Kacper Szurek

Kacper Szurek

By Kacper Szurek
Przegląd zagadnień security.
More places to listen

More places to listen

Czy moje hasło jest bezpieczne? Jak działa serwis have I been pwned?
Średnio raz na parę miesięcy Internet obiega informacja o kolejnym wycieku danych z różnego rodzaju serwisów. Raz są tą same emaile, raz email razem z hasłami przechowywanymi w postaci hasza. Zdarzają się również wycieki z miejsc, w których nasze hasło zapisane było w czystej postaci - bez żadnego szyfrowania i haszowania. Media szybko podchwytują dany temat i budują swego rodzaju panikę w oparciu o takie zdarzenia. To sprawia, że coraz więcej osób zadaje sobie pytanie: "Czy ja również padłem ofiarą danego zdarzenia"? W jaki sposób mogę sprawdzić czy moje hasło jest bezpieczne? Załóżmy, że właśnie dowiedziałeś się o dużym wycieku danych i chciałbyś sprawdzić czy któreś z twoich haseł znajduje się w ogólnodostępnej bazie. Jakie masz możliwości? Pierwsza to odnalezienie linków do takiej bazy i ściągnięcie jej na własny komputer. Ale nie każdy posiada techniczną wiedzę, aby je przeszukać. Dane mogą być słabo uporządkowane, rozdzielone na wiele plików. Pozostają jeszcze kwestie prawne. Plusy rozwiązania? Hasła sprawdzamy na swoim komputerze więc nikt oprócz nas nie wie jakiego hasła wyszukiwaliśmy. Druga opcja to skorzystanie z zewnętrznych serwisów. Wystarczy podać nasze hasło w formularzu na takiej stronie - a serwer zwróci informacje czy posiada takowe hasło w swojej bazie. Ale tutaj pojawia się problem. Wszak wysyłamy nasze hasło. Nie mamy pewności czy osoba, która tworzy dany serwis ma dobre zamiary. Dlatego powstały witryny - gdzie hasło przesyłane jest w postaci jakiego hasza. Tym razem twórca witryny nie otrzymuje bezpośrednio naszego hasła, ale otrzymuje hasz naszego hasła. Tylko że posiadając dużą liczbę haseł które wyciekły, może dla każdego z nich wyliczyć odpowiedni skrót i porównać z wartością przesyłaną przez nas. W ten sposób może dowiedzieć się jakie jest nasze hasło, nawet pomimo tego iż użyliśmy funkcji haszującej. Generalnie chodzi nam o taki sposób, w którym prześlemy hasło - bo przecież chcemy je sprawdzić ale równocześnie go nie prześlemy - bo nie chcemy, aby ktoś wiedział jak ono wygląda, a to swego rodzaju paradoks. I tutaj do gry wchodzi matematyka a mówiąc dokładniej pojęcie `k-anonymity`. Załóżmy, że jesteśmy firmą produkującą innowacyjne leki. Z jednej strony chcielibyśmy się podzielić wynikami badań w magazynach branżowych z drugiej jednak strony nie możemy tego zrobić, ponieważ żaden pacjent nie chciał by aby ktoś publicznie z imienia i nazwiska opisywał na co jest chory. Dlatego też takie dane trzeba zanonimizować - czyli usnąć informacje, na podstawie których można by było zidentyfikować konkretną osobę. Polega to na ukrywaniu pewnych danych, chociażby zamiany imienia i nazwiska na gwiazdkę. Podobne rozwiązanie zastosowano w serwisie. Zamiast całego hasha do serwisu wysyłamy tylko jego pierwsze 5 znaków. Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ Sprawdź czy Twoje hasło jest bezpieczne: https://haveibeenpwned.com/ Stock footage provided by Videvo, downloaded from www.videvo.net Free Stock Videos by Videezy Sparks On Machine by wastedgeneration is licensed under CC BY #podcast #hasła #wyciek
10:36
July 1, 2019
Jak działa kradzież karty SIM? Co to jest SIM swap?
Jeszcze kilkanaście lat temu gdy bankowość internetowa pomału wkraczała do naszego życia karty kodów jednorazowych były czymś normalnym. Oprócz loginu i hasła, które potrzebne jest do zalogowania się do serwisu transakcyjnego, każdy przelew musiał być dodatkowo potwierdzony. Dzięki takiemu podejściu bank był pewien, że został on zlecony przez prawowitego właściciela danego konta. Dlaczego te metody nie są wystarczające w dzisiejszym świecie? Jak można uzyskać dane do logowania do czyjegoś konta? Najprościej przy pomocy phishingu. Phishing polega na podszywaniu się pod kogoś lub coś zazwyczaj w celu uzyskania korzyści materialnych. Tworzy się więc kopie stron bankowych, które wyglądają praktycznie tak samo jako oryginały i czeka aż potencjalna ofiara zaloguje się na nie swoimi danymi. Wtedy to tak pozyskane informacje trafiają do rąk złodzieja i mogą zostać przez niego wykorzystane do zalogowania się na prawidłowej stronie banku. Stąd też pomysł dwuskładnikowego potwierdzania transakcji, który funkcjonuje niemal w każdym banku. W przeszłości karta kodów zawierała kilkanaście ponumerowanych kodów. W ostatniej fazie potwierdzania przelewu system losowo wybiera jeden z numerów jeszcze nie wykorzystanych przez klienta i prosi o przepisanie odpowiedniej kombinacji cyfr. Klient zdrapuje wtedy odpowiednie pole, przepisuje odpowiednią kombinację i zleca wykonanie przelewu. Przestępcy zauważyli, że aby włamywanie się na konta miało sens - oprócz haseł muszą także pozyskać liczby z kart zdrapek. Zaczęli wiec na swoich stronach phishingowych prosić niczego nieświadome osoby o przepisanie konkretnych kodów z fizycznych kart. Tutaj uwidacznia się bowiem wada systemu wykorzystywania jednorazowych kodów. Każdy nieużyty ciąg znaków mógł bowiem potwierdzić dowolną transakcję na dowolną kwotę. Obecnie  większość z nas podczas zlecania przelewu otrzymuje od banku wiadomość tekstową wraz z unikalnym kodem który może potwierdzić tylko tą jedną transakcję. Co więcej - w smsie zazwyczaj widoczna jest kwota przelewu a także numer konta odbiorcy. Tym razem każdy kod jest unikalny i powiązany z jedną konkretną operacją. Atakujący nie może zatem pozyskiwać takich kodów na przyszłość z myślą wykorzystania ich w dogodnej chwili. Wszystko gra i działa. Prawda? Nie do końca.  Po przechwyceniu danych do logowania atakujący wykorzystuje je do zalogowania się na stronę banku. W tym momencie na stronie phishingowej niczego nieświadoma ofiara widzi klepsydrę i czeka na logowanie. Potem przestępca zleca przelew na kontrolowane przez siebie konto. W tym momencie bank wysyła do swojego klienta kod SMS, mający potwierdzić daną transakcję. Teraz klientowi wyświetla się informacja iż w celu ukończenia logowania musi je potwierdzić wpisując otrzymany kod SMS. W idealnym scenariuszu klient powinien przeczytać treść wiadomości i zauważyć, że coś się tutaj nie zgadza. W rzeczywistości jednak niewiele osób czyta te wiadomości a tylko przepisuje kod w nich zawarty. Coraz częściej możemy usłyszeć o ataku SIM SWAP, w którym to używany jest duplikat naszej karty SIM. Na czym polega ten przekręt i dlaczego jest tak niebezpieczny? Każdy telefon komórkowy do swojego działania potrzebujemy karty SIM. W niej to zapisane są wszystkie informację potrzebne operatorowi telekomunikacyjnemu do zweryfikowania naszych uprawnień do posługiwania się konkretnym numerem telefonu. Zdarza się że karty SIM gubią się lub też zostają zniszczone i przestają działać. W takiej sytuacji każdy użytkownik może zwrócić się do swojego operatora z prośba o wydanie duplikatu karty.
16:09
June 24, 2019
Jak odnaleźć skradzionego iPhone’a przy użyciu Bluetooth?
Dzisiaj o nowej funkcji, która już za jakiś czas znajdzie się w iPhone a w teorii ma pozwolić nam na odzyskanie skradzionego telefonu nawet gdy atakujący usunie z niego kartę sim a także nie podłączy go do żadnej sieci WiFi. Nowość ta ma się pojawić w iOS 13. Obecnie nie są znane wszystkie szczegóły na temat implementacji wykorzystanej przez firmę Apple. W materiale tym opisuje więc jak taka funkcja mogła by wyglądać a także na jakie szczegóły należy zwrócić uwagę z perspektywy bezpieczeństwa i prywatności całego rozwiązania. W skrócie: każdy telefon od teraz zacznie emitować w sposób ciągły co kilka sekund przy pomocy protokołu Bluetooth swój unikalny identyfikator. Inne urządzenia znajdujące się w zasięgu będą mogły odczytać tą informacje. W przypadku gdy telefon zostanie skradziony i nie będzie posiadał dostępu do Internetu, inne telefony znajdujące się w okolicy będą mogły wysłać do serwerów Apple informacje o tym fakcie wraz ze swoją bieżącą lokalizacją. Dzięki takiemu rozwiązaniu telefon nawet bez dostępu do sieci będzie możliwy do zlokalizowania. Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Bazując na: https://blog.cryptographyengineering.com/2019/06/05/how-does-apple-privately-find-your-offline-devices/ https://www.wired.com/story/apple-find-my-cryptography-bluetooth/ Icon made by Freepik www.flaticon.com
12:26
June 17, 2019
Co to jest BitLocker oraz TPM? Jak działa szyfrowanie dysków?
W prostych słowach szyfrowanie to proces przekształcenia tekstu czytelnego dla człowieka do innej niezrozumiałej postaci, tak aby osoba bez klucza nie była w stanie odczytać informacji tam zawartych. W przeszłości używano prymitywnych metod. Ich prostota wynikała głównie z faktu iż tekst szyfrował człowiek - bez pomocy żadnych dodatkowych maszyn. Ale teraz mamy komputery - sytuacja wygląda więc zgoła inaczej. Dlaczego więc chcielibyśmy szyfrować nasze pliki na dysku twardym? Wiele osób może teraz podnieść głos, że przecież nie mają nic do ukrycia. I rzeczywiście tak może być w przypadku komputerów stacjonarnych, które leżą w zaciszu naszych mieszkań. Ale co z laptopami? Sporo osób korzysta bowiem właśnie z tych urządzeń a wtedy szyfrowanie może być przydatne. Kiedy? Chociażby w przypadku kradzieży. Jeżeli bowiem ktoś skradnie naszego laptopa - uzyska pełen dostęp do danych tam zawartych. W przypadku osobistego sprzętu mogą to być fotografie z wakacji czy też emaile z poczty elektronicznej. Gdy mowa o firmach - atakujący może uzyskać dostęp do kodów źródłowych naszej aplikacji czy też tajemnic przedsiębiorstwa - chociażby listy klientów, z którymi współpracujmy. Możesz spytać: ale jak to możliwe? Przecież mój komputer jest zabezpieczony hasłem. Za każdym razem gdy go uruchamiam, na ekranie startowym Windowsa proszony jestem o podanie tajnej kombinacji znaków i dopiero wtedy uzyskuje dostęp do zasobów maszyny. No i rzeczywiście - tak wygląda mechanizm logowania, ale nie ma on nic wspólnego z szyfrowaniem dysku. Komputer bowiem składa się w wielu komponentów. Jeżeli ktoś posiada fizyczny dostęp do maszyny - czyli jeżeli ją nam ukradł, może każdy z tych elementów wyjąć z obudowy. Może więc odkręcić naszym dysk twardy a następnie przełożyć go do swojego komputera. Tam to, taki dysk nie będzie już chroniony przez hasłu dostępu do naszego systemu operacyjnego. Dlatego też utrata komputera przenośnego może być tak kosztowna. Atakujący może bowiem w prosty sposób uzyskać dostęp do naszych danych i to bez znajomości loginu i hasła. Możesz teraz pomyśleć: przecież nikomu nie będzie się chciało odkręcać obudowy, wyciągać dysku oraz przekładać go do innego komputera. Istnieją metody na uruchomienie działającego systemu operacyjnego z poziomu płyty CD czy też pendrive. Wystarczy odpowiednio spreparowany nośnik podpięty do portu USB. Potem w momencie bootowania systemu - wystarczy tylko wybrać pendrive i poczekać na uruchomienie systemu. Wtedy to nie korzystamy z tego - który znajduje się na dysku twardym komputera ale z innego, znajdującego się na naszym nośniku. Ponownie zatem nie jest potrzebne nasze hasło i login do Windowsa. I tu do gry wchodzi szyfrowanie dysków. Takie szyfrowanie jest możliwe przy użyciu różnego oprogramowania. W Windowsie najprostsza metodą jest jednak skorzystanie z BitLockera - czyli narzędzia wbudowanego w sam system operacyjny i stworzonego przez Microsoft. Ale jeżeli chciałbyś skonfigurować ten mechanizm, masz kilka możliwości. Najprostszą opcją jest szyfrowanie przy użyciu zwykłego hasła. Niestety, nie jest to dobre rozwiązanie. Dlaczego? Ponieważ bezpieczeństwo całego rozwiązania opiera się na tajności podawanego przez nas hasła. Im dłuższe i bardziej skomplikowane hasło tym trudniej będzie je złamać. Ciężko mi sobie wyobrazić pracownika, który byłby zadowolony z faktu wprowadzania za każdym razem 40 znakowego losowego hasła. Images downloaded from Freepik (www.freepik.com) designed by: Freepik, Katemangostar, Pressfoto, rawpixel.com, jcomp, evening_tao Icon made by Freepik, Twitter, Smashicons, Pixelmeetup, Vectors Market www.flaticon.com
13:44
June 10, 2019
Wykorzystanie newslettera do przenoszenia złośliwego oprogramowania
Jak stracić milion dolarów? Historia miłosnego zauroczenia. Wykorzystanie newslettera do przenoszenia złośliwego oprogramowania - jak przestępcy wykorzystują naszą niechęć do reklam. CSS jako metoda infiltracji tajnych danych na stronach internetowych - wyjaśnienie zasady działania Sequential Import Chaining. Co to jest plik `apple-app-site-association` i jakie dane można w nim znaleźć. Odnośniki na stronach internetowych użyte do atakowania konkurencji - o funkcji ping w tagu a href. Nowa sztuczka wykorzystywana przez malware Emotet. Historia o tym jak automatycznie tworzyć złośliwe wiadomości, które są klikane przez potencjalnych odbiorców. A także wyjaśnienie pojęcia `Sextortion` i garść informacji jak ten atak działa w praktyce oraz jakie zarobki przynosi swoim twórcom. Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Grupa: https://www.facebook.com/groups/od0dopentestera/ Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ 1:13 https://szurek.page.link/utrata_miliona 4:00 https://szurek.page.link/malware_newsletter 6:13 https://szurek.page.link/sequential_import 10:14 https://szurek.page.link/app_site 12:05 https://szurek.page.link/ddos_ping 15:07 https://szurek.page.link/emotet_email 16:15 https://szurek.page.link/sextortion Icon made by Freepik, Pixel perfect, Those Icons www.flaticon.com
19:52
April 22, 2019
Jak nie odblokujesz ukrytego koloru Twittera?
Jak zmiana daty urodzenia na Twitterze, może sprawić nie lada kłopoty. Dlaczego nie warto używać wyrażeń regularnych do sprawdzania poprawności domeny. Shodan monitor - czyli ostatni bastion bezpieczeństwa naszych serwerów. Dystrybucja Windowsa dla pentesterów? Parę słów na temat commando VM. Jak testować bezpieczeństwo sklepów internetowych. Szybkie i proste metody do sprawdzenia. Co to jest credential stuffing i jak się przed nim obronić. A także o ekosystemie rozszerzeń do WordPressa. Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ 0:50 https://szurek.page.link/birth_scam Scam urodzinowy na Twitterze 2:35 https://szurek.page.link/security_domain Dlaczego nie używać wyrażeń regularnych  5:14 https://szurek.page.link/credential_stuffing Co to jest credential stuffing 7:48 https://szurek.page.link/eat_for_free Jak jeść za darmo w dużych miastach 10:32 https://szurek.page.link/wp_strange_theme Dziwne funkcje w kodzie 13:24 https://szurek.page.link/shodan_monitor Shodan monitor 14:36 https://szurek.page.link/commando_vm Windows dla pentesterów 15:55 https://szurek.page.link/test_finance_apps Jak testować aplikacje sklepów Icon made by Smashicons, Freepik, pongsakornRed www.flaticon.com
17:51
April 16, 2019
Jak zaatakować router przy pomocy Raspberry Pi?
Co to jest atak BadUSB? Czyli jak podpinając Raspberry Pi do routera można monitorować ruch w danej sieci. Na czym polegał błąd SQL Injection w oprogramowaniu sklepu internetowego Magento oraz jak sklepy używające integracji z Paypalem są używane przez przestępców do sprawdzania poprawności kart kredytowych. Co oznacza termin `trust on first use` w odniesieniu do internetowych komunikatorów - czyli o tym jak sprawdzać, kto czai się po drugiej stronie czatu. Anonimizacja to nie taka prosta sprawa jak mogłoby się wydawać. Dlaczego samo zakrywanie danych w dokumentach nie zawsze wystarczy. Kopiowanie plików z kontenera Kubernetes powodem wykonania kodu na komputerze administratora - o symlinkach w plikach tar. A także jak wykorzystując dowiązania symboliczne można było podnieść swoje uprawnienia jeżeli korzystałeś z kart NVIDIA GeForce. Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ 1:21 https://szurek.page.link/badusb Raspberry PI podpięte do routera 6:29 https://szurek.page.link/magentosql SQL Injection w sklepie Magento 9:23 https://szurek.page.link/magentopaypal Magento wykorzystywane przez złodziei kart 11:17 https://szurek.page.link/tofu Trust on first use 14:36 https://szurek.page.link/anonimizacja Zakrywanie danych nie wystarcza 16:38 https://szurek.page.link/kubernetes_tar RCE w Kubernetes przy pomocy plików TAR 20:21 https://szurek.page.link/nvidia_priv Podniesienie uprawnień w oprogramowaniu NVIDIA 23:17 https://szurek.page.link/hire_hack Jak zabezpieczyć swoje cyfrowe ja Icon made by Smashicons, Freepik, pongsakornRed www.flaticon.com
24:24
April 8, 2019
Fałszywe okno przeglądarki w iPhone
Podszywanie się pod okno przeglądarki na iPhone’ie - o ataku Picture in Picture. Jak sprawdzić gdzie byliśmy na wakacjach bez naszej zgody? O podatności Cross-site Search. Czy słyszałeś o Google BigQuery? Przeszukiwanie wielu gigabajtów danych w celu odnalezienia tokenów API na GitHubie. Jak podszyć się pod dowolny adres IP? O zdalnym wykonaniu kodu w infrastrukturze Mozilli. Używanie legalnych komponentów do rozpowszechniania złośliwego oprogramowania - jak wykorzystano serwis Firebase. Oszustwa w mechanizmie reklam mobilnych - jak wyświetlać dwie reklamy w jednej. Co to jest high frequency trading i jakie przeszkody stoją przed osobami, które się nim zajmują. A także o last minute persistence, czyli jak ewoluowały metody przetrzymywania restartu komputera w malwarze. Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Grupa: https://www.facebook.com/groups/od0dopentestera/ Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ 1:16 https://goo.gl/v5fb2g Picture in picture - atak na iPhone 4:00 https://goo.gl/hdcmvH Cross Site Search w Google Photo 8:16 https://goo.gl/U2EGjb Google BigQuery 12:22 https://goo.gl/sBzXt9 Podszywanie się pod adres IP 16:10 https://goo.gl/c5DCdu Malware w bazie Firebase 18:38 https://goo.gl/Zz7Ffq Podwójne reklamy na telefonach 21:45 https://goo.gl/Jy7Yus Handel wysokich częstotliwości 24:14 https://goo.gl/bRq5SK Last minute persistance Icon made by Freepik, Smashicons, itim2101 www.flaticon.com
26:29
April 1, 2019
Omijanie blokady rodzicielskiej przy użyciu Google Docs
Jak dzieci omijają blokady rodzicielskie na komputerach przy użyciu strony Google Docs. Do czego może prowadzić udostępnianie swoich zdjęć w Internecie na licencji Creative Commons. Bezpieczne przechowywanie plików w chmurze - o konfiguracji współdzielonych folderów w usłudze box.com Co było powodem unieważnienia dwóch milionów certyfikatów SSL - o brakującym bicie w numerze seryjnym. Czy wiesz co można odnaleźć w zakładce `Ważne miejsca` w iPhone’ie? A także o badaniu pokazującym kiedy programiści piszą swój kod w bezpieczny sposób. Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Anchor: https://anchor.fm/kacperszurek/ 1:03 https://goo.gl/f8x45c Omijanie blokady rodzicielskiej przy użyciu Google Docs 3:25 https://goo.gl/fZa454 Zdjęcia na licencji Creative Commons używane do rozpoznawania twarzy 6:58 https://goo.gl/JGSn8G Cofanie błędnych aktualizacji w Windowsie 8:37 https://goo.gl/qLG3sq Wycieki danych poprzez współdzielone pliki w box.com 11:02 https://goo.gl/xjYG4G Dlaczego należało unieważnić 2 miliony certyfikatów SSL 14:57 https://goo.gl/1KxfXJ Co przechowuje opcja `Ważne miejsca` w iPhonie 15:46 https://goo.gl/NeY9U6 Popup, którego nie da się zamknąć 17:26 https://goo.gl/1wod5u Badania na temat bezpiecznego kodu Icon made by Freepik, Smashicons www.flaticon.com
19:16
March 25, 2019
Jak zniszczyć reputację firmy przy pomocy funkcji wiki na GitHubie
Dlaczego menadżery haseł to skomplikowany kawałek technologii - o prawidłowym rozpoznawaniu subdomen. Jak złośliwy serwer MySQL może pobrać dane od klienta. Co jest powodem rozpowszechniania złośliwego oprogramowania w sieci torrent? O meandrach języka PHP - jak to możliwe że fałsz to prawda. A na koniec jak działają ataki czasowe. 0:58 https://goo.gl/6CiLcV Publiczne strony wiki na GitHubie 3:05 https://goo.gl/9AvGD5 MySQL honeypot 5:38 https://goo.gl/D35DNG Rozpoznawanie subdomen w menadżerach haseł 8:35 https://goo.gl/G2tejp Brak podpisu authenticode w Notepad++ 12:20 https://goo.gl/ZZk8Ez Malware w torrentach 15:53 https://goo.gl/GDjYAA https://goo.gl/8a2e32 Jak sprawdzić kto odwiedził naszą stronę 18:06 https://goo.gl/bjLwHX https://goo.gl/GKDURE Fałsz to prawda - błąd w kodzie PHP 19:32 https://goo.gl/Xws9Xj Rozpoznawanie użytkownika na podstawie wielkości okna 21:07 https://goo.gl/haE9gT Jak działa atak czasowy Icon made by Vectors Market, Freepik, Roundicons, monkik www.flaticon.com
23:59
March 18, 2019
Włamanie do samolotu przy użyciu myszki komputerowej
Jak włamać się do systemów rozrywki obecnych w samolotach pasażerskich. Jak obejść mechanizm Attack Surface Reduction mający chronić użytkowników przed złośliwymi makrami w pakiecie Office. Następnie historia o dodatkowej spacji doklejanej do niektórych odpowiedzi serwera WWW na której podstawie możliwe było wykrycie złośliwych serwerów Cobal Strike. Chwilę później o plikach polyglots, które umożliwiają przechowywanie informacji różnego typu w jednym pliku. Na koniec o tym jak można było pozyskać tajne dane z firm, które już nie istnieją na rynku a także historia pewnego dziwnego na pozór losowego hasła. 1:16 Włamanie do samolotu przy użyciu myszki https://goo.gl/Ws1Utb 4:53 Obejście mechanizmu Attack Surface Reduction https://goo.gl/WWdFbN 9:08 Identyfikacja serwerów przy pomocy spacji https://goo.gl/TAJ7ii 12:15 Pliki polyglots https://goo.gl/bVA4Wg 14:29 Atakowanie nieistniejących firm https://goo.gl/1sb9TZ 17:15 Historia dziwnego hasła https://goo.gl/cdzyht 18:37 Tanie hackowanie iPhone https://goo.gl/rW1sEm 21:04 Statystyki kliknięcia w PDF https://goo.gl/UL3DfT Icon made by Freepik www.flaticon.com
23:05
March 11, 2019
Jak podszyć się pod znaną osobę używając Deepfake?
Czy portale społecznościowe mogą wpłynąć na wyniki operacji wojskowej? Jak usunąć kompromitujące materiały z sieci udając prokuratora generalnego? Co to jest brickowanie urządzeń czyli jak przekonać użytkownika do kupna nowego sprzętu pomimo iż stary działa prawidłowo. Znalazłeś błąd bezpieczeństwa na stronie i nie wiesz jak powiadomić o nim firmę? Garść informacji na temat pliku security.txt który ma służyć właśnie do tego celu. A także wytłumaczenie błędu, który odnaleziono w programie WinRAR oraz dlaczego adwokaci reklamują się w DarkWebie - czyli ciemnej stronie Internetu. 1:18 https://www.wired.com/story/amber-authenticate-video-validation-blockchain-tampering-deepfakes/  4:19 https://www.wired.com/story/nato-stratcom-catfished-soldiers-social-media/ 7:04 https://blog.cloudflare.com/the-curious-case-of-the-garden-state-imposter/ 10:40 https://arstechnica.com/gadgets/2019/02/my-left-shoe-wont-even-reboot-faulty-app-bricks-nike-smart-sneakers/ 13:00 https://tools.ietf.org/html/draft-foudil-securitytxt-05 15:17 https://bugs.chromium.org/p/project-zero/issues/detail?id=1722 17:04 https://research.checkpoint.com/extracting-code-execution-from-winrar/ 20:00 https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/ethics-need-not-apply-the-dark-side-of-law 22:29 https://www.pdf-insecurity.org/signature/signature.html Icon made by Dimitry Miroliubov, Dave Gandy www.flaticon.com
24:45
March 4, 2019
Jak przekonać użytkowników do uruchomienia 2FA na przykładzie gier
Czy wiesz co oznacza termin catastrophic destruction? Jakie dane zbiera na nasz temat Netflix i do czego mogą one zostać użyte w przyszłości? Następnie techniczny opis ataku podniesienia uprawnień w linuxie - czyli dlaczego czasami nie warto wprowadzać kolejnych warstw abstrakcji do kodu źródłowego. Opowiem także o tym jak wyciek naszego adresu zamieszkania może doprowadzić do braku snu a także o mało znanej funkcji Amazon S3. Na koniec porozmawiamy o elektrycznych hulajnogach i testowaniu bezpieczeństwa elektronicznych wyborów w Szwajcarii. 1:11 https://www.epicgames.com/fortnite/pl/news/2fa 4:36 https://krebsonsecurity.com/2019/02/email-provider-vfemail-suffers-catastrophic-hack/ 6:00 https://about.gitlab.com/2017/02/01/gitlab-dot-com-database-incident/ 6:57 https://motherboard.vice.com/en_us/article/j57gkk/netflix-has-saved-every-choice-youve-ever-made-in-black-mirror-bandersnatch 10:41 https://shenaniganslabs.io/2019/02/13/Dirty-Sock.html 13:28 https://twitter.com/freefuel1/status/1097024976673259520 15:49 https://blog.zimperium.com/dont-give-me-a-brake-xiaomi-scooter-hack-enables-dangerous-accelerations-and-stops-for-unsuspecting-riders/ 17:09 https://onlinevote-pit.ch/ 18:42 https://medium.com/@localh0t/unveiling-amazon-s3-bucket-names-e1420ceaf4fa 19:50 https://zaufanatrzeciastrona.pl/konferencje2019/ Icon made by Freepik, Smashicons, Pixelmeetup www.flaticon.com
20:38
February 25, 2019
Sekunda przestępna powodem 100% zużycia CPU
Różne adresy email prowadzące do jednej osoby - o kropkach w serwisie Gmail. Sposób na kradzież pieniędzy od użytkowników ebooków. Phishing przy pomocy tłumacza Google Translate. Czy ustawianie wiadomości autorespondera w biznesowej poczcie to dobry pomysł? Co to jest `session replay` - czyli jak śledzić poczynania użytkowników aplikacji mobilnych. Opowieść o linkach z sekretami - jakie dane można znaleźć na serwisie `VirusTotal`? Do czego służy Facebook Custom Audiences a także o programach Bug Bounty. Grupa: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Transkrypcja: https://security.szurek.pl/szurkogadanie-31.html Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Google Podcasts: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Anchor: https://anchor.fm/kacperszurek/ 1:11 https://sarvendev.com/2019/01/problematyczna-sekunda/ 3:22 https://blog.malwarebytes.com/cybercrime/2019/02/bogus-john-wick-3-ebooks/ 5:39 https://www.agari.com/email-security-blog/bec-actors-exploit-google-dot-feature/ 6:51 https://blogs.akamai.com/sitr/2019/02/phishing-attacks-against-facebook-google-via-google-translate.html 8:10  https://lonesysadmin.net/2019/02/03/out-of-office-messages-are-a-security-risk/ 10:08 https://techcrunch.com/2019/02/06/iphone-session-replay-screenshots/ 12:02 https://medium.com/@YumiSec/virus-total-the-best-way-to-disclose-your-company-secrets-92988396f36a 13:37 https://techcrunch.com/2019/02/06/why-am-i-seeing-this-ad/ 14:32 https://foreignpolicy.com/2019/02/01/you-can-hack-this-headline-for-200/ 16:16 https://www.theregister.co.uk/2019/02/05/sony_tshirt_bounty/ 18:55 https://motherboard.vice.com/en_us/article/8xyq8v/how-to-unlock-icloud-stolen-iphone Icon made by Freepik, Pixel perfect, Google www.flaticon.com
20:37
February 18, 2019
Jak działa zimny i gorący portfel w odniesieniu do kryptowalut?
Grupa: https://www.facebook.com/groups/od0dopentestera/ Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1 Jak sprawdzić czy legitymacja studencka jest sfałszowana? Atakowanie kamer rozpoznających znaki ograniczenia prędkości w nowoczesnych samochodach. Co to jest Jailbreak i jak można go wykryć z poziomu aplikacji na telefon? Jak nadużywa się mechanizmów ochrony praw autorskich aby uzyskać okup od Youtuberów? Parę słów o bezpieczeństwie skrótów Siri. Konsekwencje testów penetracyjnych przeprowadzanych bez zgody firmy. Transkrypcja: https://security.szurek.pl/szurkogadanie-30.html Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Google Podcasts: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Anchor: https://anchor.fm/kacperszurek/ 0:55 https://www.washingtonpost.com/nation/2019/01/31/ice-set-up-fake-university-hundreds-enrolled-not-realizing-it-was-sting-operation/ 2:18 http://www.deltami.edu.pl/temat/informatyka/2013/10/29/Czesc_2_--_Kazdy_student_nosi/ 4:08 https://www.allaboutcircuits.com/news/going-blind-physical-world-attacks-can-trick-autonomous-driving-systems/ 6:29 https://duo.com/blog/jailbreak-detector-detector 10:10 https://www.yubico.com/wp-content/uploads/2019/01/Ponemon-Authentication-Report.pdf 12:22 https://www.ccn.com/190m-gone-how-canada-biggest-bitcoin-exchange-lost-it 14:43 https://en.wikipedia.org/wiki/Shamir's_Secret_Sharing 15:46 https://thehackernews.com/2019/02/vulnerability-disclosure-hacker.html 17:11 https://www.bleepingcomputer.com/news/security/new-scam-holds-youtube-channels-for-ransom/ 19:00 https://www.bleepingcomputer.com/news/software/chrome-to-display-warnings-about-similar-or-lookalike-urls/ 20:15 https://www.theguardian.com/world/2019/jan/31/drug-trafficker-evades-capture-15-years-fingerprint-implants 20:49 https://securityintelligence.com/hey-siri-get-my-coffee-hold-the-malware/ Icon made by Freepik, Smashicons, Nikita Golubev www.flaticon.com
23:01
February 11, 2019
Jak przekonać rodzica do kupna psa przy użyciu reklam na Facebooku?
Co to jest domain hijacking i jak się przed nim bronić. Quiz na temat phishingu od Google. Jak przejąć domenę poprzez błędny rekord DNS?  Dlaczego tajny token do podpisywania ciasteczek musi być losowy? Historia wspólnego klucza prywatnego używanego przez wiele stron. Poradnik bezpieczeństwa dla Iphona. Jak powinien wyglądać dobry raport z testu penetracyjnego? Kopiowanie kodu ze StackOverflow początkiem problemów. Grupa: https://www.facebook.com/groups/od0dopentestera/ Transkrypcja: https://security.szurek.pl/szurkogadanie-28.html Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Google Podcasts: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Anchor: https://anchor.fm/kacperszurek/ 0:41 https://phishingquiz.withgoogle.com/ 2:06 https://krebsonsecurity.com/2019/01/bomb-threat-sextortion-spammers-abused-weakness-at-godaddy-com/ 5:03 https://blendle.engineering/protecting-our-mission-critical-domain-names-e9807db9d84c 7:00 https://koen.io/2019/01/17/a-tale-of-private-key-reuse/ 8:30 https://www.thedailybeast.com/for-dollar29-this-company-swears-it-will-brainwash-someone-on-facebook 10:55 https://www.bbc.com/news/blogs-trending-46898211 12:31 https://itunes.apple.com/pl/book/iphone-security/id1449272213?mt=11 13:17 https://www.my127001.pl/jak-powinien-wygladac-dobry-raport-z-testu-penetracyjnego/ 14:53 https://blog.paradoxis.nl/defeating-flasks-session-management-65706ba9d3ce 16:21 https://www.mdsec.co.uk/2019/01/abusing-office-web-add-ins-for-fun-and-limited-profit/ Icon made by Freepik, Vectors Market, Prosymbols www.flaticon.com
18:16
February 4, 2019
Czy czcionka może zdemaskować oszusta?
Po co ktoś kradnie konta na Instagramie? Dlaczego nie warto umieszczać zdjęć kart pokładowych w serwisach społecznościowych? Kilka porad mających nauczyć nas poszukiwania ukrytych kamer oraz nowy sposób przenoszenia złośliwego oprogramowania przy pomocy podpisanych plików .msi Transkrypcja: https://security.szurek.pl/szurkogadanie-28.html Grupa: https://www.facebook.com/groups/od0dopentestera/ Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Google Podcasts: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O 0:51 https://motherboard.vice.com/en_us/article/59vnvk/hacked-instagram-influencers-get-accounts-back-white-hat-hackers 3:09 https://nationalpost.com/news/canada/canadian-fraudster-foiled-because-he-used-the-wrong-font 4:38 https://nfsec.pl/security/6105 6:16 https://techcrunch.com/2019/01/16/android-app-es-file-explorer-expose-data/ 7:05 https://techcrunch.com/2019/01/15/amadeus-airline-booking-vulnerability-passenger-records/ 8:44 https://www.forbes.com/sites/thomasbrewster/2019/01/15/exclusive-watch-hackers-take-control-of-giant-construction-cranes/ 10:24 https://blog.virustotal.com/2019/01/distribution-of-malicious-jar-appended.html 12:27 https://www.senteltechsecurity.com/blog/post/how-to-find-hidden-cameras/ 13:44 https://arxiv.org/pdf/1901.03535.pdf  Icon made by Freepik, Roundicons, Twitter www.flaticon.com
15:08
January 28, 2019
Jak działa atak większościowy 51% na kryptowalute Ethereum?
W tym odcinku o błędzie w wyszukiwarce Google, który pozwalał na tworzenie fałszywych informacji. Grupa: https://www.facebook.com/groups/od0dopentestera/ Opowiem także jak przestępcy omijają wykrywanie swoich złośliwych domen przy użyciu niewidocznej spacji. Czy kurz na kamerze może się komuś przydać? O wykrywaniu osób ze sobą powiązanych na podstawie brudu na obiektywie a także jak i dlaczego zaatakowano urządzenia Google Chromecast służące do strumieniowania treści na telewizorze. Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Google Podcasts: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O 0:49 https://www.wietzebeukema.nl/blog/spoofing-google-search-results 2:55 https://github.com/emtunc/SlackPirate 4:26 https://github.com/dxa4481/XSSOauthPersistence 6:56 https://niebezpiecznik.pl/post/blik-facebook-skan-dowodu-oszustwo/ 8:39 https://thehackernews.com/2019/01/phishing-zero-width-spaces.html 10:47 https://thehackernews.com/2019/01/chromecast-pewdiepie-hack.html 12:48 https://gizmodo.com/facebook-knows-how-to-track-you-using-the-dust-on-your-1821030620 14:06 https://www.theregister.co.uk/2019/01/11/notpetya_insurance_claim/ 15:26 https://www.bleepingcomputer.com/news/software/mozilla-to-disable-flash-plugin-by-default-in-firefox-69/ 15:51 https://blog.coinbase.com/ethereum-classic-etc-is-currently-being-51-attacked-33be13ce32de Icon made by Freepik from www.flaticon.com
17:10
January 21, 2019
Google Dorks - znajdowanie podatności przy użyciu wyszukiwarki
Tym razem dowiesz się to co jest Google Dorks - czyli jak wyszukiwać informacje w Internecie. Opiszę również jak naukowcom udało się złamać projekt reCaptcha oraz dlaczego konkursy typu CTF mogą być dobrym wstępem do nauki bezpieczeństwa. Na koniec błąd w Skypie umożliwiający dostęp do zablokowanego telefonu oraz lista najdroższych wypłat gotówki w ramach programów Bug Bounty. Grupa: https://www.facebook.com/groups/od0dopentestera/ Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Google Podcasts: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O YouTube: https://www.youtube.com/c/KacperSzurek 0:54 https://www.exploit-db.com/google-hacking-database 2:29 http://www.policja.pl/pol/aktualnosci/167879,Ostrzezenie-przed-QR-kodami-umieszczanymi-na-bankomatach.html 3:56 https://github.com/ecthros/uncaptcha2 5:38 https://blog.dragonsector.pl/2019/01/dragon-sector-wins-ctftime-season-2018.html 8:25 https://www.proofpoint.com/us/threat-insight/post/phishing-template-uses-fake-fonts-decode-content-and-evade-detection 10:10 https://wunderwuzzi23.github.io/blog/passthecookie.html 12:10 https://juliareda.eu/2018/12/eu-fossa-bug-bounties/ 13:20 https://www.theregister.co.uk/2019/01/03/android_skype_app_unlock/ 14:28 https://www.htbridge.com/blog/top-ten-bug-bounty-payouts-of-2018.html 15:23 https://zaufanatrzeciastrona.pl/post/ogromny-bezprecedensowy-wyciek-danych-niemieckich-politykow/ Icon made by Freepik, Smashicons from www.flaticon.com
16:22
January 14, 2019
Szurkogadanie #25 Wykrywanie ataków przy pomocy canary tokens
Co to są `Canary Tokens` i jak można wykorzystać je do wykrycia włamania we wczesnej jego fazie. Czy hasła maskowane stosowane w bankach to rzeczywiście taki dobry pomysł oraz o nowej metodzie ataku poprzez kabel USB podpinany do komputera Grupa: https://www.facebook.com/groups/od0dopentestera/ YouTube: https://www.youtube.com/c/kacperszurek Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Google Podcasts: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O 0:44 https://zaufanatrzeciastrona.pl/post/sprawdz-co-google-wie-o-twoich-zakupach-i-nie-tylko-zakupach/ 1:56 https://zaufanatrzeciastrona.pl/post/bardzo-sprytny-atak-na-uzytkownikow-portfela-bitcoinowego-electrum/ 4:54 https://www.washingtonpost.com/nation/2018/11/14/police-think-alexa-may-have-witnessed-new-hampshire-double-slaying-now-they-want-amazon-turn-her-over/ 6:29 https://ericalexander.org/posts/youre-not-the-customer/ 8:55 https://blog.cloudflare.com/banking-grade-credential-stuffing-the-true-effectiveness-of-a-partial-password-validation/ 11:25 https://www.crowdsupply.com/rfid-research-group/usbninja 13:01 https://torrentfreak.com/selling-pirate-movies-putting-the-money-in-a-personal-paypal-account-is-insane-181223/ 14:06 https://techcommunity.microsoft.com/t5/Windows-Kernel-Internals/Windows-Sandbox/ba-p/301849 15:32 https://badpackets.net/over-19000-orange-livebox-adsl-modems-are-leaking-their-wifi-credentials/ 17:23 https://www.securelist.pl/blog/7459,czy_wiesz_ile_jestes_wart.html Icon made by Pixel Buddha, Smashicons from www.flaticon.com
18:49
January 7, 2019
Szurkogadanie #24 Jak działa atak Business Email Compromise?
Czy phishing może doprowadzić do ewakuacji szkoły? Dowiesz się również jak nie cenzurować internetowych map oraz jak można wykraść tajne dane z telefonu, jeżeli podłączymy go do złośliwej ładowarki. Grupa: https://www.facebook.com/groups/od0dopentestera/ Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Google Podcasts: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O Anchor: https://anchor.fm/kacperszurek/ 0:47 https://www.zdnet.com/article/save-the-children-foundation-duped-by-hackers-into-paying-out-1-million/ 2:31 https://krebsonsecurity.com/2018/12/spammed-bomb-threat-hoax-demands-bitcoin/ 4:12 https://fas.org/blogs/security/2018/12/widespread-blurring-of-satellite-images-reveals-secret-facilities/ 5:51 https://blog.avatao.com/How-I-could-steal-your-photos-from-Google/ 7:22 https://i.blackhat.com/eu-18/Wed-Dec-5/eu-18-Spolaor-No-Free-Charge-Theorem-2-How-To-Steal-Private-Information-From-A-Mobile-Device-Using-A-Powerbank.pdf 9:22 https://developers.facebook.com/blog/post/2018/12/14/notifying-our-developer-ecosystem-about-a-photo-api-bug/ 10:23 https://www.zdnet.com/article/malicious-sites-abuse-11-year-old-firefox-bug-that-mozilla-failed-to-fix/ 12:03 https://bugs.chromium.org/p/project-zero/issues/detail?id=1663 13:18 https://www.welivesecurity.com/2018/12/11/android-trojan-steals-money-paypal-accounts-2fa/ Icon made by Freepik, Vectors Market, Smashicons, Gregor Cresnar from www.flaticon.com
14:52
December 24, 2018
Szurkogadanie #23 Jak działają dynamicznie generowane domeny - DGA?
W tym tygodniu dowiesz jak działają dynamicznie generowane domeny, gdzie są używane oraz dlaczego są niebezpieczne. Opowiem co to jest atak miliarda uśmiechów a także jak jednemu z badaczy bezpieczeństwa udało się stworzyć własny adres e-mail w domenie google.com nie będąc przy tym zatrudnionym w tej firmie. Grupa: https://www.facebook.com/groups/od0dopentestera/ Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Google Podcasts: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O 0:34 https://en.wikipedia.org/wiki/Domain_generation_algorithm 3:05 https://www.theregister.co.uk/2018/12/04/ransomware_helper_was_middleman_dr_shifro/ 5:05 https://securelist.com/koffeymaker-notebook-vs-atm/89161/ 6:42 https://en.wikipedia.org/wiki/Billion_laughs_attack 8:03 https://www.europol.europa.eu/newsroom/news/over-1500-money-mules-identified-in-worldwide-money-laundering-sting 10:16 https://www.nccgroup.trust/us/about-us/newsroom-and-events/blog/2018/december/eternalglue-part-three-releasing-a-worm-into-an-enterprise-network-of-a-100-billion-dollar-company/ 11:47 https://www.andmp.com/2018/12/how-i-managed-to-get-google.html 13:13 https://www.palkeo.com/en/projets/ethereum/stealing_ether.html 14:30 https://medium.com/@luanherrera/xs-searching-googles-bug-tracker-to-find-out-vulnerable-source-code-50d8135b7549 Icon made by Freepik, Smashicons from www.flaticon.com #podcast #szurkogadanie #security
15:57
December 17, 2018
Szurkogadanie #22
Jak wykraść dane z pomieszczenia przy pomocy żarówki? Czym jest przekręt na pomoc techniczną? Oraz jak wykorzystać Google Translate jako serwer proxy. Grupa: https://www.facebook.com/groups/od0dopentestera/ Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4 Google Podcasts: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O 0:27 https://threader.app/thread/1068714506770149376 1:49 https://github.com/mthbernardes/GTRS 3:43 https://krebsonsecurity.com/2018/11/half-of-all-phishing-sites-now-have-the-padlock/ 5:09 https://blogs.microsoft.com/on-the-issues/2018/11/29/new-breakthroughs-in-combatting-tech-support-scams/ 6:52 https://www.bbc.com/news/technology-46401890 7:38 https://www.zdnet.com/article/dell-announces-security-breach/ 7:57 https://www.checkmarx.com/blog/smart-bulb-exfiltration/ 9:15 https://arstechnica.com/information-technology/2018/11/malware-targeting-autocad-is-infecting-companies-all-around-the-world/ 10:38 https://www.darkreading.com/endpoint/the-return-of-email-flooding-/a/d-id/1333351 Icon made by Freepik, Vectors Market, Pixel perfect, pongsakornRed from www.flaticon.com #podcast #szurkogadanie #security
12:14
December 10, 2018
Szurkogadanie #21
Jak przy pomocy zakupów w supermarketach sprawdzić czy jesteś w ciąży? Co to jest atak homograficzny na domeny internetowe? A także odcisk palca pasujący do wielu osób. Podcast Szurkogadanie - cotygodniowe zestawienie najciekawszych wiadomości ze świata bezpieczeństwa komputerowego. Grupa: https://www.facebook.com/groups/od0dopentestera/ Dostępne również na: https://anchor.fm/kacperszurek/ Transkrypcja: https://security.szurek.pl/szurkogadanie-21.html Bazując na: https://zaufanatrzeciastrona.pl/post/weekendowa-lektura-odcinek-290-2018-11-25-bierzcie-i-czytajcie/ 0:24 https://japantoday.com/category/crime/Man-tries-to-fraudulently-use-Aeon-loyalty-points-by-pretending-to-visit-its-stores-2.7-mil-times 1:57 https://www.forbes.com/sites/kashmirhill/2012/02/16/how-target-figured-out-a-teen-girl-was-pregnant-before-her-father-did/ 4:08 https://xlab.tencent.com/en/2018/11/13/cve-2018-4277/ 6:23 https://blog.emsisoft.com/en/32373/beware-new-wave-of-malware-spreads-via-iso-file-email-attachments/ 7:47 https://www.zdnet.com/article/aws-rolls-out-new-security-feature-to-prevent-accidental-s3-data-leaks/ 9:13 https://zaufanatrzeciastrona.pl/post/tylna-furtka-odkryta-w-bardzo-popularnej-bibliotece-js-kradla-btc/ 11:28 https://www.theguardian.com/technology/2018/nov/15/fake-fingerprints-can-imitate-real-fingerprints-in-biometric-systems-research 13:07 https://threatpost.com/spotify-phishers-hijack-music-fans-accounts/139329/ 14:28 http://blog.abhijittomar.com/2018/10/19/google-business-claim-scam/ Więcej na: https://youtu.be/3JTj7QO2KnQ Icon made by Freepik, Vectors Market from www.flaticon.com #podcast #szurkogadanie #security
15:37
December 3, 2018
Szurkogadanie #20
Podcast Szurkogadanie - cotygodniowe zestawienie najciekawszych wiadomości ze świata bezpieczeństwa komputerowego. W tym odcinku: wyłudzanie pieniędzy od przedsiębiorców przy użyciu firm łudząco podobnych do instytucji państwowych, jak przestępcy sprzedają noclegi w drogich hotelach wykorzystując punkty lojalnościowe a także co to jest swatting czyli nasyłanie zbrojnych oddziałów policji na swoich znajomych. Grupa: https://www.facebook.com/groups/od0dopentestera/ Dostępne również na: https://anchor.fm/kacperszurek/ Transkrypcja: https://security.szurek.pl/szurkogadanie-20.html Bazując na: https://zaufanatrzeciastrona.pl/post/weekendowa-lektura-odcinek-289-2018-11-17-bierzcie-i-czytajcie/ 0:22 https://czasopismo.legeartis.org/2018/11/uwaga-spolke-krajowy-rejestr-sadowny.html 1:52 https://motherboard.vice.com/en_us/article/wj35yb/how-hackers-sell-luxury-hotels-cheap-discount-loyalty-points-airlines 4:17 https://motherboard.vice.com/en_us/article/59vbp5/shady-data-brokers-are-selling-online-dating-profiles-by-the-millions 5:20 https://krebsonsecurity.com/2018/11/that-domain-you-forgot-to-renew-yeah-its-now-stealing-credit-cards/ 6:52 https://www.bbc.co.uk/news/amp/technology-46136513 8:06 https://krebsonsecurity.com/2018/11/calif-man-pleads-guilty-in-fatal-swatting-case-faces-20-years-in-prison/ 9:24 https://motherboard.vice.com/en_us/article/zm9jd4/old-school-sniffing-attacks-can-still-reveal-your-browsing-history 10:41 https://blog.cotten.io/hacking-gmail-with-weird-from-fields-d6494254722f 11:56 https://niebezpiecznik.pl/post/zlosliwa-aplikacja-apple-appstore/ Więcej na: https://www.youtube.com/watch?v=nENMXRFzDV0 Icon made by Smashicons, Pixel perfect, Nikita Golubev from www.flaticon.com #podcast #szurkogadanie #security
12:54
November 26, 2018
Szurkogadanie #19
Podcast Szurkogadanie - cotygodniowe zestawienie najciekawszych wiadomości ze świata bezpieczeństwa komputerowego. W tym odcinku: podszywanie się pod zweryfikowane konta na Twitterze, nadziewanie ciasteczek - czyli jak oszukiwać na prowizjach w Internecie oraz czy na Windowsie może uruchomić się złośliwe oprogramowanie przewidziane na inny system operacyjny? Grupa: https://www.facebook.com/groups/od0dopentestera/ Dostępne również na: https://anchor.fm/kacperszurek/ Transkrypcja: https://security.szurek.pl/szurkogadanie-19.html Bazując na: https://zaufanatrzeciastrona.pl/post/weekendowa-lektura-odcinek-288-2018-11-11-bierzcie-i-czytajcie 0:30 https://www.bleepingcomputer.com/news/security/fake-elon-musk-twitter-bitcoin-scam-earned-180k-in-one-day/ 2:34 https://www.tomaszpalak.pl/jak-moga-cie-oszukac-na-plikach-cookies/ 5:02 https://krebsonsecurity.com/2018/11/sms-phishing-cardless-atm-profit/ 6:22 https://www.zdnet.com/article/us-cyber-command-starts-uploading-foreign-apt-malware-to-virustotal/ 7:06 https://www.zdnet.com/article/giant-ransomware-bundle-threatens-to-make-malware-attacks-easier-for-crooks/ 7:53 https://zaufanatrzeciastrona.pl/post/uwaga-na-dyski-ssd-z-wbudowanym-szyfrowaniem-to-moze-byc-pulapka/ 9:31 https://secrary.com/Random/AbusingWSLforEvasion/ 10:56 https://www.welivesecurity.com/2018/11/06/supply-chain-attack-cryptocurrency-exchange-gate-io/ 12:14 https://krebsonsecurity.com/2018/11/u-s-secret-service-warns-id-thieves-are-abusing-uspss-mail-scanning-service/ 13:45 https://research.checkpoint.com/dji-drone-vulnerability/ Icon made by Eucalyp, monkik, srip from www.flaticon.com Więcej na: https://youtu.be/ow97790rz4c
14:53
November 19, 2018
Szurkogadanie #18
Podcast Szurkogadanie - cotygodniowe zestawienie najciekawszych wiadomości ze świata bezpieczeństwa komputerowego. W tym odcinku: atak na osoby pobierające Chrome przy użyciu reklam w wyszukiwarce Bing, jak wyłączyć wszystkie iPhony w danym pomieszczeniu oraz co może zmienić najnowsza wersja projektu reCaptcha. Grupa: https://www.facebook.com/groups/od0dopentestera/ Transkrypcja: https://security.szurek.pl/szurkogadanie-18.html Bazując na: https://zaufanatrzeciastrona.pl/post/weekendowa-lektura-odcinek-287-2018-11-03-bierzcie-i-czytajcie/ 0:20 https://panoptykon.org/biometria-w-skarbowce 1:51 https://www.forbes.com/sites/jasonevangelho/2018/10/27/stop-using-microsoft-edge-to-download-chrome-unless-you-want-malware/ 4:05 https://ifixit.org/blog/11986/iphones-are-allergic-to-helium/ 6:02 https://security.googleblog.com/2018/10/introducing-recaptcha-v3-new-way-to.html 8:03 https://techcrunch.com/2018/10/30/apple-t2-security-chip-microphone-eavesdropping/ 9:30 https://cofense.com/threat-actors-seek-credentials-even-reach-url/ 11:04 https://www.youredm.com/2018/10/28/hackers-steal-data-of-over-60000-tomorrowland-attendees/ 11:52 https://exposingtheinvisible.org/guides/ Icon made by Gregor Cresnar, Freepik, Dave Gandy from www.flaticon.com Więcej na: https://youtu.be/7aXTGMEZivI
12:27
November 12, 2018
Szurkogadanie #17
[PL] [PODCAST] Szurkogadanie #17 Podcast Szurkogadanie - cotygodniowe zestawienie najciekawszych wiadomości ze świata bezpieczeństwa komputerowego. W tym odcinku: Jak rozpoznawanie twarzy jest wykorzystywane w Chinach, czy sprzedał byś swoje dane w zamian za kubek ciepłej kawy oraz jak twórcy aplikacji mobilnych śledzą proces deinstalacji. Grupa: https://www.facebook.com/groups/od0dopentestera/ Transkrypcja: https://security.szurek.pl/szurkogadanie-17.html Bazując na: https://zaufanatrzeciastrona.pl/post/weekendowa-lektura-odcinek-286-2018-10-27-bierzcie-i-czytajcie/ Icon made by mynamepong, Dave Gandy from www.flaticon.com 0:22 https://outride.rs/pl/chinski-sposob-na-nieuwaznych-przechodniow-monitoring-uliczny/ 2:16 https://nakedsecurity.sophos.com/2018/10/02/students-swap-data-for-coffee-at-cashless-cafe 3:37 https://www.bloomberg.com/news/articles/2018-10-22/now-apps-can-track-you-even-after-you-uninstall-them 5:06 https://www.buzzfeednews.com/article/craigsilverman/how-a-massive-ad-fraud-scheme-exploited-android-phones-to 7:15 https://www.independent.co.uk/life-style/gadgets-and-tech/news/free-wifi-manchester-terms-conditions-community-service-clause-purple-22000-cleaning-sewers-a7846661.html 8:40 https://www.forbes.com/sites/thomasbrewster/2018/10/24/apple-just-killed-the-graykey-iphone-passcode-hack/#504f3af53184 9:56 https://securelist.com/phishing-for-knowledge/88268/ 10:57 https://arstechnica.com/information-technology/2018/10/two-new-supply-chain-attacks-come-to-light-in-less-than-a-week/ 12:20 https://gwillem.gitlab.io/2018/10/23/magecart-extension-0days/ Więcej na: https://www.youtube.com/c/kacperszurek
13:10
November 5, 2018
Szurkogadanie #16
Podcast Szurkogadanie - cotygodniowe zestawienie najciekawszych wiadomości ze świata bezpieczeństwa komputerowego. W tym odcinku: kto ma dostęp do rejestru PESEL, niebezpieczne rozszerzenia na platformę KODI oraz o błędzie w libSSH. Transkrypcja: https://security.szurek.pl/szurkogadanie-16.html Bazując na: https://zaufanatrzeciastrona.pl/post/weekendowa-lektura-odcinek-285-2018-10-20-bierzcie-i-czytajcie/ Icon made by Freepik from www.flaticon.com 0:25 http://prawo.gazetaprawna.pl/artykuly/1307429,firmy-maja-rzadowa-zgode-na-dostep-do-rejestru-pesel.html 3:09 https://czasopismo.legeartis.org/2018/10/odpowiedzialnosc-abonenta-lacza-internetowego-udostepnianie-plikow.html 4:12 https://www.zdnet.com/article/equifax-engineer-who-designed-breach-portal-gets-8-months-of-house-arrest-for-insider-trading/ 5:51 https://zaufanatrzeciastrona.pl/post/ktos-podlozyl-nadajniki-gps-w-samochodach-zabawkach-uczestnikom-wyscigow/ 7:25 https://www.youtube.com/watch?v=Ved84d_6occ 8:59 https://medium.com/walmartlabs/vba-stomping-advanced-maldoc-techniques-612c484ab278 10:07 https://www.nccgroup.trust/uk/our-research/technical-advisory-authentication-bypass-in-libssh/ 11:02 https://www.welivesecurity.com/2018/09/13/kodi-add-ons-launch-cryptomining-campaign/ 12:22 https://www.bleepingcomputer.com/news/security/jquery-file-upload-plugin-vulnerable-for-8-years-and-only-hackers-knew/ Więcej na: https://www.youtube.com/watch?v=38vK2Hyrasw
14:10
October 29, 2018
Szurkogadanie #15
Podcast Szurkogadanie - cotygodniowe zestawienie najciekawszych wiadomości ze świata bezpieczeństwa komputerowego. Transkrypcja: https://security.szurek.pl/szurkogadanie-15.html Bazując na: https://zaufanatrzeciastrona.pl/post/weekendowa-lektura-odcinek-284-2018-10-14-bierzcie-i-czytajcie/ Icon made by Freepik, Nikita Golubev, mynamepong, Icomoon from www.flaticon.com W tym odcinku: rodzaje ataków na systemy bezkluczykowe w samochodzie, jak wyciągnąć darmowy batonik z automatu przy pomocy wirtualnego portfela oraz o pomysłowości dzieci - opowieść o tym jak uzyskać dostęp do komputera rodziców. 0:20 https://www.komando.com/happening-now/495924/7-clever-ways-hackers-are-stealing-keyless-cars 1:56 https://www.whio.com/news/local/connected-cars-how-syncing-your-phone-vehicles-could-put-your-data-risk/jnPmGicuvSVrdh5rs0gvgL/ 3:04 https://hackernoon.com/how-i-hacked-modern-vending-machines-43f4ae8decec 4:21 https://www.zdnet.com/article/a-mysterious-grey-hat-is-patching-peoples-outdated-mikrotik-routers/ 5:30 https://blog.mozilla.org/security/2018/10/10/delaying-further-symantec-tls-certificate-distrust/ 6:31 https://www.thestar.com/edmonton/2018/10/09/how-a-fraudster-got-12-million-out-of-a-canadian-university-they-just-asked-for-it.html 8:02 https://www.forbes.com/sites/thomasbrewster/2018/10/12/how-an-amateur-rap-crew-stole-surveillance-tech-that-tracks-almost-every-american/#547a613850f1 9:08 https://www.bleepingcomputer.com/news/security/windows-10-ransomware-protection-bypassed-using-dll-injection/ 10:32 https://twitter.com/kennwhite/status/1051135155539140610 11:32 https://niebezpiecznik.pl/post/twoje-konto-zostalo-zhackowane/ Więcej na: https://www.youtube.com/watch?v=LPKAMv9l42U
12:30
October 22, 2018
Szurkogadanie #14
Nowości ze świata security w zwięzłej formie. W tym odcinku: jak usunąć niewygodne materiały z Internetu przy użyciu DMCA, kradzież konta WhatsApp przy użyciu poczty głosowej oraz jak dotrzeć to CEO ważnych firm używając Webex. Transkrypcja: https://security.szurek.pl/szurkogadanie-14.html Bazując na: https://zaufanatrzeciastrona.pl/post/weekendowa-lektura-odcinek-283-2018-10-07-bierzcie-i-czytajcie/ 0:16 https://www.lumendatabase.org/blog_entries/800 1:32 https://www.wired.com/story/aws-honeytoken-hackers-avoid/ 2:57 https://www.bleepingcomputer.com/news/security/telegram-leaks-ip-addresses-by-default-when-initiating-calls/ 3:52 https://www.zdnet.com/article/recent-wave-of-hijacked-whatsapp-accounts-traced-back-to-voicemail-hacking/ 5:18 https://www.msn.com/en-nz/news/national/travellers-refusing-digital-search-now-face-dollar5000-customs-fine/ar-BBNLCFW 6:10 https://gwillem.gitlab.io/2018/10/04/magecart-tripwire/ 7:33 https://research.kudelskisecurity.com/2018/10/02/open-source-crypto-is-no-better-than-closed-source-crypto/ 9:21 https://jordanpotti.com/2018/10/03/violating-your-personal-space-with-webex/ 10:42 https://medium.com/@DefenseDigitalService/hack-the-marine-corps-results-are-in-3d6f95bf534b Więcej na: https://www.youtube.com/watch?v=pjaki5QHCAo
11:48
October 15, 2018
Szurkogadanie #13
Nowości ze świata security w zwięzłej formie. W tym odcinku: phishing na użytkowników Steam przy pomocy fałszywego okienka, błędna konfiguracja Trello oraz bezpieczeństwo menadżerów haseł na Androida. Transkrypcja: https://security.szurek.pl/szurkogadanie-13.html Bazując na: https://zaufanatrzeciastrona.pl/post/weekendowa-lektura-odcinek-282-2018-09-29-bierzcie-i-czytajcie/ 0:21 https://www.thescottishsun.co.uk/tech/3235218/arran-brewery-blackmailed-hackers-ransomware-attack/ 1:50 https://theintercept.com/2018/09/24/united-nations-trello-jira-google-docs-passwords/ 3:00 https://www.n00py.io/2018/08/bypassing-duo-two-factor-authentication-fail-open/ 4:17 https://www.zdnet.com/article/password-managers-can-be-tricked-into-believing-that-malicious-android-apps-are-legitimate/ 5:45 https://tehaurum.wordpress.com/2018/09/30/an-innovative-phishing-style/ 7:14 https://www.jisc.ac.uk/blog/cyber-attacks-on-colleges-and-universities-who-when-and-why-14-sep-2018 8:15 https://zaufanatrzeciastron
11:40
October 8, 2018
Szurkogadanie #12
Nowości ze świata security w zwięzłej formie. W tym odcinku: Odzyskiwanie danych wpisanych na ekranie dotykowym przy użyciu waitlist.dat, atakowanie serwera podczas eksportu plików pdf oraz jak radzić sobie z kradzieżą paczek przez kurierów. Dostępne również na: https://anchor.fm/kacperszurek/ Transkrypcja: https://security.szurek.pl/szurkogadanie-12.html Bazując na: https://zaufanatrzeciastrona.pl/post/weekendowa-lektura-odcinek-282-2018-09-29-bierzcie-i-czytajcie/ 0:23 https://www.zdnet.com/article/this-windows-file-may-be-secretly-hoarding-your-passwords-and-emails/ 1:58 https://www.securify.nl/advisory/SFY20180102/authentication-bypass-vulnerability-in-western-digital-my-cloud-allows-escalation-to-admin-privileges.html 2:48 https://medium.com/@jonathanbouman/local-file-inclusion-at-ikea-com-e695ed64d82f 4:17 https://isc.sans.edu/forums/diary/PrePwned+AMI+Images+in+Amazons+AWS+public+instance+store/24126/ Więcej na: https://youtu.be/Hwq717-ouQo
12:20
October 1, 2018
Szurkogadanie #11
Nowości ze świata security w zwięzłej formie. W tym odcinku: atak na komputery używające trybu uśpienia, ransomobile czyli atak na uwierzytelnienie SMS oraz zmiany w programie bug bounty Tesli. Bazując na: https://zaufanatrzeciastrona.pl/post/weekendowa-lektura-odcinek-280-2018-09-16-bierzcie-i-czytajcie/ 0:17 https://www.zdnet.com/article/tech-support-scammers-find-a-on-microsoft-technet-pages/ 2:18 https://blog.f-secure.com/cold-boot-attacks/ 4:11 https://hackernoon.com/low-cost-usb-rubber-ducky-pen-test-tool-for-3-using-digispark-and-duck2spark-5d59afc1910 5:34 https://cloudblogs.microsoft.com/microsoftsecure/2018/09/12/office-vba-amsi-parting-the-veil-on-malicious-macros/ 7:04 https://www.martinvigo.com/ransombile/ 8:12 https://www.troyhunt.com/extended-validation-certificates-are-dead/ 9:26 https://www.armis.com/blueborne-one-year-later/ Więcej na: https://www.youtube.com/watch?v=au5hbufB0jg
12:09
September 24, 2018
Szurkogadanie #10
Nowości ze świata security w zwięzłej formie. W tym odcinku: zatruwanie odpowiedzi serwera cache, omijanie blokady rodzicielskiej w Nintendo Switch oraz exploit na Tor Browser. 0:15 https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SESN-2018-236-01+Conext+USB+Malware.pdf&p_Doc_Ref=SESN-2018-236-01 1:07 https://blog.talosintelligence.com/2018/09/vulnerability-spotlight-Multi-provider-VPN-Client-Privilege-Escalation.html 2:11 https://portswigger.net/blog/practical-web-cache-poisoning 4:09 https://www.secjuice.com/finding-real-ips-of-origin-servers-behind-cloudflare-or-tor/ 5:35 https://blog.grimm-co.com/post/malicious-command-execution-via-bash-completion-cve-2018-7738/ 6:43 https://medium.com/kidsnclicks/nintendo-switch-parental-controls-dont-work-7febabf4942a 7:46 https://twitter.com/Zerodium/status/1039127214602641409 Więcej na: https://youtu.be/6h_8TW242Ds
11:08
September 17, 2018
Szurkogadanie #9
Nowości ze świata security w zwięzłej formie. W tym odcinku: globalny skan katalogu .git, enumeracja użytkowników AWS oraz tabnabbing w wykop.pl Dostępne również na: https://anchor.fm/kacperszurek/ 0:20 https://serhack.me/articles/mega-chrome-extension-hacked 1:58 https://oddvar.moe/2018/09/06/persistence-using-universal-windows-platform-apps-appx/ 3:21 https://rhinosecuritylabs.com/aws/aws-iam-user-enumeration/ 5:03 https://webdevetc.com/blog/how-to-get-someones-database-credentials-while-they-are-editing-config-files-on-a-live-server 6:13 https://github.com/kacperszurek/presentations/blob/master/PWNing-2017-Eskalacja-uprawnien-w-systemie-Windows.pdf 6:35 https://www.youtube.com/watch?v=FpaBnJO9a0w 7:59 https://www.secjuice.com/web-application-firewall-waf-evasion/ 9:18 https://threatpost.com/malicious-docker-containers-earn-crypto-miners-90000/132816/ Więcej na: https://youtu.be/1lwKlQyhMM8
14:24
September 10, 2018
Szurkogadanie #8
Nowości ze świata security w zwięzłej formie. W tym odcinku: niezabezpieczone instancje MongoDB, problemy twórców Fortnite z instalatorem na Android oraz błąd w OpenSSH. Dostępne również na: https://anchor.fm/kacperszurek/ Bazując na: https://zaufanatrzeciastrona.pl/post/weekendowa-lektura-odcinek-278-2018-09-01-bierzcie-i-czytajcie/ 0:32 https://www.linkedin.com/pulse/abbyy-exposed-its-document-storage-database-more-than-bob-diachenko/ 2:27 https://www.tbo.com/news/bizarre/1-464-Western-Australian-government-officials-used-Password123-as-their-password-But-don-t-smirk-_171143984 3:53 https://www.appthority.com/mobile-threat-center/blog/enterprise-security-risk-apps-capturing-corporate-mobile-screens/ 5:44 https://www.grahamcluley.com/fortnite-fury-over-how-google-handled-its-huge-security-hole/ 8:26 https://blog.bzwbk.pl/2018/08/uwazaj-na-falszywe-aplikacje-bankowe 9:27 https://hackerone.com/reports/399166 Więcej na: https://youtu.be/3DyesrmvsyA
12:54
September 3, 2018
Szurkogadanie #7
Nowości ze świata security w zwięzłej formie. W tym odcinku: atak man in the disk na androida, nowy atak typu object injection w PHP oraz co to jest WAP Billing. Dostępne również na: https://anchor.fm/kacperszurek/ Bazując na: https://zaufanatrzeciastrona.pl/post/weekendowa-lektura-odcinek-276-2018-08-18-bierzcie-i-czytajcie/ 0:38 https://www.bleepingcomputer.com/news/security/mozilla-removes-23-firefox-add-ons-that-snooped-on-users/ 1:43 https://security.googleblog.com/2018/08/expanding-our-vulnerability-reward.html 2:30 https://arstechnica.com/information-technology/2018/08/macos-user-warnings-are-trivial-for-malware-to-suppress-and-bypass/ 3:33 https://cofense.com/necurs-targeting-banks-pub-file-drops-flawedammyy/ 4:23 https://media.defcon.org/DEF%20CON%2026/DEF%20CON%2026%20presentations/Slava%20Makkaveev/DEFCON-26-Slava-Makkaveev-Man-In-The-Disk.pdf Więcej na: https://www.youtube.com/watch?v=lmr1aIHmxA8
10:25
August 27, 2018
Szurkogadanie #6
Nowości ze świata security w zwięzłej formie. W tym odcinku: śmieciowe błędy mające utrudnić tworzenie exploitów, bezpieczeństwo aplikacji finansowych oraz deszyfrowanie ruchu WhatsApp. Dostępne również na: https://anchor.fm/kacperszurek/ Bazując na: https://zaufanatrzeciastrona.pl/post/weekendowa-lektura-odcinek-275-2018-08-10-bierzcie-i-czytajcie/ 0:19 http://www.dailymail.co.uk/news/article-6027207/Honeytrap-spy-stole-secrets-new-RAF-stealth-jet-hacking-Tinder-profile.html 1:16 https://motherboard.vice.com/en_us/article/43p7dm/software-chaff-bugs-could-make-it-more-secure 2:52 https://thenextweb.com/facebook/2018/08/07/facebook-recently-started-asking-banks-for-your-financial-data/ 3:34 https://www.symantec.com/blogs/threat-intelligence/tech-support-scam-call-optimization 4:43 https://ioactive.com/are-you-trading-stocks-securely-exposing-security-flaws-in-trading-technologies/ Więcej na: https://youtu.be/Yzp8ExABUEY
10:13
August 20, 2018
Szurkogadanie #5
Nowości ze świata security w zwięzłej formie. W tym odcinku: fałszywe kontrole UODO, klonowanie kart SIM, generator haseł do kamer internetowych oraz nowy atak na WPA. Dostępne również na: https://anchor.fm/kacperszurek/ Bazując na: https://zaufanatrzeciastrona.pl/post/weekendowa-lektura-odcinek-274-2018-08-04-bierzcie-i-czytajcie/ 0:21 https://uodo.gov.pl/pl/138/465 1:18 https://motherboard.vice.com/en_us/article/3ky5a5/criminals-recruit-telecom-employees-sim-swapping-port-out-scam 2:46 https://motherboard.vice.com/en_us/article/a3q7mz/hacker-allegedly-stole-millions-bitcoin-sim-swapping 3:50 https://intpolicydigest.org/2018/07/27/countering-smart-terrorists-who-use-online-gaming-platforms/ 4:36 https://googleprojectzero.blogspot.com/2018/08/adventures-in-vulnerability-reporting.html 6:31 https://arstechnica.com/information-technology/2018/07/click-on-this-ios-phishing-scam-and-youll-be-connected-to-apple-care/ Więcej na: https://youtu.be/NROIO9eyFhE
12:58
August 13, 2018
Szurkogadanie #4
Nowości ze świata security w zwięzłej formie. W tym odcinku: płatności w więzieniu, kradzież plików przy użyciu HTML, atak na routery MikroTik. 0:23 https://www.wired.com/story/how-a-group-of-imprisoned-hackers-introduced-jpay-to-the-world/ 1:08 https://securelist.com/a-study-of-car-sharing-apps/86948/ 2:29 https://www.pentestpartners.com/security-blog/hacking-swann-home-security-camera-video/ 3:24 https://blog.trendmicro.com/trendlabs-security-intelligence/open-adb-ports-being-exploited-to-spread-possible-satori-variant-in-android-devices/ 4:21 https://securelist.com/a-mining-multitool/86950/ 5:39 https://www.netsparker.com/blog/web-security/stealing-local-files-with-simple-html-file/ 7:38 https://github.com/ewhitehats/InvisiblePersistence/blob/master/InvisibleRegValues_Whitepaper.pdf 8:46 https://www.trustwave.com/Resources/SpiderLabs-Blog/Mass-MikroTik-Router-Infection-%E2%80%93-First-we-cryptojack-Brazil,-then-we-take-the-World-/ Więcej na: https://youtu.be/bJv87cWbso8
12:33
August 6, 2018
Szurkogadanie #3
Nowości ze świata security w zwięzłej formie. W tym odcinku: podszywanie się pod celebrytów, atak na iphone przy użyciu mdm, okradanie stacji paliw. Bazując na: https://zaufanatrzeciastrona.pl/post/weekendowa-lektura-odcinek-271-2018-07-15-bierzcie-i-czytajcie/ 0:24 https://www.nytimes.com/2018/07/07/technology/facebook-instagram-twitter-celebrity-impostors.html 2:13 https://www.hollywoodreporter.com/features/hunting-con-queen-hollywood-1125932 3:32 http://www.fox2detroit.com/news/local-news/thieves-hack-into-detroit-gas-pump-stealing-more-than-600-gallons 4:47 https://www.trendmicro.de/cloud-content/us/pdfs/security-intelligence/white-papers/wp_the_gaspot_experiment.pdf 5:19 https://www.bellingcat.com/resources/articles/2018/07/08/strava-polar-revealing-homes-soldiers-spies/ 6:44 https://www.cnbc.com/2018/07/11/facebook-private-groups-breast-cancer-privacy-loophole.html Więcej na: https://www.youtube.com/watch?v=T0oqhErUizY
14:09
July 23, 2018
Szurkogadanie #2
Nowości ze świata security w zwięzłej formie. Bazując na: https://zaufanatrzeciastrona.pl/post/weekendowa-lektura-odcinek-270-2018-07-07-bierzcie-i-czytajcie/ 0:21 https://www.reuters.com/article/us-britain-boe-banks/uk-banks-told-to-show-their-backup-plans-for-tech-shutdowns-idUSKBN1JV0X2 1:37 https://www.youtube.com/watch?v=GMWoS7v3qFo 3:09 https://shiptracker.shodan.io/ 3:32 https://blog.rainway.io/how-we-discovered-a-virus-infecting-tens-of-thousands-of-fortnite-players-e5dd6fe1ff55 5:04 https://blog.sucuri.net/2018/07/coinimp-cryptominer-and-fully-qualified-domain-names.html 6:37 https://www.cnet.com/news/con-artists-are-fleecing-uber-drivers/ 7:23 https://www.comparitech.com/blog/vpn-privacy/secondhand-memory-card-study/ 8:16 https://arxiv.org/pdf/1806.10189.pdf Więcej na: https://youtu.be/2j2uIzzdpns
13:15
July 13, 2018
Szurkogadanie #1
Nowości ze świata security w zwięzłej formie. Bazując na: https://zaufanatrzeciastrona.pl/post/weekendowa-lektura-odcinek-269-2018-06-30-bierzcie-i-czytajcie/ 0:33 https://motherboard.vice.com/en_us/article/8xeygv/feds-cryptocurrency-money-launderer-arrest-dozens-dark-web-dealers 1:47 https://thehackernews.com/2018/06/nintendo-switch-jailbreak.html 2:50 https://www.youtube.com/watch?v=yhxCCS9OLNw&feature=youtu.be 4:45 https://blogs.cisco.com/security/cve-2018-0296 6:15 https://blog.ripstech.com/2018/wordpress-file-delete-to-code-execution/ 7:39 https://github.com/hannob/ctgrab 9:01 https://zaufanatrzeciastrona.pl/post/uwaga-na-nowy-atak-na-konta-bankowe-polskich-internautow-na-copywritera/ 10:07 https://www.helpnetsecurity.com/2018/06/27/app-masks-printers-tracking-dots/ 10:38 https://www.troyhunt.com/were-baking-have-i-been-pwned-into-firefox-and-1password Więcej na: https://youtu.be/oZLl46_w3kk
16:55
July 8, 2018
Make your own podcast for free with Anchor!