Kacper Szurek Podcasty

0:00 Wprowadzenie 1:11 Hierarchia w DNS 1:50 Problem "man in the middle" 2:30 Podstawy DNSSEC 3:07 RRset 3:40 RRsig 4:37 ZSK oraz KSK 5:17 Jak sprawdzić podpis 6:00 Analogia do podpisywania umowy 7:17 DNSKey 8:12 Weryfikacja DNSKey 9:05 Serwery ROOT 10:00 Ceremonia podpisywania kluczy 10:48 Podział na role 11:29 Krypto oficerowie 12:20 Odblokowanie…

Chcesz poczuć się jak prawdziwy szpieg obcego wywiadu nie wychodząc z domu? Spróbuj wykonać mikrokropkę – malutką fotografię wielkości ziarnka grochu, która może przechowywać treść całej kartki A4. Co to jest mikrofilm? Do czego służył i jak był wykorzystywany? 0:00 Mikrokropka 0:49 Co to jest mikrofilm, mikrokropka, mikropunkt 2:36 Jak tworzono mi…

Dziś każdy z nas może prowadzić tajne rozmowy telefoniczne przy pomocy smartfona i specjalnej aplikacji. Ale jeszcze kilkadziesiąt lat temu nie było to takie proste. W tym odcinku opowiem historię telefonu STU-III, który był używany w Stanach Zjednoczonych do prowadzenia tajnych rozmów. Dowiesz się: • Jak szyfrowano rozmowy podczas II Wojny Światow…

Jak chronić numer PESEL? Gdzie można uzyskać informacje o naszych kontach bankowych? Jak działa E-sąd? Jak działa BIK – Biuro Informacji Kredytowej? Gdzie zgłosić kradzież dowodu? Jak nie zostać słupem: https://www.youtube.com/watch?v=NUCVlSnA0hk Jak działa kradzież karty SIM: https://www.youtube.com/watch?v=FjDBMzweZj8 0:44 PESEL 1:34 Gdzie można …

Czy kody SMS z banku chronią nas przed atakiem? A może lepsza jest aplikacja mobilna? Jak działa dwuskładnikowe uwierzytelnianie? Czy można je obejść/zaatakować? Czym różni się 2FA od U2F? Po co nam klucze bezpieczeństwa - np. Yubikey? Jak chronić się przed phishingiem? Jak skonfigurować swoje konto pocztowe? Grupa na Facebooku: https://www.faceboo…

Jak wyglądają narzędzia używane podczas ataków na firmy? Co mogą robić? Ile kosztują? * WiFi Pineapple - jak atakuje się sieci WIFI * USB Rubber Ducky - dlaczego powinieneś się wylogować gdy odchodzisz od komputera * USB Killer - niszczenie portów USB * Proxmark - czy klonowanie kart dostępu jest możliwe * MouseJack - bezpieczeństwo bezprzewodowych…

Jak zostać pentesterem/specjalistą bezpieczeństwa? Od czego zacząć naukę? Gdzie szukać materiałów edukacyjnych? Jakie ścieżki kariery istnieją? Czy znajomość programowania jest potrzebna? Czy kursy coś dają? Czy muszę mieć studia? Co to jest Bug Bounty i dlaczego może mi pomóc? Jakie umiejętności są przydatne/konieczne? Gdzie i jak można ćwiczyć? C…

Na co zwrócić uwagę podczas pracy z domu? Co ustawić i czego się obawiać? Proste porady w przystępnej formie z obszernymi wytłumaczeniami. Prezentacja do pobrania: https://cdn.szurek.pl/bezpieczenstwo_pracy_zdalnej_kacper_szurek.pdf Tekst na blogu: https://security.szurek.pl/bezpieczenstwo-pracy-zdalnej.html Grupa na Facebooku: https://www.facebook…

Dzisiaj o ataku BadWPAD, dzięki któremu można podsłuchiwać i modyfikować niezaszyfrowany ruch internetowy na twoim komputerze. Myślisz że temat Cię nie dotyczy? Jeżeli korzystasz z Windowsa i przeglądarki internetowej istnieje spora szansa, że używasz bądź używałeś tej funkcji w przeszłości nawet nie zdając sobie z tego sprawy? Grupa na Facebooku: …

TOFU (z angielskiego “Trust On First Use”) tłumaczymy na język polski jako „zaufanie przy pierwszym użyciu”. Mówiąc obrazowo: gdy pierwszy raz uzyskujemy jakąś informację, traktujemy ją jako pewnik i wykorzystujemy tą wiedzę kolejnym razem. W informatyce koronnym przykładem może być sytuacja, w której łączymy się z nowym serwerem przy użyciu protok…

Jak wygląda przekręt na pomoc techniczną? Oszustwo z wykorzystaniem zwrotu środków. Jak przy pomocy socjotechniki nieupoważnionej osobie udało się zostać właścicielem domeny `gov`? Transkrypcja: https://security.szurek.pl/przekrety-przez-telefon.html 0:52 Własna subdomena gov 1:53 Konsekwencje przejęcia domeny 2:37 Wpływ na wybory 3:10 Jak powinna …

Metadata Service generuje dynamiczne klucze pozwalające na dostęp do różnych usług w chmurze Amazon. Dzięki temu nie ma potrzeby przechowywania haseł w kodzie strony. Niestety, dzięki podatności Server Side Request Forgery i błędów w kodzie strony, możliwe jest uzyskanie nieautoryzowanego dostęp do naszych danych. Aby temu zapobiec, EC2 wprowadza I…

Adam Lange pracuje jako VP Head of Cyber Threat Hunting w Standard Chartered Bank. Opowiada na czym polega Threat Hunting oraz co to jest phishing. Z wywiadu dowiesz się jak rozpocząć swoją przygodę z bezpieczeństwem a także co zrobić, gdy doszło do ataku na naszą osobę. Rozmawiamy także o PSD2, SIM-swap i metodach działania internetowych przestępc…

Parę lat temu magazyn „The Guardian” zapytał osoby profesjonalnie zajmujące się bezpieczeństwem, jak chronić dzieci korzystające z Internetu. W dzisiejszym odcinku podcastu Szurkogadanie przedstawię te pomysły, a także rozszerzę je o swój komentarz. Jeżeli więc jesteś rodzicem, który dba o dobro dzieci – ten odcinek jest dla Ciebie. Materiał w form…

Dzisiaj moim gościem jest Krzysztof Kotowicz, który pracuje jako Senior Software Engineer w teamie Information Security Engineering w Google. Osoba, która o XSS wie naprawdę wiele. Z tego wywiadu dowiesz się o aktualnym stanie bezpieczeństwa serwisów internetowych i nowych standardach, które mają pomóc chronić użytkowników. Transkrypcja wywiadu: ht…

Jesteś prezesem lub osobą odpowiedzialną za bezpieczeństwo firmy? Zastanawiasz się jak zwiększyć bezpieczeństwo? A może program Bug Bounty? Co to takiego i czy mojej firmie się opłaci? Jakie są plusy i minusy? Postaram się obalić mity powiązane z tym tematem, a także opisać jak można rozpocząć wdrażanie takiego tematu z punktu widzenia firmy. Na cz…

Na jakie metody oszustw można natknąć się przeglądając oferty na popularnych portalach ogłoszeniowych? Kim jest słup oraz jak można nim zostać? Jak to możliwe, że przestępca może wykonać przelew z naszego konta? Czy pośrednictwo w zakupie kryptowalut to dobra metoda dorabiania do kieszonkowego? Przesyłka za pobraniem nie taka bezpieczna jak się nam…

Jak rozpocząć swoja przygodę z poszukiwaniem błędów? Na co zwrócić szczególną uwagę? Zaczniemy od znalezienia interesującego nas programu. Następnie wyjaśnię co to jest zakres (scope). Później poszukamy subdomen, które można testować. Tutaj przydatny okaże się serwis Virustotal albo Certificate Transparency Log oraz archive.org. Dalej krótkie przyp…

Czy namawianie do akceptowania certyfikatu SSL, który wygasł i nie jest prawidłowy, jest OK? A może jest to sprzeczne z dobrymi praktykami? Jakie inne komunikaty błędów możemy napotkać podczas przeglądania Internetu przy pomocy protokołu HTTPS? O czym one świadczą i jakie są ich powody? A także kiedy mogą informować one o potencjalnym ataku, a kied…

WordPress to najpopularniejszy system blogowy w Internecie. Średnio już co 3 strona korzysta właśnie z tego systemu do obsługi swoich treści. Jednak przez te lata wokół tego narzędzia narosło wiele mitów. Czy WordPress jest bezpieczny? Czy korzystanie z niego niesie za sobą jakieś konsekwencje? Ja jestem Kacper Szurek a to kolejny odcinek podcastu …

W jaki sposób można uzyskać nieautoryzowany dostęp do biura Twojej firmy? Jakie metody można zastosować aby ominąć ochronę, bramki bezpieczeństwa i panią na recepcji? Na jakie zachowanie należy zwrócić uwagę oraz dlaczego nie warto podpinać wiatraczków USB do naszego komputera? Przewodnik jak może wyglądać kontrolowane włamanie się do firmy. Grupa …

W Internecie pojawiła się informacja iż już za niedługo możemy być świadkami końca błędów typu CSRF. Dzisiaj opowiem o mechanizmie SameSite cookie, którego celem jest ochrona przed atakami Cross Site Request Forgery. Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_con…

Średnio raz na parę miesięcy Internet obiega informacja o kolejnym wycieku danych z różnego rodzaju serwisów. Raz są tą same emaile, raz email razem z hasłami przechowywanymi w postaci hasza. Zdarzają się również wycieki z miejsc, w których nasze hasło zapisane było w czystej postaci - bez żadnego szyfrowania i haszowania. Media szybko podchwytują …

Jeszcze kilkanaście lat temu gdy bankowość internetowa pomału wkraczała do naszego życia karty kodów jednorazowych były czymś normalnym. Oprócz loginu i hasła, które potrzebne jest do zalogowania się do serwisu transakcyjnego, każdy przelew musiał być dodatkowo potwierdzony. Dzięki takiemu podejściu bank był pewien, że został on zlecony przez prawo…

Dzisiaj o nowej funkcji, która już za jakiś czas znajdzie się w iPhone a w teorii ma pozwolić nam na odzyskanie skradzionego telefonu nawet gdy atakujący usunie z niego kartę sim a także nie podłączy go do żadnej sieci WiFi. Nowość ta ma się pojawić w iOS 13. Obecnie nie są znane wszystkie szczegóły na temat implementacji wykorzystanej przez firmę …

W prostych słowach szyfrowanie to proces przekształcenia tekstu czytelnego dla człowieka do innej niezrozumiałej postaci, tak aby osoba bez klucza nie była w stanie odczytać informacji tam zawartych. W przeszłości używano prymitywnych metod. Ich prostota wynikała głównie z faktu iż tekst szyfrował człowiek - bez pomocy żadnych dodatkowych maszyn. A…

Jak stracić milion dolarów? Historia miłosnego zauroczenia. Wykorzystanie newslettera do przenoszenia złośliwego oprogramowania - jak przestępcy wykorzystują naszą niechęć do reklam. CSS jako metoda infiltracji tajnych danych na stronach internetowych - wyjaśnienie zasady działania Sequential Import Chaining. Co to jest plik `apple-app-site-associa…

Jak zmiana daty urodzenia na Twitterze, może sprawić nie lada kłopoty. Dlaczego nie warto używać wyrażeń regularnych do sprawdzania poprawności domeny. Shodan monitor - czyli ostatni bastion bezpieczeństwa naszych serwerów. Dystrybucja Windowsa dla pentesterów? Parę słów na temat commando VM. Jak testować bezpieczeństwo sklepów internetowych. Szybk…

Co to jest atak BadUSB? Czyli jak podpinając Raspberry Pi do routera można monitorować ruch w danej sieci. Na czym polegał błąd SQL Injection w oprogramowaniu sklepu internetowego Magento oraz jak sklepy używające integracji z Paypalem są używane przez przestępców do sprawdzania poprawności kart kredytowych. Co oznacza termin `trust on first use` w…

Podszywanie się pod okno przeglądarki na iPhone’ie - o ataku Picture in Picture. Jak sprawdzić gdzie byliśmy na wakacjach bez naszej zgody? O podatności Cross-site Search. Czy słyszałeś o Google BigQuery? Przeszukiwanie wielu gigabajtów danych w celu odnalezienia tokenów API na GitHubie. Jak podszyć się pod dowolny adres IP? O zdalnym wykonaniu kod…

Jak dzieci omijają blokady rodzicielskie na komputerach przy użyciu strony Google Docs. Do czego może prowadzić udostępnianie swoich zdjęć w Internecie na licencji Creative Commons. Bezpieczne przechowywanie plików w chmurze - o konfiguracji współdzielonych folderów w usłudze box.com Co było powodem unieważnienia dwóch milionów certyfikatów SSL - o…

Dlaczego menadżery haseł to skomplikowany kawałek technologii - o prawidłowym rozpoznawaniu subdomen. Jak złośliwy serwer MySQL może pobrać dane od klienta. Co jest powodem rozpowszechniania złośliwego oprogramowania w sieci torrent? O meandrach języka PHP - jak to możliwe że fałsz to prawda. A na koniec jak działają ataki czasowe. 0:58 https://goo…

Jak włamać się do systemów rozrywki obecnych w samolotach pasażerskich. Jak obejść mechanizm Attack Surface Reduction mający chronić użytkowników przed złośliwymi makrami w pakiecie Office. Następnie historia o dodatkowej spacji doklejanej do niektórych odpowiedzi serwera WWW na której podstawie możliwe było wykrycie złośliwych serwerów Cobal Strik…

Czy portale społecznościowe mogą wpłynąć na wyniki operacji wojskowej? Jak usunąć kompromitujące materiały z sieci udając prokuratora generalnego? Co to jest brickowanie urządzeń czyli jak przekonać użytkownika do kupna nowego sprzętu pomimo iż stary działa prawidłowo. Znalazłeś błąd bezpieczeństwa na stronie i nie wiesz jak powiadomić o nim firmę?…

Czy wiesz co oznacza termin catastrophic destruction? Jakie dane zbiera na nasz temat Netflix i do czego mogą one zostać użyte w przyszłości? Następnie techniczny opis ataku podniesienia uprawnień w linuxie - czyli dlaczego czasami nie warto wprowadzać kolejnych warstw abstrakcji do kodu źródłowego. Opowiem także o tym jak wyciek naszego adresu zam…

Różne adresy email prowadzące do jednej osoby - o kropkach w serwisie Gmail. Sposób na kradzież pieniędzy od użytkowników ebooków. Phishing przy pomocy tłumacza Google Translate. Czy ustawianie wiadomości autorespondera w biznesowej poczcie to dobry pomysł? Co to jest `session replay` - czyli jak śledzić poczynania użytkowników aplikacji mobilnych.…

Grupa: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Jak sprawdzić czy legitymacja studencka jest sfałszowana? Atakowanie kamer rozpoznających znaki ograniczenia prędkości w nowoczesnych samochodach. Co to jest Jailbreak i jak można go wykryć z poziomu aplikacji na telef…

Co to jest domain hijacking i jak się przed nim bronić. Quiz na temat phishingu od Google. Jak przejąć domenę poprzez błędny rekord DNS? Dlaczego tajny token do podpisywania ciasteczek musi być losowy? Historia wspólnego klucza prywatnego używanego przez wiele stron. Poradnik bezpieczeństwa dla Iphona. Jak powinien wyglądać dobry raport z testu pen…

Po co ktoś kradnie konta na Instagramie? Dlaczego nie warto umieszczać zdjęć kart pokładowych w serwisach społecznościowych? Kilka porad mających nauczyć nas poszukiwania ukrytych kamer oraz nowy sposób przenoszenia złośliwego oprogramowania przy pomocy podpisanych plików .msi Transkrypcja: https://security.szurek.pl/szurkogadanie-28.html Grupa: ht…

W tym odcinku o błędzie w wyszukiwarce Google, który pozwalał na tworzenie fałszywych informacji. Grupa: https://www.facebook.com/groups/od0dopentestera/ Opowiem także jak przestępcy omijają wykrywanie swoich złośliwych domen przy użyciu niewidocznej spacji. Czy kurz na kamerze może się komuś przydać? O wykrywaniu osób ze sobą powiązanych na podsta…

Tym razem dowiesz się to co jest Google Dorks - czyli jak wyszukiwać informacje w Internecie. Opiszę również jak naukowcom udało się złamać projekt reCaptcha oraz dlaczego konkursy typu CTF mogą być dobrym wstępem do nauki bezpieczeństwa. Na koniec błąd w Skypie umożliwiający dostęp do zablokowanego telefonu oraz lista najdroższych wypłat gotówki w…

Co to są `Canary Tokens` i jak można wykorzystać je do wykrycia włamania we wczesnej jego fazie. Czy hasła maskowane stosowane w bankach to rzeczywiście taki dobry pomysł oraz o nowej metodzie ataku poprzez kabel USB podpinany do komputera Grupa: https://www.facebook.com/groups/od0dopentestera/ YouTube: https://www.youtube.com/c/kacperszurek Apple …

Czy phishing może doprowadzić do ewakuacji szkoły? Dowiesz się również jak nie cenzurować internetowych map oraz jak można wykraść tajne dane z telefonu, jeżeli podłączymy go do złośliwej ładowarki. Grupa: https://www.facebook.com/groups/od0dopentestera/ Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Google…

W tym tygodniu dowiesz jak działają dynamicznie generowane domeny, gdzie są używane oraz dlaczego są niebezpieczne.Opowiem co to jest atak miliarda uśmiechów a także jak jednemu z badaczy bezpieczeństwa udało się stworzyć własny adres e-mail w domenie google.com nie będąc przy tym zatrudnionym w tej firmie.Grupa: https://www.facebook.com/groups/od0…

Jak wykraść dane z pomieszczenia przy pomocy żarówki? Czym jest przekręt na pomoc techniczną? Oraz jak wykorzystać Google Translate jako serwer proxy.Grupa: https://www.facebook.com/groups/od0dopentestera/Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4Google Podcasts: https://www.google.com/podcasts?feed=aHR…