Kacper Szurek

Kacper Szurek

By Kacper Szurek
Przegląd zagadnień security.
Available on 10 platforms
Wykorzystanie newslettera do przenoszenia złośliwego oprogramowania
Jak stracić milion dolarów? Historia miłosnego zauroczenia. Wykorzystanie newslettera do przenoszenia złośliwego oprogramowania - jak przestępcy wykorzystują naszą niechęć do reklam. CSS jako metoda infiltracji tajnych danych na stronach internetowych - wyjaśnienie zasady działania Sequential Import Chaining. Co to jest plik `apple-app-site-association` i jakie dane można w nim znaleźć. Odnośniki na stronach internetowych użyte do atakowania konkurencji - o funkcji ping w tagu a href. Nowa sztuczka wykorzystywana przez malware Emotet. Historia o tym jak automatycznie tworzyć złośliwe wiadomości, które są klikane przez potencjalnych odbiorców. A także wyjaśnienie pojęcia `Sextortion` i garść informacji jak ten atak działa w praktyce oraz jakie zarobki przynosi swoim twórcom. Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Grupa: https://www.facebook.com/groups/od0dopentestera/ Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ 1:13 https://szurek.page.link/utrata_miliona 4:00 https://szurek.page.link/malware_newsletter 6:13 https://szurek.page.link/sequential_import 10:14 https://szurek.page.link/app_site 12:05 https://szurek.page.link/ddos_ping 15:07 https://szurek.page.link/emotet_email 16:15 https://szurek.page.link/sextortion Icon made by Freepik, Pixel perfect, Those Icons www.flaticon.com
19:52
April 22, 2019
Jak nie odblokujesz ukrytego koloru Twittera?
Jak zmiana daty urodzenia na Twitterze, może sprawić nie lada kłopoty. Dlaczego nie warto używać wyrażeń regularnych do sprawdzania poprawności domeny. Shodan monitor - czyli ostatni bastion bezpieczeństwa naszych serwerów. Dystrybucja Windowsa dla pentesterów? Parę słów na temat commando VM. Jak testować bezpieczeństwo sklepów internetowych. Szybkie i proste metody do sprawdzenia. Co to jest credential stuffing i jak się przed nim obronić. A także o ekosystemie rozszerzeń do WordPressa. Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ 0:50 https://szurek.page.link/birth_scam Scam urodzinowy na Twitterze 2:35 https://szurek.page.link/security_domain Dlaczego nie używać wyrażeń regularnych  5:14 https://szurek.page.link/credential_stuffing Co to jest credential stuffing 7:48 https://szurek.page.link/eat_for_free Jak jeść za darmo w dużych miastach 10:32 https://szurek.page.link/wp_strange_theme Dziwne funkcje w kodzie 13:24 https://szurek.page.link/shodan_monitor Shodan monitor 14:36 https://szurek.page.link/commando_vm Windows dla pentesterów 15:55 https://szurek.page.link/test_finance_apps Jak testować aplikacje sklepów Icon made by Smashicons, Freepik, pongsakornRed www.flaticon.com
17:51
April 16, 2019
Jak zaatakować router przy pomocy Raspberry Pi?
Co to jest atak BadUSB? Czyli jak podpinając Raspberry Pi do routera można monitorować ruch w danej sieci. Na czym polegał błąd SQL Injection w oprogramowaniu sklepu internetowego Magento oraz jak sklepy używające integracji z Paypalem są używane przez przestępców do sprawdzania poprawności kart kredytowych. Co oznacza termin `trust on first use` w odniesieniu do internetowych komunikatorów - czyli o tym jak sprawdzać, kto czai się po drugiej stronie czatu. Anonimizacja to nie taka prosta sprawa jak mogłoby się wydawać. Dlaczego samo zakrywanie danych w dokumentach nie zawsze wystarczy. Kopiowanie plików z kontenera Kubernetes powodem wykonania kodu na komputerze administratora - o symlinkach w plikach tar. A także jak wykorzystując dowiązania symboliczne można było podnieść swoje uprawnienia jeżeli korzystałeś z kart NVIDIA GeForce. Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ 1:21 https://szurek.page.link/badusb Raspberry PI podpięte do routera 6:29 https://szurek.page.link/magentosql SQL Injection w sklepie Magento 9:23 https://szurek.page.link/magentopaypal Magento wykorzystywane przez złodziei kart 11:17 https://szurek.page.link/tofu Trust on first use 14:36 https://szurek.page.link/anonimizacja Zakrywanie danych nie wystarcza 16:38 https://szurek.page.link/kubernetes_tar RCE w Kubernetes przy pomocy plików TAR 20:21 https://szurek.page.link/nvidia_priv Podniesienie uprawnień w oprogramowaniu NVIDIA 23:17 https://szurek.page.link/hire_hack Jak zabezpieczyć swoje cyfrowe ja Icon made by Smashicons, Freepik, pongsakornRed www.flaticon.com
24:24
April 8, 2019
Fałszywe okno przeglądarki w iPhone
Podszywanie się pod okno przeglądarki na iPhone’ie - o ataku Picture in Picture. Jak sprawdzić gdzie byliśmy na wakacjach bez naszej zgody? O podatności Cross-site Search. Czy słyszałeś o Google BigQuery? Przeszukiwanie wielu gigabajtów danych w celu odnalezienia tokenów API na GitHubie. Jak podszyć się pod dowolny adres IP? O zdalnym wykonaniu kodu w infrastrukturze Mozilli. Używanie legalnych komponentów do rozpowszechniania złośliwego oprogramowania - jak wykorzystano serwis Firebase. Oszustwa w mechanizmie reklam mobilnych - jak wyświetlać dwie reklamy w jednej. Co to jest high frequency trading i jakie przeszkody stoją przed osobami, które się nim zajmują. A także o last minute persistence, czyli jak ewoluowały metody przetrzymywania restartu komputera w malwarze. Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Grupa: https://www.facebook.com/groups/od0dopentestera/ Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ 1:16 https://goo.gl/v5fb2g Picture in picture - atak na iPhone 4:00 https://goo.gl/hdcmvH Cross Site Search w Google Photo 8:16 https://goo.gl/U2EGjb Google BigQuery 12:22 https://goo.gl/sBzXt9 Podszywanie się pod adres IP 16:10 https://goo.gl/c5DCdu Malware w bazie Firebase 18:38 https://goo.gl/Zz7Ffq Podwójne reklamy na telefonach 21:45 https://goo.gl/Jy7Yus Handel wysokich częstotliwości 24:14 https://goo.gl/bRq5SK Last minute persistance Icon made by Freepik, Smashicons, itim2101 www.flaticon.com
26:29
April 1, 2019
Omijanie blokady rodzicielskiej przy użyciu Google Docs
Jak dzieci omijają blokady rodzicielskie na komputerach przy użyciu strony Google Docs. Do czego może prowadzić udostępnianie swoich zdjęć w Internecie na licencji Creative Commons. Bezpieczne przechowywanie plików w chmurze - o konfiguracji współdzielonych folderów w usłudze box.com Co było powodem unieważnienia dwóch milionów certyfikatów SSL - o brakującym bicie w numerze seryjnym. Czy wiesz co można odnaleźć w zakładce `Ważne miejsca` w iPhone’ie? A także o badaniu pokazującym kiedy programiści piszą swój kod w bezpieczny sposób. Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ 1:03 https://goo.gl/f8x45c Omijanie blokady rodzicielskiej przy użyciu Google Docs 3:25 https://goo.gl/fZa454 Zdjęcia na licencji Creative Commons używane do rozpoznawania twarzy 6:58 https://goo.gl/JGSn8G Cofanie błędnych aktualizacji w Windowsie 8:37 https://goo.gl/qLG3sq Wycieki danych poprzez współdzielone pliki w box.com 11:02 https://goo.gl/xjYG4G Dlaczego należało unieważnić 2 miliony certyfikatów SSL 14:57 https://goo.gl/1KxfXJ Co przechowuje opcja `Ważne miejsca` w iPhonie 15:46 https://goo.gl/NeY9U6 Popup, którego nie da się zamknąć 17:26 https://goo.gl/1wod5u Badania na temat bezpiecznego kodu Icon made by Freepik, Smashicons www.flaticon.com
19:16
March 25, 2019
Jak zniszczyć reputację firmy przy pomocy funkcji wiki na GitHubie
Dlaczego menadżery haseł to skomplikowany kawałek technologii - o prawidłowym rozpoznawaniu subdomen. Jak złośliwy serwer MySQL może pobrać dane od klienta. Co jest powodem rozpowszechniania złośliwego oprogramowania w sieci torrent? O meandrach języka PHP - jak to możliwe że fałsz to prawda. A na koniec jak działają ataki czasowe. 0:58 https://goo.gl/6CiLcV Publiczne strony wiki na GitHubie 3:05 https://goo.gl/9AvGD5 MySQL honeypot 5:38 https://goo.gl/D35DNG Rozpoznawanie subdomen w menadżerach haseł 8:35 https://goo.gl/G2tejp Brak podpisu authenticode w Notepad++ 12:20 https://goo.gl/ZZk8Ez Malware w torrentach 15:53 https://goo.gl/GDjYAA https://goo.gl/8a2e32 Jak sprawdzić kto odwiedził naszą stronę 18:06 https://goo.gl/bjLwHX https://goo.gl/GKDURE Fałsz to prawda - błąd w kodzie PHP 19:32 https://goo.gl/Xws9Xj Rozpoznawanie użytkownika na podstawie wielkości okna 21:07 https://goo.gl/haE9gT Jak działa atak czasowy Icon made by Vectors Market, Freepik, Roundicons, monkik www.flaticon.com
23:59
March 18, 2019
Włamanie do samolotu przy użyciu myszki komputerowej
Jak włamać się do systemów rozrywki obecnych w samolotach pasażerskich. Jak obejść mechanizm Attack Surface Reduction mający chronić użytkowników przed złośliwymi makrami w pakiecie Office. Następnie historia o dodatkowej spacji doklejanej do niektórych odpowiedzi serwera WWW na której podstawie możliwe było wykrycie złośliwych serwerów Cobal Strike. Chwilę później o plikach polyglots, które umożliwiają przechowywanie informacji różnego typu w jednym pliku. Na koniec o tym jak można było pozyskać tajne dane z firm, które już nie istnieją na rynku a także historia pewnego dziwnego na pozór losowego hasła. 1:16 Włamanie do samolotu przy użyciu myszki https://goo.gl/Ws1Utb 4:53 Obejście mechanizmu Attack Surface Reduction https://goo.gl/WWdFbN 9:08 Identyfikacja serwerów przy pomocy spacji https://goo.gl/TAJ7ii 12:15 Pliki polyglots https://goo.gl/bVA4Wg 14:29 Atakowanie nieistniejących firm https://goo.gl/1sb9TZ 17:15 Historia dziwnego hasła https://goo.gl/cdzyht 18:37 Tanie hackowanie iPhone https://goo.gl/rW1sEm 21:04 Statystyki kliknięcia w PDF https://goo.gl/UL3DfT Icon made by Freepik www.flaticon.com
23:05
March 11, 2019
Jak podszyć się pod znaną osobę używając Deepfake?
Czy portale społecznościowe mogą wpłynąć na wyniki operacji wojskowej? Jak usunąć kompromitujące materiały z sieci udając prokuratora generalnego? Co to jest brickowanie urządzeń czyli jak przekonać użytkownika do kupna nowego sprzętu pomimo iż stary działa prawidłowo. Znalazłeś błąd bezpieczeństwa na stronie i nie wiesz jak powiadomić o nim firmę? Garść informacji na temat pliku security.txt który ma służyć właśnie do tego celu. A także wytłumaczenie błędu, który odnaleziono w programie WinRAR oraz dlaczego adwokaci reklamują się w DarkWebie - czyli ciemnej stronie Internetu. 1:18 https://www.wired.com/story/amber-authenticate-video-validation-blockchain-tampering-deepfakes/  4:19 https://www.wired.com/story/nato-stratcom-catfished-soldiers-social-media/ 7:04 https://blog.cloudflare.com/the-curious-case-of-the-garden-state-imposter/ 10:40 https://arstechnica.com/gadgets/2019/02/my-left-shoe-wont-even-reboot-faulty-app-bricks-nike-smart-sneakers/ 13:00 https://tools.ietf.org/html/draft-foudil-securitytxt-05 15:17 https://bugs.chromium.org/p/project-zero/issues/detail?id=1722 17:04 https://research.checkpoint.com/extracting-code-execution-from-winrar/ 20:00 https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/ethics-need-not-apply-the-dark-side-of-law 22:29 https://www.pdf-insecurity.org/signature/signature.html Icon made by Dimitry Miroliubov, Dave Gandy www.flaticon.com
24:45
March 4, 2019
Jak przekonać użytkowników do uruchomienia 2FA na przykładzie gier
Czy wiesz co oznacza termin catastrophic destruction? Jakie dane zbiera na nasz temat Netflix i do czego mogą one zostać użyte w przyszłości? Następnie techniczny opis ataku podniesienia uprawnień w linuxie - czyli dlaczego czasami nie warto wprowadzać kolejnych warstw abstrakcji do kodu źródłowego. Opowiem także o tym jak wyciek naszego adresu zamieszkania może doprowadzić do braku snu a także o mało znanej funkcji Amazon S3. Na koniec porozmawiamy o elektrycznych hulajnogach i testowaniu bezpieczeństwa elektronicznych wyborów w Szwajcarii. 1:11 https://www.epicgames.com/fortnite/pl/news/2fa 4:36 https://krebsonsecurity.com/2019/02/email-provider-vfemail-suffers-catastrophic-hack/ 6:00 https://about.gitlab.com/2017/02/01/gitlab-dot-com-database-incident/ 6:57 https://motherboard.vice.com/en_us/article/j57gkk/netflix-has-saved-every-choice-youve-ever-made-in-black-mirror-bandersnatch 10:41 https://shenaniganslabs.io/2019/02/13/Dirty-Sock.html 13:28 https://twitter.com/freefuel1/status/1097024976673259520 15:49 https://blog.zimperium.com/dont-give-me-a-brake-xiaomi-scooter-hack-enables-dangerous-accelerations-and-stops-for-unsuspecting-riders/ 17:09 https://onlinevote-pit.ch/ 18:42 https://medium.com/@localh0t/unveiling-amazon-s3-bucket-names-e1420ceaf4fa 19:50 https://zaufanatrzeciastrona.pl/konferencje2019/ Icon made by Freepik, Smashicons, Pixelmeetup www.flaticon.com
20:38
February 25, 2019
Sekunda przestępna powodem 100% zużycia CPU
Różne adresy email prowadzące do jednej osoby - o kropkach w serwisie Gmail. Sposób na kradzież pieniędzy od użytkowników ebooków. Phishing przy pomocy tłumacza Google Translate. Czy ustawianie wiadomości autorespondera w biznesowej poczcie to dobry pomysł? Co to jest `session replay` - czyli jak śledzić poczynania użytkowników aplikacji mobilnych. Opowieść o linkach z sekretami - jakie dane można znaleźć na serwisie `VirusTotal`? Do czego służy Facebook Custom Audiences a także o programach Bug Bounty. Grupa: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Transkrypcja: https://security.szurek.pl/szurkogadanie-31.html Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Google Podcasts: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Anchor: https://anchor.fm/kacperszurek/ 1:11 https://sarvendev.com/2019/01/problematyczna-sekunda/ 3:22 https://blog.malwarebytes.com/cybercrime/2019/02/bogus-john-wick-3-ebooks/ 5:39 https://www.agari.com/email-security-blog/bec-actors-exploit-google-dot-feature/ 6:51 https://blogs.akamai.com/sitr/2019/02/phishing-attacks-against-facebook-google-via-google-translate.html 8:10  https://lonesysadmin.net/2019/02/03/out-of-office-messages-are-a-security-risk/ 10:08 https://techcrunch.com/2019/02/06/iphone-session-replay-screenshots/ 12:02 https://medium.com/@YumiSec/virus-total-the-best-way-to-disclose-your-company-secrets-92988396f36a 13:37 https://techcrunch.com/2019/02/06/why-am-i-seeing-this-ad/ 14:32 https://foreignpolicy.com/2019/02/01/you-can-hack-this-headline-for-200/ 16:16 https://www.theregister.co.uk/2019/02/05/sony_tshirt_bounty/ 18:55 https://motherboard.vice.com/en_us/article/8xyq8v/how-to-unlock-icloud-stolen-iphone Icon made by Freepik, Pixel perfect, Google www.flaticon.com
20:37
February 18, 2019
Jak działa zimny i gorący portfel w odniesieniu do kryptowalut?
Grupa: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Jak sprawdzić czy legitymacja studencka jest sfałszowana? Atakowanie kamer rozpoznających znaki ograniczenia prędkości w nowoczesnych samochodach. Co to jest Jailbreak i jak można go wykryć z poziomu aplikacji na telefon? Jak nadużywa się mechanizmów ochrony praw autorskich aby uzyskać okup od Youtuberów? Parę słów o bezpieczeństwie skrótów Siri. Konsekwencje testów penetracyjnych przeprowadzanych bez zgody firmy. Transkrypcja: https://security.szurek.pl/szurkogadanie-30.html Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Google Podcasts: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Anchor: https://anchor.fm/kacperszurek/ 0:55 https://www.washingtonpost.com/nation/2019/01/31/ice-set-up-fake-university-hundreds-enrolled-not-realizing-it-was-sting-operation/ 2:18 http://www.deltami.edu.pl/temat/informatyka/2013/10/29/Czesc_2_--_Kazdy_student_nosi/ 4:08 https://www.allaboutcircuits.com/news/going-blind-physical-world-attacks-can-trick-autonomous-driving-systems/ 6:29 https://duo.com/blog/jailbreak-detector-detector 10:10 https://www.yubico.com/wp-content/uploads/2019/01/Ponemon-Authentication-Report.pdf 12:22 https://www.ccn.com/190m-gone-how-canada-biggest-bitcoin-exchange-lost-it 14:43 https://en.wikipedia.org/wiki/Shamir's_Secret_Sharing 15:46 https://thehackernews.com/2019/02/vulnerability-disclosure-hacker.html 17:11 https://www.bleepingcomputer.com/news/security/new-scam-holds-youtube-channels-for-ransom/ 19:00 https://www.bleepingcomputer.com/news/software/chrome-to-display-warnings-about-similar-or-lookalike-urls/ 20:15 https://www.theguardian.com/world/2019/jan/31/drug-trafficker-evades-capture-15-years-fingerprint-implants 20:49 https://securityintelligence.com/hey-siri-get-my-coffee-hold-the-malware/ Icon made by Freepik, Smashicons, Nikita Golubev www.flaticon.com
23:01
February 11, 2019
Jak przekonać rodzica do kupna psa przy użyciu reklam na Facebooku?
Co to jest domain hijacking i jak się przed nim bronić. Quiz na temat phishingu od Google. Jak przejąć domenę poprzez błędny rekord DNS?  Dlaczego tajny token do podpisywania ciasteczek musi być losowy? Historia wspólnego klucza prywatnego używanego przez wiele stron. Poradnik bezpieczeństwa dla Iphona. Jak powinien wyglądać dobry raport z testu penetracyjnego? Kopiowanie kodu ze StackOverflow początkiem problemów. Grupa: https://www.facebook.com/groups/od0dopentestera/ Transkrypcja: https://security.szurek.pl/szurkogadanie-28.html Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Google Podcasts: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Anchor: https://anchor.fm/kacperszurek/ 0:41 https://phishingquiz.withgoogle.com/ 2:06 https://krebsonsecurity.com/2019/01/bomb-threat-sextortion-spammers-abused-weakness-at-godaddy-com/ 5:03 https://blendle.engineering/protecting-our-mission-critical-domain-names-e9807db9d84c 7:00 https://koen.io/2019/01/17/a-tale-of-private-key-reuse/ 8:30 https://www.thedailybeast.com/for-dollar29-this-company-swears-it-will-brainwash-someone-on-facebook 10:55 https://www.bbc.com/news/blogs-trending-46898211 12:31 https://itunes.apple.com/pl/book/iphone-security/id1449272213?mt=11 13:17 https://www.my127001.pl/jak-powinien-wygladac-dobry-raport-z-testu-penetracyjnego/ 14:53 https://blog.paradoxis.nl/defeating-flasks-session-management-65706ba9d3ce 16:21 https://www.mdsec.co.uk/2019/01/abusing-office-web-add-ins-for-fun-and-limited-profit/ Icon made by Freepik, Vectors Market, Prosymbols www.flaticon.com
18:16
February 4, 2019
Czy czcionka może zdemaskować oszusta?
Po co ktoś kradnie konta na Instagramie? Dlaczego nie warto umieszczać zdjęć kart pokładowych w serwisach społecznościowych? Kilka porad mających nauczyć nas poszukiwania ukrytych kamer oraz nowy sposób przenoszenia złośliwego oprogramowania przy pomocy podpisanych plików .msi Transkrypcja: https://security.szurek.pl/szurkogadanie-28.html Grupa: https://www.facebook.com/groups/od0dopentestera/ Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Google Podcasts: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O 0:51 https://motherboard.vice.com/en_us/article/59vnvk/hacked-instagram-influencers-get-accounts-back-white-hat-hackers 3:09 https://nationalpost.com/news/canada/canadian-fraudster-foiled-because-he-used-the-wrong-font 4:38 https://nfsec.pl/security/6105 6:16 https://techcrunch.com/2019/01/16/android-app-es-file-explorer-expose-data/ 7:05 https://techcrunch.com/2019/01/15/amadeus-airline-booking-vulnerability-passenger-records/ 8:44 https://www.forbes.com/sites/thomasbrewster/2019/01/15/exclusive-watch-hackers-take-control-of-giant-construction-cranes/ 10:24 https://blog.virustotal.com/2019/01/distribution-of-malicious-jar-appended.html 12:27 https://www.senteltechsecurity.com/blog/post/how-to-find-hidden-cameras/ 13:44 https://arxiv.org/pdf/1901.03535.pdf  Icon made by Freepik, Roundicons, Twitter www.flaticon.com
15:08
January 28, 2019
Jak działa atak większościowy 51% na kryptowalute Ethereum?
W tym odcinku o błędzie w wyszukiwarce Google, który pozwalał na tworzenie fałszywych informacji. Grupa: https://www.facebook.com/groups/od0dopentestera/ Opowiem także jak przestępcy omijają wykrywanie swoich złośliwych domen przy użyciu niewidocznej spacji. Czy kurz na kamerze może się komuś przydać? O wykrywaniu osób ze sobą powiązanych na podstawie brudu na obiektywie a także jak i dlaczego zaatakowano urządzenia Google Chromecast służące do strumieniowania treści na telewizorze. Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Google Podcasts: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O 0:49 https://www.wietzebeukema.nl/blog/spoofing-google-search-results 2:55 https://github.com/emtunc/SlackPirate 4:26 https://github.com/dxa4481/XSSOauthPersistence 6:56 https://niebezpiecznik.pl/post/blik-facebook-skan-dowodu-oszustwo/ 8:39 https://thehackernews.com/2019/01/phishing-zero-width-spaces.html 10:47 https://thehackernews.com/2019/01/chromecast-pewdiepie-hack.html 12:48 https://gizmodo.com/facebook-knows-how-to-track-you-using-the-dust-on-your-1821030620 14:06 https://www.theregister.co.uk/2019/01/11/notpetya_insurance_claim/ 15:26 https://www.bleepingcomputer.com/news/software/mozilla-to-disable-flash-plugin-by-default-in-firefox-69/ 15:51 https://blog.coinbase.com/ethereum-classic-etc-is-currently-being-51-attacked-33be13ce32de Icon made by Freepik from www.flaticon.com
17:10
January 21, 2019
Google Dorks - znajdowanie podatności przy użyciu wyszukiwarki
Tym razem dowiesz się to co jest Google Dorks - czyli jak wyszukiwać informacje w Internecie. Opiszę również jak naukowcom udało się złamać projekt reCaptcha oraz dlaczego konkursy typu CTF mogą być dobrym wstępem do nauki bezpieczeństwa. Na koniec błąd w Skypie umożliwiający dostęp do zablokowanego telefonu oraz lista najdroższych wypłat gotówki w ramach programów Bug Bounty. Grupa: https://www.facebook.com/groups/od0dopentestera/ Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Google Podcasts: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O YouTube: https://www.youtube.com/c/KacperSzurek 0:54 https://www.exploit-db.com/google-hacking-database 2:29 http://www.policja.pl/pol/aktualnosci/167879,Ostrzezenie-przed-QR-kodami-umieszczanymi-na-bankomatach.html 3:56 https://github.com/ecthros/uncaptcha2 5:38 https://blog.dragonsector.pl/2019/01/dragon-sector-wins-ctftime-season-2018.html 8:25 https://www.proofpoint.com/us/threat-insight/post/phishing-template-uses-fake-fonts-decode-content-and-evade-detection 10:10 https://wunderwuzzi23.github.io/blog/passthecookie.html 12:10 https://juliareda.eu/2018/12/eu-fossa-bug-bounties/ 13:20 https://www.theregister.co.uk/2019/01/03/android_skype_app_unlock/ 14:28 https://www.htbridge.com/blog/top-ten-bug-bounty-payouts-of-2018.html 15:23 https://zaufanatrzeciastrona.pl/post/ogromny-bezprecedensowy-wyciek-danych-niemieckich-politykow/ Icon made by Freepik, Smashicons from www.flaticon.com
16:22
January 14, 2019
Szurkogadanie #25 Wykrywanie ataków przy pomocy canary tokens
Co to są `Canary Tokens` i jak można wykorzystać je do wykrycia włamania we wczesnej jego fazie. Czy hasła maskowane stosowane w bankach to rzeczywiście taki dobry pomysł oraz o nowej metodzie ataku poprzez kabel USB podpinany do komputera Grupa: https://www.facebook.com/groups/od0dopentestera/ YouTube: https://www.youtube.com/c/kacperszurek Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Google Podcasts: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O 0:44 https://zaufanatrzeciastrona.pl/post/sprawdz-co-google-wie-o-twoich-zakupach-i-nie-tylko-zakupach/ 1:56 https://zaufanatrzeciastrona.pl/post/bardzo-sprytny-atak-na-uzytkownikow-portfela-bitcoinowego-electrum/ 4:54 https://www.washingtonpost.com/nation/2018/11/14/police-think-alexa-may-have-witnessed-new-hampshire-double-slaying-now-they-want-amazon-turn-her-over/ 6:29 https://ericalexander.org/posts/youre-not-the-customer/ 8:55 https://blog.cloudflare.com/banking-grade-credential-stuffing-the-true-effectiveness-of-a-partial-password-validation/ 11:25 https://www.crowdsupply.com/rfid-research-group/usbninja 13:01 https://torrentfreak.com/selling-pirate-movies-putting-the-money-in-a-personal-paypal-account-is-insane-181223/ 14:06 https://techcommunity.microsoft.com/t5/Windows-Kernel-Internals/Windows-Sandbox/ba-p/301849 15:32 https://badpackets.net/over-19000-orange-livebox-adsl-modems-are-leaking-their-wifi-credentials/ 17:23 https://www.securelist.pl/blog/7459,czy_wiesz_ile_jestes_wart.html Icon made by Pixel Buddha, Smashicons from www.flaticon.com
18:49
January 7, 2019
Szurkogadanie #24 Jak działa atak Business Email Compromise?
Czy phishing może doprowadzić do ewakuacji szkoły? Dowiesz się również jak nie cenzurować internetowych map oraz jak można wykraść tajne dane z telefonu, jeżeli podłączymy go do złośliwej ładowarki. Grupa: https://www.facebook.com/groups/od0dopentestera/ Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Google Podcasts: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Anchor: https://anchor.fm/kacperszurek/ 0:47 https://www.zdnet.com/article/save-the-children-foundation-duped-by-hackers-into-paying-out-1-million/ 2:31 https://krebsonsecurity.com/2018/12/spammed-bomb-threat-hoax-demands-bitcoin/ 4:12 https://fas.org/blogs/security/2018/12/widespread-blurring-of-satellite-images-reveals-secret-facilities/ 5:51 https://blog.avatao.com/How-I-could-steal-your-photos-from-Google/ 7:22 https://i.blackhat.com/eu-18/Wed-Dec-5/eu-18-Spolaor-No-Free-Charge-Theorem-2-How-To-Steal-Private-Information-From-A-Mobile-Device-Using-A-Powerbank.pdf 9:22 https://developers.facebook.com/blog/post/2018/12/14/notifying-our-developer-ecosystem-about-a-photo-api-bug/ 10:23 https://www.zdnet.com/article/malicious-sites-abuse-11-year-old-firefox-bug-that-mozilla-failed-to-fix/ 12:03 https://bugs.chromium.org/p/project-zero/issues/detail?id=1663 13:18 https://www.welivesecurity.com/2018/12/11/android-trojan-steals-money-paypal-accounts-2fa/ Icon made by Freepik, Vectors Market, Smashicons, Gregor Cresnar from www.flaticon.com
14:52
December 24, 2018
Szurkogadanie #23 Jak działają dynamicznie generowane domeny - DGA?
W tym tygodniu dowiesz jak działają dynamicznie generowane domeny, gdzie są używane oraz dlaczego są niebezpieczne. Opowiem co to jest atak miliarda uśmiechów a także jak jednemu z badaczy bezpieczeństwa udało się stworzyć własny adres e-mail w domenie google.com nie będąc przy tym zatrudnionym w tej firmie. Grupa: https://www.facebook.com/groups/od0dopentestera/ Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Google Podcasts: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O 0:34 https://en.wikipedia.org/wiki/Domain_generation_algorithm 3:05 https://www.theregister.co.uk/2018/12/04/ransomware_helper_was_middleman_dr_shifro/ 5:05 https://securelist.com/koffeymaker-notebook-vs-atm/89161/ 6:42 https://en.wikipedia.org/wiki/Billion_laughs_attack 8:03 https://www.europol.europa.eu/newsroom/news/over-1500-money-mules-identified-in-worldwide-money-laundering-sting 10:16 https://www.nccgroup.trust/us/about-us/newsroom-and-events/blog/2018/december/eternalglue-part-three-releasing-a-worm-into-an-enterprise-network-of-a-100-billion-dollar-company/ 11:47 https://www.andmp.com/2018/12/how-i-managed-to-get-google.html 13:13 https://www.palkeo.com/en/projets/ethereum/stealing_ether.html 14:30 https://medium.com/@luanherrera/xs-searching-googles-bug-tracker-to-find-out-vulnerable-source-code-50d8135b7549 Icon made by Freepik, Smashicons from www.flaticon.com #podcast #szurkogadanie #security
15:57
December 17, 2018
Szurkogadanie #22
Jak wykraść dane z pomieszczenia przy pomocy żarówki? Czym jest przekręt na pomoc techniczną? Oraz jak wykorzystać Google Translate jako serwer proxy. Grupa: https://www.facebook.com/groups/od0dopentestera/ Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Google Podcasts: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O 0:27 https://threader.app/thread/1068714506770149376 1:49 https://github.com/mthbernardes/GTRS 3:43 https://krebsonsecurity.com/2018/11/half-of-all-phishing-sites-now-have-the-padlock/ 5:09 https://blogs.microsoft.com/on-the-issues/2018/11/29/new-breakthroughs-in-combatting-tech-support-scams/ 6:52 https://www.bbc.com/news/technology-46401890 7:38 https://www.zdnet.com/article/dell-announces-security-breach/ 7:57 https://www.checkmarx.com/blog/smart-bulb-exfiltration/ 9:15 https://arstechnica.com/information-technology/2018/11/malware-targeting-autocad-is-infecting-companies-all-around-the-world/ 10:38 https://www.darkreading.com/endpoint/the-return-of-email-flooding-/a/d-id/1333351 Icon made by Freepik, Vectors Market, Pixel perfect, pongsakornRed from www.flaticon.com #podcast #szurkogadanie #security
12:14
December 10, 2018
Szurkogadanie #21
Jak przy pomocy zakupów w supermarketach sprawdzić czy jesteś w ciąży? Co to jest atak homograficzny na domeny internetowe? A także odcisk palca pasujący do wielu osób. Podcast Szurkogadanie - cotygodniowe zestawienie najciekawszych wiadomości ze świata bezpieczeństwa komputerowego. Grupa: https://www.facebook.com/groups/od0dopentestera/ Dostępne również na: https://anchor.fm/kacperszurek/ Transkrypcja: https://security.szurek.pl/szurkogadanie-21.html Bazując na: https://zaufanatrzeciastrona.pl/post/weekendowa-lektura-odcinek-290-2018-11-25-bierzcie-i-czytajcie/ 0:24 https://japantoday.com/category/crime/Man-tries-to-fraudulently-use-Aeon-loyalty-points-by-pretending-to-visit-its-stores-2.7-mil-times 1:57 https://www.forbes.com/sites/kashmirhill/2012/02/16/how-target-figured-out-a-teen-girl-was-pregnant-before-her-father-did/ 4:08 https://xlab.tencent.com/en/2018/11/13/cve-2018-4277/ 6:23 https://blog.emsisoft.com/en/32373/beware-new-wave-of-malware-spreads-via-iso-file-email-attachments/ 7:47 https://www.zdnet.com/article/aws-rolls-out-new-security-feature-to-prevent-accidental-s3-data-leaks/ 9:13 https://zaufanatrzeciastrona.pl/post/tylna-furtka-odkryta-w-bardzo-popularnej-bibliotece-js-kradla-btc/ 11:28 https://www.theguardian.com/technology/2018/nov/15/fake-fingerprints-can-imitate-real-fingerprints-in-biometric-systems-research 13:07 https://threatpost.com/spotify-phishers-hijack-music-fans-accounts/139329/ 14:28 http://blog.abhijittomar.com/2018/10/19/google-business-claim-scam/ Więcej na: https://youtu.be/3JTj7QO2KnQ Icon made by Freepik, Vectors Market from www.flaticon.com #podcast #szurkogadanie #security
15:37
December 3, 2018
Szurkogadanie #20
Podcast Szurkogadanie - cotygodniowe zestawienie najciekawszych wiadomości ze świata bezpieczeństwa komputerowego. W tym odcinku: wyłudzanie pieniędzy od przedsiębiorców przy użyciu firm łudząco podobnych do instytucji państwowych, jak przestępcy sprzedają noclegi w drogich hotelach wykorzystując punkty lojalnościowe a także co to jest swatting czyli nasyłanie zbrojnych oddziałów policji na swoich znajomych. Grupa: https://www.facebook.com/groups/od0dopentestera/ Dostępne również na: https://anchor.fm/kacperszurek/ Transkrypcja: https://security.szurek.pl/szurkogadanie-20.html Bazując na: https://zaufanatrzeciastrona.pl/post/weekendowa-lektura-odcinek-289-2018-11-17-bierzcie-i-czytajcie/ 0:22 https://czasopismo.legeartis.org/2018/11/uwaga-spolke-krajowy-rejestr-sadowny.html 1:52 https://motherboard.vice.com/en_us/article/wj35yb/how-hackers-sell-luxury-hotels-cheap-discount-loyalty-points-airlines 4:17 https://motherboard.vice.com/en_us/article/59vbp5/shady-data-brokers-are-selling-online-dating-profiles-by-the-millions 5:20 https://krebsonsecurity.com/2018/11/that-domain-you-forgot-to-renew-yeah-its-now-stealing-credit-cards/ 6:52 https://www.bbc.co.uk/news/amp/technology-46136513 8:06 https://krebsonsecurity.com/2018/11/calif-man-pleads-guilty-in-fatal-swatting-case-faces-20-years-in-prison/ 9:24 https://motherboard.vice.com/en_us/article/zm9jd4/old-school-sniffing-attacks-can-still-reveal-your-browsing-history 10:41 https://blog.cotten.io/hacking-gmail-with-weird-from-fields-d6494254722f 11:56 https://niebezpiecznik.pl/post/zlosliwa-aplikacja-apple-appstore/ Więcej na: https://www.youtube.com/watch?v=nENMXRFzDV0 Icon made by Smashicons, Pixel perfect, Nikita Golubev from www.flaticon.com #podcast #szurkogadanie #security
12:54
November 26, 2018
Szurkogadanie #19
Podcast Szurkogadanie - cotygodniowe zestawienie najciekawszych wiadomości ze świata bezpieczeństwa komputerowego. W tym odcinku: podszywanie się pod zweryfikowane konta na Twitterze, nadziewanie ciasteczek - czyli jak oszukiwać na prowizjach w Internecie oraz czy na Windowsie może uruchomić się złośliwe oprogramowanie przewidziane na inny system operacyjny? Grupa: https://www.facebook.com/groups/od0dopentestera/ Dostępne również na: https://anchor.fm/kacperszurek/ Transkrypcja: https://security.szurek.pl/szurkogadanie-19.html Bazując na: https://zaufanatrzeciastrona.pl/post/weekendowa-lektura-odcinek-288-2018-11-11-bierzcie-i-czytajcie 0:30 https://www.bleepingcomputer.com/news/security/fake-elon-musk-twitter-bitcoin-scam-earned-180k-in-one-day/ 2:34 https://www.tomaszpalak.pl/jak-moga-cie-oszukac-na-plikach-cookies/ 5:02 https://krebsonsecurity.com/2018/11/sms-phishing-cardless-atm-profit/ 6:22 https://www.zdnet.com/article/us-cyber-command-starts-uploading-foreign-apt-malware-to-virustotal/ 7:06 https://www.zdnet.com/article/giant-ransomware-bundle-threatens-to-make-malware-attacks-easier-for-crooks/ 7:53 https://zaufanatrzeciastrona.pl/post/uwaga-na-dyski-ssd-z-wbudowanym-szyfrowaniem-to-moze-byc-pulapka/ 9:31 https://secrary.com/Random/AbusingWSLforEvasion/ 10:56 https://www.welivesecurity.com/2018/11/06/supply-chain-attack-cryptocurrency-exchange-gate-io/ 12:14 https://krebsonsecurity.com/2018/11/u-s-secret-service-warns-id-thieves-are-abusing-uspss-mail-scanning-service/ 13:45 https://research.checkpoint.com/dji-drone-vulnerability/ Icon made by Eucalyp, monkik, srip from www.flaticon.com Więcej na: https://youtu.be/ow97790rz4c
14:53
November 19, 2018
Szurkogadanie #18
Podcast Szurkogadanie - cotygodniowe zestawienie najciekawszych wiadomości ze świata bezpieczeństwa komputerowego. W tym odcinku: atak na osoby pobierające Chrome przy użyciu reklam w wyszukiwarce Bing, jak wyłączyć wszystkie iPhony w danym pomieszczeniu oraz co może zmienić najnowsza wersja projektu reCaptcha. Grupa: https://www.facebook.com/groups/od0dopentestera/ Transkrypcja: https://security.szurek.pl/szurkogadanie-18.html Bazując na: https://zaufanatrzeciastrona.pl/post/weekendowa-lektura-odcinek-287-2018-11-03-bierzcie-i-czytajcie/ 0:20 https://panoptykon.org/biometria-w-skarbowce 1:51 https://www.forbes.com/sites/jasonevangelho/2018/10/27/stop-using-microsoft-edge-to-download-chrome-unless-you-want-malware/ 4:05 https://ifixit.org/blog/11986/iphones-are-allergic-to-helium/ 6:02 https://security.googleblog.com/2018/10/introducing-recaptcha-v3-new-way-to.html 8:03 https://techcrunch.com/2018/10/30/apple-t2-security-chip-microphone-eavesdropping/ 9:30 https://cofense.com/threat-actors-seek-credentials-even-reach-url/ 11:04 https://www.youredm.com/2018/10/28/hackers-steal-data-of-over-60000-tomorrowland-attendees/ 11:52 https://exposingtheinvisible.org/guides/ Icon made by Gregor Cresnar, Freepik, Dave Gandy from www.flaticon.com Więcej na: https://youtu.be/7aXTGMEZivI
12:27
November 12, 2018
Szurkogadanie #17
[PL] [PODCAST] Szurkogadanie #17 Podcast Szurkogadanie - cotygodniowe zestawienie najciekawszych wiadomości ze świata bezpieczeństwa komputerowego. W tym odcinku: Jak rozpoznawanie twarzy jest wykorzystywane w Chinach, czy sprzedał byś swoje dane w zamian za kubek ciepłej kawy oraz jak twórcy aplikacji mobilnych śledzą proces deinstalacji. Grupa: https://www.facebook.com/groups/od0dopentestera/ Transkrypcja: https://security.szurek.pl/szurkogadanie-17.html Bazując na: https://zaufanatrzeciastrona.pl/post/weekendowa-lektura-odcinek-286-2018-10-27-bierzcie-i-czytajcie/ Icon made by mynamepong, Dave Gandy from www.flaticon.com 0:22 https://outride.rs/pl/chinski-sposob-na-nieuwaznych-przechodniow-monitoring-uliczny/ 2:16 https://nakedsecurity.sophos.com/2018/10/02/students-swap-data-for-coffee-at-cashless-cafe 3:37 https://www.bloomberg.com/news/articles/2018-10-22/now-apps-can-track-you-even-after-you-uninstall-them 5:06 https://www.buzzfeednews.com/article/craigsilverman/how-a-massive-ad-fraud-scheme-exploited-android-phones-to 7:15 https://www.independent.co.uk/life-style/gadgets-and-tech/news/free-wifi-manchester-terms-conditions-community-service-clause-purple-22000-cleaning-sewers-a7846661.html 8:40 https://www.forbes.com/sites/thomasbrewster/2018/10/24/apple-just-killed-the-graykey-iphone-passcode-hack/#504f3af53184 9:56 https://securelist.com/phishing-for-knowledge/88268/ 10:57 https://arstechnica.com/information-technology/2018/10/two-new-supply-chain-attacks-come-to-light-in-less-than-a-week/ 12:20 https://gwillem.gitlab.io/2018/10/23/magecart-extension-0days/ Więcej na: https://www.youtube.com/c/kacperszurek
13:10
November 5, 2018
Szurkogadanie #16
Podcast Szurkogadanie - cotygodniowe zestawienie najciekawszych wiadomości ze świata bezpieczeństwa komputerowego. W tym odcinku: kto ma dostęp do rejestru PESEL, niebezpieczne rozszerzenia na platformę KODI oraz o błędzie w libSSH. Transkrypcja: https://security.szurek.pl/szurkogadanie-16.html Bazując na: https://zaufanatrzeciastrona.pl/post/weekendowa-lektura-odcinek-285-2018-10-20-bierzcie-i-czytajcie/ Icon made by Freepik from www.flaticon.com 0:25 http://prawo.gazetaprawna.pl/artykuly/1307429,firmy-maja-rzadowa-zgode-na-dostep-do-rejestru-pesel.html 3:09 https://czasopismo.legeartis.org/2018/10/odpowiedzialnosc-abonenta-lacza-internetowego-udostepnianie-plikow.html 4:12 https://www.zdnet.com/article/equifax-engineer-who-designed-breach-portal-gets-8-months-of-house-arrest-for-insider-trading/ 5:51 https://zaufanatrzeciastrona.pl/post/ktos-podlozyl-nadajniki-gps-w-samochodach-zabawkach-uczestnikom-wyscigow/ 7:25 https://www.youtube.com/watch?v=Ved84d_6occ 8:59 https://medium.com/walmartlabs/vba-stomping-advanced-maldoc-techniques-612c484ab278 10:07 https://www.nccgroup.trust/uk/our-research/technical-advisory-authentication-bypass-in-libssh/ 11:02 https://www.welivesecurity.com/2018/09/13/kodi-add-ons-launch-cryptomining-campaign/ 12:22 https://www.bleepingcomputer.com/news/security/jquery-file-upload-plugin-vulnerable-for-8-years-and-only-hackers-knew/ Więcej na: https://www.youtube.com/watch?v=38vK2Hyrasw
14:10
October 29, 2018
Szurkogadanie #15
Podcast Szurkogadanie - cotygodniowe zestawienie najciekawszych wiadomości ze świata bezpieczeństwa komputerowego. Transkrypcja: https://security.szurek.pl/szurkogadanie-15.html Bazując na: https://zaufanatrzeciastrona.pl/post/weekendowa-lektura-odcinek-284-2018-10-14-bierzcie-i-czytajcie/ Icon made by Freepik, Nikita Golubev, mynamepong, Icomoon from www.flaticon.com W tym odcinku: rodzaje ataków na systemy bezkluczykowe w samochodzie, jak wyciągnąć darmowy batonik z automatu przy pomocy wirtualnego portfela oraz o pomysłowości dzieci - opowieść o tym jak uzyskać dostęp do komputera rodziców. 0:20 https://www.komando.com/happening-now/495924/7-clever-ways-hackers-are-stealing-keyless-cars 1:56 https://www.whio.com/news/local/connected-cars-how-syncing-your-phone-vehicles-could-put-your-data-risk/jnPmGicuvSVrdh5rs0gvgL/ 3:04 https://hackernoon.com/how-i-hacked-modern-vending-machines-43f4ae8decec 4:21 https://www.zdnet.com/article/a-mysterious-grey-hat-is-patching-peoples-outdated-mikrotik-routers/ 5:30 https://blog.mozilla.org/security/2018/10/10/delaying-further-symantec-tls-certificate-distrust/ 6:31 https://www.thestar.com/edmonton/2018/10/09/how-a-fraudster-got-12-million-out-of-a-canadian-university-they-just-asked-for-it.html 8:02 https://www.forbes.com/sites/thomasbrewster/2018/10/12/how-an-amateur-rap-crew-stole-surveillance-tech-that-tracks-almost-every-american/#547a613850f1 9:08 https://www.bleepingcomputer.com/news/security/windows-10-ransomware-protection-bypassed-using-dll-injection/ 10:32 https://twitter.com/kennwhite/status/1051135155539140610 11:32 https://niebezpiecznik.pl/post/twoje-konto-zostalo-zhackowane/ Więcej na: https://www.youtube.com/watch?v=LPKAMv9l42U
12:30
October 22, 2018
Szurkogadanie #14
Nowości ze świata security w zwięzłej formie. W tym odcinku: jak usunąć niewygodne materiały z Internetu przy użyciu DMCA, kradzież konta WhatsApp przy użyciu poczty głosowej oraz jak dotrzeć to CEO ważnych firm używając Webex. Transkrypcja: https://security.szurek.pl/szurkogadanie-14.html Bazując na: https://zaufanatrzeciastrona.pl/post/weekendowa-lektura-odcinek-283-2018-10-07-bierzcie-i-czytajcie/ 0:16 https://www.lumendatabase.org/blog_entries/800 1:32 https://www.wired.com/story/aws-honeytoken-hackers-avoid/ 2:57 https://www.bleepingcomputer.com/news/security/telegram-leaks-ip-addresses-by-default-when-initiating-calls/ 3:52 https://www.zdnet.com/article/recent-wave-of-hijacked-whatsapp-accounts-traced-back-to-voicemail-hacking/ 5:18 https://www.msn.com/en-nz/news/national/travellers-refusing-digital-search-now-face-dollar5000-customs-fine/ar-BBNLCFW 6:10 https://gwillem.gitlab.io/2018/10/04/magecart-tripwire/ 7:33 https://research.kudelskisecurity.com/2018/10/02/open-source-crypto-is-no-better-than-closed-source-crypto/ 9:21 https://jordanpotti.com/2018/10/03/violating-your-personal-space-with-webex/ 10:42 https://medium.com/@DefenseDigitalService/hack-the-marine-corps-results-are-in-3d6f95bf534b Więcej na: https://www.youtube.com/watch?v=pjaki5QHCAo
11:48
October 15, 2018
Szurkogadanie #13
Nowości ze świata security w zwięzłej formie. W tym odcinku: phishing na użytkowników Steam przy pomocy fałszywego okienka, błędna konfiguracja Trello oraz bezpieczeństwo menadżerów haseł na Androida. Transkrypcja: https://security.szurek.pl/szurkogadanie-13.html Bazując na: https://zaufanatrzeciastrona.pl/post/weekendowa-lektura-odcinek-282-2018-09-29-bierzcie-i-czytajcie/ 0:21 https://www.thescottishsun.co.uk/tech/3235218/arran-brewery-blackmailed-hackers-ransomware-attack/ 1:50 https://theintercept.com/2018/09/24/united-nations-trello-jira-google-docs-passwords/ 3:00 https://www.n00py.io/2018/08/bypassing-duo-two-factor-authentication-fail-open/ 4:17 https://www.zdnet.com/article/password-managers-can-be-tricked-into-believing-that-malicious-android-apps-are-legitimate/ 5:45 https://tehaurum.wordpress.com/2018/09/30/an-innovative-phishing-style/ 7:14 https://www.jisc.ac.uk/blog/cyber-attacks-on-colleges-and-universities-who-when-and-why-14-sep-2018 8:15 https://zaufanatrzeciastron
11:40
October 8, 2018
Szurkogadanie #12
Nowości ze świata security w zwięzłej formie. W tym odcinku: Odzyskiwanie danych wpisanych na ekranie dotykowym przy użyciu waitlist.dat, atakowanie serwera podczas eksportu plików pdf oraz jak radzić sobie z kradzieżą paczek przez kurierów. Dostępne również na: https://anchor.fm/kacperszurek/ Transkrypcja: https://security.szurek.pl/szurkogadanie-12.html Bazując na: https://zaufanatrzeciastrona.pl/post/weekendowa-lektura-odcinek-282-2018-09-29-bierzcie-i-czytajcie/ 0:23 https://www.zdnet.com/article/this-windows-file-may-be-secretly-hoarding-your-passwords-and-emails/ 1:58 https://www.securify.nl/advisory/SFY20180102/authentication-bypass-vulnerability-in-western-digital-my-cloud-allows-escalation-to-admin-privileges.html 2:48 https://medium.com/@jonathanbouman/local-file-inclusion-at-ikea-com-e695ed64d82f 4:17 https://isc.sans.edu/forums/diary/PrePwned+AMI+Images+in+Amazons+AWS+public+instance+store/24126/ Więcej na: https://youtu.be/Hwq717-ouQo
12:20
October 1, 2018
Szurkogadanie #11
Nowości ze świata security w zwięzłej formie. W tym odcinku: atak na komputery używające trybu uśpienia, ransomobile czyli atak na uwierzytelnienie SMS oraz zmiany w programie bug bounty Tesli. Bazując na: https://zaufanatrzeciastrona.pl/post/weekendowa-lektura-odcinek-280-2018-09-16-bierzcie-i-czytajcie/ 0:17 https://www.zdnet.com/article/tech-support-scammers-find-a-on-microsoft-technet-pages/ 2:18 https://blog.f-secure.com/cold-boot-attacks/ 4:11 https://hackernoon.com/low-cost-usb-rubber-ducky-pen-test-tool-for-3-using-digispark-and-duck2spark-5d59afc1910 5:34 https://cloudblogs.microsoft.com/microsoftsecure/2018/09/12/office-vba-amsi-parting-the-veil-on-malicious-macros/ 7:04 https://www.martinvigo.com/ransombile/ 8:12 https://www.troyhunt.com/extended-validation-certificates-are-dead/ 9:26 https://www.armis.com/blueborne-one-year-later/ Więcej na: https://www.youtube.com/watch?v=au5hbufB0jg
12:09
September 24, 2018
Szurkogadanie #10
Nowości ze świata security w zwięzłej formie. W tym odcinku: zatruwanie odpowiedzi serwera cache, omijanie blokady rodzicielskiej w Nintendo Switch oraz exploit na Tor Browser. 0:15 https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SESN-2018-236-01+Conext+USB+Malware.pdf&p_Doc_Ref=SESN-2018-236-01 1:07 https://blog.talosintelligence.com/2018/09/vulnerability-spotlight-Multi-provider-VPN-Client-Privilege-Escalation.html 2:11 https://portswigger.net/blog/practical-web-cache-poisoning 4:09 https://www.secjuice.com/finding-real-ips-of-origin-servers-behind-cloudflare-or-tor/ 5:35 https://blog.grimm-co.com/post/malicious-command-execution-via-bash-completion-cve-2018-7738/ 6:43 https://medium.com/kidsnclicks/nintendo-switch-parental-controls-dont-work-7febabf4942a 7:46 https://twitter.com/Zerodium/status/1039127214602641409 Więcej na: https://youtu.be/6h_8TW242Ds
11:08
September 17, 2018
Szurkogadanie #9
Nowości ze świata security w zwięzłej formie. W tym odcinku: globalny skan katalogu .git, enumeracja użytkowników AWS oraz tabnabbing w wykop.pl Dostępne również na: https://anchor.fm/kacperszurek/ 0:20 https://serhack.me/articles/mega-chrome-extension-hacked 1:58 https://oddvar.moe/2018/09/06/persistence-using-universal-windows-platform-apps-appx/ 3:21 https://rhinosecuritylabs.com/aws/aws-iam-user-enumeration/ 5:03 https://webdevetc.com/blog/how-to-get-someones-database-credentials-while-they-are-editing-config-files-on-a-live-server 6:13 https://github.com/kacperszurek/presentations/blob/master/PWNing-2017-Eskalacja-uprawnien-w-systemie-Windows.pdf 6:35 https://www.youtube.com/watch?v=FpaBnJO9a0w 7:59 https://www.secjuice.com/web-application-firewall-waf-evasion/ 9:18 https://threatpost.com/malicious-docker-containers-earn-crypto-miners-90000/132816/ Więcej na: https://youtu.be/1lwKlQyhMM8
14:24
September 10, 2018
Szurkogadanie #8
Nowości ze świata security w zwięzłej formie. W tym odcinku: niezabezpieczone instancje MongoDB, problemy twórców Fortnite z instalatorem na Android oraz błąd w OpenSSH. Dostępne również na: https://anchor.fm/kacperszurek/ Bazując na: https://zaufanatrzeciastrona.pl/post/weekendowa-lektura-odcinek-278-2018-09-01-bierzcie-i-czytajcie/ 0:32 https://www.linkedin.com/pulse/abbyy-exposed-its-document-storage-database-more-than-bob-diachenko/ 2:27 https://www.tbo.com/news/bizarre/1-464-Western-Australian-government-officials-used-Password123-as-their-password-But-don-t-smirk-_171143984 3:53 https://www.appthority.com/mobile-threat-center/blog/enterprise-security-risk-apps-capturing-corporate-mobile-screens/ 5:44 https://www.grahamcluley.com/fortnite-fury-over-how-google-handled-its-huge-security-hole/ 8:26 https://blog.bzwbk.pl/2018/08/uwazaj-na-falszywe-aplikacje-bankowe 9:27 https://hackerone.com/reports/399166 Więcej na: https://youtu.be/3DyesrmvsyA
12:54
September 3, 2018
Szurkogadanie #7
Nowości ze świata security w zwięzłej formie. W tym odcinku: atak man in the disk na androida, nowy atak typu object injection w PHP oraz co to jest WAP Billing. Dostępne również na: https://anchor.fm/kacperszurek/ Bazując na: https://zaufanatrzeciastrona.pl/post/weekendowa-lektura-odcinek-276-2018-08-18-bierzcie-i-czytajcie/ 0:38 https://www.bleepingcomputer.com/news/security/mozilla-removes-23-firefox-add-ons-that-snooped-on-users/ 1:43 https://security.googleblog.com/2018/08/expanding-our-vulnerability-reward.html 2:30 https://arstechnica.com/information-technology/2018/08/macos-user-warnings-are-trivial-for-malware-to-suppress-and-bypass/ 3:33 https://cofense.com/necurs-targeting-banks-pub-file-drops-flawedammyy/ 4:23 https://media.defcon.org/DEF%20CON%2026/DEF%20CON%2026%20presentations/Slava%20Makkaveev/DEFCON-26-Slava-Makkaveev-Man-In-The-Disk.pdf Więcej na: https://www.youtube.com/watch?v=lmr1aIHmxA8
10:25
August 27, 2018
Szurkogadanie #6
Nowości ze świata security w zwięzłej formie. W tym odcinku: śmieciowe błędy mające utrudnić tworzenie exploitów, bezpieczeństwo aplikacji finansowych oraz deszyfrowanie ruchu WhatsApp. Dostępne również na: https://anchor.fm/kacperszurek/ Bazując na: https://zaufanatrzeciastrona.pl/post/weekendowa-lektura-odcinek-275-2018-08-10-bierzcie-i-czytajcie/ 0:19 http://www.dailymail.co.uk/news/article-6027207/Honeytrap-spy-stole-secrets-new-RAF-stealth-jet-hacking-Tinder-profile.html 1:16 https://motherboard.vice.com/en_us/article/43p7dm/software-chaff-bugs-could-make-it-more-secure 2:52 https://thenextweb.com/facebook/2018/08/07/facebook-recently-started-asking-banks-for-your-financial-data/ 3:34 https://www.symantec.com/blogs/threat-intelligence/tech-support-scam-call-optimization 4:43 https://ioactive.com/are-you-trading-stocks-securely-exposing-security-flaws-in-trading-technologies/ Więcej na: https://youtu.be/Yzp8ExABUEY
10:13
August 20, 2018
Szurkogadanie #5
Nowości ze świata security w zwięzłej formie. W tym odcinku: fałszywe kontrole UODO, klonowanie kart SIM, generator haseł do kamer internetowych oraz nowy atak na WPA. Dostępne również na: https://anchor.fm/kacperszurek/ Bazując na: https://zaufanatrzeciastrona.pl/post/weekendowa-lektura-odcinek-274-2018-08-04-bierzcie-i-czytajcie/ 0:21 https://uodo.gov.pl/pl/138/465 1:18 https://motherboard.vice.com/en_us/article/3ky5a5/criminals-recruit-telecom-employees-sim-swapping-port-out-scam 2:46 https://motherboard.vice.com/en_us/article/a3q7mz/hacker-allegedly-stole-millions-bitcoin-sim-swapping 3:50 https://intpolicydigest.org/2018/07/27/countering-smart-terrorists-who-use-online-gaming-platforms/ 4:36 https://googleprojectzero.blogspot.com/2018/08/adventures-in-vulnerability-reporting.html 6:31 https://arstechnica.com/information-technology/2018/07/click-on-this-ios-phishing-scam-and-youll-be-connected-to-apple-care/ Więcej na: https://youtu.be/NROIO9eyFhE
12:58
August 13, 2018
Szurkogadanie #4
Nowości ze świata security w zwięzłej formie. W tym odcinku: płatności w więzieniu, kradzież plików przy użyciu HTML, atak na routery MikroTik. 0:23 https://www.wired.com/story/how-a-group-of-imprisoned-hackers-introduced-jpay-to-the-world/ 1:08 https://securelist.com/a-study-of-car-sharing-apps/86948/ 2:29 https://www.pentestpartners.com/security-blog/hacking-swann-home-security-camera-video/ 3:24 https://blog.trendmicro.com/trendlabs-security-intelligence/open-adb-ports-being-exploited-to-spread-possible-satori-variant-in-android-devices/ 4:21 https://securelist.com/a-mining-multitool/86950/ 5:39 https://www.netsparker.com/blog/web-security/stealing-local-files-with-simple-html-file/ 7:38 https://github.com/ewhitehats/InvisiblePersistence/blob/master/InvisibleRegValues_Whitepaper.pdf 8:46 https://www.trustwave.com/Resources/SpiderLabs-Blog/Mass-MikroTik-Router-Infection-%E2%80%93-First-we-cryptojack-Brazil,-then-we-take-the-World-/ Więcej na: https://youtu.be/bJv87cWbso8
12:33
August 6, 2018
Szurkogadanie #3
Nowości ze świata security w zwięzłej formie. W tym odcinku: podszywanie się pod celebrytów, atak na iphone przy użyciu mdm, okradanie stacji paliw. Bazując na: https://zaufanatrzeciastrona.pl/post/weekendowa-lektura-odcinek-271-2018-07-15-bierzcie-i-czytajcie/ 0:24 https://www.nytimes.com/2018/07/07/technology/facebook-instagram-twitter-celebrity-impostors.html 2:13 https://www.hollywoodreporter.com/features/hunting-con-queen-hollywood-1125932 3:32 http://www.fox2detroit.com/news/local-news/thieves-hack-into-detroit-gas-pump-stealing-more-than-600-gallons 4:47 https://www.trendmicro.de/cloud-content/us/pdfs/security-intelligence/white-papers/wp_the_gaspot_experiment.pdf 5:19 https://www.bellingcat.com/resources/articles/2018/07/08/strava-polar-revealing-homes-soldiers-spies/ 6:44 https://www.cnbc.com/2018/07/11/facebook-private-groups-breast-cancer-privacy-loophole.html Więcej na: https://www.youtube.com/watch?v=T0oqhErUizY
14:09
July 23, 2018
Szurkogadanie #2
Nowości ze świata security w zwięzłej formie. Bazując na: https://zaufanatrzeciastrona.pl/post/weekendowa-lektura-odcinek-270-2018-07-07-bierzcie-i-czytajcie/ 0:21 https://www.reuters.com/article/us-britain-boe-banks/uk-banks-told-to-show-their-backup-plans-for-tech-shutdowns-idUSKBN1JV0X2 1:37 https://www.youtube.com/watch?v=GMWoS7v3qFo 3:09 https://shiptracker.shodan.io/ 3:32 https://blog.rainway.io/how-we-discovered-a-virus-infecting-tens-of-thousands-of-fortnite-players-e5dd6fe1ff55 5:04 https://blog.sucuri.net/2018/07/coinimp-cryptominer-and-fully-qualified-domain-names.html 6:37 https://www.cnet.com/news/con-artists-are-fleecing-uber-drivers/ 7:23 https://www.comparitech.com/blog/vpn-privacy/secondhand-memory-card-study/ 8:16 https://arxiv.org/pdf/1806.10189.pdf Więcej na: https://youtu.be/2j2uIzzdpns
13:15
July 13, 2018
Szurkogadanie #1
Nowości ze świata security w zwięzłej formie. Bazując na: https://zaufanatrzeciastrona.pl/post/weekendowa-lektura-odcinek-269-2018-06-30-bierzcie-i-czytajcie/ 0:33 https://motherboard.vice.com/en_us/article/8xeygv/feds-cryptocurrency-money-launderer-arrest-dozens-dark-web-dealers 1:47 https://thehackernews.com/2018/06/nintendo-switch-jailbreak.html 2:50 https://www.youtube.com/watch?v=yhxCCS9OLNw&feature=youtu.be 4:45 https://blogs.cisco.com/security/cve-2018-0296 6:15 https://blog.ripstech.com/2018/wordpress-file-delete-to-code-execution/ 7:39 https://github.com/hannob/ctgrab 9:01 https://zaufanatrzeciastrona.pl/post/uwaga-na-nowy-atak-na-konta-bankowe-polskich-internautow-na-copywritera/ 10:07 https://www.helpnetsecurity.com/2018/06/27/app-masks-printers-tracking-dots/ 10:38 https://www.troyhunt.com/were-baking-have-i-been-pwned-into-firefox-and-1password Więcej na: https://youtu.be/oZLl46_w3kk
16:55
July 8, 2018
Make your own podcast for free with Anchor!