Mentionsy
Bezpieczny Kod Podcast
Bezpieczny Kod Podcast
31.01.2025 06:00

Semgrep vs Szlachetni OpenGrepiarze. Google kradnie hasła pracowników. - Bezpieczny Kod Podcast #14

🔥 Styczniowy Bezpieczny Kod Podcast już dostępny! 🔥

Tym razem zanurzamy się w świat dramy i intryg, demaskując kontrowersyjne zagrania w branży bezpieczeństwa IT. 😈Dowiesz się:➡️ Dlaczego Semgrep wstrząsnął rynkiem, zmieniając licencję i zostawiając niektórych na lodzie? 🥶   ➡️ Czy OpenGrep to szlachetna inicjatywa, czy może co innego? 🤑   ➡️ Jak Google przez 15 lat hakował swoich pracowników i co z tego wynikło? 🤯   ➡️ Dlaczego większość szkoleń z cyberbezpieczeństwa nie ochroni Cię przed phishingiem? 🤷‍♂️   A to nie wszystko! Oprócz solidnej dawki wiedzy, Andrzej i Krzysztof gwarantują też sporą dawkę humoru i ciętych ripost. Sub. Like. Dzwoneczek. YT i inne takie. 🔔#cyberbezpieczenstwo #Semgrep #OpenGrep #LivingTradition #szkolenia #podcast #drama #intrygi #bezpieczenstwoIT #Google #hacking #szkolenia #strataCzasu 📌 Sprawdź też: Strona firmowa - https://bezpiecznykod.pl Szkolenie online ABCD - https://abcdevsecops.pl Szkolenie online OTWA - https://ofensywnetestowanie.pl

📖 Rozdziały:

- Intro

- Semgrep Zamyka Furtkę

- Podejście Opengrepowców (Aikido?)

- Fakap Opengrepa

- Google Kradnie Hasła Pracowników

- Chaos Engineering i Antifragility

- Podatności NIE MAJĄ znaczenia

- Skupcie Się Na Jednym

- Szkolenia Nie Chronią Przed Phishingiem

- Outro 🔗 Referencje: https://bughunters.google.com/blog/6355265783201792/the-great-google-password-heist-15-years-of-hacking-passwords-to-test-our-security-and-build-team-culture 🔔 Subskrybuj kanał: https://www.youtube.com/@BezpiecznyKod?sub_confirmation=1 ❤️ Dziękujemy za Twoją uwagę! © Wszystkie znaki handlowe należą do ich prawowitych właścicieli. #cybersecurity #appsec #software #softwareengineer #supplychain #programowanie #bezpieczeństwo #devops #devsecops #Cyberbezpieczeństwo #AI #TechTalk #AppSec #PodcastIT #BezpieczeństwoIT #ExpertInsights #QA #TestowanieOprogramowania #IT

Google Semgrepem Semgrepa Aikido Living Tradition Michał Zalewski Semgrep Sgrep Semgrepa PIP Nation States Doomsday Artiwicus Forgery Easy Peasy Lemon Squeezy DAST

Rozdziały (12)

1. Wprowadzenie i zmiany w sezonie

Krzysztof i Andrzej przedstawiają nowy sezon podcastu i opowiadają o osiągnięciach w 2024 roku.

2. Semgrep i zmiana licencji

Krzysztof opisuje sytuację z Semgrepem i jego zmianą licencji, a Andrzej analizuje sytuację z perspektywy architekta.

3. Konkurencja i OpenGrepa

Krzysztof opowiada o konsekwencjach zmiany Semgrep i powstaniu OpenGrepa.

4. Aikido i open source

Krzysztof porusza temat firmy Aikido i korzystania z open source, a Andrzej analizuje sytuację z perspektywy etycznej.

5. OpenGrepa i konflikty

Krzysztof i Andrzej analizują sytuację z OpenGrepa i konflikty między firmami.

6. Incident z paczką Python

Krzysztof opisuje incident z paczką Python i Google's Living Tradition.

7. Living Tradition i Google

Rozmowa kontynuuje omówienie historii Living Tradition w Google, jej wpływ na bezpieczeństwo systemów oraz relacje z inżynierami. Wspomniano o antykruchości i jej zastosowaniu w Google.

8. Antykruchość i chaos engineering

Diskurs przenosi się na antykruchość i chaos engineering, omawiając ich zastosowanie w systemach i organizacjach. Podkreślono, że systemy muszą się ulepszać po przeżyciu ataków.

9. Czarny Łabędź i bezpieczeństwo

Rozmowa kontynuuje omówienie czarnego łabędzia, anegdot i strategii w programach bug bounty. Podkreślono znaczenie trzeźwego podejścia do bezpieczeństwa i analizy anegdot.

10. Audyt i komentarze na Reddity

Korepetytor opowiada o swojej anegdotce z audytu ClamAV i komentarzach na Reddity.

11. Badanie na temat efektywności szkoleń antyphishingowych

Korepetytor omawia badanie naukowe na temat efektywności szkoleń antyphishingowych w dużych organizacjach.

12. Krytyka szkoleń i świadomości

Korepetytor krytykuje efekty szkoleń i świadomości w kontekście bezpieczeństwa informacji.

Szukaj w treści odcinka

Wyczyść
Znaleziono 14 wyników dla "Google"

Tak, dosłownie można powiedzieć, że nie w tym miesiącu pod koniec zeszłego roku, pod koniec zeszłego miesiąca, bo ja o tym nie wiedziałem, a wiem Andrzej, że ty o tym wiesz, że Google miało taką piętnastoletnią tradycję hakowania własnych pracowników w ramach czegoś, co nazywało się u nich Living Tradition.

Że pracujecie w Google i wasz współpracownik właśnie ogłasza, że zmienia zespół, zmienia branża, nie wiem, jedzie do innego kraju lub odchodzi z firmy, whatever.

No nie wiem, może ciasto, może jakiś miały prezent, ale w Google nie.

W Google zaczyna się prawdziwa zabawa.

No i to taka, która przez ostatnie 15 lat pomogła uczynić tą firmę jedną z największych firm technologicznych na świecie i jeszcze bezpieczniejszą, a jeżeli ktoś interesuje się przynajmniej minimalnie w jaki sposób Google podchodzi do bezpieczeństwa, to wie, że tam poziom jest naprawdę równy paranoi, o której wspomnieliśmy kilka minut temu.

Google ma zasoby i Google faktycznie może być targetowane przez Nation States.

Historia zaczęła się w 2009 roku w bodajże córyskim biurze Google'a.

I tak, na początku inżynierowie byli dość, można powiedzieć, tradycyjni w swoich metodach, więc pojawiały się tam jakieś ukryte kamery, logery pod biurkiem, klasyczne szpiegowskie zabawki, ale szybko się to znudziło, no bo grupie uzdolnionych inżynierów z Google'a możliwość takiego legalnego hakowania nie przejdzie obok nosa.

Każdy taki znaleziony zero-day, każda znaleziona luka prowadziła do tego, że Google polepszało swoje zabezpieczenia.

zrobić, co udało się poprawić w Google poprzez Living Tradition?

No i poprawiono sam proces aktualizacji przeglądarki Google Chrome.

Natomiast tak, to living tradition to jest coś ciekawego, natomiast z mojej perspektywy podoba mi się, że coś takiego miał i tak realny wpływ na podniesienie bezpieczeństwa produkcyjnych systemów, ale nie tylko produkcyjnych systemów samego Google'a, ale też systemów, które potem dotykają końcowego użytkownika.

Ja chętnie usłyszałbym uzasadnienie biznesowe czegoś takiego w samym Google.

Pamiętasz ten research z Google, gdzie jasno pokazali, że ataki phishingowe zmalały do zera dopiero wtedy, kiedy wprowadzili tokeny sprzętowe.

Ostatnie odcinki