Parę lat temu magazyn „The Guardian” zapytał osoby profesjonalnie zajmujące się bezpieczeństwem, jak chronić dzieci korzystające z Internetu. W dzisiejszym odcinku podcastu Szurkogadanie przedstawię te pomysły, a także rozszerzę je o swój komentarz. Jeżeli więc jesteś rodzicem, który dba o dobro dzieci – ten odcinek jest dla Ciebie. Materiał w formie tekstowej: https://security.szurek.pl/jak-chronic-dziecko-w-internecie.html 1:07 Zacznij rozmawiać jak najwcześniej 1:47 Tłumacz na czym polega bez...
Nov 12, 2019•16 min•Season 1Ep. 53
Dzisiaj moim gościem jest Krzysztof Kotowicz, który pracuje jako Senior Software Engineer w teamie Information Security Engineering w Google. Osoba, która o XSS wie naprawdę wiele. Z tego wywiadu dowiesz się o aktualnym stanie bezpieczeństwa serwisów internetowych i nowych standardach, które mają pomóc chronić użytkowników. Transkrypcja wywiadu: https://security.szurek.pl/krzysztof-kotowicz.html 0:18 Kim jesteś? 1:01 Co to jest XSS? 2:39 Jak przekonać biznes? 4:25 Jak działa Trusted Types? 5:21 ...
Nov 04, 2019•1 hr 9 min•Season 1Ep. 52
Jesteś prezesem lub osobą odpowiedzialną za bezpieczeństwo firmy? Zastanawiasz się jak zwiększyć bezpieczeństwo? A może program Bug Bounty? Co to takiego i czy mojej firmie się opłaci? Jakie są plusy i minusy? Postaram się obalić mity powiązane z tym tematem, a także opisać jak można rozpocząć wdrażanie takiego tematu z punktu widzenia firmy. Na czym można oszczędzić i ile to tak naprawdę kosztuje? Więcej informacji na blogu: https://security.szurek.pl/jak-uruchomic-program-bug-bounty-w-firmie.h...
Sep 23, 2019•20 min•Season 1Ep. 51
Na jakie metody oszustw można natknąć się przeglądając oferty na popularnych portalach ogłoszeniowych? Kim jest słup oraz jak można nim zostać? Jak to możliwe, że przestępca może wykonać przelew z naszego konta? Czy pośrednictwo w zakupie kryptowalut to dobra metoda dorabiania do kieszonkowego? Przesyłka za pobraniem nie taka bezpieczna jak się nam wydaje. Więcej informacji na blogu: http://security.szurek.pl/jak-nie-zostac-slupem-metody-oszustw.html 0:55 Nigeryjski przekręt 1:34 Darmowe przedmi...
Sep 16, 2019•15 min•Season 1Ep. 50
Jak rozpocząć swoja przygodę z poszukiwaniem błędów? Na co zwrócić szczególną uwagę? Zaczniemy od znalezienia interesującego nas programu. Następnie wyjaśnię co to jest zakres (scope). Później poszukamy subdomen, które można testować. Tutaj przydatny okaże się serwis Virustotal albo Certificate Transparency Log oraz archive.org. Dalej krótkie przypomnienie co to jest głębokie ukrycie i dlaczego nie powinno się go używać. Cały materiał zakończymy informacjami o rekonesansie i błędach, jakie można...
Sep 02, 2019•18 min•Season 1Ep. 49
Czy namawianie do akceptowania certyfikatu SSL, który wygasł i nie jest prawidłowy, jest OK? A może jest to sprzeczne z dobrymi praktykami? Jakie inne komunikaty błędów możemy napotkać podczas przeglądania Internetu przy pomocy protokołu HTTPS? O czym one świadczą i jakie są ich powody? A także kiedy mogą informować one o potencjalnym ataku, a kiedy tylko pokazują ignorancję właściciela witryny? Ja jestem Kacper Szurek, a to kolejny odcinek podcastu Szurkogadanie, w którym tłumaczę zawiłe kwesti...
Aug 26, 2019•18 min•Season 1Ep. 48
WordPress to najpopularniejszy system blogowy w Internecie. Średnio już co 3 strona korzysta właśnie z tego systemu do obsługi swoich treści. Jednak przez te lata wokół tego narzędzia narosło wiele mitów. Czy WordPress jest bezpieczny? Czy korzystanie z niego niesie za sobą jakieś konsekwencje? Ja jestem Kacper Szurek a to kolejny odcinek podcastu Szurkogadanie, w którym postaram się odpowiedzieć na to pytanie. Więcej informacji na blogu: https://security.szurek.pl/czy-wordpress-jest-bezpieczny....
Aug 12, 2019•16 min•Season 1Ep. 47
W jaki sposób można uzyskać nieautoryzowany dostęp do biura Twojej firmy? Jakie metody można zastosować aby ominąć ochronę, bramki bezpieczeństwa i panią na recepcji? Na jakie zachowanie należy zwrócić uwagę oraz dlaczego nie warto podpinać wiatraczków USB do naszego komputera? Przewodnik jak może wyglądać kontrolowane włamanie się do firmy. Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Transkrypcja: https://security.szurek.pl/kontrolowane-wlamanie-do-firmy.html 0:42 Rekon...
Aug 05, 2019•17 min•Season 1Ep. 46
W Internecie pojawiła się informacja iż już za niedługo możemy być świadkami końca błędów typu CSRF. Dzisiaj opowiem o mechanizmie SameSite cookie, którego celem jest ochrona przed atakami Cross Site Request Forgery. Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0...
Jul 29, 2019•17 min•Season 1Ep. 45
Średnio raz na parę miesięcy Internet obiega informacja o kolejnym wycieku danych z różnego rodzaju serwisów. Raz są tą same emaile, raz email razem z hasłami przechowywanymi w postaci hasza. Zdarzają się również wycieki z miejsc, w których nasze hasło zapisane było w czystej postaci - bez żadnego szyfrowania i haszowania. Media szybko podchwytują dany temat i budują swego rodzaju panikę w oparciu o takie zdarzenia. To sprawia, że coraz więcej osób zadaje sobie pytanie: "Czy ja również padłem of...
Jul 01, 2019•11 min•Season 1Ep. 44
Jeszcze kilkanaście lat temu gdy bankowość internetowa pomału wkraczała do naszego życia karty kodów jednorazowych były czymś normalnym. Oprócz loginu i hasła, które potrzebne jest do zalogowania się do serwisu transakcyjnego, każdy przelew musiał być dodatkowo potwierdzony. Dzięki takiemu podejściu bank był pewien, że został on zlecony przez prawowitego właściciela danego konta. Dlaczego te metody nie są wystarczające w dzisiejszym świecie? Jak można uzyskać dane do logowania do czyjegoś konta?...
Jun 24, 2019•16 min•Season 1Ep. 43
Dzisiaj o nowej funkcji, która już za jakiś czas znajdzie się w iPhone a w teorii ma pozwolić nam na odzyskanie skradzionego telefonu nawet gdy atakujący usunie z niego kartę sim a także nie podłączy go do żadnej sieci WiFi. Nowość ta ma się pojawić w iOS 13. Obecnie nie są znane wszystkie szczegóły na temat implementacji wykorzystanej przez firmę Apple. W materiale tym opisuje więc jak taka funkcja mogła by wyglądać a także na jakie szczegóły należy zwrócić uwagę z perspektywy bezpieczeństwa i ...
Jun 17, 2019•12 min•Season 1Ep. 42
W prostych słowach szyfrowanie to proces przekształcenia tekstu czytelnego dla człowieka do innej niezrozumiałej postaci, tak aby osoba bez klucza nie była w stanie odczytać informacji tam zawartych. W przeszłości używano prymitywnych metod. Ich prostota wynikała głównie z faktu iż tekst szyfrował człowiek - bez pomocy żadnych dodatkowych maszyn. Ale teraz mamy komputery - sytuacja wygląda więc zgoła inaczej. Dlaczego więc chcielibyśmy szyfrować nasze pliki na dysku twardym? Wiele osób może tera...
Jun 10, 2019•14 min•Season 1Ep. 41
Jak stracić milion dolarów? Historia miłosnego zauroczenia. Wykorzystanie newslettera do przenoszenia złośliwego oprogramowania - jak przestępcy wykorzystują naszą niechęć do reklam. CSS jako metoda infiltracji tajnych danych na stronach internetowych - wyjaśnienie zasady działania Sequential Import Chaining. Co to jest plik `apple-app-site-association` i jakie dane można w nim znaleźć. Odnośniki na stronach internetowych użyte do atakowania konkurencji - o funkcji ping w tagu a href. Nowa sztuc...
Apr 22, 2019•20 min•Season 1Ep. 40
Jak zmiana daty urodzenia na Twitterze, może sprawić nie lada kłopoty. Dlaczego nie warto używać wyrażeń regularnych do sprawdzania poprawności domeny. Shodan monitor - czyli ostatni bastion bezpieczeństwa naszych serwerów. Dystrybucja Windowsa dla pentesterów? Parę słów na temat commando VM. Jak testować bezpieczeństwo sklepów internetowych. Szybkie i proste metody do sprawdzenia. Co to jest credential stuffing i jak się przed nim obronić. A także o ekosystemie rozszerzeń do WordPressa. Spotify...
Apr 16, 2019•18 min•Season 1Ep. 39
Co to jest atak BadUSB? Czyli jak podpinając Raspberry Pi do routera można monitorować ruch w danej sieci. Na czym polegał błąd SQL Injection w oprogramowaniu sklepu internetowego Magento oraz jak sklepy używające integracji z Paypalem są używane przez przestępców do sprawdzania poprawności kart kredytowych. Co oznacza termin `trust on first use` w odniesieniu do internetowych komunikatorów - czyli o tym jak sprawdzać, kto czai się po drugiej stronie czatu. Anonimizacja to nie taka prosta sprawa...
Apr 08, 2019•24 min•Season 1Ep. 38
Podszywanie się pod okno przeglądarki na iPhone’ie - o ataku Picture in Picture. Jak sprawdzić gdzie byliśmy na wakacjach bez naszej zgody? O podatności Cross-site Search. Czy słyszałeś o Google BigQuery? Przeszukiwanie wielu gigabajtów danych w celu odnalezienia tokenów API na GitHubie. Jak podszyć się pod dowolny adres IP? O zdalnym wykonaniu kodu w infrastrukturze Mozilli. Używanie legalnych komponentów do rozpowszechniania złośliwego oprogramowania - jak wykorzystano serwis Firebase. Oszustw...
Apr 01, 2019•26 min•Season 1Ep. 37
Jak dzieci omijają blokady rodzicielskie na komputerach przy użyciu strony Google Docs. Do czego może prowadzić udostępnianie swoich zdjęć w Internecie na licencji Creative Commons. Bezpieczne przechowywanie plików w chmurze - o konfiguracji współdzielonych folderów w usłudze box.com Co było powodem unieważnienia dwóch milionów certyfikatów SSL - o brakującym bicie w numerze seryjnym. Czy wiesz co można odnaleźć w zakładce `Ważne miejsca` w iPhone’ie? A także o badaniu pokazującym kiedy programi...
Mar 25, 2019•19 min•Season 1Ep. 36
Dlaczego menadżery haseł to skomplikowany kawałek technologii - o prawidłowym rozpoznawaniu subdomen. Jak złośliwy serwer MySQL może pobrać dane od klienta. Co jest powodem rozpowszechniania złośliwego oprogramowania w sieci torrent? O meandrach języka PHP - jak to możliwe że fałsz to prawda. A na koniec jak działają ataki czasowe. 0:58 https://goo.gl/6CiLcV Publiczne strony wiki na GitHubie 3:05 https://goo.gl/9AvGD5 MySQL honeypot 5:38 https://goo.gl/D35DNG Rozpoznawanie subdomen w menadżerach...
Mar 18, 2019•24 min•Season 1Ep. 35
Jak włamać się do systemów rozrywki obecnych w samolotach pasażerskich. Jak obejść mechanizm Attack Surface Reduction mający chronić użytkowników przed złośliwymi makrami w pakiecie Office. Następnie historia o dodatkowej spacji doklejanej do niektórych odpowiedzi serwera WWW na której podstawie możliwe było wykrycie złośliwych serwerów Cobal Strike. Chwilę później o plikach polyglots, które umożliwiają przechowywanie informacji różnego typu w jednym pliku. Na koniec o tym jak można było pozyska...
Mar 11, 2019•23 min•Season 1Ep. 34
Czy portale społecznościowe mogą wpłynąć na wyniki operacji wojskowej? Jak usunąć kompromitujące materiały z sieci udając prokuratora generalnego? Co to jest brickowanie urządzeń czyli jak przekonać użytkownika do kupna nowego sprzętu pomimo iż stary działa prawidłowo. Znalazłeś błąd bezpieczeństwa na stronie i nie wiesz jak powiadomić o nim firmę? Garść informacji na temat pliku security.txt który ma służyć właśnie do tego celu. A także wytłumaczenie błędu, który odnaleziono w programie WinRAR ...
Mar 04, 2019•25 min•Season 1Ep. 33
Czy wiesz co oznacza termin catastrophic destruction? Jakie dane zbiera na nasz temat Netflix i do czego mogą one zostać użyte w przyszłości? Następnie techniczny opis ataku podniesienia uprawnień w linuxie - czyli dlaczego czasami nie warto wprowadzać kolejnych warstw abstrakcji do kodu źródłowego. Opowiem także o tym jak wyciek naszego adresu zamieszkania może doprowadzić do braku snu a także o mało znanej funkcji Amazon S3. Na koniec porozmawiamy o elektrycznych hulajnogach i testowaniu bezpi...
Feb 25, 2019•21 min•Season 1Ep. 32
Różne adresy email prowadzące do jednej osoby - o kropkach w serwisie Gmail. Sposób na kradzież pieniędzy od użytkowników ebooków. Phishing przy pomocy tłumacza Google Translate. Czy ustawianie wiadomości autorespondera w biznesowej poczcie to dobry pomysł? Co to jest `session replay` - czyli jak śledzić poczynania użytkowników aplikacji mobilnych. Opowieść o linkach z sekretami - jakie dane można znaleźć na serwisie `VirusTotal`? Do czego służy Facebook Custom Audiences a także o programach Bug...
Feb 18, 2019•21 min•Season 1Ep. 31
Grupa: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Jak sprawdzić czy legitymacja studencka jest sfałszowana? Atakowanie kamer rozpoznających znaki ograniczenia prędkości w nowoczesnych samochodach. Co to jest Jailbreak i jak można go wykryć z poziomu aplikacji na telefon? Jak nadużywa się mechanizmów ochrony praw autorskich aby uzyskać okup od Youtuberów? Parę słów o bezpieczeństwie skrótów Siri. Konsekwencje testów...
Feb 11, 2019•23 min•Season 1Ep. 30
Co to jest domain hijacking i jak się przed nim bronić. Quiz na temat phishingu od Google. Jak przejąć domenę poprzez błędny rekord DNS? Dlaczego tajny token do podpisywania ciasteczek musi być losowy? Historia wspólnego klucza prywatnego używanego przez wiele stron. Poradnik bezpieczeństwa dla Iphona. Jak powinien wyglądać dobry raport z testu penetracyjnego? Kopiowanie kodu ze StackOverflow początkiem problemów. Grupa: https://www.facebook.com/groups/od0dopentestera/ Transkrypcja: https://secu...
Feb 04, 2019•18 min•Season 1Ep. 29
Po co ktoś kradnie konta na Instagramie? Dlaczego nie warto umieszczać zdjęć kart pokładowych w serwisach społecznościowych? Kilka porad mających nauczyć nas poszukiwania ukrytych kamer oraz nowy sposób przenoszenia złośliwego oprogramowania przy pomocy podpisanych plików .msi Transkrypcja: https://security.szurek.pl/szurkogadanie-28.html Grupa: https://www.facebook.com/groups/od0dopentestera/ Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Google Pod...
Jan 28, 2019•15 min•Season 1Ep. 28
W tym odcinku o błędzie w wyszukiwarce Google, który pozwalał na tworzenie fałszywych informacji. Grupa: https://www.facebook.com/groups/od0dopentestera/ Opowiem także jak przestępcy omijają wykrywanie swoich złośliwych domen przy użyciu niewidocznej spacji. Czy kurz na kamerze może się komuś przydać? O wykrywaniu osób ze sobą powiązanych na podstawie brudu na obiektywie a także jak i dlaczego zaatakowano urządzenia Google Chromecast służące do strumieniowania treści na telewizorze. Apple Podcas...
Jan 21, 2019•17 min•Season 1Ep. 27
Tym razem dowiesz się to co jest Google Dorks - czyli jak wyszukiwać informacje w Internecie. Opiszę również jak naukowcom udało się złamać projekt reCaptcha oraz dlaczego konkursy typu CTF mogą być dobrym wstępem do nauki bezpieczeństwa. Na koniec błąd w Skypie umożliwiający dostęp do zablokowanego telefonu oraz lista najdroższych wypłat gotówki w ramach programów Bug Bounty. Grupa: https://www.facebook.com/groups/od0dopentestera/ Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szure...
Jan 14, 2019•16 min•Season 1Ep. 26
Co to są `Canary Tokens` i jak można wykorzystać je do wykrycia włamania we wczesnej jego fazie. Czy hasła maskowane stosowane w bankach to rzeczywiście taki dobry pomysł oraz o nowej metodzie ataku poprzez kabel USB podpinany do komputera Grupa: https://www.facebook.com/groups/od0dopentestera/ YouTube: https://www.youtube.com/c/kacperszurek Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Google Podcasts: https://www.google.com/podcasts?feed=aHR0cHM6L...
Jan 07, 2019•19 min•Season 1Ep. 25
Czy phishing może doprowadzić do ewakuacji szkoły? Dowiesz się również jak nie cenzurować internetowych map oraz jak można wykraść tajne dane z telefonu, jeżeli podłączymy go do złośliwej ładowarki. Grupa: https://www.facebook.com/groups/od0dopentestera/ Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Google Podcasts: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Spotify: https://open.spotify.com/show/4qGXKJ...
Dec 24, 2018•15 min•Season 1Ep. 24
