Aktualności
-
Rząd nas śledzi. Vibe Coding uczy… złych nawyków.
Ten odcinek omawia: darmowy skaner Artemis CERT NASK, vibe coding, odmowę Apple ws. backdoora i walkę o prywatność. Porusza szpiegowanie przez rządy (Pegasus, NSA), ataki na AWS (fałszywe AMI), kradzież 1,5 mld USD z Bybit (hakerzy z Korei Północnej). Podkreśla znaczenie OPSEC i segmentacji sieci. Idealny dla specjalistów IT/security, deweloperów, inżynierów DevOps.
-
Semgrep vs Szlachetny OpenGrep. Google kradnie hasła pracowników.
Andrzej i Krzysiek omawiają zmianę licencji Semgrep, narzędzia do analizy kodu. Firmy ASPM używały go, konkurując z wersją komercyjną. Dyskutują wpływ na decyzję Semgrep. Poruszają też incydent złośliwego kodu w OpenGrepie i problem wycieków sekretów. Analizują „Living Tradition” Google, czyli etyczne hakowanie pracowników, oraz atak na Subaru. Podkreślają, że nie wszystkie podatności mają realny wpływ…
-
Podsumowanie 2024 w Cyberbezpieczeństwie. Odpowiedzialność.
Podsumowanie 2024 w cyberbezpieczeństwie. Sukces kursu „ABC DevSecOps” z 60% ukończeń podkreśla wagę szkoleń. Dyskutują o odpowiedzialności za bezpieczeństwo w procesie wytwórczym – proponują umieszczenie zespołów AppSec pod CTO, nie CISO. Kwestionują wartość IAST, stawiając na inwestycje w edukację.
-
Rekrutacyjne Ataki Cybernetyczne i Analiza Zagrożeń Chmurowych
Krzysiek i Andrzej omawiają raport DataDog o zagrożeniach chmurowych: długo żyjące poświadczenia i uwierzytelnianie federacyjne. Analizują ataki cybernetyczne z Korei Północnej (fałszywe profile AI na LinkedIn) oraz szokujące statystyki Google dotyczące wykorzystanych podatności zero-day. Podkreślają znaczenie zasady najmniejszych uprawnień w chmurze i dyskutują o braku cyberbezpieczeństwa w najnowszym ThoughtWorks Technology Radar.
-
Raport Cloudflare 2024: Kluczowe wnioski i zagrożenia w cyberbezpieczeństwie
Raport Cloudflare 2024 ujawnia, że boty stanowią ponad 30% globalnego ruchu, a ponad 90% to boty nieweryfikowane. Ruch API to ponad 60% całości, z czego 25% to „Shadow API”. Średnia aplikacja ładuje 47 zewnętrznych skryptów, co generuje ryzyko ataków na łańcuch dostaw. Omówiono również zero-day exploit oraz wyzwania związane z CSP i SRI.
-
Opublikowano
przez
Awaria CROWDSTRIKE wyjaśniona! Problem z Falcon czy z Microsoft Windows?
Analizujemy awarię CrowdStrike i Falcon Sensor (EDR), która sparaliżowała systemy IT przez błędną sygnaturę. Podkreślamy, że bezpieczeństwo macOS/Linux to mit i dlaczego Windows jest celem ataków. Omawiamy też wyciek tokena GitHub z obrazu Dockerowego Python Foundation, podkreślając potrzebę skanowania. Kluczowe dla specjalistów cyberbezpieczeństwa i zarządzania ryzykiem.
-
Opublikowano
przez
Sekrety z Git Clone Mirror, EU Chat Control, Podatność RegreSSHion
Analizujemy podatność OpenSSH umożliwiający zdalne wykonanie kodu, podkreślając trudność eksploitacji na systemach 64-bitowych. Dyskutujemy o „Sekretach Widmo” – sekrety niewykrywalne przez standardowe narzędzia, ujawniając problem cachowania commitów. Poruszamy też kontrowersje wokół cenzury wiadomości w UE, grożącej naruszeniem szyfrowania end-to-end. Świadomość cyberzagrożeń jest kluczowa.
-
Opublikowano
przez
Szyfrowanie w Spoczynku, Krzyczący Bezpiecznicy, Malicious Themes, Apple AI
Analizujemy wpływ cyberbezpieczeństwa na organizacje. Czy szyfrowanie danych w spoczynku jako panaceum to mit? Podkreślamy znaczenie skupienia na realnych zagrożeniach aplikacji (np. SQL Injection). Omawiamy rzadką podatność PHP CGI (CVE-2024-4577) i przestrzegamy przed medialnym szumem. Ujawniamy złośliwe rozszerzenia VS Code i apelujemy o „pinowanie” GitHub Actions dla bezpieczeństwa CI/CD.
-
Opublikowano
przez
LLM Jacking, co łączy phishing i pożary, bezpieczne środowiska CI/CD
Bezpieczny Kod analizuje LLM Jacking, gdzie cyberprzestępcy kradną klucze chmurowe, by uruchamiać duże modele językowe (LLM) na koszt ofiar, monetyzując to przez reverse proxy. Koszty mogą sięgać 46 tys. USD/dobę. Kluczowy jest monitoring chmury. Omawiamy też czy phishing ciągle jest skuteczny; Google stawia na kluczyki sprzętowe. Podkreślamy higienę poświadczeń i uwierzytelnianie dwuskładnikowe w CI/CD.
-
Opublikowano
przez
Postman i jego sekrety (1700!), raport DBIR oraz Dependency Confusion
Najnowszy podcast analizuje upublicznione sekrety w Postmanie – 1700 ujawnionych kluczy przez słabe UI/UX. Problem pogłębia ograniczony dostęp do prywatnych przestrzeni. Dodatkowo omówiono raport Verizon DBIR: większość incydentów ma motyw finansowy, phishing jest nadal groźny (kliknięcie w mniej niż 60 sekund), a klucze sprzętowe to najlepsza obrona. Poruszono też „dependency confusion” i „dramę” Slacka z…