Michał Leszczyński

Logowanie do #KSeF z poziomu Pythona przez klucz zgodny z PKCS#11, np. podpis/pieczęć kwalifikowaną w formie karty, tokena USB albo HSMa. Umożliwia też hostowanie kluczy od certyfikatów wydanych przez KSeF w HSMie, albo kluczem na dysku w formacie PEM. github.com/icedevml/pyksef

Twój pociąg odjeżdża o 21:36. A nie, o 22:35. Nie nie, jednak o 20:36. Każde odświeżenie strony daje nowy wynik, a żaden z nich nie jest prawidłowy. Koszmarny sen? Nie, tak naprawdę działa oficjalny rozkład jazdy PKP. Szczegóły: zaufanatrzeciastrona.pl/post/kto-i-dla… Komedia, prawda?

@SlawomirMentzen Spoko, dzieci i tak mają bardzo małe szanse na udowodnienie, że ktoś się nad nimi znęcał. Dodajmy do tego furtkę "lekkiego, dozwolonego znęcania", aby chronić patusów. Psychiatria dziecięca w PL i tak leży i kwiczy. Nie chciałbyś czuć tego, co czuje dziecko popełniające samobója.

Serdecznie pozdrawiam ludzi święcie przekonanych, że danie klapsa dziecku powinno być zakazane, a zabijanie dzieci powinno być legalne.

@sudara @sudara Sorry for late reply, I'm not checking Twitter regularly. I belive the question is already answered here #comment-5508" target="_blank" rel="nofollow noopener">melatonin.dev/blog/how-to-co…

Also, the link you provided shows level 2 certification for Key Vault, so I'm a bit confused about the concerns. Seems like the CA must be allowlisting Azure, as it's one of their main products?

@icedevml Thanks for the comment on the blog re: Windows code signing. I spoke with GlobalSign on the phone when they first announced the changes re: attestation and they assured me no additional action was required for Azure Key Vault.

Confirmed: Me and @BonusPlay3 will provide a presentation about the #DRAKVUF project. See you in Cracow!

@RobertKosla @CERT_Polska Komunikat CERTu jest skierowany nie do deweloperów, a do użytkowników końcowych, którzy w wielu miejscach nadal muszą tych haseł używać. Chociażby w bankowości. W jednym z polskich banków hasło musi mieć 8 CYFR. W żadnym nie da się użyć np. YubiKeya.

@CERT_Polska Generalnie zamiast promować "najlepsze praktyki dotyczące haseł" należy promować odchodzenie od polegania na hasłach - paswordless, który jest ujęty w modelu Zero Trust, wspieranym obecnie przez znaczących dostawców - maj 2021 - cisa.gov/executive-orde…

Właśnie opublikowaliśmy obszerny zestaw materiałów omawiający najlepsze praktyki dotyczące haseł. Zawierają one zarówno polityki haseł jak i rekomendacje techniczne, przydatne dla administratorów i projektantów systemów. Zachęcamy do lektury i stosowania: cert.pl/hasla/

Uwaga‼️Ostrzegamy przed nową kampanią phishingową, w której przestępcy podszywając się pod bank pod pretekstem reakcji na próbę oszustwa rozsyłają SMS-y z linkiem do fałszywego panelu bankowości internetowej. Podanie w nim danych doprowadzi do kradzieży pieniędzy. Podajcie dalej!

@Zaufana3Strona Odnoszę się wyłącznie do komentarza krytykującego responsible disclosure ogólnie jako proces zgłaszania.

@icedevml Ktoś pisał na tłiterku że zgłaszał w październiku...

2016: uwaga na JNDI injection! 2021: ups, no faktycznie.

@PayloadPl @Zaufana3Strona No ta, po co najpierw zgłosić producentowi i dać czas na przygotowanie poprawki, jak można po prostu opublikować exploity i niech losowi ludzie zhakują pół internetu. Tylko ten... może się okazać że Twoje usługi też są podatne, a łatki nie ma i nie masz jak się obronić.

@Zaufana3Strona Takich "ficzerów" są w obiegu jeszcze dziesiątki - tzn. takich, które już ktoś gdzieś kiedyś zauważył i opisał. Niestety opisał w na tyle hermetyczny sposób, albo stosując - tfu! - "responsible disclosure", że nikt ofensywny do tego nie dotarł, w każdym razie nie na masową skalę.

@secman_pl @Lukasz_Olejnik1 @kamiljdudek @CERT_Polska Te argumenty padły już kilka razy. Obstawiam że pan Łukasz pracuje w dużej firmie produkcyjnej, albo coś w tym kierunku. Zarządzanie taką firmą nijak nie przekłada się na zarządzanie zaawansowanym zespołem ITSEC. Podaż ekspertów jest niska, popyt ogromny. Choćby dlatego.

@Lukasz_Olejnik1 @icedevml @kamiljdudek @CERT_Polska ..chciała pracować w miejscu tak sterowanym politycznie. Jeśli to miałoby doprowadzić do dalszego odpływy pracowników to TAK - może to obniżyć poziom bezpieczeństwa w kraju. I żadne procedury to nic nie zmienią. (2/2)

Pracownicy CERT Polska wystosowali list otwarty w sprawie ostatnich doniesień medialnych dotyczących kierownika zespołu CERT Polska, Przemysława Jaroszewskiego. Treść listu znajduje się pod poniższym adresem: cert.pl/posts/2021/11/…

Świetny artykuł o kryzysie w CERT Polska, potwierdzający nasze ustalenia i dodający kolejne - minister Cieszyński nie chciał Przemka zwolnić, dostał takie polecenie. Ciekawe, kto jest takim małym człowieczkiem, że tak bolą go komentarze w internecie. tvn24.pl/polska/cert-po…

@secman_pl @Lukasz_Olejnik1 @kamiljdudek @CERT_Polska Mówienie w tej sytuacji o procedurach to spłycanie tematu i (mam wrażenie) celowe ignorowanie faktu że zaangażowane jednostki są tylko ludźmi, którym towarzyszą różnego rodzaju emocje. Nie ważne jak bardzo będzie się zaklinać rzeczywistość. Dalsza polemika nie ma sensu.

@Lukasz_Olejnik1 @kamiljdudek @icedevml @CERT_Polska To co zostalo napisane w liscie moze byc realne. Jesli ktos chce mieszac swiatopoglady polityczne do obszarow eksperckich, to takie dzialania moga grozic nie zwolnieniem jednej osoby, a masowym odplywem zniecheconych taka sytuacja pozostalych czlonkow zespolu. (2/2)

@Lukasz_Olejnik1 @CERT_Polska Realizowane tam działania to misja dla cyberbezpieczeństwa Polski, a nie wykręcanie słupków sprzedażowych w korporacji. To generuje różnego rodzaju emocje i przywiązanie. Mam dużo wiary w tę organizację, mimo że w niej już nie jestem. Wspieram kolegów. No szaleństwo normalnie.

@Lukasz_Olejnik1 @CERT_Polska Ale jaki sens ma takie gdybanie? Decyzja została poniekąd narzucona, jawnego i merytorycznego uzasadnienia wciąż brak. Tu nie ma znaczenia jakie perspektywy zawodowe miał PJ ani kim jest zastępca. Przykładasz inną, hipotetyczną sytuację do prawdziwego listu.

@Lukasz_Olejnik1 @CERT_Polska Jest zastępca i to on obecnie zarządza. Ale rzeczy takich jak morale personelu nie zbackupujesz. Życie to nie Kubernetes :P

@maldr0id @MichalKoczwara @kam__go @jciesz @Zaufana3Strona Byłem 3.5 roku w CERT Polska, odszedłem 4 dni temu. Obecnie to inkubator talentów w polskim IT Security, idealne miejsce żeby się rozwijać, realizować tematy badawcze i wykonywać nieszablonową pracę, która pomimo rosnącego stażu cały czas zaskakuje tak samo. Oby tak pozostało.

@MichalKoczwara @kam__go @jciesz @icedevml @Zaufana3Strona Bo w CERT Polska jest fajnie: są ciekawi ludzie, od których można się dużo nauczyć i są wyzwania, które są unikalne w Polsce. Przynajmniej tak było za moich czasów i wątpię, żeby to się zmieniło. Nie wszystkim zależy tylko na jak najwyższej pensji.

Wolałbym nie musieć pisać takich artykułów, ale czasem niestety trzeba. Źle się dzieje w CERT Polska, czyli zabawy polityków w cyber zaufanatrzeciastrona.pl/post/zle-sie-d… /Adam