSALY_Speech_Encipherment_System_exhibit_-_National_Cryptologic_Museum_-_DSC07924.JPG https://upload.wikimedia.org/wikipedia/commons/9/9d/STU_III_secure_telephone_1.jpg https://upload.wikimedia.org/wikipedia/commons/7/72/Ksd-64.jpg http://www.tscm.com/STUIIIhandbook.html https://www.cryptomuseum.com/crypto/usa/stu3/ https://www.cryptomuseum.com/crypto/usa/ksd64/index.htm https://www.cryptomuseum.com/crypto/motorola/sectel/index.htm http://www.jproc.ca/crypto/stuiii.html Mój blog: https://security.szurek.pl/ Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Kanał na Discord: https://od0dopentestera.pl/discord Hack The Box: https://www.hackthebox.eu/ Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/

Jak chronić numer PESEL? Gdzie można uzyskać informacje o naszych kontach bankowych? Jak działa E-sąd? Jak działa BIK – Biuro Informacji Kredytowej? Gdzie zgłosić kradzież dowodu? Jak nie zostać słupem: https://www.youtube.com/watch?v=NUCVlSnA0hk Jak działa kradzież karty SIM: https://www.youtube.com/watch?v=FjDBMzweZj8 0:44 PESEL 1:34 Gdzie można znaleźć numery PESEL 5:52 Centralna informacja o rachunkach 8:08 E-sąd 9:46 Biuro informacji kredytowej 14:17 Bezpieczny PESEL 16:40 Co gdy ktoś wykorzystał nasze dane Centralna informacja o rachunkach: http://www.centralnainformacja.pl/ Zgłoś utratę dowodu: https://www.gov.pl/web/gov/zglos-utrate-lub-uszkodzenie-swojego-dowodu-osobistego-uniewaznij-dowod E-sąd: https://www.e-sad.gov.pl/ Dokumenty Zastrzeżone: https://dokumentyzastrzezone.pl/ BIK: https://www.bik.pl/ Bezpieczny PESEL: http://bezpiecznypesel.pl/ Chroń PESEL: http://chronpesel.pl/ Poradnik Polskiego Związku Instytucji Pożyczkowych: https://pzip.pl/aktualnosci/2018/8/21/pade-ofiar-kradziey-tosamoci-podpowiadamy-co-powiniene-zrobi-krok-po-kroku EKRS: https://ekrs.ms.gov.pl/ Dziennik Ustaw: http://dziennikustaw.gov.pl/ ERIF: https://erif.pl/ Big InfoMonitor: https://www.big.pl/ KBiG: https://www.kbig.pl/ Materiał na wykop.pl: https://www.wykop.pl/link/4889373/i-ty-mozesz-byc-ofiara-pieprz-ch-parabankow/ Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ #pesel #kradzież #szurkogadanie

Czy kody SMS z banku chronią nas przed atakiem? A może lepsza jest aplikacja mobilna? Jak działa dwuskładnikowe uwierzytelnianie? Czy można je obejść/zaatakować? Czym różni się 2FA od U2F? Po co nam klucze bezpieczeństwa - np. Yubikey? Jak chronić się przed phishingiem? Jak skonfigurować swoje konto pocztowe? Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ #od0dopentestera #2fa #bezpieczeństwo

Jak wyglądają narzędzia używane podczas ataków na firmy? Co mogą robić? Ile kosztują? * WiFi Pineapple - jak atakuje się sieci WIFI * USB Rubber Ducky - dlaczego powinieneś się wylogować gdy odchodzisz od komputera * USB Killer - niszczenie portów USB * Proxmark - czy klonowanie kart dostępu jest możliwe * MouseJack - bezpieczeństwo bezprzewodowych prezenterów * USB Ninja - czy rozróżnisz prawdziwy kabel od złośliwego Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ #od0dopentestera #pentest #hacking

Jak zostać pentesterem/specjalistą bezpieczeństwa? Od czego zacząć naukę? Gdzie szukać materiałów edukacyjnych? Jakie ścieżki kariery istnieją? Czy znajomość programowania jest potrzebna? Czy kursy coś dają? Czy muszę mieć studia? Co to jest Bug Bounty i dlaczego może mi pomóc? Jakie umiejętności są przydatne/konieczne? Gdzie i jak można ćwiczyć? Co to jest CTF? Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ #od0dopentestera #pentest #praca

Na co zwrócić uwagę podczas pracy z domu? Co ustawić i czego się obawiać? Proste porady w przystępnej formie z obszernymi wytłumaczeniami. Prezentacja do pobrania: https://cdn.szurek.pl/bezpieczenstwo_pracy_zdalnej_kacper_szurek.pdf Tekst na blogu: https://security.szurek.pl/bezpieczenstwo-pracy-zdalnej.html Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Materiały w formie tekstowej: https://security.szurek.pl/ #zostanwdomu #biznes #bezpieczeństwo

Dzisiaj o ataku BadWPAD, dzięki któremu można podsłuchiwać i modyfikować niezaszyfrowany ruch internetowy na twoim komputerze. Myślisz że temat Cię nie dotyczy? Jeżeli korzystasz z Windowsa i przeglądarki internetowej istnieje spora szansa, że używasz bądź używałeś tej funkcji w przeszłości nawet nie zdając sobie z tego sprawy? Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Materiał w formie tekstowej: https://security.szurek.pl/badwpad.html (0:38) Serwer proxy (1:17) Web Proxy Auto-Discovery Protocol (2:07) Plik PAC (3:06) Plik PAC poprzez DHCP (3:55) PAC poprzez DNS (4:27) Sufiks DNS (5:28) DNS name devolution (6:40) Poprawka z 2009 (7:09) Polski akcent (8:28) WPAD Name Collision (9:25) Domeny najwyższego poziomu (10:25) Zalecenia dla administratorów (11:05) Atak lokalny Analiza krajowych domen WPAD: https://blog.redteam.pl/2019/05/sinkholing-badwpad-wpadblock-wpadblocking-com.html Przejęcie domen przez CERT: https://www.cert.pl/news/single/przejecie-domen-pl-zwiazanych-z-atakiem-badwpad/ Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ #od0dopentestera #windows #wpad

Jesteś programistą, który otrzymał zadanie naprawienia błędu typu XSS – czyli cross site scripting. Teoretycznie wiesz, że jest to możliwość wykonania zewnętrznego kodu JS w obrębie danej domeny. Z drugiej jednak strony, nie do końca rozumiesz pośpiech i konieczność ich naprawiania. Przecież samemu tworzysz kod na co dzień, więc co złego może się stać. A może jesteś prezesem firmy bądź osobą odpowiedzialną za bezpieczeństwo i nie wiesz jak wyjaśnić ten problem osobom mniej obeznanym w technologiach? Ten odcinek jest właśnie dla Ciebie. Postaram się w nim wyjaśnić przy użyciu prostych przykładów, jak ataki XSS mogą wpłynąć na biznes – także od tej finansowej strony. Dzięki temu wytłumaczenie dlaczego warto naprawiać te błędy i dlaczego mogą być one niebezpieczne dla naszej organizacji – powinno być dużo prostsze. Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Materiał w formie tekstowej: https://security.szurek.pl/skutki-xss.html (0:49) Skąd bierze się XSS (2:13) Skutki cudzego kodu (3:27) Po co kraść hasło (4:45) Podmiana reklam (6:00) Deanonimizacji użytkownika (6:35) XSS worm (7:49) Złośliwe oprogramowanie (8:39) Atak DDOS (9:55) Keylogger w JS (10:55) XSS Auditor Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ Baking Cookies Timelapse CC BY 3.0 beachfrontbroll.com Free Stock footage by Videezy Stock footage provided by Videvo, downloaded from https://www.videvo.net #od0dopentestera #xss #programowanie

Dzisiaj o jednej z nowszych rodzajów podatności, tak zwanych Cross Site Leaks. Uogólniając, błędy tego rodzaju w specyficznych okolicznościach pozwalają na odpowiedź tak/nie na zadane wcześniej pytanie. Nie wydaje się to zatem niczym spektakularnym. Nie ma wybuchów i wykonywania zdalnego kodu na serwerze. Na pozór wydaje się zatem, że to nic nie znacząca klasa podatności. Diabeł tkwi w szczegółach i wszystko zależy od systemu, z jakim mamy do czynienia. Jeśli to serwer sądowy – można sprawdzić czy obywatel X był karany. W przypadku szpitala – możliwe jest zweryfikowanie, czy Kowalski choruje na raka prostaty. Błąd w banku pozwoli dowiedzieć się, czy użytkownik posiada więcej niż milion złotych na koncie. Możliwe jest także poznanie hasła użytkownika. Każde pytanie można bowiem zamienić na serię pytań tak/nie. Czy pierwszy znak hasła zawiera się pomiędzy cyfrą 0 a 9. A może jest to litera Z? Materiał w formie tekstowej: https://security.szurek.pl/xsleaks-cross-site-leaks.html 0:18 Cross Site Leaks 0:47 Odpowiedź na pytanie tak/nie 1:57 Same origin policy 3:03 Żądania POST do strony 3:35 Zewnętrzne API 4:20 Nagłówek CORS 4:53 Czas trwania żądań 6:08 Tag iframe 7:53 XSS Auditor 10:02 Wykrywanie pobierania plików 10:38 onerror 11:15 Deanonimizacja użytkowników Więcej informacji: https://github.com/xsleaks/xsleaks/ Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ #pentest #xsleaks #programowanie

Wojciech Dworakowski - prezes firmy Securing. Na co zwrócić uwagę podczas zawierania kontraktu z firmą oferującą testy penetracyjne? Co to jest OWASP? Jak często zdarza się nie znajdować błędów? Transkrypcja wywiadu: https://security.szurek.pl/wojciech-dworakowski.html 0:54 Co to jest OWASP Top 10 2:23 Inne projekty OWASP to ... 5:56  Gdzie znajdę informacje o spotkaniach 7:15 Jak rozpocząć przygodę jako prelegent 9:52 Jak zmieniało się bezpieczeństwo na przestrzeni lat 11:31 Na co zwrócić uwagę podczas pentestu 12:50 Ile średnio trwa test penetracyjny 13:30 Czy zdarza się nie znajdować błędów 14:47 Jak powinien wyglądać raport 15:15 Czy programowanie jest potrzebne w pracy 15:50 Czy prace można zautomatyzować 17:21 Czy Bug Bounty stanowi konkurencję 19:17 Jak wygląda bezpieczeństwo usług rządowych 21:02 Jaką książkę byś polecił 22:09 Jak uczyć programistów pisania bezpiecznego kodu 21:15 Przykłady ciekawych błędów 24:20 Jakie podatności ignorujemy 24:27 Co sądzisz o płatnościach mobilnych 25:47 Chmura vs bezpieczeństwo 27:40 Testy PCI DSS 28:49 Certyfikacja usług 31:11 Pentesty a prawo 32:57 Bezpieczny język programowania 33:18 Ilość odnalezionych błędów vs ich jakość 33:56 Socjotechnika 35:20 Udostępnianie kodu źródłowego 37:29 Aplikacje mobilne 38:27 Modelowanie zagrożeń 39:15 Bezpieczeństwo a projektowanie systemów 40:33 Naprawianie błędów 43:33 Czy zewnętrzne testy są konieczne 44:58 Jaki sposób logowania do usług wybrać 47:13 Rzemiosło w pracy pentestera 48:35 Ciekawe projekty waszej firmy 50:33 Blockchain 52:15 E-wybory 53:34 Rada dla użytkowników Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ #podcast #szurkogadanie #securing

Domowy router stanowi swoistą pierwszą linię obrony przed atakującymi.  Jak się przed nimi obronić? Na jakie zagrożenia jesteśmy narażeni? Co warto sprawdzić? 1:32 Serwer DHCP 1:59 Dane DNS 2:40 DNS Hijacking 4:24 Botnet 5:10 Pliki na dysku 5:35 Firewall 6:11 WPA2 6:32 Łamanie haseł 7:28 Nazwa SSID 8:11 Standardowe hasła 8:44 WPS 9:13 UPNP 9:48 Port forwarding 10:29 Aktualizacje 10:54 Fizyczny dostęp 11:17 SSH, Telnet, SNPM 11:40 Błędy bezpieczeństwa 12:10 Logi 12:44 Weryfikacja konfiguracji 13:12 Punkty do sprawdzenia Materiał w formie tekstowej: https://security.szurek.pl/jak-zabezpieczyc-router-bezpieczenstwo-sieci-domowej.html Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Lista punktów do sprawdzenia: https://routersecurity.org/ Weryfikacja publicznych adresów: https://www.shodan.io/ Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ #podcast #szurkogadanie #router

Marcin Ludwiszewski jest szefem zespołu „Cyber” w Deloitte. Zajmuje się testami ofensywnymi, obroną przed atakami oraz definiowaniem długoterminowych planów strategicznych w obrębie cyberbezpieczeństwa. Z wywiadu dowiesz się co to jest red teaming, na czym polega, jak wygląda taka praca oraz usłyszysz o ciekawych sytuacjach z życia. Transkrypcja wywiadu: https://security.szurek.pl/marcin-ludwiszewski.html 0:37 Co to jest red teaming? 1:42 Co jest wyznacznikiem sukcesu w red teamingu? 5:14 Czy różni się od testu penetracyjnego? 6:17 Ile kosztuje red teaming? 9:15 Aspekty prawne 13:11 Czy korzystacie z wytrychów? 17:04 Czy atakujecie komórki? 19:00 Co to jest wstępne rozpoznanie? 21:53 Czy zdarzyły się wam wpadki? 24:11 Ciekawe sytuacje 33:05 Ulubione narzędzia 35:37 Polecane książki 36:53 Różnica pomiędzy sektorem publicznym i prywatnym 39:46 Czego nauczyła Cię praca w ABW? 40:17 Jak zachęcić młodych zdolnych? 41:29 Co to jest CSIRT? 43:31 Bezpieczeństwo urzędów 44:49 W co zainwestować pieniądze? 48:41 Jak edukować pracowników? 50:32 Cyberarmia 51:00 Najczęściej popełniane błędy 52:12 Bezpieczeństwo dzieci w Internecie 53:44 Klucze sprzętowe w organizacjach 54:44 Jak radzić sobie ze stresem 56:52 Najlepszy czas i data do przeprowadzenia ataku to ... 59:12 Strategie bezpieczeństwa Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ #podcast #szurkogadanie #deloitte

TOFU (z angielskiego “Trust On First Use”) tłumaczymy na język polski jako „zaufanie przy pierwszym użyciu”. Mówiąc obrazowo: gdy pierwszy raz uzyskujemy jakąś informację, traktujemy ją jako pewnik i wykorzystujemy tą wiedzę kolejnym razem. W informatyce koronnym przykładem może być sytuacja, w której łączymy się z nowym serwerem przy użyciu protokołu SSH. Ale jak ten termin jest powiązany z komunikatorem Signal? Transkrypcja: https://security.szurek.pl/trust-on-first-use.html 1:20 Zaufanie przy pierwszym użyciu 2:25 Zielone światło sygnalizatora 3:23 Dziennik ustaw 4:22 NASK  5:06 HTTPS 6:16 Podpisany plik PDF 7:28 Klucz publiczny 8:50 Kod zabezpieczenia 9:39 Reinstalacja aplikacji 11:05 Siatka kontaktów 12:17 Key signing party 13:12 Keybase 13:51 Potencjalne rozwiązanie problemu NASK: https://www.dns.pl/regulamin_gov_pl Let’s Encrypt: https://letsencrypt.org/ Dziennik ustaw: http://dziennikustaw.gov.pl/ Narodowe Centrum Certyfikacji: https://www.nccert.pl/ Signal: https://signal.org/blog/safety-number-updates/ GPG: https://gnupg.org/ MIT PGP Public Key Server: https://pgp.mit.edu/ Key signing party: https://en.wikipedia.org/wiki/Key_signing_party Web of trust: https://en.wikipedia.org/wiki/Web_of_trust Keybase: https://keybase.io/blog/chat-apps-softer-than-tofu Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ #podcast #signal #whatsapp

Jak wygląda przekręt na pomoc techniczną? Oszustwo z wykorzystaniem zwrotu środków. Jak przy pomocy socjotechniki nieupoważnionej osobie udało się zostać właścicielem domeny `gov`? Transkrypcja: https://security.szurek.pl/przekrety-przez-telefon.html 0:52 Własna subdomena gov 1:53 Konsekwencje przejęcia domeny 2:37 Wpływ na wybory 3:10 Jak powinna wyglądać weryfikacja domeny 3:45 Przejmowanie domen .pl 5:01 Jak działa Registry Lock 5:40 Zmiana numeru konta pracownika 6:48 Zmiana numeru konta podwykonawcy 7:17 Przekręt na zwrot środków 8:18 Zmiana kodu HTML na komputerze ofiary 9:15 Zakup kart zdrapek 9:41 Fałszywa pomoc techniczna 10:17 Wyskakujące reklamy 11:03 Etap straszenia 12:02 Więcej informacji Blog Brian Krebs: https://krebsonsecurity.com/2019/11/its-way-too-easy-to-get-a-gov-domain-name/ Jak działa Registry Lock: https://www.dns.pl/pl_registry_lock Kanał Jim Browning: https://www.youtube.com/channel/UCBNG0osIBAprVcZZ3ic84vw Informacje Microsoft: https://support.microsoft.com/en-au/help/4013405/windows-protect-from-tech-support-scams Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ #podcast #scam #oszustwo

Metadata Service generuje dynamiczne klucze pozwalające na dostęp do różnych usług w chmurze Amazon. Dzięki temu nie ma potrzeby przechowywania haseł w kodzie strony. Niestety, dzięki podatności Server Side Request Forgery i błędów w kodzie strony, możliwe jest uzyskanie nieautoryzowanego dostęp do naszych danych. Aby temu zapobiec, EC2 wprowadza IMDSv2 mający zapobiec większości ataków. Transkrypcja: https://security.szurek.pl/imdsv2-amazon-ec2-instance-metadata-service.html 0:49 Jak przechowywać klucze API w chmurze 1:28 Co to jest EC2 Instance Metadata Service 2:29 Na czym polega Server Side Request Forgery 3:31 Jak filtrować dane od użytkownika 4:23 Amazon EC2 Instance Metadata Service (IMDSv2) 5:05 Pobieranie tokena przy użyciu metody PUT 6:18 Ochrona przed błędnie skonfigurowanymi serwerami Reverse Proxy 7:54 Ochrona przed błędnie skonfigurowanymi serwerami VPN 8:26 Pakiety z niską wartością TTL 9:18 Wnioski Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Materiały prasowe: https://aws.amazon.com/blogs/security/defense-in-depth-open-firewalls-reverse-proxies-ssrf-vulnerabilities-ec2-instance-metadata-service/ Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ #podcast #ssrf #ec2

Adam Lange pracuje jako VP Head of Cyber Threat Hunting w Standard Chartered Bank. Opowiada na czym polega Threat Hunting oraz co to jest phishing. Z wywiadu dowiesz się jak rozpocząć swoją przygodę z bezpieczeństwem a także co zrobić, gdy doszło do ataku na naszą osobę. Rozmawiamy także o PSD2, SIM-swap i metodach działania internetowych przestępców. Transkrypcja wywiadu: https://security.szurek.pl/adam-lange.html 0:16 Kim jesteś, co robisz? 0:42 Na czym polega Threat Hunting? 1:27 Proaktywne podejście do obrony 2:25 Co jest najtrudniejsze w Twojej pracy 3:26 Stosunek zagrożeń do fałszywych alarmów 4:04 Metody działania przestępców 5:25 Czy automatyzacja pracy jest możliwa 6:20 Co z małymi firmami 7:46 Jak zastąpić IOC 10:00 Makra w Office 11:45 Chmura a bezpieczeństwo 13:02 Praca zdalna i własne urządzenia 14:29 Na czym polega phishing 15:48 Edukacja dzieci 17:04 Jak rozpoznać prawdziwą witrynę banku 19:18 Gdzie zgłosić złośliwą witrynę 21:09 Usunięcie strony z Internetu 24:01 Co sądzisz o PSD2 26:16 SIM-swap 28:12 Rada dla początkujących 29:45 Adam Lange programuje w ... 31:40 Ulubiony przykład phishingu 32:51 Metoda picture-in-picture  33:46 Atak homograficzny 34:51 Kto jest odpowiedzialny za kradzież 36:56 Co zrobić gdy padliśmy ofiarą ataku Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ #podcast #szurkogadanie #lange

Parę lat temu magazyn „The Guardian” zapytał osoby profesjonalnie zajmujące się bezpieczeństwem, jak chronić dzieci korzystające z Internetu. W dzisiejszym odcinku podcastu Szurkogadanie przedstawię te pomysły, a także rozszerzę je o swój komentarz. Jeżeli więc jesteś rodzicem, który dba o dobro dzieci – ten odcinek jest dla Ciebie. Materiał w formie tekstowej: https://security.szurek.pl/jak-chronic-dziecko-w-internecie.html 1:07 Zacznij rozmawiać jak najwcześniej 1:47 Tłumacz na czym polega bezpieczeństwo 2:03 Jeżeli nie zrobił byś czegoś twarzą w twarz – nie rób tego w Internecie 3:03 Prywatność adresu domowego 3:49 Z Internetu nic nie ginie 5:13 Wygląd strony o niczym nie świadczy 6:00 Długofalowe skutki 6:31 Nie przyjmuj darmowych prezentów od nieznajomych 6:59 Nasze dane jako waluta 7:39 Gry Free-to-play 8:44 Niebezpieczne bajki na YouTube 10:07 Blokady nie zawsze działają 10:46 Zostań znajomym dziecka w serwisach społecznościowych 11:51 Świat się zmienia a z nim zagrożenia 12:26 Anonimowość to fikcja 13:32 Staraj się wyjaśniać niezrozumiałe rzeczy 14:01 Geolokalizacja zdjęć 14:40 Bezpieczeństwo gier 15:20 Gdzie szukać pomocy Tekst źródłowy: https://www.theguardian.com/technology/2014/aug/11/how-to-keep-kids-safe-online-children-advice Komiks o psach: https://en.wikipedia.org/wiki/On_the_Internet,_nobody_knows_you're_a_dog Klasyfikacja wiekowa gier PEGI: https://pegi.info/pl Poradnik NASK: https://akademia.nask.pl/pliki/2-jak-zapewnic-dzieciom-bezpieczenstwo-w-internecie-poradnik-dla-rodzicow.pdf Pomoc telefoniczna dla rodziców 800 100 100: https://800100100.pl/ Zgłaszanie nielegalnych treści: https://dyzurnet.pl Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/

Dzisiaj moim gościem jest Krzysztof Kotowicz, który pracuje jako Senior Software Engineer w teamie Information Security Engineering w Google. Osoba, która o XSS wie naprawdę wiele. Z tego wywiadu dowiesz się o aktualnym stanie bezpieczeństwa serwisów internetowych i nowych standardach, które mają pomóc chronić użytkowników. Transkrypcja wywiadu: https://security.szurek.pl/krzysztof-kotowicz.html 0:18 Kim jesteś? 1:01 Co to jest XSS? 2:39 Jak przekonać biznes? 4:25 Jak działa Trusted Types? 5:21 Minusy Trusted Types 8:19 Kto powinien być odpowiedzialny za kod polityk? 10:06 Jak wygląda praca w ramach Security Working Group? 12:37 Kto decyduje co trafia do przeglądarki? 13:57 Jak wyeliminować reflected XSS? 16:27 Do czego ma służyć CSP? 18:22 XSS vs Angular 22:19 Obejście CSP przy pomocy CDN 23:42 Kompatybilność a bezpieczeństwo 25:18 XSS Auditor 28:48 Sposób na kod HTML od użytkownika 33:25 Co byś usunął z JS? 35:09 Rozszerzenia w przeglądarkach 38:44 Rada dla początkujących 40:21 Czy osoby zajmujące się bezpieczeństwem powinny umieć programować? 41:40 Krzysztof Kotowicz programuje w … 42:21 Czy Bug Bounty wyprze normalne testy penetracyjne? 44:29 Największy minus Bug Bounty 47:23 Największy koszt Bug Bounty 48:43 Co to jest "script gadget"? 51:10 Czy można usunąć gadżety z frameworków? 53:31 Node i NPM  56:09 Jak radzisz sobie z nudą i powtarzalnością pracy? 58:05 Twój najciekawszy błąd to … 59:40 Za 10 lat chciałbym aby … 59:57 XS-Leaks 61:49 XS-Search w praktyce 65:24 Przyszłość Chromium Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ Angular logo: https://angular.io/

Jesteś prezesem lub osobą odpowiedzialną za bezpieczeństwo firmy? Zastanawiasz się jak zwiększyć bezpieczeństwo? A może program Bug Bounty? Co to takiego i czy mojej firmie się opłaci? Jakie są plusy i minusy? Postaram się obalić mity powiązane z tym tematem, a także opisać jak można rozpocząć wdrażanie takiego tematu z punktu widzenia firmy. Na czym można oszczędzić i ile to tak naprawdę kosztuje? Więcej informacji na blogu: https://security.szurek.pl/jak-uruchomic-program-bug-bounty-w-firmie.html 1:09 Jak wygląda test penetracyjny? 1:54 Plusy i minusy pentestu 2:50 Co to jest Bug Bounty? 3:25 Główna różnica pomiędzy pentestem 3:54 Ile to kosztuje? 4:32 Co to jest platforma 5:26 Średnie kwoty wypłat 6:49 Różnica pomiędzy prywatnym a publicznym programem 8:18 Jakie firmy mogą brać udział? 10:11 Od czego zacząć? 11:08 Start bez pieniędzy 12:07 Definiowanie zakresu 13:01 Współpraca pomiędzy działami 13:39 Jak rozliczyć koszty 14:32 Czy mogę zaufać hackerom? 15:24 Naprawa przyczyny a nie błędu 16:08 Sprawdzanie logów 16:51 Signal to noise ratio 17:50 Odnajdowanie słabych punktów 18:55 Live events Dodatkowe materiały: https://go.synack.com/rs/738-OEX-476/images/CrowdsourcedSecurityTesting_FINAL_5-29-2018.pdf https://www.hackerone.com/sites/default/files/2018-07/The%20Hacker-Powered%20Security%20Report%202018.pdf https://medium.com/engineers-optimizely/raising-the-security-bug-bounty-b8abeb46409a https://www.hackerone.com/sites/default/files/2017-05/Case%20Study%20-%20GitHub%20-%20FINAL.pdf Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ Icon made by Freepik www.flaticon.com

Na jakie metody oszustw można natknąć się przeglądając oferty na popularnych portalach ogłoszeniowych? Kim jest słup oraz jak można nim zostać? Jak to możliwe, że przestępca może wykonać przelew z naszego konta? Czy pośrednictwo w zakupie kryptowalut to dobra metoda dorabiania do kieszonkowego? Przesyłka za pobraniem nie taka bezpieczna jak się nam wydaje. Więcej informacji na blogu: http://security.szurek.pl/jak-nie-zostac-slupem-metody-oszustw.html 0:55 Nigeryjski przekręt 1:34 Darmowe przedmioty 2:51 Początek problemów 4:33 Zweryfikowany odbiorca 6:14 Słup 6:58 Konto w banku 8:02 Kryptowaluty 9:37 Metoda na wakacje 11:14 Fałszywe sklepy internetowe 12:30 Ufam ale kontroluje 12:34 Przesyłka za pobraniem Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ #podcast #szurkogadanie #oszustwa

Jak rozpocząć swoja przygodę z poszukiwaniem błędów? Na co zwrócić szczególną uwagę? Zaczniemy od znalezienia interesującego nas programu. Następnie wyjaśnię co to jest zakres (scope). Później poszukamy subdomen, które można testować. Tutaj przydatny okaże się serwis Virustotal albo Certificate Transparency Log oraz archive.org. Dalej krótkie przypomnienie co to jest głębokie ukrycie i dlaczego nie powinno się go używać. Cały materiał zakończymy informacjami o rekonesansie i błędach, jakie można odnaleźć w sklepach internetowych. Więcej informacji na blogu: http://security.szurek.pl/jak-rozpoczac-przygode-z-bug-bounty.html 0:53 Pieniądze 2:20 Duplikaty 3:37 Platformy 4:49 Zakres 5:28 Open redirection 6:19 Wildcard 6:59 Subdomeny 7:41 Certificate transparency 9:11 Virustotal 10:01 Writeup 10:32 archive.org 11:52 Głębokie ukrycie 12:39 Git 13:50 GitHub 14:43 Chmura 15:34 Rekonesans Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/

Czy namawianie do akceptowania certyfikatu SSL, który wygasł i nie jest prawidłowy, jest OK? A może jest to sprzeczne z dobrymi praktykami? Jakie inne komunikaty błędów możemy napotkać podczas przeglądania Internetu przy pomocy protokołu HTTPS? O czym one świadczą i jakie są ich powody? A także kiedy mogą informować one o potencjalnym ataku, a kiedy tylko pokazują ignorancję właściciela witryny? Ja jestem Kacper Szurek, a to kolejny odcinek podcastu Szurkogadanie, w którym tłumaczę zawiłe kwestie powiązane z bezpieczeństwem komputerowym w prosty i zrozumiały sposób. Więcej informacji na blogu: http://security.szurek.pl/ssl-czy-akceptowac-wygasly-certyfikat.html 0:46 Po co szyfrujemy połączenie 2:09 Klucz prywatny 2:38 Czy to prawidłowy klucz? 3:22 Główne urzędy certyfikacji 4:02 Uprawnienia do zarządzania domeną 5:02 Certyfikat typu OV 6:25 Ważność certyfikatu 7:09 Automatyczne generowanie certyfikatów 8:22 To połączenie nie jest prywatne 9:03 Zaawansowane opcje 10:06 badssl.com 10:41 Certyfikat expired 12:40 Błędna praktyka 13:42 Wrong host 15:00 Self-signed 15:50 Untrusted root 17:04 Revoked 17:43 Podsumowanie Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/

WordPress to najpopularniejszy system blogowy w Internecie. Średnio już co 3 strona korzysta właśnie z tego systemu do obsługi swoich treści. Jednak przez te lata wokół tego narzędzia narosło wiele mitów. Czy WordPress jest bezpieczny? Czy korzystanie z niego niesie za sobą jakieś konsekwencje? Ja jestem Kacper Szurek a to kolejny odcinek podcastu Szurkogadanie, w którym postaram się odpowiedzieć na to pytanie. Więcej informacji na blogu: https://security.szurek.pl/czy-wordpress-jest-bezpieczny.html 0:34 Ilość błędów 1:33 XSS 2:42 Code Execution 4:20 Pluginy 4:50 Kto tworzy dodatki? 6:23 Bezpieczeństwo 7:44 Dodatkowe zabezpieczenia 8:26 Bruteforce 9:22 2FA 10:17 Geolokalizacja 12:11 Edytor plików 12:52 wp-login.php 13:50 Integralność plików 14:17 Kradzione szablony 14:38 XMLRPC Baza błędów: https://wpvulndb.com/ WordPress: https://wordpress.org Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1

W jaki sposób można uzyskać nieautoryzowany dostęp do biura Twojej firmy? Jakie metody można zastosować aby ominąć ochronę, bramki bezpieczeństwa i panią na recepcji? Na jakie zachowanie należy zwrócić uwagę oraz dlaczego nie warto podpinać wiatraczków USB do naszego komputera? Przewodnik jak może wyglądać kontrolowane włamanie się do firmy. Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Transkrypcja: https://security.szurek.pl/kontrolowane-wlamanie-do-firmy.html 0:42 Rekonesans 1:07 Phishing 2:06 Oszustwo na komornika 3:59 Jak ominąć bramki? 5:34 Klon karty 8:00 Wi-Fi 9:38 Jak wejść do firmy? 10:37 BLEKey 12:11 Xero i drukarki 13:14 RubberDucky 14:06 Packet Squirrel 15:03 Gadżety USB

W Internecie pojawiła się informacja iż już za niedługo możemy być świadkami końca błędów typu CSRF. Dzisiaj opowiem o mechanizmie SameSite cookie, którego celem jest ochrona przed atakami Cross Site Request Forgery. Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ Transkrypcja: https://security.szurek.pl/co-to-jest-samesite-cookie.html 1:12 Protokół HTTP 1:55 Jak działają ciasteczka 3:19 Flaga Secure 4:43 Flaga HttpOnly 6:08 Na czym polega CSRF 7:25 Przykład wykorzystania CSRF 8:33 Sprawdzanie nagłówków Origin oraz Referer 9:21 Wykorzystywanie losowych tokenów 10:45 SameSite=Strict 12:04 Co przestanie działać? 12:45 Ciasteczka a prywatność 13:57 SameSite=Lax 14:52 Koniec błędów CSRF? 15:43 Minusy rozwiązania

Średnio raz na parę miesięcy Internet obiega informacja o kolejnym wycieku danych z różnego rodzaju serwisów. Raz są tą same emaile, raz email razem z hasłami przechowywanymi w postaci hasza. Zdarzają się również wycieki z miejsc, w których nasze hasło zapisane było w czystej postaci - bez żadnego szyfrowania i haszowania. Media szybko podchwytują dany temat i budują swego rodzaju panikę w oparciu o takie zdarzenia. To sprawia, że coraz więcej osób zadaje sobie pytanie: "Czy ja również padłem ofiarą danego zdarzenia"? W jaki sposób mogę sprawdzić czy moje hasło jest bezpieczne? Załóżmy, że właśnie dowiedziałeś się o dużym wycieku danych i chciałbyś sprawdzić czy któreś z twoich haseł znajduje się w ogólnodostępnej bazie. Jakie masz możliwości? Pierwsza to odnalezienie linków do takiej bazy i ściągnięcie jej na własny komputer. Ale nie każdy posiada techniczną wiedzę, aby je przeszukać. Dane mogą być słabo uporządkowane, rozdzielone na wiele plików. Pozostają jeszcze kwestie prawne. Plusy rozwiązania? Hasła sprawdzamy na swoim komputerze więc nikt oprócz nas nie wie jakiego hasła wyszukiwaliśmy. Druga opcja to skorzystanie z zewnętrznych serwisów. Wystarczy podać nasze hasło w formularzu na takiej stronie - a serwer zwróci informacje czy posiada takowe hasło w swojej bazie. Ale tutaj pojawia się problem. Wszak wysyłamy nasze hasło. Nie mamy pewności czy osoba, która tworzy dany serwis ma dobre zamiary. Dlatego powstały witryny - gdzie hasło przesyłane jest w postaci jakiego hasza. Tym razem twórca witryny nie otrzymuje bezpośrednio naszego hasła, ale otrzymuje hasz naszego hasła. Tylko że posiadając dużą liczbę haseł które wyciekły, może dla każdego z nich wyliczyć odpowiedni skrót i porównać z wartością przesyłaną przez nas. W ten sposób może dowiedzieć się jakie jest nasze hasło, nawet pomimo tego iż użyliśmy funkcji haszującej. Generalnie chodzi nam o taki sposób, w którym prześlemy hasło - bo przecież chcemy je sprawdzić ale równocześnie go nie prześlemy - bo nie chcemy, aby ktoś wiedział jak ono wygląda, a to swego rodzaju paradoks. I tutaj do gry wchodzi matematyka a mówiąc dokładniej pojęcie `k-anonymity`. Załóżmy, że jesteśmy firmą produkującą innowacyjne leki. Z jednej strony chcielibyśmy się podzielić wynikami badań w magazynach branżowych z drugiej jednak strony nie możemy tego zrobić, ponieważ żaden pacjent nie chciał by aby ktoś publicznie z imienia i nazwiska opisywał na co jest chory. Dlatego też takie dane trzeba zanonimizować - czyli usnąć informacje, na podstawie których można by było zidentyfikować konkretną osobę. Polega to na ukrywaniu pewnych danych, chociażby zamiany imienia i nazwiska na gwiazdkę. Podobne rozwiązanie zastosowano w serwisie. Zamiast całego hasha do serwisu wysyłamy tylko jego pierwsze 5 znaków. Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ Sprawdź czy Twoje hasło jest bezpieczne: https://haveibeenpwned.com/ Stock footage provided by Videvo, downloaded from www.videvo.net Free Stock Videos by Videezy Sparks On Machine by wastedgeneration is licensed under CC BY #podcast #hasła #wyciek

Jeszcze kilkanaście lat temu gdy bankowość internetowa pomału wkraczała do naszego życia karty kodów jednorazowych były czymś normalnym. Oprócz loginu i hasła, które potrzebne jest do zalogowania się do serwisu transakcyjnego, każdy przelew musiał być dodatkowo potwierdzony. Dzięki takiemu podejściu bank był pewien, że został on zlecony przez prawowitego właściciela danego konta. Dlaczego te metody nie są wystarczające w dzisiejszym świecie? Jak można uzyskać dane do logowania do czyjegoś konta? Najprościej przy pomocy phishingu. Phishing polega na podszywaniu się pod kogoś lub coś zazwyczaj w celu uzyskania korzyści materialnych. Tworzy się więc kopie stron bankowych, które wyglądają praktycznie tak samo jako oryginały i czeka aż potencjalna ofiara zaloguje się na nie swoimi danymi. Wtedy to tak pozyskane informacje trafiają do rąk złodzieja i mogą zostać przez niego wykorzystane do zalogowania się na prawidłowej stronie banku. Stąd też pomysł dwuskładnikowego potwierdzania transakcji, który funkcjonuje niemal w każdym banku. W przeszłości karta kodów zawierała kilkanaście ponumerowanych kodów. W ostatniej fazie potwierdzania przelewu system losowo wybiera jeden z numerów jeszcze nie wykorzystanych przez klienta i prosi o przepisanie odpowiedniej kombinacji cyfr. Klient zdrapuje wtedy odpowiednie pole, przepisuje odpowiednią kombinację i zleca wykonanie przelewu. Przestępcy zauważyli, że aby włamywanie się na konta miało sens - oprócz haseł muszą także pozyskać liczby z kart zdrapek. Zaczęli wiec na swoich stronach phishingowych prosić niczego nieświadome osoby o przepisanie konkretnych kodów z fizycznych kart. Tutaj uwidacznia się bowiem wada systemu wykorzystywania jednorazowych kodów. Każdy nieużyty ciąg znaków mógł bowiem potwierdzić dowolną transakcję na dowolną kwotę. Obecnie  większość z nas podczas zlecania przelewu otrzymuje od banku wiadomość tekstową wraz z unikalnym kodem który może potwierdzić tylko tą jedną transakcję. Co więcej - w smsie zazwyczaj widoczna jest kwota przelewu a także numer konta odbiorcy. Tym razem każdy kod jest unikalny i powiązany z jedną konkretną operacją. Atakujący nie może zatem pozyskiwać takich kodów na przyszłość z myślą wykorzystania ich w dogodnej chwili. Wszystko gra i działa. Prawda? Nie do końca.  Po przechwyceniu danych do logowania atakujący wykorzystuje je do zalogowania się na stronę banku. W tym momencie na stronie phishingowej niczego nieświadoma ofiara widzi klepsydrę i czeka na logowanie. Potem przestępca zleca przelew na kontrolowane przez siebie konto. W tym momencie bank wysyła do swojego klienta kod SMS, mający potwierdzić daną transakcję. Teraz klientowi wyświetla się informacja iż w celu ukończenia logowania musi je potwierdzić wpisując otrzymany kod SMS. W idealnym scenariuszu klient powinien przeczytać treść wiadomości i zauważyć, że coś się tutaj nie zgadza. W rzeczywistości jednak niewiele osób czyta te wiadomości a tylko przepisuje kod w nich zawarty. Coraz częściej możemy usłyszeć o ataku SIM SWAP, w którym to używany jest duplikat naszej karty SIM. Na czym polega ten przekręt i dlaczego jest tak niebezpieczny? Każdy telefon komórkowy do swojego działania potrzebujemy karty SIM. W niej to zapisane są wszystkie informację potrzebne operatorowi telekomunikacyjnemu do zweryfikowania naszych uprawnień do posługiwania się konkretnym numerem telefonu. Zdarza się że karty SIM gubią się lub też zostają zniszczone i przestają działać. W takiej sytuacji każdy użytkownik może zwrócić się do swojego operatora z prośba o wydanie duplikatu karty.

Dzisiaj o nowej funkcji, która już za jakiś czas znajdzie się w iPhone a w teorii ma pozwolić nam na odzyskanie skradzionego telefonu nawet gdy atakujący usunie z niego kartę sim a także nie podłączy go do żadnej sieci WiFi. Nowość ta ma się pojawić w iOS 13. Obecnie nie są znane wszystkie szczegóły na temat implementacji wykorzystanej przez firmę Apple. W materiale tym opisuje więc jak taka funkcja mogła by wyglądać a także na jakie szczegóły należy zwrócić uwagę z perspektywy bezpieczeństwa i prywatności całego rozwiązania. W skrócie: każdy telefon od teraz zacznie emitować w sposób ciągły co kilka sekund przy pomocy protokołu Bluetooth swój unikalny identyfikator. Inne urządzenia znajdujące się w zasięgu będą mogły odczytać tą informacje. W przypadku gdy telefon zostanie skradziony i nie będzie posiadał dostępu do Internetu, inne telefony znajdujące się w okolicy będą mogły wysłać do serwerów Apple informacje o tym fakcie wraz ze swoją bieżącą lokalizacją. Dzięki takiemu rozwiązaniu telefon nawet bez dostępu do sieci będzie możliwy do zlokalizowania. Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Bazując na: https://blog.cryptographyengineering.com/2019/06/05/how-does-apple-privately-find-your-offline-devices/ https://www.wired.com/story/apple-find-my-cryptography-bluetooth/ Icon made by Freepik www.flaticon.com

W prostych słowach szyfrowanie to proces przekształcenia tekstu czytelnego dla człowieka do innej niezrozumiałej postaci, tak aby osoba bez klucza nie była w stanie odczytać informacji tam zawartych. W przeszłości używano prymitywnych metod. Ich prostota wynikała głównie z faktu iż tekst szyfrował człowiek - bez pomocy żadnych dodatkowych maszyn. Ale teraz mamy komputery - sytuacja wygląda więc zgoła inaczej. Dlaczego więc chcielibyśmy szyfrować nasze pliki na dysku twardym? Wiele osób może teraz podnieść głos, że przecież nie mają nic do ukrycia. I rzeczywiście tak może być w przypadku komputerów stacjonarnych, które leżą w zaciszu naszych mieszkań. Ale co z laptopami? Sporo osób korzysta bowiem właśnie z tych urządzeń a wtedy szyfrowanie może być przydatne. Kiedy? Chociażby w przypadku kradzieży. Jeżeli bowiem ktoś skradnie naszego laptopa - uzyska pełen dostęp do danych tam zawartych. W przypadku osobistego sprzętu mogą to być fotografie z wakacji czy też emaile z poczty elektronicznej. Gdy mowa o firmach - atakujący może uzyskać dostęp do kodów źródłowych naszej aplikacji czy też tajemnic przedsiębiorstwa - chociażby listy klientów, z którymi współpracujmy. Możesz spytać: ale jak to możliwe? Przecież mój komputer jest zabezpieczony hasłem. Za każdym razem gdy go uruchamiam, na ekranie startowym Windowsa proszony jestem o podanie tajnej kombinacji znaków i dopiero wtedy uzyskuje dostęp do zasobów maszyny. No i rzeczywiście - tak wygląda mechanizm logowania, ale nie ma on nic wspólnego z szyfrowaniem dysku. Komputer bowiem składa się w wielu komponentów. Jeżeli ktoś posiada fizyczny dostęp do maszyny - czyli jeżeli ją nam ukradł, może każdy z tych elementów wyjąć z obudowy. Może więc odkręcić naszym dysk twardy a następnie przełożyć go do swojego komputera. Tam to, taki dysk nie będzie już chroniony przez hasłu dostępu do naszego systemu operacyjnego. Dlatego też utrata komputera przenośnego może być tak kosztowna. Atakujący może bowiem w prosty sposób uzyskać dostęp do naszych danych i to bez znajomości loginu i hasła. Możesz teraz pomyśleć: przecież nikomu nie będzie się chciało odkręcać obudowy, wyciągać dysku oraz przekładać go do innego komputera. Istnieją metody na uruchomienie działającego systemu operacyjnego z poziomu płyty CD czy też pendrive. Wystarczy odpowiednio spreparowany nośnik podpięty do portu USB. Potem w momencie bootowania systemu - wystarczy tylko wybrać pendrive i poczekać na uruchomienie systemu. Wtedy to nie korzystamy z tego - który znajduje się na dysku twardym komputera ale z innego, znajdującego się na naszym nośniku. Ponownie zatem nie jest potrzebne nasze hasło i login do Windowsa. I tu do gry wchodzi szyfrowanie dysków. Takie szyfrowanie jest możliwe przy użyciu różnego oprogramowania. W Windowsie najprostsza metodą jest jednak skorzystanie z BitLockera - czyli narzędzia wbudowanego w sam system operacyjny i stworzonego przez Microsoft. Ale jeżeli chciałbyś skonfigurować ten mechanizm, masz kilka możliwości. Najprostszą opcją jest szyfrowanie przy użyciu zwykłego hasła. Niestety, nie jest to dobre rozwiązanie. Dlaczego? Ponieważ bezpieczeństwo całego rozwiązania opiera się na tajności podawanego przez nas hasła. Im dłuższe i bardziej skomplikowane hasło tym trudniej będzie je złamać. Ciężko mi sobie wyobrazić pracownika, który byłby zadowolony z faktu wprowadzania za każdym razem 40 znakowego losowego hasła. Images downloaded from Freepik (www.freepik.com) designed by: Freepik, Katemangostar, Pressfoto, rawpixel.com, jcomp, evening_tao Icon made by Freepik, Twitter, Smashicons, Pixelmeetup, Vectors Market www.flaticon.com

Jak stracić milion dolarów? Historia miłosnego zauroczenia. Wykorzystanie newslettera do przenoszenia złośliwego oprogramowania - jak przestępcy wykorzystują naszą niechęć do reklam. CSS jako metoda infiltracji tajnych danych na stronach internetowych - wyjaśnienie zasady działania Sequential Import Chaining. Co to jest plik `apple-app-site-association` i jakie dane można w nim znaleźć. Odnośniki na stronach internetowych użyte do atakowania konkurencji - o funkcji ping w tagu a href. Nowa sztuczka wykorzystywana przez malware Emotet. Historia o tym jak automatycznie tworzyć złośliwe wiadomości, które są klikane przez potencjalnych odbiorców. A także wyjaśnienie pojęcia `Sextortion` i garść informacji jak ten atak działa w praktyce oraz jakie zarobki przynosi swoim twórcom. Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Grupa: https://www.facebook.com/groups/od0dopentestera/ Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ 1:13 https://szurek.page.link/utrata_miliona 4:00 https://szurek.page.link/malware_newsletter 6:13 https://szurek.page.link/sequential_import 10:14 https://szurek.page.link/app_site 12:05 https://szurek.page.link/ddos_ping 15:07 https://szurek.page.link/emotet_email 16:15 https://szurek.page.link/sextortion Icon made by Freepik, Pixel perfect, Those Icons www.flaticon.com

Jak zmiana daty urodzenia na Twitterze, może sprawić nie lada kłopoty. Dlaczego nie warto używać wyrażeń regularnych do sprawdzania poprawności domeny. Shodan monitor - czyli ostatni bastion bezpieczeństwa naszych serwerów. Dystrybucja Windowsa dla pentesterów? Parę słów na temat commando VM. Jak testować bezpieczeństwo sklepów internetowych. Szybkie i proste metody do sprawdzenia. Co to jest credential stuffing i jak się przed nim obronić. A także o ekosystemie rozszerzeń do WordPressa. Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ 0:50 https://szurek.page.link/birth_scam Scam urodzinowy na Twitterze 2:35 https://szurek.page.link/security_domain Dlaczego nie używać wyrażeń regularnych  5:14 https://szurek.page.link/credential_stuffing Co to jest credential stuffing 7:48 https://szurek.page.link/eat_for_free Jak jeść za darmo w dużych miastach 10:32 https://szurek.page.link/wp_strange_theme Dziwne funkcje w kodzie 13:24 https://szurek.page.link/shodan_monitor Shodan monitor 14:36 https://szurek.page.link/commando_vm Windows dla pentesterów 15:55 https://szurek.page.link/test_finance_apps Jak testować aplikacje sklepów Icon made by Smashicons, Freepik, pongsakornRed www.flaticon.com

Co to jest atak BadUSB? Czyli jak podpinając Raspberry Pi do routera można monitorować ruch w danej sieci. Na czym polegał błąd SQL Injection w oprogramowaniu sklepu internetowego Magento oraz jak sklepy używające integracji z Paypalem są używane przez przestępców do sprawdzania poprawności kart kredytowych. Co oznacza termin `trust on first use` w odniesieniu do internetowych komunikatorów - czyli o tym jak sprawdzać, kto czai się po drugiej stronie czatu. Anonimizacja to nie taka prosta sprawa jak mogłoby się wydawać. Dlaczego samo zakrywanie danych w dokumentach nie zawsze wystarczy. Kopiowanie plików z kontenera Kubernetes powodem wykonania kodu na komputerze administratora - o symlinkach w plikach tar. A także jak wykorzystując dowiązania symboliczne można było podnieść swoje uprawnienia jeżeli korzystałeś z kart NVIDIA GeForce. Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ 1:21 https://szurek.page.link/badusb Raspberry PI podpięte do routera 6:29 https://szurek.page.link/magentosql SQL Injection w sklepie Magento 9:23 https://szurek.page.link/magentopaypal Magento wykorzystywane przez złodziei kart 11:17 https://szurek.page.link/tofu Trust on first use 14:36 https://szurek.page.link/anonimizacja Zakrywanie danych nie wystarcza 16:38 https://szurek.page.link/kubernetes_tar RCE w Kubernetes przy pomocy plików TAR 20:21 https://szurek.page.link/nvidia_priv Podniesienie uprawnień w oprogramowaniu NVIDIA 23:17 https://szurek.page.link/hire_hack Jak zabezpieczyć swoje cyfrowe ja Icon made by Smashicons, Freepik, pongsakornRed www.flaticon.com

Podszywanie się pod okno przeglądarki na iPhone’ie - o ataku Picture in Picture. Jak sprawdzić gdzie byliśmy na wakacjach bez naszej zgody? O podatności Cross-site Search. Czy słyszałeś o Google BigQuery? Przeszukiwanie wielu gigabajtów danych w celu odnalezienia tokenów API na GitHubie. Jak podszyć się pod dowolny adres IP? O zdalnym wykonaniu kodu w infrastrukturze Mozilli. Używanie legalnych komponentów do rozpowszechniania złośliwego oprogramowania - jak wykorzystano serwis Firebase. Oszustwa w mechanizmie reklam mobilnych - jak wyświetlać dwie reklamy w jednej. Co to jest high frequency trading i jakie przeszkody stoją przed osobami, które się nim zajmują. A także o last minute persistence, czyli jak ewoluowały metody przetrzymywania restartu komputera w malwarze. Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Grupa: https://www.facebook.com/groups/od0dopentestera/ Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ 1:16 https://goo.gl/v5fb2g Picture in picture - atak na iPhone 4:00 https://goo.gl/hdcmvH Cross Site Search w Google Photo 8:16 https://goo.gl/U2EGjb Google BigQuery 12:22 https://goo.gl/sBzXt9 Podszywanie się pod adres IP 16:10 https://goo.gl/c5DCdu Malware w bazie Firebase 18:38 https://goo.gl/Zz7Ffq Podwójne reklamy na telefonach 21:45 https://goo.gl/Jy7Yus Handel wysokich częstotliwości 24:14 https://goo.gl/bRq5SK Last minute persistance Icon made by Freepik, Smashicons, itim2101 www.flaticon.com

Jak dzieci omijają blokady rodzicielskie na komputerach przy użyciu strony Google Docs. Do czego może prowadzić udostępnianie swoich zdjęć w Internecie na licencji Creative Commons. Bezpieczne przechowywanie plików w chmurze - o konfiguracji współdzielonych folderów w usłudze box.com Co było powodem unieważnienia dwóch milionów certyfikatów SSL - o brakującym bicie w numerze seryjnym. Czy wiesz co można odnaleźć w zakładce `Ważne miejsca` w iPhone’ie? A także o badaniu pokazującym kiedy programiści piszą swój kod w bezpieczny sposób. Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ 1:03 https://goo.gl/f8x45c Omijanie blokady rodzicielskiej przy użyciu Google Docs 3:25 https://goo.gl/fZa454 Zdjęcia na licencji Creative Commons używane do rozpoznawania twarzy 6:58 https://goo.gl/JGSn8G Cofanie błędnych aktualizacji w Windowsie 8:37 https://goo.gl/qLG3sq Wycieki danych poprzez współdzielone pliki w box.com 11:02 https://goo.gl/xjYG4G Dlaczego należało unieważnić 2 miliony certyfikatów SSL 14:57 https://goo.gl/1KxfXJ Co przechowuje opcja `Ważne miejsca` w iPhonie 15:46 https://goo.gl/NeY9U6 Popup, którego nie da się zamknąć 17:26 https://goo.gl/1wod5u Badania na temat bezpiecznego kodu Icon made by Freepik, Smashicons www.flaticon.com

Dlaczego menadżery haseł to skomplikowany kawałek technologii - o prawidłowym rozpoznawaniu subdomen. Jak złośliwy serwer MySQL może pobrać dane od klienta. Co jest powodem rozpowszechniania złośliwego oprogramowania w sieci torrent? O meandrach języka PHP - jak to możliwe że fałsz to prawda. A na koniec jak działają ataki czasowe. 0:58 https://goo.gl/6CiLcV Publiczne strony wiki na GitHubie 3:05 https://goo.gl/9AvGD5 MySQL honeypot 5:38 https://goo.gl/D35DNG Rozpoznawanie subdomen w menadżerach haseł 8:35 https://goo.gl/G2tejp Brak podpisu authenticode w Notepad++ 12:20 https://goo.gl/ZZk8Ez Malware w torrentach 15:53 https://goo.gl/GDjYAA https://goo.gl/8a2e32 Jak sprawdzić kto odwiedził naszą stronę 18:06 https://goo.gl/bjLwHX https://goo.gl/GKDURE Fałsz to prawda - błąd w kodzie PHP 19:32 https://goo.gl/Xws9Xj Rozpoznawanie użytkownika na podstawie wielkości okna 21:07 https://goo.gl/haE9gT Jak działa atak czasowy Icon made by Vectors Market, Freepik, Roundicons, monkik www.flaticon.com

Jak włamać się do systemów rozrywki obecnych w samolotach pasażerskich. Jak obejść mechanizm Attack Surface Reduction mający chronić użytkowników przed złośliwymi makrami w pakiecie Office. Następnie historia o dodatkowej spacji doklejanej do niektórych odpowiedzi serwera WWW na której podstawie możliwe było wykrycie złośliwych serwerów Cobal Strike. Chwilę później o plikach polyglots, które umożliwiają przechowywanie informacji różnego typu w jednym pliku. Na koniec o tym jak można było pozyskać tajne dane z firm, które już nie istnieją na rynku a także historia pewnego dziwnego na pozór losowego hasła. 1:16 Włamanie do samolotu przy użyciu myszki https://goo.gl/Ws1Utb 4:53 Obejście mechanizmu Attack Surface Reduction https://goo.gl/WWdFbN 9:08 Identyfikacja serwerów przy pomocy spacji https://goo.gl/TAJ7ii 12:15 Pliki polyglots https://goo.gl/bVA4Wg 14:29 Atakowanie nieistniejących firm https://goo.gl/1sb9TZ 17:15 Historia dziwnego hasła https://goo.gl/cdzyht 18:37 Tanie hackowanie iPhone https://goo.gl/rW1sEm 21:04 Statystyki kliknięcia w PDF https://goo.gl/UL3DfT Icon made by Freepik www.flaticon.com