-
Cyberbezpieczeństwo w Allegro: „Purple Team” i ochrona deweloperów
W odcinku Marcin Ratajczyk z Allegro, omawia „purple team” – współpracę ofensywnych i defensywnych zespołów IT. To wykracza poza pentesty, symulując ataki dla podniesienia bezpieczeństwa. Dyskusja obejmuje Threat Modeling, szkolenia OWASP Top 10 oraz praktyczne porady dla deweloperów, jak chronić swoje stacje robocze. Poruszane są też ataki na deweloperów, w tym oszustwa rekrutacyjne złośliwym oprogramowaniem.
-
Opublikowano
przez
Sekrety z Git Clone Mirror, EU Chat Control, Podatność RegreSSHion
Analizujemy podatność OpenSSH umożliwiający zdalne wykonanie kodu, podkreślając trudność eksploitacji na systemach 64-bitowych. Dyskutujemy o „Sekretach Widmo” – sekrety niewykrywalne przez standardowe narzędzia, ujawniając problem cachowania commitów. Poruszamy też kontrowersje wokół cenzury wiadomości w UE, grożącej naruszeniem szyfrowania end-to-end. Świadomość cyberzagrożeń jest kluczowa.
-
Bezpieczeństwo jako benefit. Blue Team, a Red Team
W tym odcinku Bezpiecznego Kodu gościmy Filipa Rejcha, Head of Cyber Security Architecture and Design w ISS. Filip dzieli się swoją ścieżką kariery w cyberbezpieczeństwie, od IT po architekturę bezpieczeństwa. Dowiesz się, dlaczego znajomość technik ofensywnych jest kluczowa dla specjalistów Blue Teamu, nawet bez doświadczenia w pentestingu.
-
Opublikowano
przez
Szyfrowanie w Spoczynku, Krzyczący Bezpiecznicy, Malicious Themes, Apple AI
Analizujemy wpływ cyberbezpieczeństwa na organizacje. Czy szyfrowanie danych w spoczynku jako panaceum to mit? Podkreślamy znaczenie skupienia na realnych zagrożeniach aplikacji (np. SQL Injection). Omawiamy rzadką podatność PHP CGI (CVE-2024-4577) i przestrzegamy przed medialnym szumem. Ujawniamy złośliwe rozszerzenia VS Code i apelujemy o „pinowanie” GitHub Actions dla bezpieczeństwa CI/CD.
-
Połączyć regulacje prawne, bezpieczeństwo i programowanie
W tym odcinku Piotr Siemieniak, doktor prawa i inżynier oprogramowania, łączy świat technologii, regulacje prawne i cyberbezpieczeństwo. Dowiemy się, jak jego interdyscyplinarne podejście pomaga w ochronie danych osobowych, w tym prawie do usunięcia danych i zgodności. Piotr podkreśla, że bezpieczeństwo to biznes-enabler, a compliance prawny, jak RODO, jest kluczowy dla risk-based approach.
-
Opublikowano
przez
LLM Jacking, co łączy phishing i pożary, bezpieczne środowiska CI/CD
Bezpieczny Kod analizuje LLM Jacking, gdzie cyberprzestępcy kradną klucze chmurowe, by uruchamiać duże modele językowe (LLM) na koszt ofiar, monetyzując to przez reverse proxy. Koszty mogą sięgać 46 tys. USD/dobę. Kluczowy jest monitoring chmury. Omawiamy też czy phishing ciągle jest skuteczny; Google stawia na kluczyki sprzętowe. Podkreślamy higienę poświadczeń i uwierzytelnianie dwuskładnikowe w CI/CD.
-
Opublikowano
przez
Product security: wszyscy gramy do jednej bramki
W podcaście Maciej Markiewicz (Egnyte) omawia product security. Porównuje podejścia AppSec w software house’ach i firmach produktowych, podkreślając wagę długoterminowego planowania. Dzieli się wiedzą o efektywnym eliminowaniu podatności i budowaniu kultury cyberbezpieczeństwa poprzez współpracę. Radzi, jak dostosować komunikację o ryzyku do odbiorcy. Zwraca uwagę na Threat Modeling i analizę ryzyka dla Secure by Design.
-
Opublikowano
przez
Postman i jego sekrety (1700!), raport DBIR oraz Dependency Confusion
Najnowszy podcast analizuje upublicznione sekrety w Postmanie – 1700 ujawnionych kluczy przez słabe UI/UX. Problem pogłębia ograniczony dostęp do prywatnych przestrzeni. Dodatkowo omówiono raport Verizon DBIR: większość incydentów ma motyw finansowy, phishing jest nadal groźny (kliknięcie w mniej niż 60 sekund), a klucze sprzętowe to najlepsza obrona. Poruszono też „dependency confusion” i „dramę” Slacka z…
-
Cyberbezpieczeństwo to odpowiedzialność całego zespołu
W tym odcinku Bartosz Różański, programista i specjalista AppSec, opowiada o swojej ścieżce kariery i roli Security Championa. Kluczowe dla efektywnych programów Security Champions są wsparcie menedżerskie i rozwój deweloperów. Omówiono praktyczne aspekty wdrażania bezpieczeństwa w CI/CD, w tym SAST i SCA, podkreślając ich rolę w bezpieczeństwie łańcucha dostaw oprogramowania. Cyberbezpieczeństwo to odpowiedzialność całego zespołu.
-
Opublikowano
przez
Hakowanie CI/CD, Raport Orange i stan DevSecOps wg. DataDog
Ten odcinek podcastu analizuje hakowanie CI/CD, w tym atak na Microsoft przez literówkę w projekcie open source, co podkreśla znaczenie prawidłowej konfiguracji runnerów i świadomości DevSecOps. Omówiono raport Orange o cyberzagrożeniach w Polsce: wzrost ataków phishingowych oraz dominację stilerów i botnetów IoT (Mirai). Podkreślono znaczenie regulacji, jak Cyber Resilience Act (CERA), dla bezpieczeństwa urządzeń IoT.
Blog
Wierzymy, że dzielenie się wiedzą to klucz do wspólnego rozwoju. Nasz blog to przestrzeń, gdzie pasja spotyka się z ekspertyzą. Znajdziesz tu zarówno oryginalne artykuły, jak i transkrypcje rozmów z naszego podcastu.
Zobacz naszą ofertę
Zaciekawiła Cię tematyka naszych artykułów? Oferujemy szkolenia i specjalistyczne usługi doradcze w zakresie cyberbezpieczeństwa. Zobacz, jak możemy pomóc Tobie i Twojemu zespołowi rozwinąć te umiejętności w praktyce!