👾 Dołącz do społeczności bezpieczników: https://bezpiecznykod.pl/discord 🔥W tym odcinku Andrzej i Krzysiek rozmawiają o tym: * co tak naprawdę stało się podczas głośnej awarii Crowdstrike, * czemu w ogóle do tego problemu doszło - kto zawinił - czy Microsoft, * czy jesteśmy przygotowani na podobne usterki, * czy MacOS i Linux są bezpieczniejsze, * jak decyzja Unii Europejskiej pośrednio przyczyniła się do afery, * jak JFrog zapobiegł możliwemu (największemu) ataku Supply Chain Attack. 📌 Sprawdź też: Strona firmowa - https://bezpiecznykod.pl Szkolenie online ABCD - https://abcdevsecops.pl Szkolenie online OTWA - https://ofensywnetestowanie.pl 🔔 Subskrybuj kanał: https://www.youtube.com/@BezpiecznyKod?sub_confirmation=1 📑 Rozdziały: 00:00 - Intro 02:33 - Crowdstrike - co się działo podczas awarii? 12:30 - Czemu błąd się wydarzył? 23:31 - Dlaczego Falcon Sensor nie był fuzzowany? 29:44 - Czy jesteśmy resilent? 31:58 - Jak się ma MacOS i Linux do Windowsa? 39:48 - Unia Europejska winna awarii? 47:36 - JFrog - supply chain attack w Pythonie 54:25 - Jak wykrywać takie sekrety? 56:32 - Outro 🔗 Referencje: * Incident Report prosto od Crowdstrike - https://www.crowdstrike.com/blog/falcon-content-update-preliminary-post-incident-report * Podobna podatność w RedHat Linux - https://access.redhat.com/solutions/5990331 * Timelapse lotów nad USA - https://x.com/US_Stormwatch/status/1814268813879206397 * Artykuł JFrog na temat potecjalnego Supply Chain Attack - https://jfrog.com/blog/leaked-pypi-secret-token-revealed-in-binary-preventing-suppy-chain-attack/ ❤️ Dziękujemy za Twoją uwagę! © Wszystkie znaki handlowe należą do ich prawowitych właścicieli. #cybersecurity #appsec #software #softwareengineer #supplychain #programowanie #bezpieczeństwo #llm #crowdstrike #falcon #windows #linux #macos #python #microsoft

🚀 Startujemy wielką kampanię ABC DevSecOps!

7 października organizujemy #ABCDevSecOps – 5-tygodniowe, największe w Polsce szkolenie DevSecOps dla inżynierów i developerów rozwijających kompetencje umożliwiające obronę aplikacji i infrastruktury IT przed poważnymi atakami – w całym procesie wytwarzania oprogramowania (SDLC).

W ciągu najbliższych tygodni zaplanowaliśmy dla Was mnóstwo aktywności związanych z kampanią promującą szkolenie – zaczynamy specjalnym epizodem podcastu!

W tym odcinku opowiadamy o naszym pomyśle na Program ABC DevSecOps i dlaczego tak bardzo staramy się, aby uczynić z niego najlepszy kurs dotyczący automatyzacji bezpieczeństwa w Polsce, a może i na świecie!

Dowiesz się: ➡️ Jak wygląda program ABC DevSecOps? ➡️ Dlaczego zaczynamy od analizy dynamicznej (DAST)? ➡️ Jakie mamy pomysły na analizę statyczną (SAST)? ➡️ Dlaczego w ABC DevSecOps nie dostaniesz "certyfikatu za uśmiech"? :) ➡️ Dlaczego warto dołączyć do ABC DevSecOps? ➡️ Jak będzie wyglądała kohortowa formuła programu w praktyce?

#bezpieczeństwo #automatyzacja #analizadynamiczna #integracja #IT #cybersecurity #podcast

Tym razem naszym gościem jest Marcin Ratajczyk, ekspert ds. cyber bezpieczeństwa, pracujący obecnie w Allegro, który opowie nam o współpracy między zespołami Red Team, Blue Team (Purple Team) w kontekście tworzenia bezpiecznego oprogramowania. 🛡️ Co znajdziesz w tym odcinku? ➡️Rola zespołów Red, Blue (Purple): Jak te zespoły współpracują, aby zapewnić najwyższy poziom bezpieczeństwa kodu? ➡️Konsultacje z deweloperami: Jak zespoły ofensywne wspierają deweloperów w tworzeniu bezpiecznego oprogramowania poprzez konsultacje i threat modeling? ➡️Programy Bug Bounty: Jak działają wewnętrzne i publiczne programy Bug Bounty i dlaczego warto z nich korzystać? ➡️Narzędzia i automatyzacja: Jakie narzędzia i procesy pomagają deweloperom w codziennej pracy, eliminując konieczność ręcznej konfiguracji i aktualizacji? ➡️Bezpieczeństwo operacyjne (OpSec): Czym jest OpSec i dlaczego warto o nim pamiętać podczas pracy nad projektem? Dlaczego warto obejrzeć? Jeżeli interesujesz się bezpieczeństwem IT, jesteś deweloperem, lub po prostu chcesz dowiedzieć się, jak można skutecznie zabezpieczyć aplikacje już na etapie ich tworzenia, ten odcinek jest dla Ciebie. Marcin Ratajczyk dzieli się swoją wiedzą i doświadczeniem, dając cenne wskazówki i rady, które mogą pomóc w codziennej pracy. Nie przegap tego odcinka! Subskrybuj nasz kanał, aby być na bieżąco z najnowszymi materiałami i śledzić nas na mediach społecznościowych. Dołącz do społeczności bezpieczników: https://bezpiecznykod.pl/discord 📌 Sprawdź też: Strona firmowa - https://bezpiecznykod.pl Szkolenie online ABCD - https://abcdevsecops.pl Szkolenie online OTWA - https://ofensywnetestowanie.pl 🔔 Subskrybuj kanał: https://www.youtube.com/@BezpiecznyKod?sub_confirmation=1 ❤️ Dziękujemy za Twoją uwagę! © Wszystkie znaki handlowe należą do ich prawowitych właścicieli. #cybersecurity #appsec #software #softwareengineer #programowanie #bezpieczeństwo #sdlc #devops #devsecops #redteam #blueteam #purpleteam

🔥W tym odcinku dowiecie się:

* o gorącym RegreSSHion openSSH Vunerability,

* o tym ile paczek ma związek z Jia Tan (to ten od #xz!),

* jak o mały włos Unia Europejska nie wystartowała ze swoim systemem inwigilacji pozbawiającym nas szyfrowania,

* czemu nie znając Gita omijamy 18% sekretów podczas skanowania? Dołącz do społeczności bezpieczników: https://bezpiecznykod.pl/discord 📌 Sprawdź też: Strona firmowa - https://bezpiecznykod.pl Szkolenie online ABCD - https://abcdevsecops.pl Szkolenie online OTWA - https://ofensywnetestowanie.pl 🔔 Subskrybuj kanał: https://www.youtube.com/@BezpiecznyKod?sub_confirmation=1 📑 Rozdziały: 00:00 - Intro 01:40 - RegreSSHion openSSH Vunerability 28:02 - The Open Source Problem 39:07 - Chat Control - EU i Szyfrowanie Komunikatorów 50:01 - Sekrety z Git Clone Mirrors - Phantom Secrets 01:06:59 - Outro 🔗 Referencje: * RegreSSHion openSSH Vunerability - https://www.qualys.com/regresshion-cve-2024-6387/ * Odcniek z "kotem" z Qualys - https://www.youtube.com/watch?v=JI4LRtLiQdo * Odcniek z Maćkiem Markiewiczem - https://www.youtube.com/watch?v=8WE6GiEgRAk * The Art of Software Security Assessment: Identifying and Preventing Software Vulnerabilities - https://www.amazon.com/Art-Software-Security-Assessment-Vulnerabilities/dp/0321444426 * The Open Source Problem - https://cybersecpolitics.blogspot.com/2024/04/the-open-source-problem.html * EU i Szyfrowanie Komunikatorów - https://www.patrick-breyer.de/en/posts/chat-control/ * Sekrety z Git Clone Mirrors - https://www.aquasec.com/blog/undetected-hard-code-secrets-expose-corporations/ * Koledzy z DevMentors - https://www.youtube.com/devmentorspl ❤️ Dziękujemy za Twoją uwagę! © Wszystkie znaki handlowe należą do ich prawowitych właścicieli. #cybersecurity #appsec #software #softwareengineer #supplychain #programowanie #bezpieczeństwo #llm

Tym razem naszym gościem jest Filip Rejch. Obecnie Head of Cyber Security Architecture and Design w międzynarodowej firmie ISS A/S. Jak sam stwiedza prosto - jest bezpiecznikiem. Filip przeszedł długą drogę w szeroko pojętym IT.

Preferuje bycie w defensywie, przez co dzieli się z nami swoimi opiniami odnośnie Blue Teamu. Jak to bywa w cybersecurity, często mówi: "Nie!", choć po którym zaraz przychodzi "ale...".

Dowiecie się między innymi jak ważne jest MFA, czemu bezpiecznicy muszą wyjść ze swoich piwnic, oraz dlaczego cybersecurity przynosi więcej benefitów od naprawy drukarek.

Dołącz do społeczności bezpieczników: ⁠https://bezpiecznykod.pl/discord⁠ 📌 Sprawdź też: Strona firmowa - ⁠https://bezpiecznykod.pl⁠ Szkolenie online ABCD - ⁠https://abcdevsecops.pl⁠ Szkolenie online OTWA - ⁠https://ofensywnetestowanie.pl⁠ 🔔 Subskrybuj kanał: https://www.youtube.com/@BezpiecznyKod?sub_confirmation=1 🤝 Ten odcinek powstał dzięki współpracy z Fundacją Academic Partners, organizatora: Warszawskich Dni Informatyki - ⁠https://warszawskiedniinformatyki.pl/⁠ The Hack Summit - ⁠https://thehacksummit.com/⁠ ❤️ Dziękujemy za Twoją uwagę! © Wszystkie znaki handlowe należą do ich prawowitych właścicieli. ⁠#cybersecurity⁠ ⁠#appsec⁠ ⁠#software⁠ ⁠#softwareengineer⁠ ⁠#programowanie⁠ ⁠#bezpieczeństwo⁠ ⁠#sdlc⁠

Dołącz do społeczności bezpieczników: https://bezpiecznykod.pl/discord 📌 Sprawdź też: Strona firmowa - https://bezpiecznykod.pl Szkolenie online ABCD - https://abcdevsecops.pl Szkolenie online OTWA - https://ofensywnetestowanie.pl 🔔 Subskrybuj kanał: https://www.youtube.com/@BezpiecznyKod?sub_confirmation=1 📑 Rozdziały: 00:00 - Intro 01:39 - Szyfrowanie w spoczynku: hit czy kit? 12:54 - PHP (CVE-2024-4577): Bicie piany przy podatnościach 25:30 - VSCode i złośliwe rozszerzenia 33:45 - Apple Intelligence i kwestie prywatności 52:09 - Jak pinować GitHub Actions? 57:05 - Outro 🔗 Referencje: * Szyfrowanie w spoczynku - https://scottarc.blog/2024/06/02/encryption-at-rest-whose-threat-model-is-it-anyway/ * Fizyczne Bezpieczeństwo wg Google - https://www.youtube.com/watch?v=kd33UVZhnAA * PHP CGI Argument Injection Vulnerability - https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-argument-injection-vulnerability-en/ * Złośliwe rozszerzenia VSCode - https://www.bleepingcomputer.com/news/security/malicious-vscode-extensions-with-millions-of-installs-discovered/ * Apple Intelligence - https://www.apple.com/apple-intelligence/ * Pinowanie GitHub Actions - https://pin-gh-actions.kammel.dev/ ❤️ Dziękujemy za Twoją uwagę! © Wszystkie znaki handlowe należą do ich prawowitych właścicieli. #cybersecurity #appsec #software #softwareengineer #supplychain #programowanie #bezpieczeństwo #llm

W kolejnym odcinku podcastu Bezpieczny Kod, mamy przyjemność gościć Piotra Siemieniaka, doktora prawa specjalizującego się w bezpieczeństwie, ochronie prywatności i inżynierii oprogramowania. Piotr w swojej codziennej pracy łączy unikalne połączenie wiedzy prawnej i technicznej. Jest również założycielem Up Secure, firmy specjalizującej się we wdrażaniu praktyk inżynierii prywatności i bezpieczeństwa dla firm działających w chmurze/SaaS, przy minimalnym wpływie na działalność biznesową. Dołącz do społeczności bezpieczników: https://bezpiecznykod.pl/discord 📌 Sprawdź też: Strona firmowa - https://bezpiecznykod.pl Szkolenie online ABCD - https://abcdevsecops.pl Szkolenie online OTWA - https://ofensywnetestowanie.pl 🔔 Subskrybuj kanał: @BezpiecznyKod 🤝 Ten odcinek powstał dzięki współpracy z Fundacją Academic Partners, organizatora: Warszawskich Dni Informatyki - https://warszawskiedniinformatyki.pl/ The Hack Summit - https://thehacksummit.com/ ❤️ Dziękujemy za Twoją uwagę! © Wszystkie znaki handlowe należą do ich prawowitych właścicieli. #cybersecurity #appsec #software #softwareengineer #programowanie #bezpieczeństwo #sdlc #regulacje #prawo

Dołącz do społeczności bezpieczników: https://bezpiecznykod.pl/discord 📌 Sprawdź też: Strona firmowa - https://bezpiecznykod.pl Szkolenie online ABCD - https://abcdevsecops.pl Szkolenie online OTWA - https://ofensywnetestowanie.pl 🔔 Subskrybuj kanał: https://www.youtube.com/@BezpiecznyKod?sub_confirmation=1 📑 Rozdziały: 00:00 - Intro 02:12 - LLM Jacking 15:08 - Phishing, a ćwiczenia przeciwpożarowe 34:15 - NSA i CISA o bezpieczeństwie środowisk CI/CD 57:28 - Łamanie haseł (OffensiveCon 2024) 01:09:04 - Outro 🔗 Referencje: https://www.youtube.com/watch?v=JI4LRtLiQdo https://sysdig.com/blog/llmjacking-stolen-cloud-credentials-used-in-new-ai-attack https://security.googleblog.com/2024/05/on-fire-drills-and-phishing-tests.html https://resilientcyber.substack.com/p/defending-cicd-environments-the-nsacisa https://www.openwall.com/presentations/OffensiveCon2024-Password-Cracking https://github.com/dropbox/zxcvbn https://www.openwall.com/passwdqc ❤️ Dziękujemy za Twoją uwagę! © Wszystkie znaki handlowe należą do ich prawowitych właścicieli. #cybersecurity #appsec #software #softwareengineer #supplychain #programowanie #bezpieczeństwo #llm