วีดีโอ

👍🏻👍🏻👍🏻

48:50, prowadzącemu co się memik włączył xD

Jaki jest link do tej platformy dawkującej wiedzę o cyberbezpieczeństwie o której jest mowa w tym nagraniu?

Kolejna dawka przydatnych informacji 😎

Podziekowania

Jak zawsze ciekawa rozmowa, tym bardziej, ze robimy to samo. 😎Komentarz dla zasiegow! 👍

dobra rozmowa, nie uczy wiele, ale pozwala złapać parę podstawowych haseł o bezpieczeństwie front-endu. dzięki za przypomnienie

Dzięki za ciekawą rozmowę! :)

ale to jest dobry podcast, róbcie to dalej :)

Bardzo fajna rozmowa!

Dlatego tez Microsoft jest odpowiedzialny za to że Windows i jego szkieletowa architektura umożliwia to że pewnych komponentów wchodzących w skład podstawy systemu Windows na którym w ogole się może w ogóle trzymać, są nie do załatania, ani nie do ruszenia. Co przyznają sami programiści Microsoft którzy uczestniczyli w tworzeniu systemu Windows od ostatnich 20-25 lat. A te luki są na tyle poważne że bezwzględu na jakiekolwiek zastosowane zabezpieczenia, dodawane w przyszłości nie zmienią tego stanu rzeczy. W systemie Windows bezpieczeństwo to jest pojęcie złudne i wyłącznie marketingowe. Jedyne co udalo sie Microsoftowi osiągnąć tak na dobrą sprawę to przejąć rynek dzieki prostocie obslugi interfejsu graficznego i możliwości łatwego instalowania aplikacji. Sprzedaliśmy swoja wygode za cene bezpieczeństwa i jakosci.

Umowmy się że jeżeli Microsoft pozwala na to aby jakiś program działał w przestrzeni Jądra, jako sterownik jadra i jego konfiguracje może taki program dowolnie zmieniać, nie pytając samego jądra o zdanie. Do tego wszystkiego moze sie aktualizować i te zmiany na kofiguracje bedzie mialo wpływ to o czym tu mówimy.

“Jest cała masa darmowych webinarów… większość rzeczy raczej nie jest interesująca” - dziękuję za ten cytat

Nic nie rozumiem z tej wypowiedzi.

Jak zawsze, super materiał

To że Windows przez ostatnie 20 lat się bardzo poprawił w kwestii bezpieczeństwa to prawda, ale Linux dalej jest bezpieczniejszy. Przykładowo na Linuksie wszystkie aplikacje działają z uprawnieniami użytkownika, a na Windows jest całkiem sporo aplikacji które wymagają uprawnień administratora. Kwestia aplikacji działających w jądrze to też ciekawa kwestia, ale na Linuksie mogę samodzielnie skompilować wszystko i mogę sam wybrać kogo podpisą ufać, a w Windows muszę zdać się na listę podmiotów którym ufa Microsoft. Sam używam listy zaufanych kluczy dostarczonej przez twórców dystrybucji, ale teoretycznie mogę stworzyć listę w której są tylko klucze twórców oprogramowania z którego korzystam, co sprawia że błędy twórców oprogramowania z którego nie korzystam nie stanowią dla mnie zagrożenia. Przykładowo jakiś czas temu błąd w Genshin stworzył podatność która dotyczyła wszystkich użytkowników Windows. Poruszając temat skali to na chwilę obecną Linux jest najpopularniejszym jądrem na świecie, na drugim miejscu chyba jest L4 (dokładniej fork utrzymywany przez Apple), a na trzecim NT (czy jak się tam nazywa jądro stworzony Microsoft). W Linuksie skala awarii jest mniejsza, bo w zasadzie wszystkie błędy dotyczą tylko jakiejś konfiguracji.

To z pypi jest głupie bo nowy token bez żadnych uprawnień daje taki sam dostęp do publicznych danych.

Komentarz!

PatchGuard i ta "upierdliwa" UE (a właściwie Kernel Patch Protection [KPP], chyba że chodzi o coś innego?) - jeśli wierzyć Wikipedii, to UE nic nie zablokowała, a jedynie wyraziła swoje obawy co do antykonkurencyjności tego rozwiązania (niewątpliwie pod naciskiem "biednych" firm antywirusowych)... PatchGuard był już od 64-bitowych wersji XP i Windows Server 2003 SP 1 (2005). KPP zdaje się nadal jest w obecnych Windowsach. en.wikipedia.org/wiki/Kernel_Patch_Protection

Pracuję z Marcinem na co dzień i wszystko co mówi to prawda!:P polecam też inne nagrania Marcina z niektórych konferencji. . . . . . . . choć w sercu mam red team, to fajnie jest czasem popracować razem w blue i zobaczyć co tam u nich nowego i jak nie dawać się wykryć :-P Ale mamy też nasz mały purple team który pozwala nie wypaść z wprawy :-)

Kozak wywiad i gość :)

Mozna skanowac. Jezeli to dotyxzy polski ale dobrze sie zabezpieczyć polityka bug testingu i jej opublikowania wczesniej

O ile szyfrowanie w spoczynku na poziomie OSu, czy hardware'u w przypadku clouda nie ma większego sensu, to szyfrowanie na poziomie aplikacji (Application-Level-Encryption) może zmniejszyć impact dla niektórych przypadków ekstrakcji danych: SQLi, malicious insider z ograniczonym dostępem, np tylko do bazy danych, albo backupów baz danych. Oczywiście pojawiają się wtedy inne problemy (np wspomniane przez Krzysztofa wyszukiwanie albo sortowanie).

Wpada nowy #BezpiecznyKod Podcast - słucham, proste 🎧

Ciekawy wywiad. Połączenie 3 wspomnianych dziedzin, jest bardzo sensownym połączeniem . Już widzę szereg argumentacji. " Panie nie da się / nie można, bo... " [ prawo, dev, security ] W kwestii strefy komfortu i rozwijania się. To moje osobiste zdanie, ale wydaje mi się, że najczęściej blokady przed tym najczęściej pojawiają się u osób, które mają bardzo długi staż. Na zasadzie, dochodzą do końca swojej ścieżki i zatrzymują w miejscu. Zamiast poszukać innych murów do przebicia się. Drugim typem osób są chyba osoby bojące się ryzyka lub z zakorzenionym myśleniem "To nie ma sensu, po co mi to?". Często nie zdajemy sobie sprawy, że zapoznanie się z innym "piaskownicami" może spowodować to, że okazuje się, że to co dotychczas wiemy ma tak na prawdę ciąg dalszy. Musi się pojawić osoba, która na nowo obudzi w takich osobach "chęć" rozwoju.

Dziękuję za zaproszenie! Świetnie się rozmawiało i nie było aż tak stresująco pomimo, że to mój pierwszy wywiad😀.

Bardzo dziękuję za pozdrowienia, również pozdrawiam!

SCA + SAST + VA czyli skanowanie zależności pod kątem znanych podatności, skanowanie własnego kodu pod kątem trywialnych baboli (ale żeby miało reguły security a nie tylko styl kodu) i wykrywanie trywialnych błędów konfiguracyjnych na (pre)produkcji. A w polskicch firmach to cokolwiek na co ktoś będzie patrzył.

Łapka w górę, zapisuję do obejrzenia, bo zapowiada się ciekawie (jakżeby inaczej!)😉

Nooo Masakra z tymi paczkami NPM i ich dalszymi zależnościami

Szanowni Państwo, Chciałbym podzielić się swoim doświadczeniem związanych z utratą danych w usłudze OneDrive. Od 2010 roku korzystałem z OneDrive, archiwizując tam ważne pliki i foldery. Niedawno jednak stanąłem w obliczu problemu - moje dane zniknęły, a struktura folderów pozostała niezmieniona. Po skontaktowaniu się z oficjalnym wsparciem Microsoftu dowiedziałem się, że przyczyną utraty danych było zakończenie subskrypcji (subskrypcja biznesowa). To dziwne, ponieważ wcześniej informowano mnie o globalnym problemie, nad którym pracują. Czy możliwe jest, że usługodawca utracił moje dane, mimo że nie miałem żadnej archiwizacji? Teoria mówi, że raz wypuszczone dane do internetu nigdy już go nie opuszczą. Dlaczego więc moje pliki zniknęły? Co mogę teraz zrobić? Proszę o Państwa porady i sugestie. Czy ktoś miał podobne doświadczenia? Jakie kroki mogę podjąć, aby odzyskać moje dane? Dziękuję z góry za wszelkie wskazówki!

Dobry podcast. Brakowalo takiego w Polsce. Powodzenia w dzialaniach!

Arnika the best! :)

Super się Was słucha!

Denial of wallet to może być też ciekawy atak na konkurencję albo ataku na ośrodki publiczne w celu paraliżowania ich działania.

Również zastanawiają mnie te ograniczenia, nie był to atak na "cały świat serwerów z ssh", tylko konkretne rodzaje. Być może ograniczenie wynikało z chęci pozostawania w ukryciu, niekoniecznie z obranego celu.

Super rozmowa, nie zauważyłem nawet jak minęła godzina dwadzieścia

Dajcie znać jak się podobało! :)

Bardzo spoko podsumowanie :)! Dużo fajnej wiedzy między wierszami. Będę czekał na następny odcinek!

Nie wiedziałem gdzie napisać, ale teraz zrobię to tutaj a nie na LI 😂 Lećcie Panowie, bo jest moc - jak zawsze, inaczej po prostu NIE MOGŁO BYĆ!