Kacper Szurek
@KacperSzurek
Followers
14,215
Following
417
Media
921
Statuses
2,087
Opowiadam o bezpieczeństwie w prosty i zrozumiały sposób.
Joined June 2013
Don't wanna be here?
Send us removal request.
Explore trending content on Musk Viewer
BLEACH
• 156438 Tweets
#オールスター感謝祭24秋
• 143567 Tweets
#ブルーロック
• 55683 Tweets
#SixTONESANN
• 51485 Tweets
#踊る大捜査線
• 46349 Tweets
JOHJAI WITH WIN
• 43762 Tweets
Southampton
• 37490 Tweets
DARLING DARLING ITS HANNI DAY
• 35413 Tweets
服部幸應さん
• 30367 Tweets
Fulham
• 24659 Tweets
織田裕二
• 24385 Tweets
Havertz
• 20032 Tweets
Sterling
• 19051 Tweets
ジェシー
• 18774 Tweets
Alisson
• 17450 Tweets
Brentford
• 17010 Tweets
オーロラ
• 13571 Tweets
レインボーブリッジ封鎖
• 12187 Tweets
OSINT można wykorzystać nie tylko w wojskowości ale również w "normalnym" życiu.
Kilka ciekawostek, które być może Ci się przydadzą🧵
1️⃣ Rejestr Wniosków, Decyzji i Zgłoszeń w sprawach budowlanych
Sprawdź co (i kto) buduje się obok Ciebie.
3
107
634
Jeśli zobaczysz dzisiaj nagłówki, że Policja kupiła "szpiegowską technologię" pamiętaj, że:
• przetargi w Polsce są jawne
• oprogramowanie firmy Cellebrite wymaga fizycznego podłączenia do telefonu
• to nie "pegazus" a narzędzie do informatyki śledczej
22
110
431
1/14 Stało się coś czego często boją się użytkownicy menadżerów haseł i o czym mówią ich przeciwnicy.
Ktoś wykradł zaszyfrowane hasła użytkowników menadżera LastPass.
Spróbuję wytłumaczyć co się stało, co warto teraz zrobić i jak zabezpieczyć się przed takimi atakami.
Wątek 🧵
12
70
385
W dzisiejszym wydaniu 19:30 reportaż o "atakach hakerów w warszawskim metrze".
Narracja? "Na moim telefonie pojawia się ikona, którą łatwo nacisnąć - nawet niechcący. Przegrałem. Hacker już mnie ma." Co ma? Tego już niestety się nie dowiedziałem.
Później specjalista TVP
21
24
325
Z racji ostatnich wydarzeń zainteresowałeś się cyberbezpieczeństwem?
Chcesz pomóc atakować obce serwery?
Przemyślałeś swoją decyzję?
Uruchamianie losowych skryptów i programów na swoim komputerze nie jest najlepszym pomysłem.
Nie mając podstaw - możesz sobie zaszkodzić
🧵 Wątek⬇️
5
84
319
Otwierasz menadżer zadań, aby sprawdzić co "zjada" Twój RAM, ale denerwuje Cię, że tabela cały czas się odświeża?
Wystarczy, że wciśniesz klawisz CTRL ;)
Znasz inne podobne "ciekawostki"?
Podziel się w komentarzu ⬇️
14
12
279
1/11 Czy strony mogą nas podglądać przez kamerkę bez naszej wiedzy/zgody?
🧵Wątek
Google Chrome, Firefox czy Edge przed udostępnieniem kamery poproszą nas o zgodę.
Bez tego strona nie ma dostępu do obrazu z kamery czy dźwięku z mikrofonu.
7
48
259
Jak sprawdzić czy Twoje dane pojawiły się we wczorajszym wycieku?
1️⃣ Podaj swój email na stronie: "have i been pwned".
Wyświetli Ci się lista wycieków, w których znalazły się Twoje dane. Ten ostatni jest nazwany: "Polish Credentials accounts".
2️⃣ Ta opcja nie działa
12
41
255
Czy wiesz, że możesz dodać listę ostrzeżeń
@CERT_Polska
do uBlock Origin.
1. Prawy przycisk myszy na ikonce uBlock
2. Wybierz "opcje"
3. Przejdź do "listy filtrów"
4. Zjedź na dół do menu "własne"
5. Zaznacz checkbox "importuj"
6. Wklej:
7. Zastosuj zmiany
7
53
237
Na świecie są centra telefoniczne, z których oszuści dzwonią do swoich ofiar. Istnieje grupa zwana "Scammer Payback", która próbuje utrudniać ich pracę.
Ale jak oszukać oszusta? Stosując tą samą metodę co oni - czyli socjotechnikę.
Cel był prosty. Uzyskać obraz z kamery
3
10
232
Jeżeli podczas świąt spotka się co najmniej 60 osób to prawdopodobieństwo, że dwie z nich obchodzą urodziny tego samego dnia wynosi 99%.
Może to być nieoczywiste - bo przecież rok ma 365 dni.
Problem ten nazywamy "paradoksem dnia urodzin" i ma on spore znaczenie w kryptografii.
3
15
214
Od 17 listopada 2023 będzie można zastrzec swój numer PESEL.
Gdy zastrzeżesz PESEL nie możesz wziąć kredytu, sprzętów na raty, ani załatwić sprawy u notariusza, na przykład sprzedać mieszkania. Wtedy też nikt nie może wykorzystać Twojego numeru PESEL, nawet gdy go zna. Oznacza
14
34
211
1/17 Chcesz używać kluczy YubiKey jako menadżera haseł?
Sprawdź rozwiązanie
@FiloSottile
passage+age+age-plugin-yubikey
Po co? Nie musisz mieć hasła głównego.
Poznanie jednego hasła nie oznacza poznania reszty.
Każde "pokazanie" hasła wymaga fizycznego dotknięcia klucza
Wątek 🧵
5
22
191
To specjalna taśma. Używa się jej do tworzenia kopii zapasowej. W swoim komputerze pewno używasz dysku SSD ale duże korporacje, które mają terabajty danych do przechowania, korzystają właśnie z takich, wydawałoby się archaicznych metod.
Dlaczego? Jedna taśma LTO 9 może pomieścić
37
5
188
Krakowskie Obiekty Noclegowe
To lista hosteli, apartamentów, pokoi gościnnych, w których świadczone są usługi hotelarskie - popularnie zwane najmem krótkoterminowym.
Po co Ci to?
Gdy kupujesz mieszkanie możesz sprawdzić, czy lokale dookoła są wynajmowane.
Zostaw ❤️ dla zasięgu
2
9
182
Niestety, nie mam dobrych wieści dla osób, których wyniki badań pojawiły się dzisiaj w Internecie.
Można:
- zastrzec numer PESEL za darmo na stronie mObywatel (ale jeszcze żadna instytucja tego nie sprawdza)
- kupić płatne alerty BIK i włączyć Zastrzeżenie Kredytowe
Niestety nie
19
21
180
Tlenek węgla (potocznie czad) da się wykryć:
Jeśli możesz zostaw serduszko dla zasięgu. Dzięki ;)
Po zapachu
72
Po dymie
35
Obie odpowiedzi są błędne
2228
9
7
172
Czy wiesz, że adres IP można zapisać w różny sposób?
W Google Chrome zamiast 1.1.1.1 możesz użyć:
•
https://16843009
•
https://①.①.①.①
•
https://0100200401
Cześć! Jestem Kacper i opowiadam o bezpieczeństwie.
Zaobserwuj ten profil po więcej ciekawostek.
8
5
168
Zwykła książka? Nie do końca. To przykład ataku XSS.
W tytule książki użyto tagu SCRIPT. Na obrazku tego nie widać, bo największa księgarnia na świecie zmieniła tytuł i usunęła niektóre znaki. Dlaczego?
Takiego tagu używa się aby umieścić na stronie kod JavaScript. To dzięki
6
12
164
Pojawił się raport Just Join IT na temat zarobków w branży IT.
Security - średnie wynagrodzenie na UoP:
• Junior - 7 622 PLN brutto
• Mid - 15 886 PLN brutto
• Senior - 27 844 PLN brutto
7
11
160
Czy wiesz, że ZOOM pozwala na dodanie znaku wodnego do dźwięku, który jest odtwarzany w głośniku?
Firmy mogą tak zabezpieczyć się przed potencjalnym wyciekiem tajnych informacji.
Jeśli nagranie trafi do Internetu - można spróbować dowiedzieć się kto nagrywał spotkanie.
O
7
16
155
Korzystasz z menadżera haseł w przeglądarce?
A wiesz, że Twoje hasła (zazwyczaj) można bardzo prosto odczytać?
Program na obrazku pozwala wyświetlić hasła z przeglądarki Firefox, Chrome czy Opery.
Wystarczy pobrać i uruchomić program.
Nie są potrzebne żadne dodatkowe
9
22
154
My new project. Burp WP - WPScan like plugin for
#burp
. Find known vulnerabilities in
#WordPress
plugins and themes using
@Burp_Suite
proxy. Just install and browse sites using proxy. Database by
@_WPScan_
1
88
151
Po wczorajszym wycieku z LastPassa pojawiły się pytania w stylu:
- Czy dalej polecam menadżer haseł?
TAK, dalej polecam. Nie znam innej metody na zapamiętanie 100 różnych, odpowiednio długich haseł
- No ale przecież był wyciek!
TAK, dlatego warto używać 2FA/U2F gdzie się tylko da
22
7
149
Jak szuka się błędów na stronach?
Kilka sztuczek dla początkujących 🧵
1. Zmiana typu
Strona oczekuje liczby? Podaj jej tablicę.
Można dodać [] w adresie: ?tablica[]=1
2. Podanie ' lub " w formularzu
W wielu językach programowania tekst musi być zawarty pomiędzy 'pojedynczymi'
3
12
148
Używasz oprogramowania, które blokuje reklamy w przeglądarce? Albo mało znanej przeglądarki?
Ten temat Cię zainteresuje.
Próbujesz wejść na swoją ulubioną stronę. I co? Otrzymujesz błąd, bo Twoje oprogramowanie nie jest zaufane.
Właśnie tak Internet może wyglądać za kilka lat.
9
16
140
Odnoszę wrażenie, że Twitter zaczął ucinać zasięgi.
Jeśli nie widzisz moich postów, to być może dlatego że:
• moje Tweety są nudne,
• jesteś na feriach,
• zmieniono algorytm,
• testowany jest płatny „Twitter blue”.
Jest też 5 opcja: wyświetlają Ci się tweety o thermomixie :)
18
3
142
Z cyklu "warto wiedzieć".
cmd.exe pod Windowsem posiada historię komend.
Wystarczy wcisnąć klawisz F7.
Ciekawe ile osób o tym wie ;)
Superior Windows Users Just Press F7 To Get A Command History Menu!
...or rather they would if anyone would know this old feature exists🙃
Tip 1: There's CTRL+R in anything that uses readline (Bash/Python/etc)
Tip 2: History on Windows is per exe name, so it works for REPLs too
2
10
74
11
11
134
Szukasz, ale nie możesz znaleźć? A znasz operatory?
Możesz je wykorzystać w wyszukiwarkach:
• kacper filetype:pdf ⬅ pliki pdf ze słowem "kacper"
• osint site:twitter<.>com ⬅ szukaj na konkretnej stronie (zamień <.> na .)
• Adam -Mickiewicz ⬅ strony ze słowem "adam" ale bez
3
5
135
Twoje dziecko jedzie na kolonię albo obóz?
Zobacz te 3 rządowe serwisy dla rodziców.
1. Baza wypoczynku pozwala sprawdzić czy organizator działa legalnie.
Znajdziesz tam informacje o lokalizacji, liczbie uczestników, ramowy program oraz dane organizatora.
1
36
126
Od jakiegoś czasu możesz kupić domenę ZIP.
Po co?
Wyobraź sobie, że otrzymujesz maila. Klikasz w link i otwiera Ci się program WinRar.
To znaczy - tak to może wyglądać na pierwszy rzut oka.
Ale to nie jest prawdziwy program – ale strona internetowa, która go przypomina.
8
15
128
Pokażesz mi historię Twojej przeglądarki? Pewno nie. I Ci się nie dziwię. A wiesz, że pośredni dostęp do tych danych mają teraz reklamodawcy, o ile nie wyłączysz pewnej opcji?
Google Chrome na podstawie Twojej historii przeglądania z ostatnich kilku tygodni określa tematy, które
13
18
123
Jakie kanały na YT polecacie?
Moje propozycje:
• ModernVintageGamer
• Dave’s Garage
• NileRed
• styropyro
• DancingBacons
• Karl Jobst
• Honest Guide
• Kostka
• Coffeezilla
• arhneu
• Plainly Difficult
• Insider Business
Znacie jakieś fajne kanały - zwłaszcza małe?
36
11
124
W tym tygodniu pojawiło się u mnie sporo pytań jak dodać listę ostrzeżeń CERT do uBlock Origin.
Poniżej obrazkowa instrukcja.
Polecam.
9
14
119
Ciekawe ile osób biorących udział w tej zabawie wie, że istnieje wyszukiwarka WiGLE.
Pozwala ona na wizualizacje sieci WI-FI na mapie.
Co przy spełnieniu pewnych warunków może doprowadzić do poznania nazwy miejscowości, w której mieszka komentujący ;)
6
21
121
Badania na światowym poziomie.
Osobiście zazdroszczę umiejętności.
Pozostaje tylko jedno pytanie.
Czy istnieją inne firmy z innych branż, które stosują podobne metody.
Dlaczego wiele pociągów w Polsce długo nie jeździło - historia niesamowita. Przeczytajcie o trzech takich, co zhakowali pociąg – a nawet 30 pociągów
Czy można zrobić simlocka na pociąg? Okazuje się, że można, nikt tego nie sprawdza. No, prawie nikt...
94
397
2K
9
4
118
1/2
@BankMillennium
to kolejny bank, który wprowadził weryfikację konsultanta przy pomocy powiadomienia push w aplikacji mobilnej.
Gdy o nią poprosimy to na telefonie zobaczymy nazwisko konsultanta
Metoda ta utrudnia vishing - próbę podszycia się pod bank
Czekamy na kolejne banki
6
12
117
Na moim Twitterze pojawiło się sporo nowych osób, więc:
• Jestem Kacper
• Od 4 lat próbuję opowiadać o bezpieczeństwie
• Nagrałem ponad 150 darmowych filmów
• Omijam politykę
• Masz pytanie? Napisz maila - podobno odpisuję
Być może zainteresuje Cię:
9
7
118
Są dwa sposoby na wybicie się w mediach społecznościowych.
Kontrowersja i zdjęcia kotków.
Spróbujmy jak zadziałają te dwa czynniki naraz.
"Windows jest lepszy niż Linux. Change my mind."
21
7
114
Koniec "zielonej kłódeczki". Chrome zaczyna zamiast niej wyświetlać symbol, który według twórców ma symbolizować "ustawienia".
🔒 Kłódkę utożsamiamy z bezpieczeństwem. Sporo osób myśli więc, że jeżeli obok adresu jest "kłódeczka" to strona jest "dobra".
W rzeczywistości obecnie
4
4
115
"Nowy atak na przejętą przez cyberprzestępców ładowarkę USB".
Jest spora szansa, że właśnie taki nagłówek zobaczysz w najbliższych dniach.
Wszystko za sprawą pisma Rzecznika Praw Obywatelskich do Ministra Cyfryzacji.
Czy zatem da się wykraść dane z telefonu jeśli skorzystasz z
4
23
114
1/11 Co wie o Tobie Twitter?
Wątek 🧵
Twitter na podstawie Twojej aktywności przypisuje Cię do grup zainteresowania.
Listę znajdziesz w ustawieniach:
Prywatność i bezpieczeństwo -> Ustawienia dotyczące reklam -> Zainteresowania
Ale skąd platforma wie co Cię interesuje?
2
11
112
Może mi Pan wytłumaczyć w jaki sposób VPN "zabezpiecza przed kradzieżą informacji" i co Pan przez to rozumie?
Gorąco polecam kupić sobie w dobry VPN.
1. Niektórzy wykorzystują do kupowania rzeczy w internecie bez VAT (ustawiają sobie np. USA gdzie nie ma tego podatku). Nie polecam tego robić bo wysokie podatki trzeba płacić 😉
2. Większe bezpieczeństwo w sieci - zabezpieczenie przed
28
9
91
11
1
108
Dzisiaj zauważyłem, że OLX zmienił adres strony pomocy.
Z: pomoc<.>olx<.>pl
Na: bolt<.>my<.>site<.>com/olxplhelp/s/
Pokazywałem ten adres bo jest tam opcja "sprawdź link do odbioru wpłaty".
Ale jak teraz nauczyć ludzi, że ten adres jest OK i należy do OLX?
Będzie ciężko.
8
2
108
Ktoś włamał Ci się na komputer.
Na pulpicie widzi plik z hasłami.
Otwiera go... a Ty otrzymujesz powiadomienie.
Tak działa usługa Canarytoken - czyli pułapka na atakujących.
Podajesz swój email i generujesz plik.
Gdy ktoś go uruchomi - dostajesz maila.
Do wyboru jest wiele
5
11
107
Tak, Twitter zmienił czcionkę.
Teraz widać różnicę pomiędzy:
• o i 0
• l i I
Na zdjęciu różne kombinacje nicka elonmusk
7
5
104
BIK wprowadził opcję potwierdzania tożsamości z wykorzystaniem aplikacji mObywatel.
Wystarczy zeskanować kod QR i już.
Żadnych przelewów czy skanu dowodu.
Warto też pamiętać, że dzięki RODO możemy raz na 6 miesięcy uzyskać DARMOWĄ kopię swoich danych.
Zawiera ona informacje o
9
18
103
Porównanie różnych przeglądarek z punktu widzenia prywatności użytkownika.
Klikając na nazwę testu (na przykład "alt-svc") zobaczysz skrócony opis na czym on polega.
A wciskając ✔️ lub ❌ możesz zobaczyć jego kod źródłowy.
5
25
104
PKO Bank Polski wprowadził funkcję pozwalającą na weryfikację czy kontaktuje się z nami rzeczywisty pracownik banku.
Klient otrzyma w aplikacji wiadomość push z danymi pracownika.
Może zweryfikować telefon prosząc pracownika banku o podanie tych danych.
6
9
100
Czy można włamać się do telefonu używając publicznych ładowarek?
🧵Wątek
Możesz natrafić na takie ostrzeżenie:
2
12
99
Spróbuję wytłumaczyć obawy związane z używaniem menadżera haseł.
Wątek 🧵
1️⃣ Bo jest drogi.
To nieprawda.
Istnieją całkowicie darmowe rozwiązania (np. KeePassXC, menadżer w Google Chrome) lub też rozwiązania freemium - gdzie tylko zaawansowane funkcje są płatne (np. Bitwarden).
2
15
100
Shodan to taka wyszukiwarka. Ale zamiast stron indeksuje różne urządzenia.
Dla płatnych użytkowników dostępna jest zakładka "images". Korzystając z tej funkcji można wyświetlić obrazy z publicznie dostępnych kamer.
Na ten moment jest to ponad 70 000 obrazów. Ciekawe ilu
4
7
101
Google zwolniło 12000 osób.
Jeśli interesujesz się OSINTem wystarczy na LinkedIN w wyszukiwarce wpisać „google layoff”.
Zobaczysz sporo zdjęć indentyfikatorów, nazwiska osób zwolnionych oraz zespoły, w których pracowali.
10
5
101
Kilka porad powiązanych z bezpieczeństwem w formie video.
• Alerty BIK
• Konto w systemie E-sąd
• Weryfikacja OC w UFG
• WAP Billing
• Cyfrowy testament
• Dane EXIF
• Weryfikacja sklepów
• U2F i 2FA
Czekam na wasze propozycje i komentarze.
🎥Film:
5
12
99
Wypuściłem dziś film o hasłach.
Chciałem przekonać widzów do menadżerów haseł.
Zamiast tego dowiedziałem się, że sporo osób woli generować hasła na podstawie wyrazów.
Gratuluję dobrej pamięci.
Sam nie jestem w stanie zapamiętać 100 zdań.
Wiecie może skąd ta niechęć do menadżerów?
38
4
95
11/11
Spodobało się?
Rozważ zostawienie ❤️/ 🔁
Często takie tematy pojawiają się również w moim newsletterze:
1
4
94
Czy porada "zmień standardową nazwę sieci Wi-Fi" ma sens?
Wątek 🧵
1️⃣ Jeśli nazwa jest unikalna to można na jej podstawie próbować określić Twoją lokalizację.
Wyszukiwarka WiGLE pokazuje na mapie urządzenia z konkretnym SSID.
Fioletowe punkty na obrazku to sieci z nazwą "UPC".
4
9
94
Według sporej grupy osób, rozwiązaniem problemu złośliwego oprogramowania jest przejście na Linuxa/MacOS.
To ciekawe stwierdzenie. Zwłaszcza gdy połowa skryptów instalacyjnych jest uruchamiana przez:
curl | sudo bash
10
2
95
Czy tylko mnie denerwują strony, które:
* Nie pozwalają skopiować/wkleić hasła ze schowka
* Ograniczają długość hasła do 10 znaków
* Wymuszają używanie haseł maskowanych
* Żądają zmiany hasła co X dni
* Adres email nie może zawierać znaku +
Znacie inne przykłady takich praktyk?
20
4
96
Jak zastrzec swój PESEL i dlaczego warto?
Wersja tekstowa ⬇️
4
14
96
• Czy telefony nas podsłuchują?
• Czy mogę przechowywać hasła w zeszycie?
• Czy mogę się zarazić przez samo tylko "klikanie w linki"?
Na te i inne popularne mity postaram się odpowiedzieć 2 marca o 19:00.
Formuła "zobacz za ile chcesz".
Zostaw ❤️ dla zasięgu. Dzięki!
0
7
95
GitBucket 4.23.1 Unauthenticated RCE Why 4 digit secret token is bad idea: Also available as video in Polish:
#exploit
0
60
90
1/8 Jak przetestować czy Twój program antywirusowy działa - bez uruchamiania prawdziwego złośliwego oprogramowania?
Możesz użyć pliku EICAR.
Jest to malutki plik, który powinien być wykrywany przez większość programów antywirusowych.
Sam w sobie jest nieszkodliwy i bezpieczny.
1
12
92
Od września do bezpłatnego menadżera haseł Bitwarden możesz dodać dowolny klucz bezpieczeństwa wspierający technologię FIDO2 (w tym "niebieskie" klucze YubiKey) za darmo.
Wcześniej była to płatna funkcja.
Teraz opcja jest dostępna bez opłat, dla każdego.
3
7
92
Świetny przykład dlaczego domeny ZIP będą wykorzystywane do phishingu.
Użyto tutaj starej sztuczki.
Link może mieć format login:haslo
@domena
Użytkownik jest wtedy przenoszony pod adres domena - a wszystko przed znakiem @ jest ignorowane.
2
18
90
Twój Profil Zaufany stracił ważność?
Jeśli masz konto w jednym z tych banków to nie jest to wielki problem.
Możesz założyć "nowy" profil wykorzystując interfejs banku.
Pamiętaj, że w przypadku posiadania Profilu Zaufanego utworzonego za pośrednictwem ePUAP lub innego banku,
4
13
89
Czy wiesz, że prędkościomierz w Twoim samochodzie może zawyżać swoje wskazania?
Wydaje Ci się, że jedziesz 90 km/h chociaż tak naprawdę to coś bliżej 85.
Ciekawe ile osób uratowało to małe "oszustwo".
Jest na to nawet wzór:
0 ≤ (V1 – V2) ≤ 0,1 V2 + 4 km/h
Wiedziałeś/aś o tym?
23
2
91
Czy wiesz czym jest "cyfrowy testament"?
Możesz pozostawić dostęp do swoich kont/emaili/menedżerów haseł swojej rodzinie w razie poważnego wypadku/swojej śmierci.
🧵 Wątek ⬇️
4
13
89
Zastanawiasz się nad zakupem klucza
#YubiKey
/U2F?
Odpowiadam na najczęściej zadawane pytania.
🧵 Wątek ↓
3
21
91
8️⃣ Spodobało się?
Zaobserwuj mój profil po więcej takich treści.
Będzie mi miło jeśli zostawisz ❤️ dla zasięgu.
1
3
88
Przedstawiam Wam mój najnowszy projekt:
Jest to zbiór stron powiązanych z bezpieczeństwem.
Opisane, posegregowane i z szybką wyszukiwarką.
Wszystkie komentarze, opinie (także te negatywne) – mile widziane.
Miłego korzystania 😉
9
16
87
Zmiany w potwierdzaniu tożsamości podczas rozmowy telefonicznej w
@mBankpl
Gdy zadzwoni do Ciebie ich pracownik - zamiast pytać o Twoje dane - wyśle Ci powiadomienie w aplikacji mobilnej.
Tak masz pewność, że nie rozmawiasz z oszustem
A bank wie, że dodzwonił się do dobrej osoby
8
4
86
Mój film na temat Log4j:
• Proste wyjaśnienie błędu
• Użycie Canary Tokens do wykrycia podatnych aplikacji
• Kradzież zmiennych środowiskowych
• RCE w starszych i nowszych wersjach Javy
• LOG4J_FORMAT_MSG_NO_LOOKUPS
• Co robić jak żyć
0
9
89
Ciekawostka. Strona Sejmu nie powinna być indeksowana przez inne wyszukiwarki niż Google.
Czy ktoś wie dlaczego taka blokada istnieje?
Jestem ciekaw historii tego wpisu.
Plik robots.txt zawiera wskazówki dla wyszukiwarek.
To właśnie tam można podać, które strony mogą się
7
4
84
1/7 2FA to nie jest magiczne zaklęcie, które sprawia, że na konta nie da się włamać.
Dobitnie pokazuje to niedawny atak na CircleCI:
• Konta pracowników były zabezpieczone przez 2FA.
• Na komputerze uruchomiono złośliwe oprogramowanie.
• Malware wykradł ciasteczka użytkownika.
4
9
84
To nie jest plik Worda - tylko tak wygląda.
Użyto tutaj specjalnego znaku Right-to-Left Override.
Tak może wyglądać malware.
Chcesz zobaczyć więcej takich sztuczek i ochronić siebie oraz bliskich?
Sprawdź mój kurs Cyfrowe Ataki ⤵
1
11
84
Myślisz, że tryb prywatny w przeglądarce sprawia, że jesteś niewidzialny?
Sądzisz, że jeśli korzystasz z VPNa to nikt nie wie co robisz?
To czytaj dalej 😉
Zobacz jak wiele informacji o naszych działaniach zapisuje system operacyjny oraz strony, z których korzystamy.
🧵 Wątek ↓
3
18
82
Wyszukiwarka DuckDuckGo wykorzystuje skróty !bang.
Przykłady:
• !w napoleon ⬅ skrót do Wikipedii
• !wa 2x+6=12⬅ rozwiąże zadanie
• !gtpl love ⬅ tłumaczenie z angielskiego
• !azl Perfect ⬅ tekst piosenki
• !giphy kotki ⬅ śmieszne GIFY
• !so SQL ⬅ coś dla programistów
4
11
83
[EN] Client side template injection.
Angular: XSS without HTML tags.
#bugbounty
#hacking
#pentest
#security
#bugbountytips
1
28
82
Masz skrócony link i chcesz dowiedzieć się gdzie on prowadzi?
Spróbuj dodać na sam koniec adresu symbol plus ➕.
Sporo serwisów pokaże wtedy oryginalny URL.
PS. Jeśli dostałeś taki link w SMS-ie - NIE KLIKAJ w niego.
Żadna szanująca się firma nie powinna wysyłać linków w SMS-ach
5
12
84
Oglądałem właśnie Polsat i Wydarzenia.
Materiał o ostatnim wycieku.
Na koniec porady: często zmieniaj hasła.
To NIE jest dobra rada.
Hasła nie zmieniamy co jakiś czas.
Ale tylko wtedy kiedy mamy podejrzenie, że mogło wyciec.
Dlaczego?
By nie było haseł w stylu lato2023.
7
8
82
14/14 Masz jakieś pytania? Pytaj. Postaram się pomóc.
Rozważ zostawienie ❤️ dla zasięgu.
1/14 Stało się coś czego często boją się użytkownicy menadżerów haseł i o czym mówią ich przeciwnicy.
Ktoś wykradł zaszyfrowane hasła użytkowników menadżera LastPass.
Spróbuję wytłumaczyć co się stało, co warto teraz zrobić i jak zabezpieczyć się przed takimi atakami.
Wątek 🧵
12
70
385
7
2
80
Jak przejąć duży kanał na YT?
Wystarczy, że twórca otworzy załącznik z rozszerzeniem EXE, który ma ikonkę PDF.
To atak, którego osobiście się obawiam.
Wystarczy chwila nieuwagi aby stracić ciasteczka.
I niestety nie ma dobrego rozwiązania. Yubikey tu nie pomoże.
Jakieś pomysły?
53
4
78
Jak wygląda proces odzyskiwania danych z zepsutej karty SD.
To narzędzie z 7 sekundy filmu to Spider Board.
In case you’ve ever wondered how advanced MicroSD card data recovery works (likely dead controller) 🤯
300
8K
39K
1
6
80
Niszczarka. Ponad 10 lat temu zorganizowano konkurs. Stwórz program, który pomoże w odzyskaniu dokumentów.
Tak wyglądało rozwiązanie najlepszego zespołu.
Metody były różne. Próbowano dopasowywać fragmenty na podstawie znaków, które być może są na obrazku. Poniżej wszystkie
7
7
77
Czy wiesz, że istnieje Rejestr Wniosków, Decyzji i Zgłoszeń w sprawach budowlanych?
Możesz tam sprawdzić między innymi jakie inwestycje są planowane w Twojej okolicy.
#OSINT
3
9
80
1/10 Apple i szyfrowany backup – skąd takie poruszenie?🧵Wątek
Do dzisiaj nie wszystkie Twoje dane z iPhone wysyłane do iCloud były szyfrowane tak jak mógłbyś oczekiwać.
Ale jak to?
W dokumentacji mamy sformułowanie: "standard data protection”.
Co to znaczy?
4
23
78
Podasz mi swój rok urodzenia? Pewno nie.
Ale GIF-a już mi wyślesz, prawda?
Tak działa socjotechnika.
I tak, rok urodzenia to nic tajnego - ale to tylko przykład.
Pierwszy gif wyskakujący po wklepaniu roku, w którym się urodziłem.
1K
5
595
4
6
82
Jak co roku zbieram dla Was promocje powiązane z bezpieczeństwem.
Na razie nie ma tego zbyt wiele, ale lista na pewno powiększy się bliżej piątku.
2
16
82
Jak wykonać zrzut ekranu całej strony (a nie tylko widocznego na ekranie fragmentu)?
Wykorzystaj przeglądarkę Chrome:
• F12 (otwórz narzędzia dla deweloperów)
• CTRL+SHIFT+P (lista komend)
• Wybierz: "Zrób pełnowymiarowy zrzut ekranu"
Screenshot zostanie zapisany jako plik PNG
1
6
79
1/3 iPhone posiada narzędzia do edycji zdjęć.
Jednym z nich jest marker, którym możemy zamazać niektóre fragmenty.
Odradzam jednak jego używanie.
5 sekund w programie graficznym i dopasowanie poziomów pozwala na ujawnienie treści zakrytego fragmentu.
Tak jak w przykładzie poniżej
3
8
78
Hasła to nie majtki, nie musisz ich zmieniać codziennie.
Ale warto je zmienić kiedy masz podejrzenie, że ktoś mógł je poznać.
Ale skąd masz wiedzieć, że Twoje hasło pojawiło się gdzieś w Internecie?
Sporo menadżerów haseł ma wbudowane rozwiązanie tego problemu:
• Apple: Hasła
0
9
76
Zaczynasz swoją przygodę z bezpieczeństwem/programowaniem?
Nie pamiętasz jak coś zrobić?
Zapomniałeś parametru/nazwy funkcji?
Ciągle Googlujesz? Nie martw się - nie jesteś jedyny/a.
Życie to nie tabliczka mnożenia.
Ważne, czy potrafisz znaleźć informacje kiedy ich potrzebujesz.
5
1
74
Jeżeli używacie iPhone to warto rozważyć włączenie "kodu czasu przed ekranem".
Opcje:
• Zmiany danych konta
• Zmiany kodu
warto ustawić na "nie pozwalaj".
Dlaczego? Może to zminimalizować przykre konsekwencje, gdy ktoś ukradnie nam nasz telefon i zna kod PIN.
Krótki wątek ⬇️
4
15
77
Twitter poinformował, że z kodów SMS, które wysyłane są po podaniu hasła będą mogli korzystać jedynie subskrybenci usługi "Blue".
Co robić?
TL;DR Zainstaluj aplikację do generowania kodów 2FA na telefonie i włącz "Aplikacja uwierzytelniająca" w ustawieniach Twittera.
Wątek🧵
2
13
72
• Twoje hasło jest za krótkie
• Hasło musi zawierać cyfrę
• Dodaj znak specjalny
Kojarzysz te głupie komunikaty podczas tworzenia konta?
Ktoś postanowił stworzyć z tego grę.
I dobrze - bo obecnie rekomenduje się brak dodatkowych kryteriów złożoności.
Więc serwisy nie powinny
9
11
77
Od iOS 16.3 możesz dodać klucz YubiKey (lub inny z certyfikatem FIDO) do konta Apple.
Musisz posiadać co najmniej 2 klucze aby to zrobić.
Czy warto? Moim zdaniem tak.
Zwłaszcza, że całość jest szybka i prosta.
5
11
72
Słyszałeś o stronie ?
Możesz tam zgłosić domeny wyłudzające dane, podejrzane wiadomości SMS/e-mail czy też fałszywe sklepy internetowe.
Ale także wysłać próbki malware, czy też błędy w oprogramowaniu.
W 2021
@CERT_Polska
zarejestrował 116 071 zgłoszeń.
2
18
77