59 episodes

Przegląd zagadnień security.

Kacper Szurek Kacper Szurek

    • Technology

Przegląd zagadnień security.

    Jak zabezpieczyć router – bezpieczeństwo sieci domowej?

    Jak zabezpieczyć router – bezpieczeństwo sieci domowej?

    Domowy router stanowi swoistą pierwszą linię obrony przed atakującymi. 

    Jak się przed nimi obronić? Na jakie zagrożenia jesteśmy narażeni? Co warto sprawdzić?



    1:32 Serwer DHCP

    1:59 Dane DNS

    2:40 DNS Hijacking

    4:24 Botnet

    5:10 Pliki na dysku

    5:35 Firewall

    6:11 WPA2

    6:32 Łamanie haseł

    7:28 Nazwa SSID

    8:11 Standardowe hasła

    8:44 WPS

    9:13 UPNP

    9:48 Port forwarding

    10:29 Aktualizacje

    10:54 Fizyczny dostęp

    11:17 SSH, Telnet, SNPM

    11:40 Błędy bezpieczeństwa

    12:10 Logi

    12:44 Weryfikacja konfiguracji

    13:12 Punkty do sprawdzenia



    Materiał w formie tekstowej: https://security.szurek.pl/jak-zabezpieczyc-router-bezpieczenstwo-sieci-domowej.html

    Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/



    Lista punktów do sprawdzenia: https://routersecurity.org/

    Weryfikacja publicznych adresów: https://www.shodan.io/



    Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O

    Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz

    Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4

    Anchor: https://anchor.fm/kacperszurek/



    #podcast #szurkogadanie #router

    • 13 min
    Marcin Ludwiszewski: O cyberatakach, obronie i red teamingu

    Marcin Ludwiszewski: O cyberatakach, obronie i red teamingu

    Marcin Ludwiszewski jest szefem zespołu „Cyber” w Deloitte. Zajmuje się testami ofensywnymi, obroną przed atakami oraz definiowaniem długoterminowych planów strategicznych w obrębie cyberbezpieczeństwa. Z wywiadu dowiesz się co to jest red teaming, na czym polega, jak wygląda taka praca oraz usłyszysz o ciekawych sytuacjach z życia.



    Transkrypcja wywiadu: https://security.szurek.pl/marcin-ludwiszewski.html



    0:37 Co to jest red teaming?

    1:42 Co jest wyznacznikiem sukcesu w red teamingu?

    5:14 Czy różni się od testu penetracyjnego?

    6:17 Ile kosztuje red teaming?

    9:15 Aspekty prawne

    13:11 Czy korzystacie z wytrychów?

    17:04 Czy atakujecie komórki?

    19:00 Co to jest wstępne rozpoznanie?

    21:53 Czy zdarzyły się wam wpadki?

    24:11 Ciekawe sytuacje

    33:05 Ulubione narzędzia

    35:37 Polecane książki

    36:53 Różnica pomiędzy sektorem publicznym i prywatnym

    39:46 Czego nauczyła Cię praca w ABW?

    40:17 Jak zachęcić młodych zdolnych?

    41:29 Co to jest CSIRT?

    43:31 Bezpieczeństwo urzędów

    44:49 W co zainwestować pieniądze?

    48:41 Jak edukować pracowników?

    50:32 Cyberarmia

    51:00 Najczęściej popełniane błędy

    52:12 Bezpieczeństwo dzieci w Internecie

    53:44 Klucze sprzętowe w organizacjach

    54:44 Jak radzić sobie ze stresem

    56:52 Najlepszy czas i data do przeprowadzenia ataku to ...

    59:12 Strategie bezpieczeństwa



    Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/

    Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1



    Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O

    Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz

    Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4

    Anchor: https://anchor.fm/kacperszurek/



    #podcast #szurkogadanie #deloitte

    • 1 hr
    Jak działa kod zabezpieczenia w Signal?

    Jak działa kod zabezpieczenia w Signal?

    TOFU (z angielskiego “Trust On First Use”) tłumaczymy na język polski jako „zaufanie przy pierwszym użyciu”. Mówiąc obrazowo: gdy pierwszy raz uzyskujemy jakąś informację, traktujemy ją jako pewnik i wykorzystujemy tą wiedzę kolejnym razem.

    W informatyce koronnym przykładem może być sytuacja, w której łączymy się z nowym serwerem przy użyciu protokołu SSH.

    Ale jak ten termin jest powiązany z komunikatorem Signal?



    Transkrypcja: https://security.szurek.pl/trust-on-first-use.html



    1:20 Zaufanie przy pierwszym użyciu

    2:25 Zielone światło sygnalizatora

    3:23 Dziennik ustaw

    4:22 NASK 

    5:06 HTTPS

    6:16 Podpisany plik PDF

    7:28 Klucz publiczny

    8:50 Kod zabezpieczenia

    9:39 Reinstalacja aplikacji

    11:05 Siatka kontaktów

    12:17 Key signing party

    13:12 Keybase

    13:51 Potencjalne rozwiązanie problemu



    NASK: https://www.dns.pl/regulamin_gov_pl

    Let’s Encrypt: https://letsencrypt.org/

    Dziennik ustaw: http://dziennikustaw.gov.pl/

    Narodowe Centrum Certyfikacji: https://www.nccert.pl/

    Signal: https://signal.org/blog/safety-number-updates/

    GPG: https://gnupg.org/

    MIT PGP Public Key Server: https://pgp.mit.edu/

    Key signing party: https://en.wikipedia.org/wiki/Key_signing_party

    Web of trust: https://en.wikipedia.org/wiki/Web_of_trust

    Keybase: https://keybase.io/blog/chat-apps-softer-than-tofu



    Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/

    Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1



    Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O

    Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz

    Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4

    Anchor: https://anchor.fm/kacperszurek/



    #podcast #signal #whatsapp

    • 14 min
    Przekręty przez telefon

    Przekręty przez telefon

    Jak wygląda przekręt na pomoc techniczną?

    Oszustwo z wykorzystaniem zwrotu środków.

    Jak przy pomocy socjotechniki nieupoważnionej osobie udało się zostać właścicielem domeny `gov`?



    Transkrypcja: https://security.szurek.pl/przekrety-przez-telefon.html



    0:52 Własna subdomena gov

    1:53 Konsekwencje przejęcia domeny

    2:37 Wpływ na wybory

    3:10 Jak powinna wyglądać weryfikacja domeny

    3:45 Przejmowanie domen .pl

    5:01 Jak działa Registry Lock

    5:40 Zmiana numeru konta pracownika

    6:48 Zmiana numeru konta podwykonawcy

    7:17 Przekręt na zwrot środków

    8:18 Zmiana kodu HTML na komputerze ofiary

    9:15 Zakup kart zdrapek

    9:41 Fałszywa pomoc techniczna

    10:17 Wyskakujące reklamy

    11:03 Etap straszenia

    12:02 Więcej informacji



    Blog Brian Krebs: https://krebsonsecurity.com/2019/11/its-way-too-easy-to-get-a-gov-domain-name/

    Jak działa Registry Lock: https://www.dns.pl/pl_registry_lock

    Kanał Jim Browning: https://www.youtube.com/channel/UCBNG0osIBAprVcZZ3ic84vw

    Informacje Microsoft: https://support.microsoft.com/en-au/help/4013405/windows-protect-from-tech-support-scams



    Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/

    Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1



    Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O

    Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz

    Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4

    Anchor: https://anchor.fm/kacperszurek/



    #podcast #scam #oszustwo

    • 12 min
    IMDSv2: Ochrona przed atakami SSRF

    IMDSv2: Ochrona przed atakami SSRF

    Metadata Service generuje dynamiczne klucze pozwalające na dostęp do różnych usług w chmurze Amazon.

    Dzięki temu nie ma potrzeby przechowywania haseł w kodzie strony.

    Niestety, dzięki podatności Server Side Request Forgery i błędów w kodzie strony, możliwe jest uzyskanie nieautoryzowanego dostęp do naszych danych.

    Aby temu zapobiec, EC2 wprowadza IMDSv2 mający zapobiec większości ataków.



    Transkrypcja: https://security.szurek.pl/imdsv2-amazon-ec2-instance-metadata-service.html



    0:49 Jak przechowywać klucze API w chmurze

    1:28 Co to jest EC2 Instance Metadata Service

    2:29 Na czym polega Server Side Request Forgery

    3:31 Jak filtrować dane od użytkownika

    4:23 Amazon EC2 Instance Metadata Service (IMDSv2)

    5:05 Pobieranie tokena przy użyciu metody PUT

    6:18 Ochrona przed błędnie skonfigurowanymi serwerami Reverse Proxy

    7:54 Ochrona przed błędnie skonfigurowanymi serwerami VPN

    8:26 Pakiety z niską wartością TTL

    9:18 Wnioski



    Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/

    Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1



    Materiały prasowe: https://aws.amazon.com/blogs/security/defense-in-depth-open-firewalls-reverse-proxies-ssrf-vulnerabilities-ec2-instance-metadata-service/



    Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O

    Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz

    Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4

    Anchor: https://anchor.fm/kacperszurek/



    #podcast #ssrf #ec2

    • 10 min
    Adam Lange: róbcie bezpieczeństwo, będzie fajnie, mamy cukierki

    Adam Lange: róbcie bezpieczeństwo, będzie fajnie, mamy cukierki

    Adam Lange pracuje jako VP Head of Cyber Threat Hunting w Standard Chartered Bank.

    Opowiada na czym polega Threat Hunting oraz co to jest phishing.

    Z wywiadu dowiesz się jak rozpocząć swoją przygodę z bezpieczeństwem a także co zrobić, gdy doszło do ataku na naszą osobę.

    Rozmawiamy także o PSD2, SIM-swap i metodach działania internetowych przestępców.



    Transkrypcja wywiadu: https://security.szurek.pl/adam-lange.html



    0:16 Kim jesteś, co robisz?

    0:42 Na czym polega Threat Hunting?

    1:27 Proaktywne podejście do obrony

    2:25 Co jest najtrudniejsze w Twojej pracy

    3:26 Stosunek zagrożeń do fałszywych alarmów

    4:04 Metody działania przestępców

    5:25 Czy automatyzacja pracy jest możliwa

    6:20 Co z małymi firmami

    7:46 Jak zastąpić IOC

    10:00 Makra w Office

    11:45 Chmura a bezpieczeństwo

    13:02 Praca zdalna i własne urządzenia

    14:29 Na czym polega phishing

    15:48 Edukacja dzieci

    17:04 Jak rozpoznać prawdziwą witrynę banku

    19:18 Gdzie zgłosić złośliwą witrynę

    21:09 Usunięcie strony z Internetu

    24:01 Co sądzisz o PSD2

    26:16 SIM-swap

    28:12 Rada dla początkujących

    29:45 Adam Lange programuje w ...

    31:40 Ulubiony przykład phishingu

    32:51 Metoda picture-in-picture 

    33:46 Atak homograficzny

    34:51 Kto jest odpowiedzialny za kradzież

    36:56 Co zrobić gdy padliśmy ofiarą ataku



    Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/

    Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1



    Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O

    Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz

    Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4

    Anchor: https://anchor.fm/kacperszurek/



    #podcast #szurkogadanie #lange

    • 39 min

Top Podcasts In Technology

Listeners Also Subscribed To