Panel dyskusyjny - Prelegenci Security BSides Warsaw 2019

staramy się nieuchronnie do panelu tutaj który w zeszłym roku był bardzo spontaniczny z tego względu że piotrek na 15 minut przykładem czy trzy lata 10 minut przykładem zorientował się że następny prelegent nie przyjdzie no i przy okazji sponsor no i wtedy siedząc w jakimś większym gronie osób ktoś rzucił super ideę to zróbmy panel dyskusyjny i tak też się w zeszłym roku udało nam się od był sukcesem nawet zataczając szybkie kręgi którzy odpowiedzi do dzisiaj się oburzają i obrażają więc jest szansa na powtórkę z zeszłego roku mamy pytania na youtubie też dobra no to o co jakiś czas

dobrze bez zbędnych wstępów który już miał pytanie to czy czujecie powiem je do mikrofonu przekażemy na stream pytać możemy wszystko nie ma żadnych zasad oprócz tej oprócz tego że się nie wiemy jak ustaliliśmy w zeszłym roku to właśnie w tym roku

tak mimo że się przedstawimy w takim układzie rozpoczynając może z drugiej strony gdyby każdy z was mógł powiedzieć bardzo szybko kim jest co robi skąd się wziął to być może niekoniecznie ale kim jest co robi już od dziecka reprezentuje lekcje gitary zajmuje się ochroną danych osobowych i bezpieczeństwem okazję i przyjemność zaprezentować trochę informacji na temat i i bezpieczeństwa które powinniśmy używać do tych urządzeń bardzo się cieszę że tutaj jestem ponieważ do tej pory uczestniczę wielu konferencjach ale nie nie tak fajnym że tak powiem więc cieszę się że jestem w ciąży d [Aplauz]

witam wszystkich ja nazywam się adam wilanowski i jestem deweloperem openbsd oprócz tego pracuje w kucyk i jako deweloper zajmuję się głównie bazami danych i bezpieczeństwo z takimi konik odkryć co cię powstrzymuje przed sobą słyszałem tak dane osobowe bije z myśleniem daleko jeszcze kogoś banku już żałuję że to światłem testy penetracyjny będzie bardzo wesoło nadzieję że mateusz zada kontrowersyjnych pytań na które będziemy mogli odpowiedzieć zupełnie bez sensu w taki sposób żebyście wiedzieli na kogo głosować odpowiednio wybierając niektóre wyrazy z tego co o czym mówimy o to że jak jest cisza wyborcza to politycy wrzucają takie trudne w stylu że na bazarku dzisiaj ziemniaki do po 14 groszy także jak ktoś jak coś przemycie to nie ma problemu jeśli mogę taka

ciekawostka w regulaminie jest napisane że i i organizacjami odpowiada za prelegentów i treści przedstawione przez nich więc będziesz płacił ty zwrócimy się spoko się

pracuję w banku takim dosyć dużym prywatnie zajmuje się od wielu wielu lat i także jutro będziecie mogli posłuchać jakieś tam prezentację mam ale mamy tu ciekawych ludzi największym komentarz z sali dotyczył bliskości banku to jest panel jego rodzaj mój

macie gotowy zajmuję się numerem w dużej firmie zostaw łapkę w górę zostawcie i [Muzyka] piotrek zapomniał już ale go wywołany do tablicy bo sobie chciałbym zarezerwować prawo do pierwszego pytania czy nie widziałeś jak nie pamiętać i chętnie przypomnienie

ja zadam to pytanie no z twarogu tak dalej czy to pytanie brzmiało uwaga jest kontrowersyjne czy tak w zdaniach odpowiedzcie czy rodo cokolwiek zmieniło tak to bardzo dobra odpowiedź dużo trudniejsze wyszukuje rzeczy w opisie tak to prawda powiedziała dużo trudniej wyszukiwać rzeczy w biznesie to jest pozytywny negatywny efekt zrozumienia negatywny pozytywny żeby firmy zaczęły być trochę bardziej od jednak dane osobowe bo się boją tych kar dla mnie to nie jest pozytywnego się bajka i zacząć coś robić bo to jest najgorsze edukacja na świecie ale ja się cieszę że tak aby ta implementacja nie była nazwijmy to tak delikatnie tego do ja się cieszę że troszkę czy przeciętny obywatel ue normalnie użytkownicy zaczęli myśleć kategoriami że jest coś

takiego jak dana osoba absolutnie nie rozróżniają odo trip jaris rodo nie mam zielonego pojęcia dalej i dane osobowe frodo tak robią stilghar.ovh.org i tak dalej natomiast troszeczkę się zmieniło w tym sensie że teraz wszędzie mówią ale rodo ale rodo niezależnie od tego czy to nadal występuje w tym momencie o którym mówią to troszkę się tak przesunęła taka delikatna taki delikatny kimś zrobił teraz mogę powiedzieć że no ale rodo ale rodo proszę mi tego kebaba nie dawać w takim sporo do i i coś coś się zmieniło natomiast no to czekamy jeszcze kolejne 150 lat zobaczymy już abstrahując od implementacja się cieszę że w przypadku teraz wycieku danych użytkownik nie jest jedyną osobą która się denerwuje ja myślę że dużo się nie zmieniło na

temat rzeczywiście jak powiedział świadomość jest troszeczkę inna natomiast no tak jak powiedziałam wczoraj no czeka nas i prawa i to będzie wyzwanie dlatego że de facto wszystko będziemy musieli pracować jako daną osobą tak metadane i tak dalej teraz kwestia podejścia do tego zabezpieczenia to myślę że może być trochę mamy problem a jak się odnieść i to jest mnie nie ma skalowalnym przed przerwaniem do tego co powiedział pory smutnego wniosku w historii ze znanym sklepie elektronicznym że taniej było zapłacić oku i i tak więc to też jest kontrowersyjne i ja nie wiem czy to poszło dobrym czy złym kierunku oczywiście tego nie wiemy ale pomysły ale uwaga jest tylko groźba żebyśmy mówili do mikrofonu bo ci na

steamie się denerwują bardzo i przeklinają i jest to pytanie z sali podnieście ręce czytaliście ktokolwiek by zwrócić naszą uwagę nie wypłynęły bo to się nie opłaca jakby w biznesie jeżeli wiesz że robisz to regularnie i sprzęt raz coś do mnie w ten sposób też nie zaufałbym tego racjonalizować mamy więc nie mamy mikrofonu już jest mikrofon dzień dobry tutaj komentarz z sali dotyczył tego że natura danych jest taka że tak uciekają tak to tak słyszałem czy zapłacić za to

oczywiście

zależy od tego co my zapłacimy czy nie to i tak musisz skonfigurować taki incydent już o tym wie tak jakby [Muzyka] musimy jest kwestia taka że również za to co zrobić odpowiedź twoje księgowe i nie masz pewności że ona tego nie zgłosi mam jeszcze jeden taki taką myśl które muszą zapłacić kary jakieś rodo i a potem wycieku po prostu dostaję miliardy jakichś dziwnych maili na dresy no ja akurat mam unikalne dla każdego serwisu gdzie wam się rejestruje powiedzmy no i co tam wiele użytkownika zabić kogo to obchodzi że jakaś firma została dwie banki kary jak on jest ofiarą i będzie ofiarą do końca życia bo to nie będzie zwykły no i tyle adam a czy twoje twoja domena i jest daną osobą

to jest dobre pytanie nie wiem i prawdę mówiąc nie interesuje sposób jednoznaczny jest dość łatwa do zapamiętania jak ktoś latach imię i nazwisko tak i ty bierzesz za każdym razem kogokolwiek się logujesz zostawiasz tą daną tak i co do tak a to taką odkładasz czyli wszyscy teraz muszę zapłacić żeby na przykład oto ja myślę że organizatorzy mojego maila z użytkownik cały czas ofiarą nie ważne czy jest to był komentarz żeby zapłaciło użytkownikami porozmawiamy o wycieku którym atom tam był pozew użytkowników tak jak to wygląda z mojej perspektywy bo miałem udział gdzieś uczestniczyć w implementacji rodo rodo pozwoliło nam mnóstwo spraw uporządkować to znaczy zdaliśmy sobie pytanie co mamy gdzie trzymamy w domu dodajemy na jakich zasadach to dajemy

dlaczego przetwarzamy to takie danie a nie inaczej i sporo się identyczną z perspektywy organizacji które oglądałem uporządkował i pod tym kątem uważam że jest super sporo bank się usunęło ale to przeliczymy bo już dawno nie powinno byc takie pytanie mam to było uczestniczyło to uczestniczyliście razem z prawnikami którzy robili to samo jako technicznie pomidor to moje doświadczenie jest takie że prawnicy zasadzie wyrzucają ludzi którzy się znają na bezpieczeństwie mówiąc to są papiery to jest nie dotykajcie to jest analiza ryzyka miesiąc znamy to widać doskonale było pomocne ale jak dużo chociaż rozumiem pory będziesz miał zaraz w odwrotną odwrotnie zdanie natomiast nie jeszcze nie zapadła jeszcze nie wiem w ogóle że chcesz powiedzieć o mikrofon w

ręce powstrzymać ale dziękuję rodzaje zapalników i tylko czy nie zostało zrobione no to ostatnie dwa lata to jest są to dla pracowników to ja oddam telefon żebyśmy przeżyli to fizycznie to jest walka a tylko chwilę ale parę minut uważam że nie dla pracowników ja akurat lubię robić zobacz to jest smaczne danie regulacja nigdy prawo nie nadążać za technologią poprzednio tak dyrektywa 98 2 98 usta usunięcie danych kwestia wypełniania prawko nie są nowe rzeczy do tego nie zmieniło nic dlatego ja uważam że rodo jak gdyby rzeczywiście ciekawe wpłynęło na naszą wyobraźnię więc zaczęliśmy porządkować pewne kwestie ale tutaj w takim kontekście się nic nie zmieniło natomiast o tyle jest dla mnie fajną fajnym rozporządzenie że nasze

znosi granice nie ma barier tak niezależnie od tego gdzie prowadzą biznes jeżeli jest dedykowany dla obywateli unii musi być spełnione pewne wymogi a drugie drugi taki aspekt że cały czas na analizę ryzyka czyli to co rozmawialiśmy dziś w kuluarach że dobrze prowadzone jakieś zabezpieczenia ale ich później weryfikujemy tak nie powinno być powinniśmy mieć to w procesie i prawie tego nie zrobi od lat staramy się zadecydować jakie środki techniczne organizacyjne jakie bez zabezpieczenia wdrażasz jeżeli tak nie wiem korzystać z funkcji która w tej chwili jest to jest standardem a za dwa lata się zmieni za chwilę będziemy mieli jeden komputery kwantowe warte okaże się że nasze szyfrowanie działa to ty jako osoba jako administrator tych danych

musisz analizować na bieżąco sytuacji i zmienić dostosować te środki i stary wtedy jak masz funkcję hashującą tak musisz zmienić na inną taka bardzo w skrócie tutaj będzie pytania w skrócie jak robić tylko prawnikami rodo to słaba jakość tylko technik innymi osobami to słabo ale fajnie jednak to o czym mówiłem w układzie współpracujemy i komunikujemy się fajnie będzie trochę tak jak powiedziałaś jak to będzie prawnicy zrobię analiza ryzyka i do tego technicznie dobiorą odpowiednie mechanizmy bezpieczeństwa oczywiście nie zawsze tak było w filmach czasami jest to tak mówić bo rozumiem że firmy robią rondo poprzez przygotowanie dokumentów i kompletnie nic się nie dzieje później po stronie technologicznej a i czasami w drugą stronę że robią te tradycyjne

natomiast kompletnie zrobię analizę ryzyka i kończy się to tym że tak naprawdę to tym że to też jest pełen to pewien proces tak a druga sprawa to jest uważam że dzisiaj jeden komentarz do tego co powiedziałeś że prawnicy to też nie jest tak że to się robi tylko prawnikami dlatego że pa pracowników to jest nowość jak z nim porozmawiać to oni też często mają różne interpretacje i jest także też się tego uczą więc na pewno tak jak powiedziałem nie należy tego robić tylko prawnikami należy działać wspólnie uczyć się na doświadczeniach ale też jest przykładem czegoś co się wydarzyło i można z tego wyciągnąć wnioski i zobaczcie jak zostały część rzeczy zinterpretowane jedyną pozytywną zmianę jaką zauważyłem

to jest to że rozmawiając z ludźmi z kilku firm jedyną rzeczą którą oni zmienili w swoich organizacjach to że chcieli zbierać mnie idealny że podczas logowania już nie pytają urodzenia jakieś inne takie wynalazki chyba że naprawdę muszą to jest nie wiem bank na przykład jeśli trochę przemyśleń i trochę co mają i dlaczego tak dlatego matki ja mam pytanie czy ktoś z was prowadzi biznes globalnie także ma klientów z całego świata bo zdaje się że nie tylko unia europejska miała pomysł narodową ale stan kalifornia tak mama coś z twojego jakieś inne przymiarki są na in one ciekawi mnie na ile porządkowanie ciekawi mnie na ile porządkowanie prawa w tej chwili spowoduje żeby obsługi obsługiwać klientów globalnie trzeba

będzie mieć 50 racji formularza do użytkownika z szereg świat jest globalny ponieważ unia europejska wyszła trochę przed szereg to jakby narzucamy to jak to będzie wyglądało na całym świecie i to co robię w tej chwili stany kalifornia i tak dalej będzie właśnie szło w tym kierunku co nawet ostatnio weszło prawo do naprawy lodówek to się mówi o tym w stanach że europejczycy mają prawo do naprawdę to my też będziemy mieli po prostu globalnie produkują europy i tak dalej więc to jest dokładnie to samo związek jest taki że pokazujemy pewno dobre praktyki i chcemy żeby cały świat się dostosował czy to jest tak że jak działa na facebook to jak zrobić europy to jak teraz no to proszę

komentarz słuchajcie nie czarujmy się tak myślę że globalnie i mówiąc że jest szansa że te praktyki które są stosowane w unii europejskiej skocz na kolejne kolejne kraje inne kontynenty no to jakoś mi się to nie zgrywa bo graczy offline a nie było ale to zwykle uczymy się tych złych zachowań zobaczmy co jest inna tak tam musisz przechowywać dane u nich one muszą być przechowywane na serwerach tak narządowych serwerach tak masakra otwarte bazy danych które prostu stąd tutaj miliarda ludzi możesz sobie wybrać nie wiem strzelam kobiety które akurat mogą mieć ochotę żeby zajść w ciążę tak co może pójść w tym kierunku tak mamy rodo i mamy chińczyków i za 5 lat się spotkamy na kolejną edycję i

zobaczymy w tą stronę poszliśmy

i to co wiecie u nas też w tej chwili się mówi że jesteśmy w tak zwanej strefie beka bo nas akurat w polsce mówi się więcej jeszcze niż w innych krajach widzimy że idziesz do lekarza i tam masz wiesz mam solo i tak dalej a idziesz w chinach i masz nazwiska ludzi i na to są warzywa jakich lekarzy i tak dalej dla dobra dla bezpieczeństwa ogólnego po prostu tam to oni mają inny w ogóle podejście do swojego kraju gdzie u nas są oburza się tak bo lekarz wyszedł mnie tam wywoła albo w jeszcze tam jest przepraszam komentarz nie chciałem dodać że nie uważam żeby to cześć tak jak te zapisy o to żeby były coraz

powszechniejsze w innych krajach moim zdaniem będzie to tak samo jak z prawem do bycia zapomnianym gdzie działają tylko na terytorium unii europejskiej i wyszukiwarka z innych krajów nie musi wcale ten może zupełnie inne wyniki i zwracać uwagę zwraca jest zupełnie inna od kraju zależy od kraju z którego z którego jesteś na świat jasno ale jeszcze inny aspekt globalizacji że niektóre firmy spoza unii europejskiej wykazało europejskim użytkownikom po prostu sobie dyplomatycznie nazywany i-z-daszkiem oraz prawo do bycia zapomnianym to oni dostali kolejną kartę na początku tego roku tak są wypowiedzi niezależnie od tego czym się loguje się zastanów czy czy z polski to po prostu nie widzisz tego jak jak ktoś ma pytanie o rodo to jasno

i to jest pytanie nie o to zmieńmy temat bo jedno pytanie ale to jest temat rzeka którym wszyscy powinniśmy powinniśmy żyć nic nie słychać super przekazują jakiś system operacyjny jest najbezpieczniejszy do codziennego użytku mianownik wyłączony chyba tak dołączony a ja myślę że to jest najlepsza odpowiedź odpowiedź to jest pytanie na zasadzie a jakie auto jest dla mnie najlepszy no jak masz szminkę dzieci to maluch jak chcesz przewieźć ton piasku no to mercedes no wiadomo że to jest bardzo trudne nie ja mówiłem o tym na prezentację nie jest tak że jeden system pokazywałem na swoją prezentację że okradliśmy ludzi z windowsa mi z markami z minuty na minutę tak dobra przepraszam przepraszam utożsamił m ale słuchajcie

ale przepraszam nie chciałem to był znany adam tak powiedziałby że ios jest super nie nie ostatnio mnie to na przykład troszkę zdziwiło być może jakoś strasznie nudziłem się że ktoś inny white atakuje dziesiątki instalacji użytkowników apple gdzie ios był używany przez grupy uważany przez długi czas za system który jest bardzo trudny do zobaczenia w grze to tak jak mówiłem wcześniej to zależy no czy lepiej mieć starego i oczy nowego androida czy lepiej mieć komórkę na którym macie przykładowej w tych systemach na smartfony przyszedłem czy lepiej mieć 40 różnych aplikacji z nieznanych źródeł czy i trochę starszy telefon ale z aplikacją tym mnóstwo po drodze elementów w dobrze wiecie że bezpieczeństwo jest mnóstwo warstw od systemu operacyjnego przez

charakter przez aplikację i tak dalej i tak dalej no i tutaj nie ma prostej odpowiedzi że jak będziesz miał nie zaktualizowanego linuksa który od dwóch lat i chwilę bo opowiadać opowiadasz obok ciebie jest coraz niebezpiecznym raczej

dokładnie

[Aplauz] ale dajcie adamowi powiedzieć że opublikujemy dalej i bezpieczeństwa z czym się po prostu chcesz broni ale jest jeszcze druga strona medalu czyli jak bardzo powszechne jest ten system tak po prostu jest walnąć lepiej jest walnąć gdzie prawie każdy komputer na świecie ma i jeden marker jest większy niż openbsd który z rodziny które mam dziewięć użytkowników tak ale wiesz co adam ja się z tym nie zgodzić iż bo łatwiej jest zdobyć tego użytkownika który mężczyzna tymczasem jak masz tym momencie wypróbowany model że pan prezes ma mieć maka bo inaczej to na polu golfowym on nie ma co widzieć cię nie może otworzyć twojego lenovo byłoby zostały wysiane proszę nie podawać konkretnych nazw tych firm i

instytucji bo jest prawo tak tak tak anglii tacy inne tylko musi otworzyć ten z ze zniszczonym statkiem który się nie nadaje do niczego tym bo inaczej po prostu jest wykluczone i tutaj jest taki problem że ten atakujący zastanawiam się szukając celu ja osobiście bym szukał gościa który ma kase ale ten na tym komputerze wykonuje jakieś czynności poza granice zrobię przelewu na 10 barwnik i dla niego 10 dni to jest tomek tomek ale nie trzeba eksportować komputera tego gościa nie ważne jaki on jest wystarczy mailem będziesz odpowiednio wysłać wiadomość wszystko stąd wniosek jest taki że on że najlepiej używać plan 9 albo systemu którego nikt nie będzie używał właśnie to zależy to zależy przede wszystkim jeszcze coś byś chciał zapytać

to super a tak na serio to czy według was powinny zostać zalegalizowane o co chodzi jak a kogo kto chce publikować bo to jest jakby duży problem bo właśnie może się to skończyć że każdy każdego bo tak naprawdę przestępcy którzy mają jakąś tam infrastrukturę to niekoniecznie jest infrastruktura z której korzystają więc może zaatakować jakby nie innych użytkowników albo ich sieci numeru domu to jest właśnie chyba nawiązania do tego newsa to m.in to jest co innego to jest to jest interaktywny research i taki jest bardzo ważne żeby przeprowadzać imię nauki

nie jest dopuszczalne przez nikogo ale jakby jeśli ja mogę coś dodać tak obok braku liczby takich to już nic przez pomyłkę wywoła kolejną i kolejną i to co powiedziałam następnie korzystam ze swoich wraz z córką i tak taki powiedzmy borys odpowie ktoś tam ruchem zwrotnym tylko nie borys pomaga akurat jest odpowiednikiem zwrotnym a kto odbierze swojej stacji gdzieś tam zobaczy zacznie się wymiana idei między jednym a drugim trochę się pośmiejemy ale jeżeli byłby to faktycznie między tymi dwoma nowymi czy no powiedzmy tylko z domeny rządowymi serwerami to mogłoby się to zakończyć jakimś oskarżeniami szpiegostwo tak naprawdę rumuńskie dzieci bawią się w tytana kliknij ja myślę że w ogóle w ogóle temat moralności etyce prawo i na każdy z tych

elementów należałoby się zastanowić co można to nie można ktoś nazwie tak powiem że nie powinniśmy ma odpowiedzi nie tak jest sir no bo w sumie trochę więcej dowiedzieliśmy się o nich więcej dobrego ktoś zaakceptuje kodeks karny i powiedzieć w sumie jak ta szkoda była mniejsza po drugiej stronie tego dobra które wyrządziliśmy i tak dalej i tak dalej to jest bardzo bardzo ważne że nie mamy prawa do tego żeby atakować drugiej drugą osobę bo szczególnie w sieci internet się do końca nie wiem co dzień w pracy która w jakim kraju ta osoba znajduje i tak dalej tak więc nawet nie wiem jakie jest prawo i mi się wydaje że stosowanie metod które stoją przestępcy to być może efektywne ale być

może nie najbardziej etycznym ja bym tylko tak trudny temat bardzo ciekawa prowokacji z ii wojny światowej gdzie niemcy zaatakowali nas w ramach tak b tak żeby zaatakowaliśmy ich to polaków polacy zachowali radiostację gliwicką i później się zaczęła wojna światowa widz uroczy i bawi w takim układzie pytanie pytanie pytanie z tyłu jest właśnie sobie pytanie tylko odnośnie było sporo tego w ostatnich dniach i takich ataków jak banków to jest taki fajny filmów scope francuski i podwodnych bardzo polecam zeszłego roku czystego serca dziękuję proszę to jest pytanie z tyłu z tyłu obejrzyjcie z lokalnego źródła a propos legalnego dobrze że pracujecie w bezpieczeństwie się śmiejecie spójrz no tak oczywiście to jest

promocja twojego produktu o subskrypcji co sądzimy o skrypcie metoda z promocji w porządku chodź tu chodź tu chodź tu nie zrobił już dużym się na kaucję to jest jedna z tych firm o której nie możemy mówić tak rozumiem tak to jest to odpowiedź brzmi pomidor pomidor jest pytanie jest pytanie jak najlepiej wysłać google bezpiecznie wysłać d na g2a jak najlepiej jak najbezpieczniej wysyłać nagie zdjęcia nagie zdjęcia no [Muzyka] ale nie nie bo nie dodałeś ważnej rzeczy czyje to może inaczej jak na przykład zachęcić partnera lub partnerkę tak żeby wysyłali zdjęcia i żeby mi powiedzieć że jest bezpieczny gotowy komunikujecie się na sygnalu tak ale czy jak to jest bezpieczne i to jest smutne i to jest ciekawe pytanie o

bezpieczeństwo komunikatorów o to jak długo na przykład w historii i jak jest kontrolowany dostęp do tych danych jak będą przesyłane i i jak jest i jak długo jesteś w tym związku i czy to jest stabilny związek czy nie wpływa na analizę ryzyka tak jak to jest świeża znajomość jakby no to być może powinieneś dostosować zupełnie inne środki bezpieczeństwa 10 ja myślę że w ogóle przede wszystkim to powinniśmy zacząć od tego że ta osoba wysyłać zdjęcia najpierw do mnie ewentualnie do zaufanych trzeciej strony żeby tego dokonać weryfikacji bo to jest to też może być to jakaś forma tak uwierzyli oryginalnie zaufano nie miała być bloga usługą tak dokładnie tylko się nie sprawdziło ja myślę że na ogólnym poziomie na pewno

fajnie byłoby polecać któryś z tych trzech najpopularniejszych to sami wiecie komunikatorów niż przesłać mailem który już jest na necie i tak dalej tak na pewno znikających wiadomości na snapchacie to chyba wiemy że nie jest najlepszy pomysł jest komentarz lub pytanie czy jeszcze się wypowiem tylko gra to że coś jest bezpieczne to nie znaczy że druga strona tego nie zostawi nie nagra trzeba pamiętać że jest to zrobił

bez komentarza pomidor pomidor jest komentarz lub napisz mi takiej twarzy nie mam pytanie nie mam pytanie czy w takiej sytuacji nie najrozsądniej jest stosować szyfrowanie asymetryczne i z jakimś kluczem który jest znany tylko tej drugiej stronie to jest świetne pytanie powiedzieć jeśli chcesz żeby ktoś przysłał rozbierane zdjęcia albo inaczej jeśli chcesz być partnerkę to [Aplauz] nie daliście mi skończyć albo partnera pamiętaj o tym żeby nie zaczynać dyskusji o bezpieczeństwie od asymetrycznej kryptografii i zapewnienia triady bezpieczeństwa poufności integralności dostępności i tak dalej i tak dalej to jest w ogóle bardzo fajna rzecz bo co to o czym powiedziałem bo no jasne tak było najlepiej ale dobrze wiecie że ponad 20 lat nie da się z tego korzystać

z tego w sensowny sposób nie korzysta tak żeby to działało było popularne i łatwe w użyciu przez zwykłych ludzi to jest klucz tutaj znowu czy czy ta osoba znaczy trochę na technologii czy nie czy możesz użyć hasła czy może być odcisku palca i tak dalej i tak dalej natomiast bardzo mi się to spodobało ja kiedyś gdzie [Muzyka] człowiek mam nadzieję że na żarty bo polak napisał że oni zarządzają swoim pracownikom że po zalogowaniu się do użytku przez swoim klientom i pracownikom doradzają żeby weryfikować b czy suma kontrolna certyfikatu ssl nowego na stronie internetowej na której się znajduje użytkownik jest na pewno poprawne a ja mam nadzieję że to był żart chociaż ta dyskusja jesteś poważna i i oni

faktycznie właśnie sposób myślę że to jest dokładnie to czym ja przestrzegałem i uważam o tym ta uważaj na to bezpieczeństwo proste dlatego taki komunikat nie musisz nic robić nie musisz wymienić klucz i następnie potwierdzić innym zaufanym kanałem albo trzecią stroną czy na pewno te klucze te klucze najlepiej weryfikować i raz na pół roku na rok i odświeżać jeszcze dbać o to żeby była odpowiednia liczba bitów i tak dalej i tak dalej tak więc on ma odpalić jakiś komunikat zobaczyć twoje dane twojej komunikacji bezpieczna wyślij zdjęcie po temacie tak to jest w pewnym sensie ważnym miejscu tak jeszcze takie taka krótka rzecz to jest tak samo jak mnie śmieszy to że tutaj w branży bardzo się boję się jeszcze na 2

dowolny autentykacji autoryzacji za pomocą to kanał wesołych tak jakbym był zadowolony jakby wszyscy chociażby tych sms-ów używali bo to że większość z nas ma to w uwierzytelnienie włączone to niestety większość populacji nie ma borys dziś podobał statystykę z azure a także 8 procent adminów ale ta ma dwa współdzielone kontach gmin w to wierzysz po prostu to jest problem to jest problem jest pytanie a ja mam takie bardzo techniczne pytanie co do poprzednich jak mamy jakieś infrastruktury mamy jakieś realizujemy to jak jest jakby się odpowiedzieć są wasze ulubione jak a zwłaszcza jedną ulubioną ameryka taka najważniejsza którą którą wy patrzycie www.true-blood.pl czasami w niektórych firmach obserwując to co się dzieje w ich sercach i vlogach to trochę tak jak widzieliście można

rzucić kostką i to jest o wiele bardziej skuteczne niż wyciągniętą formacji jakiś sensowny ale ja nie jestem kompletnie adresatem tego pytania aby ponownie przeglądam już jesteśmy na takim poziomie w banku że tylko musisz pozwalasz żeby dokupić kolejne gigabajty ludzi których nie wygląda więc w zasadzie to jest to jest jaka jest miara takie jak miarę z perspektywy roku a może ktoś z was to zależy tylko od was zależy czy będzie to mieszkamy ile jest nieudanych danych logowania i z tym z tego coś wyciągnąć ale to tylko w tym konkretnym przypadku tak jak nie macie w internecie i macie tylko stacje robocze na to pytanie czy macicy i zbieracie z tych stacji roboczych cokolwiek i jeszcze do tego

wszystkiego a jak często w skali dnia bardzo często podłączone czy ty masz cały obraz tego co się dzieje w tym filmie stacjach roboczych czy nie jest się w miarę złotówki na godzinę albo na minutę ile zarabiamy albo ile tracimy to jest taka wiara która zawsze do biznesu ale to z rogów jest bardzo ciężko wyciągnąć ja wiem że to świetny pomysł na taki czas w którym można było tak zmieniać login na wykres włosów spowodowałoby to było stać na taki która przemawia szybko dość na przykład powinno być liderem vlogach to jest ciężko przełożyć na to co ty mówisz ale być może powinniśmy w myśleniu starać się tak jak mówisz podchodzisz do biznesu w naszych vlogach będzie kluczowe dla

biznesu i co może być miał na przykład jeśli można powiedzieć okej utrata dostępności na to będzie dużo pieniędzy więc szukamy vlogach czegoś co będzie miało dlatego że na przykład sprawdza dostępność i tak mamy tu trochę śmiejemy i ja pamiętam że rozpoznaliśmy klienta którego szefem wszystkich szefów miał po prostu wykres też inni to był to była jedyna dla niego czy jest dobrze czy źle także to się robi w niektórych to ma sens wbrew pozorom jasne znaczy problem z takim podejściem jest takie że to jest tylko wymiarowanie bo to widzisz to w tym momencie tracisz pieniądze ale ktoś dotknie i traci pieniądze za pół roku w ten sposób więc być może trzeba patrzeć najbardziej perspektywiczny

gdzieżeś ty mi się że jakby wszystko zależy od tego po pierwsze co to jest organizacja po drugie jakie jest jej model pracy jakie ma systemy ilu użytkowników co jest dla niej cenne bo jakby nie ma jednego złotego rozwiązania tak jeżeli jesteśmy firmą handlową to patrzymy vlogi które pokazują nam czy spada klasa czy nie spada tak jeżeli jesteśmy hostingiem dla nas pieniądze idą właśnie z usług hostingowych tutaj musimy patrzeć że jesteśmy bankiem na przykład to jest wektorów ataków wiele więcej i albo się dowiemy za pół roku że coś się stało więc tutaj jakby wszystko zależy jak i demencji jest to niezbędne dla mnie to też jest to jak wartość pieniężną będziemy wyciąć 2 dokumenty na przykład takie rzeczy

które wpłyną na strategię strategię polityczną najbliższych lat miesięcy dni whatever to będzie działo to jest jakby przekładany jest pytanie bardzo skomplikowane i trudne wszyscy już wiemy że chcemy to factor mam takie pytanie do was jest głośnik jak widzicie szansa na adopcję i i tym podobnych rzeczy bo jako użytkownik może powiedzieć że nie będzie to ja może pierwszy odpowiem jeżeli chodzi o adopcji i to w sumie tyle jeżeli chodzi o wykorzystanie przez użytkowników to szanse są marne tak naprawdę bo o ile my wszyscy tutaj na tej sali mam nadzieję wiemy co robić i jak to działa tak jak korzystać z nich w tyle pani halina krystyna ona nigdy w życiu tego nie użyję tak więc nie to się nie sprawdzi

czy ty adam nie używam mam 3 szufladzie nie używam bo zapewne zapomnieć często głupi albo chciałbym się że nie używam bo nie muszę tak ja mam trochę inaczej to wszystko zaprojektowane wiadomo że adama tak ludzie tego którzy rozpoczęli jemu wkładają w komputer to jest nie ten nie ten poziom jakby na ziemię zadanie na stanowisku wiele wyższy niż niż natomiast to jest bardzo fajne pytanie bo mówimy o tym [Muzyka] co zawsze dopasować do organizacji zastanowić się czy jesteśmy w stanie dać chociażby takich i albo cokolwiek innego co jakiś czas na komórce dla na przykład naszych administratorów dla osób które mają dostęp do kluczowych informacji jak to zrobimy to będzie bardzo dużo absolutnie tak myślę że koleżanki że

dalej jest potwierdzenie że wszystkim rozdamy ceny i to będą trzy tokeny które muszą razem złączyć do siebie i podnieś do góry i świeci słońce muszą stać na jednej nodze wcisnął przycisk to w faktach autentycznych zadziała i uwierzytelni autoryzuje to to napewno nie tędy droga na pewno to środki do firmy do tego co możemy zrobić w kontekście tego jak mamy ludzi mogło nawet to jest to bardzo proste rzeczy mamy bardzo świadomość ludzi którzy którzy lubią nowinki technologiczne zupełnie inaczej będziemy ich podchodzili do ludzi którzy będą mieli średnim wieku 20 lat więcej i będą zupełnie inaczej reagowali na nowinki technologiczne jest bardzo dużo różnych aspektów cześć jeżeli chcemy podnieść generalnie bezpieczeństwo to myślę że najłatwiej będzie jeżeli przez już przyjmą że

telefony będą pełnić taką funkcję i aplikacje na telefonach będą dla normalnych osób zastępować takie urządzenia jak był i i jeżeli to się uda to będzie duży sukces w kontekście w kontekście 22 rough akurat część roboty wykonało google z jak to się nazywa po ile ciężko jest wprowadzić jakieś jedno rozwiązanie drugi który jest to trudne w użyciu dla potencjalnego zwykłego użytkownika to ja jestem z kolei za tym żeby wszystkie instytucje które akurat mam okazję pracować z wielu lat w bankach jestem za tym żeby dać możliwość wykorzystania urządzenia a nie jakby narzucać tak po prostu jest zaimplementować wiele rozwiązań na przykład dać użytkownikowi możliwość możliwość używania czy chociażby sms-a jako jakby ostatecznie wszyscy odbieram sms czy to będzie google authenticator

czynniki dać możliwość i zaimplementować system żeby ten użytkownik musi włączyć i wtedy wszyscy będą zadowoleni pani halina pani halina a pani halina dostanie sms-a bo akurat miałam stronach tak jak borys i nie odbiera aplikacjami mobilnymi to łatwa a wy dostaniecie swojej będziecie mogli spotykać gdzie chcecie i też będzie działać tak jestem tu po to żeby więcej rozwiązanie dla użytkowników i nie robić w parku często spotykam też takie implementacje że nie jestem już taki ołówek jest nadal sms albo nie wiem i kota jest nie tak z tym mam pytanie brzmi ze steama czy istnieje możliwość integracji jakichś security check do c i jakby mogą poprawić sec tak myślę że jest taka możliwość na przykład jenkins ma pragnienie chociażby

o was ma zestaw modów jenkins który jakimś tam chociażby sprawdzać wersje bibliotek które są w trakcie budowania aplikacji implementowane w aplikacji więc takie da zrobić tak tak samo estetyczna analiza kodu może to nie jest super rozwiązanie bezpieczeństwa ale jakieś tam powiedzmy błędy na którymś etapie było tak że jak najbardziej można to robić i i to się powinno robić taki ja bym chciał odnieść do prezentacji piątkowej kamila o tym gdzie opowiadał w sumie że częścią procesu tworzenia oprogramowania powinien być fazy żeby szukać błędów też warto wspomnieć o zależności od naszych projektów nie tylko czekać błędów w naszych projektach i pamiętać żeby zależności naszych projektów aktualizować przykładowo na githubie jeżeli korzystamy z takich popularnych filmów typu rozwiązania jest taką

informację dostaniemy z automatu jeżeli zostanie opublikowane jakiś cel do biblioteki z której korzystamy nawet jako zależności pośrednich gdzie ona jest trzecią zależnością w naszym bezpośrednim zależności natomiast samemu oczywiście można odpalać jakieś dużo dla mnie znaczy to że dostatecznie analizy kodu lub nawet narzędzia do testowania aplikacji

że widziałem wielu projektach gdzie jest to ich pięta statyczna analiza nikt na nią nie spogląda w ogóle w polsce pozytywów która która generuje jest tak duża że przez dwa tygodnie ktoś z tego korzystał z tej chwili to rośnie jest 15.000 błędów do klikania no właśnie tak no i znowu przez trzy tygodnie na hurra używamy bo jest super bo pan z działu security kazał to robić powiedział security zapominam bo ma inne sprawy na głowie za dwa lata temu przypomnieć pyta tee a co tam z estetycznych i analizą znowu robaki tak no ale to jest choroba deweloperów bo ogólnie tak bo jakby mówi że ktoś zaimplementujesz taktyczna analiza powiedzmy że na początku ją zrobić dobrze tak jakby przesieję to jest

pozytywny i tak dalej i za jakiś czas to urośnie znowu nie będzie na to patrzą jest wpisanie kodu tak chwilę też spotkałem wielu aplikacji gdzie powiedzmy w na pewnym etapie były używane biblioteki chociażby do mnie walidacji to tak a za chwilę do biblioteki ktoś sobie nie wiem zapomniał że ona jest pisze w swojej latorośli i zaczyna się znowu wolna amerykanka także higiena musi jakby cały czas myjemy ręce tak mam też takie przeświadczenie że deweloperzy są raczej leniwi i lepiej jak ktoś z automatu i trzaska po głowie niż żeby oni musieli wymyślić bo nie mają wystarczająco swoich problemów security to jest jedna z wielu wielu wielu aspektów którymi się powinni przyjmować tutaj jeszcze dodam że tak

bardzo ważnym aspektem jest jeżeli cześć zacznijmy robić włączymy to najlepiej wyłącznie usunąć albo takim dobrym kluczem przykręcić zrobić to tak jak na przykład w dziękujemy problemów z seksem linuksem tak na przykład na to że to pierwsza rzecz jaką potrafimy to jest odpowiedź jest taka jakby łącząca 70 tak i tego tego po prostu nie powinno być jest ale jeszcze wracając do tych ludzi i czy znacie może jakąś taką implementację żeby dało się starać korzystać z kijów nie poprawnie funkcjonował środowisku windows tak nie do aplikacji x tylko do windowsa żeby się autoryzować youtube ma opcję też topspin i się da zrobić także symuluje ci klawiatura i masz taki finalny content id itp by ale to też jest tak że yyy i na jako

klawiatura więc działanie niezależnie od platform

cześć z tym że ten to tylko skumałem on nie jest oparty o czas o counter strike z tego co pamiętam to u b i nie jest świadomy upływu czasu to wracając do wyłączenia jest linuksa to jest taki mało znany jako na coś pomysł na metodykę zarządzania projektami czyli itd deweloper development czyli robienie nierobienie softu w taki sposób że deweloper który ma z tego później wykorzystać ma być zadowolony że jak tylko spojrzę na na instrukcje jak fałszować albo region01 jeśli ktoś nie potrafi zrozumieć jak działa na jednej stronie linii to wypierdalaj brzydko mówiąc i tak było z linuxem ja chciałem dać mu bardzo dużą szansę spróbować przez tydzień walczyć to się nie da z tego korzystać i po prostu po tygodniu się

poddałem wyłączyłem to po prostu jest to ci podpowiem że to jest są osoby z obozu b gdzie b jest bardzo wiele koncepcji w tej chwili jak sam boksować aplikację bardzo różnych każdy zrobił swoją i wszystkie się z ze sobą biją w końcu przyszedł co tak bo to chyba tyle to i wykombinował takim młotek który działa na zasadzie wywołujesz jedną rzecz co w tej chwili 2 2 2 rzeczy ograniczać i to aplikacje jest to trochę debilne ale działa jak coś działa to nie jest wybitne więc sekund ale możesz stworzyć ogromną polityka to tylko określa że chcesz mieć dostęp do efsa już i może nie wdawać się w szczegóły

na open jest i w bardzo prosty sposób z małymi zmianami aplikacji można ją zastosować nie w taki generalny sposób jak na przykład za pomocą capsicum czyste kompa natomiast w łatwy sposób dużą ilość oprogramowanie można zabezpieczyć i tak jest przejechany cały bass chrome firefox i parę innych aplikacji więc przynajmniej to tam jest ale może nie wydawały mi się aż tak w sumie to nie wiem że tak dobra na dziś rozmawialiśmy w kółku robienia zdjęć i przeszła obok nas aktorka magdalena cielecka tak dziś już nie tak mamy 4 44 minuty więc czas na hardkorowy ostatnie pytania ze strony bombsite b jak ktoś ma im trudniejsze pytanie tym lepsze może się jasno jest pytanie za co okej pytanie jest z filmu

co sądzicie o bezpieczeństwie usa i znanego ostatnia artykułów już jest to piosenka z soy luna nic o i ja znam osoby która by była w stanie odpowiedzieć najlepiej jest nie no nie chcę powiedzieć nie jest to i ja mogę powiedzieć bo to wygląda tak samo że na każdym etapie jest zadanie złamania usa i ta część 2 3 zależności jakby to jest tak od nie wiem bo zawsze i to jest takie trudne i prezentowanie może być tak dużo błędów żeby ludzie popełniają po prostu oczywiście do użycia i szczegółów na przykład może potencjalnie takie które ktoś może mieć taki fizyczne na przykład nie wiem jak to się nazywa takie wyświetlają się te cyferki kodu no to tak dobrze zrobione prezentacja

jest dobra problem jest taki że jest bardzo rzadkie i potem kamerkę na śniadanie tak to to nie jest tak że to jest takie że jest tyle special place użyć trudno używać dobrze bo jak liczba jest pierwsza wygenerować od 13 do danego miesiąca oto okazuje się że 2 bity się wyciągnąć prawdopodobnie

nie to skoro zostałem wywołany do tablicy to jest takie fajne piper tam chyba 30 latach w esa hubble tłumaczenie na polski coś takiego i tam jadą po prostu od początku do końca wszystkich sposobach na jakie się da się złamać ale jak się okazuje się że tak jak powiedział nam liczbę za mało kto śledzi będzie za duża to źle liczba jest podobna do trochę inne liczby też nie da się jednak na to że tych wyjątkowych jest tak duża że już nikt nie wie że faktycznie masz magiczny dobrze ale nigdy nie da się znaleźć takiego sposobu generowania kluczy to samo napisać w działo więc jest jakby samego rodzaju nikt nie używa nie powinien używać bo używałam jest obca symetrii optymalną

temperaturą i miliony innych raperów na tzw bezpieczne i tak no jak my mówimy o celach jak możecie zauważyć jest to że tam jest komentarz to teraz tak wracając do pierwszego pytania podsumowując jajka no to powiem szczerze pierwsze pytanie rodo rodo tak wiesz że

skróty podobny sposób ale jednak kurewsko różne bezpiecznikami którzy przychodzą do tych firm razem z prawnikami jest zajebiście i mają zmierzyć się z tym problemem oto jak to zrobić teraz a tego nakładając dziesiątki wektorów które znajdują się w rozwiązania bezpieczeństwa i bardzo mi się podobało w zeszłym roku pokazanie tematu przez arabskiego na oddechu jaki sposób współpracował z jedną z firm przy pomocy disclosure generalnie to jest kilka elementów i tak powiem tobie domku to zależy powinniśmy powoli kończyć pytanie usa w sumie spięłam całą tę dyskusję bo trochę i od zdjęcia zobaczenie jak się schować i o to jak się okazało się że wprowadzi ulgi także myślę że to było dobre podsumowanie rozmowy żeby nie używać algorytmu usa

jeżeli jest jakiś ostatni naprawdę ostatnie pytanie czy nie mam już czasu jest ostatnie pytanie czy pijemy wieczorem to jest pytanie do jutra nauczyć i ze steama nie ale my i oni mogą nam też być i pić z pizzą fajnie

jak bohater bo tak dalej nie robiąc

nie raz i nie nie jesteś pomaga w firmie nie tak serio serio jeżeli chodzi o ogłoszenia parafialne to po włączeniu trybu to dziękujemy bardzo prelegentami uczestnikom na steamie i nie tylko [Aplauz] i oddajemy głos do studia w warszawie ok aby zakończyć w sumie ten panel ostatni