Kilka wskazówek, które mogą zwiększyć Twoje bezpieczeństwo. Alerty BIK, konto w systemie E-sąd, weryfikacja OC w UFG, WAP Billing, cyfrowy testament, U2F i 2FA. ✨Plik PDF: https://cdn.szurek.pl/porady_kacper_szurek.pdf 🔥 Ankieta: https://szurek.tv/ankieta 0:00 Wstęp 0:28 Limit na usługi premium i WAP billing 0:57 Dodatkowy numer telefonu do ogłoszeń 1:30 Spoofing numeru telefonu 2:01 Ustal hasło zwrotne do banku 2:17 Nie klikaj w linki z wiadomości SMS 2:48 Sprawdzaj uprawnienia aplikacji 3:11 ...
Jul 11, 2022•23 min•Season 1Ep. 12
Phishing to zazwyczaj fałszywe strony, przy pomocy których przestępcy próbują ukraść nasze hasła. Ale istnieją bardziej zaawansowane techniki. Otwarte przekierowania, ataki homograficzne, wykorzystywanie Google Sites czy też problemy z OAuth. Właśnie o tych mniej znanych metodach postaram się opowiedzieć w tym odcinku. 0:00 Wstęp 0:27 Fałszywe gazety i kradzież kont Facebooka 2:11 Otwarte przekierowania w emailach 4:45 Zbyt długie odnośniki w pasku adresu 6:07 Podszywanie się pod komunikaty syst...
Jul 04, 2022•22 min•Season 2Ep. 11
Na czym polega nigeryjski przekręt? Co to jest atak picture-in-picture? Jak wykorzystać różne czcionki do omijania filtrów antyspamowych? Przykłady zaciemniania kodu przy użyciu formuł Excela. Wyjaśnienie działania Clipbankera. Gdzie przestępcy przechowują niebezpieczne pliki? Do czego można wykorzystać harmonogram zadań? Czym charakteryzuje się znak RTL? Jak ukryć treść przy pomocy Alternate Data Stream? 0:00 Wprowadzenie 1:54 Szantaż nieistniejącymi zdjęciami 3:28 SPAM i nigeryjski przekręt 4:...
Jun 26, 2022•36 min•Season 2Ep. 10
Jak zabezpieczone były pierwsze bomby atomowe? Jakie metody wykorzystano aby broń nie mogła zostać użyta przez nieupoważnione osoby? Jak wyglądała procedura weryfikowania rozkazu od prezydenta? Co to są arming plugs, in-fligh insertion, weak link? O tym wszystkim postaram się opowiedzieć w dzisiejszym odcinku. 0:00 Wstęp 0:47 Little boy i "arming plugs" 2:24 In-flight insertion 3:32 Strong links 5:07 Weak links 6:19 Permissive Action Link 8:20 Kody atomowe i rozkaz prezydenta 9:19 Two man rule 9...
Feb 28, 2022•18 min•Season 2Ep. 9
Jak złośliwe oprogramowanie dostaje się na komputery? Posłuchaj o tych mniej znanych technikach. Złośliwe reklamy w wyszukiwarkach, wykorzystanie powiadomień i rozszerzeń w przeglądarkach, kompromitacje serwerów aktualizacji czy też wykorzystanie makr. 0:00 Wstęp 0:53 Złośliwe reklamy w wyszukiwarkach 3:34 Powiadomienia od przestępców 6:24 Rozszerzenia w przeglądarkach 10:38 Kompromitacja infrastruktury firmy 13:58 Przejęcie serwerów aktualizacji 15:09 Niebezpieczne biblioteki i komponenty 16:42...
Feb 19, 2022•31 min•Season 2Ep. 8
Myślisz, że tryb prywatny w przeglądarce sprawia, że jesteś niewidzialny? Sądzisz, że jeśli korzystasz z VPNa to nikt nie wie co robisz? W tym filmie postaram Ci się pokazać jak trudno w dzisiejszych czasach zachować anonimowość i prywatność. Zobaczysz jak wiele informacji o naszych działaniach zapisuje system operacyjny oraz strony, z których korzystamy. 0:00 Wstęp 0:50 Prywatność vs anonimowość 1:27 Ułuda anonimowości w Internecie 2:31 Pokój 641A 3:17 Adres IP 4:09 Ciasteczka 5:20 Historia i p...
Feb 11, 2022•34 min•Season 2Ep. 7
Jakie zabezpieczenia stosowano w konsolach Xbox? Jak chroniono się przed piractwem? Zapraszam na historię zabezpieczeń konsoli Microsoftu. Dowiesz się nie tylko jak omijano zabezpieczenia ale też jak one działały. 0:00 Wstęp 0:39 Pierwszy Xbox 1:40 Chain of Trust 2:41 Sekretny ROM 4:12 Tanie kości RAM - Xcodes 5:29 Doktorant "Bunnie" 6:29 Podsłuchanie szyny Hyper Transport 7:38 Pierwsze modchipy 8:07 Nielegalne liczby 8:54 Visor Bug 10:05 TEA - Tiny Encryption Algorithm 11:28 Pytanie do widzów 1...
Dec 07, 2021•40 min•Season 2Ep. 6
Phreaking to łamanie zabezpieczeń w celu uzyskania darmowego połączenia telefonicznego. Pamiętasz jeszcze budki telefoniczne? Jak dzwoniono z nich za darmo? Sprawdź historię walki z Telekomunikacją Polską. Zobacz jak działały karty magnetyczne i jak były chronione. 0:00 Wstęp 1:33 AW-652 „mydelniczka” 2:35 AWS „kanciak” 4:24 TSP-91 „niebieski” 5:04 Pierwsze próby kopiowania kart 6:26 Dorabianie kluczy Abloy 7:32 Szczegóły zabezpieczenia paska magnetycznego 10:07 Nagrywarki do kart 11:54 Skąd bra...
Nov 22, 2021•31 min•Season 2Ep. 5
Dlaczego piractwo na najnowszych konsolach praktycznie nie istnieje? Jakie metody stosują producenci aby gier nie dało się łatwo kopiować? Dzisiaj opowiem o zabezpieczeniach stosowanych w konsolach PlayStation. Zobaczysz jakie rozwiązania wykorzystywano i jak z czasem użytkownicy znajdowali nietypowe metody obejścia zabezpieczeń. 0:00 Wstęp 0:52 PlayStation 1 1:45 Czarne płyty 2:11 Wobble groove 3:44 Port równoległy i Game Shark 4:44 Tworzenie własnych kodów do gier 6:14 Wykrywanie zmiany płyty ...
Oct 29, 2021•36 min•Season 2Ep. 4
Co sprawia, że banknoty są trudne do podrobienia? Jakich zabezpieczeń używa się w dokumentach? Jak one działają i czy da się odtworzyć niektóre metody w domu, przy użyciu ogólnodostępnych metod? Dowiesz się o „druku zabezpieczonym”, czyli rodzaju druku, którego celem jest zabezpieczenie ważnych dokumentów przed ich sfałszowaniem. Jako bonus usłyszysz jak odtworzyć niektóre zabezpieczenia w domu (oczywiście w nieco uproszczonej formie). Źródła: Prosty znak wodny: https://blog.doublehelix.csiro.au...
Oct 19, 2021•16 min•Season 2Ep. 3
Dlaczego do dekodera wkładamy kartę? Jak w przeszłości łamano zabezpieczenia telewizji satelitarnej? Czy da się stworzyć duplikat karty? Jak działały stare systemy zabezpieczeń Videocipher oraz Videocrypt? 📬Darmowy kurs mailingowy: https://szurek.tv/kurs 💬Facebook: https://www.facebook.com/groups/od0dopentestera 📷Instagram: https://www.instagram.com/kacper.szurek/ 🐦Twitter: https://twitter.com/kacperszurek 💬Discord: https://od0dopentestera.pl/discord Źródła: https://twitter.com/akacastor/st...
Oct 10, 2021•24 min•Season 2Ep. 2
Obecnie większość gier jest przypisywana do naszego wirtualnego konta na Steamie lub innej platformie. Ale jak w przeszłości twórcy gier chronili się przed kopiowaniem ich dzieł? ☎️ Jak używano specjalnego obrotowego koła - Dial a Pirate? 🖨️ Dlaczego do gier dołączano czerwone kartki? 🔎 Jak działało tajemnicze szkło (nie)powiększające? 📘 Po co w pudełkach znajdowały się malutkie książeczki z obrazkami? 💾 Co to są Fuzzy Bit - czyli bity które raz są 0 a raz 1? 💽 Jak Nintendo zabezpieczało sw...
Sep 29, 2021•53 min•Season 2Ep. 1
0:00 Wprowadzenie 1:11 Hierarchia w DNS 1:50 Problem "man in the middle" 2:30 Podstawy DNSSEC 3:07 RRset 3:40 RRsig 4:37 ZSK oraz KSK 5:17 Jak sprawdzić podpis 6:00 Analogia do podpisywania umowy 7:17 DNSKey 8:12 Weryfikacja DNSKey 9:05 Serwery ROOT 10:00 Ceremonia podpisywania kluczy 10:48 Podział na role 11:29 Krypto oficerowie 12:20 Odblokowanie modułu HSM 13:26 Dokumentacja 14:05 Sytuacje awaryjne Źródła: https://www.internetsociety.org/wp-content/uploads/2017/08/DNS-Key.jpg https://www.tech...
Sep 07, 2020•15 min•Season 1Ep. 71
Chcesz poczuć się jak prawdziwy szpieg obcego wywiadu nie wychodząc z domu? Spróbuj wykonać mikrokropkę – malutką fotografię wielkości ziarnka grochu, która może przechowywać treść całej kartki A4. Co to jest mikrofilm? Do czego służył i jak był wykorzystywany? 0:00 Mikrokropka 0:49 Co to jest mikrofilm, mikrokropka, mikropunkt 2:36 Jak tworzono miniaturowe fotografie w przeszłości i gdzie je chowano 4:09 Metoda Brytyjska tworzenia mikrofilmów 6:11 Faza druga - zmniejszanie rozmiaru przy pomocy ...
Aug 31, 2020•8 min•Season 1Ep. 70
Dziś każdy z nas może prowadzić tajne rozmowy telefoniczne przy pomocy smartfona i specjalnej aplikacji. Ale jeszcze kilkadziesiąt lat temu nie było to takie proste. W tym odcinku opowiem historię telefonu STU-III, który był używany w Stanach Zjednoczonych do prowadzenia tajnych rozmów. Dowiesz się: • Jak szyfrowano rozmowy podczas II Wojny Światowej • Jak wyglądała maszyna SIGSALY oraz mechanizm „turn tables” • Na czym polega szyfr z kluczem jednorazowym • Co to jest KSD-64 czyli fizyczny klucz...
Aug 29, 2020•11 min•Season 1Ep. 69
Jak chronić numer PESEL? Gdzie można uzyskać informacje o naszych kontach bankowych? Jak działa E-sąd? Jak działa BIK – Biuro Informacji Kredytowej? Gdzie zgłosić kradzież dowodu? Jak nie zostać słupem: https://www.youtube.com/watch?v=NUCVlSnA0hk Jak działa kradzież karty SIM: https://www.youtube.com/watch?v=FjDBMzweZj8 0:44 PESEL 1:34 Gdzie można znaleźć numery PESEL 5:52 Centralna informacja o rachunkach 8:08 E-sąd 9:46 Biuro informacji kredytowej 14:17 Bezpieczny PESEL 16:40 Co gdy ktoś wykor...
May 11, 2020•19 min•Season 1Ep. 68
Czy kody SMS z banku chronią nas przed atakiem? A może lepsza jest aplikacja mobilna? Jak działa dwuskładnikowe uwierzytelnianie? Czy można je obejść/zaatakować? Czym różni się 2FA od U2F? Po co nam klucze bezpieczeństwa - np. Yubikey? Jak chronić się przed phishingiem? Jak skonfigurować swoje konto pocztowe? Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Spotify: https://open.spotify.com/show/4qGXK...
Apr 19, 2020•1 hr 11 min•Season 1Ep. 67
Jak wyglądają narzędzia używane podczas ataków na firmy? Co mogą robić? Ile kosztują? * WiFi Pineapple - jak atakuje się sieci WIFI * USB Rubber Ducky - dlaczego powinieneś się wylogować gdy odchodzisz od komputera * USB Killer - niszczenie portów USB * Proxmark - czy klonowanie kart dostępu jest możliwe * MouseJack - bezpieczeństwo bezprzewodowych prezenterów * USB Ninja - czy rozróżnisz prawdziwy kabel od złośliwego Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybu...
Apr 06, 2020•43 min•Season 1Ep. 66
Jak zostać pentesterem/specjalistą bezpieczeństwa? Od czego zacząć naukę? Gdzie szukać materiałów edukacyjnych? Jakie ścieżki kariery istnieją? Czy znajomość programowania jest potrzebna? Czy kursy coś dają? Czy muszę mieć studia? Co to jest Bug Bounty i dlaczego może mi pomóc? Jakie umiejętności są przydatne/konieczne? Gdzie i jak można ćwiczyć? Co to jest CTF? Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confi...
Mar 30, 2020•1 hr 22 min•Season 1Ep. 66
Na co zwrócić uwagę podczas pracy z domu? Co ustawić i czego się obawiać? Proste porady w przystępnej formie z obszernymi wytłumaczeniami. Prezentacja do pobrania: https://cdn.szurek.pl/bezpieczenstwo_pracy_zdalnej_kacper_szurek.pdf Tekst na blogu: https://security.szurek.pl/bezpieczenstwo-pracy-zdalnej.html Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Materiały w formie tekstowej: https://securit...
Mar 22, 2020•33 min•Season 1Ep. 65
Dzisiaj o ataku BadWPAD, dzięki któremu można podsłuchiwać i modyfikować niezaszyfrowany ruch internetowy na twoim komputerze. Myślisz że temat Cię nie dotyczy? Jeżeli korzystasz z Windowsa i przeglądarki internetowej istnieje spora szansa, że używasz bądź używałeś tej funkcji w przeszłości nawet nie zdając sobie z tego sprawy? Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Materiał w formie tekstow...
Mar 16, 2020•12 min•Season 1Ep. 63
Jesteś programistą, który otrzymał zadanie naprawienia błędu typu XSS – czyli cross site scripting. Teoretycznie wiesz, że jest to możliwość wykonania zewnętrznego kodu JS w obrębie danej domeny. Z drugiej jednak strony, nie do końca rozumiesz pośpiech i konieczność ich naprawiania. Przecież samemu tworzysz kod na co dzień, więc co złego może się stać. A może jesteś prezesem firmy bądź osobą odpowiedzialną za bezpieczeństwo i nie wiesz jak wyjaśnić ten problem osobom mniej obeznanym w technologi...
Mar 09, 2020•12 min•Season 1Ep. 62
Dzisiaj o jednej z nowszych rodzajów podatności, tak zwanych Cross Site Leaks. Uogólniając, błędy tego rodzaju w specyficznych okolicznościach pozwalają na odpowiedź tak/nie na zadane wcześniej pytanie. Nie wydaje się to zatem niczym spektakularnym. Nie ma wybuchów i wykonywania zdalnego kodu na serwerze. Na pozór wydaje się zatem, że to nic nie znacząca klasa podatności. Diabeł tkwi w szczegółach i wszystko zależy od systemu, z jakim mamy do czynienia. Jeśli to serwer sądowy – można sprawdzić c...
Feb 17, 2020•12 min•Season 1Ep. 61
Wojciech Dworakowski - prezes firmy Securing. Na co zwrócić uwagę podczas zawierania kontraktu z firmą oferującą testy penetracyjne? Co to jest OWASP? Jak często zdarza się nie znajdować błędów? Transkrypcja wywiadu: https://security.szurek.pl/wojciech-dworakowski.html 0:54 Co to jest OWASP Top 10 2:23 Inne projekty OWASP to ... 5:56 Gdzie znajdę informacje o spotkaniach 7:15 Jak rozpocząć przygodę jako prelegent 9:52 Jak zmieniało się bezpieczeństwo na przestrzeni lat 11:31 Na co zwrócić uwagę ...
Feb 03, 2020•54 min•Season 1Ep. 60
Domowy router stanowi swoistą pierwszą linię obrony przed atakującymi. Jak się przed nimi obronić? Na jakie zagrożenia jesteśmy narażeni? Co warto sprawdzić? 1:32 Serwer DHCP 1:59 Dane DNS 2:40 DNS Hijacking 4:24 Botnet 5:10 Pliki na dysku 5:35 Firewall 6:11 WPA2 6:32 Łamanie haseł 7:28 Nazwa SSID 8:11 Standardowe hasła 8:44 WPS 9:13 UPNP 9:48 Port forwarding 10:29 Aktualizacje 10:54 Fizyczny dostęp 11:17 SSH, Telnet, SNPM 11:40 Błędy bezpieczeństwa 12:10 Logi 12:44 Weryfikacja konfiguracji 13:1...
Jan 13, 2020•14 min•Season 1Ep. 59
Marcin Ludwiszewski jest szefem zespołu „Cyber” w Deloitte. Zajmuje się testami ofensywnymi, obroną przed atakami oraz definiowaniem długoterminowych planów strategicznych w obrębie cyberbezpieczeństwa. Z wywiadu dowiesz się co to jest red teaming, na czym polega, jak wygląda taka praca oraz usłyszysz o ciekawych sytuacjach z życia. Transkrypcja wywiadu: https://security.szurek.pl/marcin-ludwiszewski.html 0:37 Co to jest red teaming? 1:42 Co jest wyznacznikiem sukcesu w red teamingu? 5:14 Czy ró...
Jan 07, 2020•1 hr 1 min•Season 1Ep. 58
TOFU (z angielskiego “Trust On First Use”) tłumaczymy na język polski jako „zaufanie przy pierwszym użyciu”. Mówiąc obrazowo: gdy pierwszy raz uzyskujemy jakąś informację, traktujemy ją jako pewnik i wykorzystujemy tą wiedzę kolejnym razem. W informatyce koronnym przykładem może być sytuacja, w której łączymy się z nowym serwerem przy użyciu protokołu SSH. Ale jak ten termin jest powiązany z komunikatorem Signal? Transkrypcja: https://security.szurek.pl/trust-on-first-use.html 1:20 Zaufanie przy...
Dec 09, 2019•15 min•Season 1Ep. 57
Jak wygląda przekręt na pomoc techniczną? Oszustwo z wykorzystaniem zwrotu środków. Jak przy pomocy socjotechniki nieupoważnionej osobie udało się zostać właścicielem domeny `gov`? Transkrypcja: https://security.szurek.pl/przekrety-przez-telefon.html 0:52 Własna subdomena gov 1:53 Konsekwencje przejęcia domeny 2:37 Wpływ na wybory 3:10 Jak powinna wyglądać weryfikacja domeny 3:45 Przejmowanie domen .pl 5:01 Jak działa Registry Lock 5:40 Zmiana numeru konta pracownika 6:48 Zmiana numeru konta pod...
Dec 02, 2019•13 min•Season 1Ep. 56
Metadata Service generuje dynamiczne klucze pozwalające na dostęp do różnych usług w chmurze Amazon. Dzięki temu nie ma potrzeby przechowywania haseł w kodzie strony. Niestety, dzięki podatności Server Side Request Forgery i błędów w kodzie strony, możliwe jest uzyskanie nieautoryzowanego dostęp do naszych danych. Aby temu zapobiec, EC2 wprowadza IMDSv2 mający zapobiec większości ataków. Transkrypcja: https://security.szurek.pl/imdsv2-amazon-ec2-instance-metadata-service.html 0:49 Jak przechowyw...
Nov 25, 2019•11 min•Season 1Ep. 55
Adam Lange pracuje jako VP Head of Cyber Threat Hunting w Standard Chartered Bank. Opowiada na czym polega Threat Hunting oraz co to jest phishing. Z wywiadu dowiesz się jak rozpocząć swoją przygodę z bezpieczeństwem a także co zrobić, gdy doszło do ataku na naszą osobę. Rozmawiamy także o PSD2, SIM-swap i metodach działania internetowych przestępców. Transkrypcja wywiadu: https://security.szurek.pl/adam-lange.html 0:16 Kim jesteś, co robisz? 0:42 Na czym polega Threat Hunting? 1:27 Proaktywne p...
Nov 18, 2019•40 min•Season 1Ep. 54
