@pako911: wczoraj już padło pytanie o tę kampanię, krótkie wytłumaczenie https://www.wykop.pl/wpis/62270433

@Lixerv: dobrze wiedzieć. Fajnie, że robią ukłon w stronę osób mniej technicznych i wrzucają to od razu do Keychain, ale z drugiej strony trzymanie haseł i totp w jednym miejscu to dla mnie średnie rozwiązanie.

@Lixerv: w takim razie wybierz po prostu Raivo otp, a jak za dużo bajerów, to Tofu auth. Gdybyś szukał alternatywy na Androida to Aegis (może kiedyś doczeka się też wersji na ios'a) :)

@Lixerv: bezpieczeństwo będzie się wiązać z oferowaną funkcjonalnością. Pamiętaj, że tego typu aplikacje powinny działać w pełni offline. Niezawodność? - przecież to tylko aplikacje do generowania totp, w najgorszym wypadku ktoś porzuci projekt (aplikacja dalej generuje kody), lub aplikacja przestanie być kompatybilna z danym serwisem (niskie prawdopodobieństwo, dotyczy wyłącznie konfiguracji 2fa). Nie da się wskazać "jedynej słusznej aplikacji", bo każda ma swoje plusy i minusy, a każdy użytkownik ma inne wymagania.

@Lixerv: zależy od Twoich preferencji, głównie w kwestii backupu, możliwości eksportowania dostępów i tego czy wolisz rozwiązania OS, czy jest to Tobie obojętne. Najlepiej będzie jak przetestujesz kilka wybranych (dodaj po kilka kont do różnych aplikacji) i sam zdecydujesz, bo to kwestia indywidualna podobnie jak w przypadku menedżera haseł. Od siebie mogę polecić - RaivoOTP, Tofu, Authy i OTP Auth:
Raivo (OS) - backup trzymany w iCloud, pozwala na import/eksport danychPokaż całość

@Czyste_Buty: nawiązanie kontaktu, lepsze poznanie Twojej osoby, a na koniec zachęci Cię do założenia konta na jakiejś stronce do "tradingu". Więcej na ten temat znajdziesz pod frazami "forex trading scam" lub "whatsapp crypto scam".

@Pan_Mysz: przytrzymaj na wiadomości -> prześlij/przekaż dalej na nr 799-448-084 ( https://incydent.cert.pl/#!/lang=pl )

@ZaufanaTrzeciaStrona: wejściówkę mam - w grze nie biorę udziału, lecz memem zawsze chętnie się podzielę :)

A co do samej konferencji, to bardzo polecam - szczególnie tym, którzy wahają się czy warto. Warto.

@wykops2: youtube-dl

@PiersiowkaPelnaZiol:

a wszedzie co szukają na juniorów mówią że wystarczą ctfy + sieci

ja tego nie napisałem, a niemniej wprowadza to w błąd. Co z tego, że wyżej jest coś o wyszukiwarce urządzeń sieciowych, czy owaspie jak zostało to już napisane w kontekście samej pracy, a nie wymagań rekrutacji.

+ nie przywołałem tutaj thm jako platformy do nauki przeprowadzania pentestów, tylko do wdrożenia się w SOC 1L, czyli biorę pod uwagęPokaż całość

@daddyissues_: wszystko zależy od tego jaki masz background w IT i co już potrafisz. Ja na przykład nie uznaję czegoś takiego jak młodszy specjalista ds. bezpieczeństwa (1,2,3 linia oczywiście tak), czy (o zgrozo) junior pentester. Większość wymagań na tego typu stanowiska są przeważnie takie same jak na "normalne" stanowisko. Jedyna różnica jest taka, że dostajesz nieco łatwiejsze taski i masz okazję się trochę poduczyć pod okiem bardziej wyszkolonych ludzi. Chyba, żePokaż całość

@powsinogaszszlaja: czyli to może być po prostu jakaś 'sklejka' jako większa baza mailingowa. Jak adres wycieknie więcej niż z jednego źródła, to później już niestety coraz ciężej namierzyć, bo te adresy migrują między bazami do tego typu kampanii.
Nie wiem jakich skrzynek używacie, ale jako ciekawostkę dodam, że gmail ma aliasy w standardzie. Wystarczy dorzucić "+alias" po nazwie skrzynki. Czyli np. dla 'jankowalski@gmail.com' można zrobić alias 'jankowalski+morele@gmail.com" - o wiele łatwiejPokaż całość

@ATAT-2: i tak i nie. Twój mail + CC to może być jeden wyciek, ale równie dobrze jakiś merge z kilku baz danych (np. dla akcji targetowanych na Polskę). Teoretycznie możesz zawsze tutaj sprawdzić https://haveibeenpwned.com/ lub poszukać czegoś głębiej w 'internecie', ale do tego może być potrzebna jakaś tam wiedza techniczna.
Polecam korzystanie z aliasów (lub unikatowe adresy e-mail), wtedy można łatwo dojść do tego gdzie i komu coś ciekło :)

@Krall: tylko to jest wyłącznie proces logowania, ale i tak to boli. Nie wiem też na ile jest aktualizowana ta lista, lecz i tak dobrze, że chociaż coś się zmienia na przestrzeni lat. Tak to dalej byśmy wszyscy dostawali zdrapki do autoryzacji przelewów

@Krall: niestety (jeszcze) nie
ale jak jesteś ciekawy jakie banki wspierają, to podsyłam https://2fa.directory/#banking

@TestoPowroci: no tak, ale proces rekrutacji deva != proces rekrutacji przyszłego pentestera (i jego pochodnych). Rozmowy rekrutacyjnej i tak nie będziesz w stanie pominąć, nawet jakbys miał OSCP, CEH, CISSP i nie wiem co tam jeszcze. Samym certyfikatem nikogo nie przekonasz. Tak jak napisał @AusserKontrolle firma później i tak Ci opłaci taki certyfikat jak będziesz chciał, a wiedza nabyta podczas testu nie przyda Ci się aż tak bardzo w pracy.
JakPokaż całość

@TestoPowroci: przede wszystkim certyfikaty robisz dla siebie i własnej satysfakcji, nie dla zdobycia pracy. Takim OSCP to można jedynie oczarować kogoś w corpo, ale nie wiem czy to będzie satysfakcjonująca praca :)

Próg wejścia do security nie jest aż tak wysoki jak się niektórym wydaje - bardzo dużo firm zatrudnia ludzi z wiedzą "podstawową" + większą w zakresie kierunku w którym chcesz się rozwijać (np. reverse, web, mobile etc.). Wybierz wPokaż całość

@niebezpiecznik-pl: a później skończy jak Edison i nawet śniadania nie zdąży zjeść ( ͡° ʖ̯ ͡°)

@Narzekajaca_maruda: art. 269c kk niby daje jakiś dupochron, ale i tak w głównej mierze będzie wszystko zależeć od tego jak zareaguje właściciel serwisu na Twoją wiadomość. Jak nie jesteś bardzo zachłanny i nie tłumaczysz błędów w agresywny sposób, to po prostu dostaniesz podziękowania i tyle.

@NoNameNoIdeaNoLife: niewiele można stwierdzić na podstawie takiego zrzutu ekranu - trochę takie wróżenie z fusów...ale generalnie nie sugeruj się nigdy nazwą nadawcy/adresem email, tylko chociaż sprawdzaj nagłówki ( https://www.cybsecurity.org/pl/jak-zobaczyc-naglowki-wiadomosci-e-mail-na-roznych-pocztach/ ). A jak masz wątpliwości co do wiarygodności jakiegoś maila to zawsze możesz podesłać to np. tu https://incydent.cert.pl/#!/lang=pl

@szuwarek-mini: trochę ogólnikowe pytania, ale po kolei...o ile dobrze pamiętam, to GA działa tylko offline czyli utrata telefonu będzie wiązała się z użyciem jednorazowych kodów.
Jeżeli szukasz alternatywy która będzie się synchronizować online to np. Authy, TOTP Authenticator czy nawet Bitwarden ma opcję generowania totp z tego co kojarzę.

W kwestii fizycznych kluczy to jest to najbardziej sensowne rozwiązanie dla 2fa, lecz niestety nie mają one 100% kompatybilności (gdzieś jakaś stronaPokaż całość