Segfault.fm

Beschreibung: In dieser Folge sprechen über Web Security und erklären die grundlengenden Angriffe wie beispielsweise Cross-Site Scripting (XSS), Cross-Site-Request Forgery (CSRF), SQL Injection und deren Verteidigungen. Viel Spaß beim Hören! Shownotes: RFC 2616 - Hypertext Transfer Protocol – HTTP/1.1 Segfault.fm Episode 0x0f TLS TITLE Same-origin policy - Web security Paper: How the Web Tangled Itself: Uncovering the History of Client-Side Web (In)Security Segfault.fm Episode 0x05 Android Hardening Segfault.fm Episode 0x11 Authentifizierung Register: Google (finally) adds protection for common Web 2.0 attack CSRF WordPress passwords, explained and cracked

Beschreibung: In dieser Folge sprechen über den Remote Chaos Experience (rc3) und besprechen einige technische Vorträge die uns besonders gut gefallen haben. Viel Spaß beim Hören! Shownotes: Remote Chaos Experience (rc3) Work Adventure Gather Town Twitter: Kernel Panic Mehr als ein Tor zum Darknet: Tor-Exits an Universitäten Segfault.fm Episode 0x04 Tor The Elephant In The Background: Empowering Users Against Browser Fingerprinting Segfault.fm Episode 0x0a Browser Fingerprinting Hacking German Elections OK.VOTE X-XSS-Protection X-Content-Type-Options X-Frame-Options

Beschreibung: Zum Jahresende gibt es eine entspannte Episode Literatur. Wir unterhalten uns über ein paar gut lesbare Romane aus dem Genre Sciene-Fiction, die Elemente der IT-Sicherheit enthalten. Kennt ihr weitere tolle Werke dieses Genres? Meldet euch und viel Spaß beim Hören und Lesen! Shownotes: Snow Crash WP: Neal Stephenson WP: Kevin Mitnick The Nexus Trilogy Ramez Naam Daniel Suarez Daemon WP: Andeas Eschbach Andeas Eschbach: NSA WP: Cory Doctorow Cory Doctorow: The Coming War on General Computation (28c3) Little Brother 1 Homeland Marc Elsberg: Blac

Beschreibung: Authentisierung, Authentifizierung oder Autorisierung? Wir erklären die Unterschiede und besprechen und diskutieren die unterschiedlichen Möglichkeiten sich zu authentisieren. Was sind die Probleme mit Passwörtern und wie speichert man eigentlich Passwörter sicher im Backend? Und was bringen eigentlich diese Hardware-Token? All das erkären wir in dieser Episode. Viel Spaß beim Hören! Shownotes: Ranked: The World’s Top 100 Worst Passwords CrackStation - Online Password Hash Cracking - MD5, SHA1, Linux, Rainbow Tables, etc. Getting Started Cracking Password Hashes With John the Ripper xkcd: Password Strength Pass: The Standard Unix Password Manager KeePass Password Safe Rainbow table - Wikipedia Pepper (crypto

Beschreibung: Nach längerer Abstinez melden wir uns zurück und reden ausführlich über Peer-to-Peer (P2P) Netzwerke und deren Sicherheit. Viel Spaß! Shownotes: Segfault.fm Episode 0x04 Tor Dictionary.com: Peer WP: SETI@home Folding@home Tahoe-LAFS BitTorrent Resilio Sync (formerly BT Sync) Gnutella WP: Napster Gnutella 0.6 RFC WP: No More AOL CDs Adar and Huberman: Free Riding on Gnutella BEP 0003: BitTorrent Protocol Specification TorrentFreak: Torrent Traffic Surpasses Netflix Murder: Fast datacenter code deploys using BitTorren

Beschreibung: Transport Layer Security (TLS) ist das de-facto Standard-Protokoll für Verschlüsselung. In dieser Folge erklären wir wie TLS funktioniert und gehen insbesondere auf die aktuelle Version (TLS 1.3) ein. Viel Spaß beim Hören. Shownotes: Segfault.fm Episode 0x02 Wireguard Segfault.fm Episode 0x04 Tor Everything you should know about certificates and PKI but are too afraid to ask Statistiken von Let’s Encrypt How bad was SSL 1.0? RFC 5246: The Transport Layer Security (TLS) Protocol Version 1.2 OCaml-TLS Demo Server testssl.sh Qualys SSL Server Test TLS Extensions TLS, Pre-Master Secrets and Master Secrets

Beschreibung: Die Pandemie und die Quarantäne zwingt uns dazu über Viren und Würmer nachzudenken. Wir diskutieren diese allerdings auf Computersystemen und geben einen kleinen historischen Überblick über die Thematik. Viel Spaß beim Hören! Shownotes: First Computer Virus Ken Thompson: Reflections on Trusting Trust PoC or GTFO 0x08 WP: Morris Worm WP: Elk Cloner Eugene H Spafford: The internet worm program: an analysis Bob Page: A report on the Internet Worm A dive into the world of MS-DOS viruses WP: Loveletter GitHub: ILOVEYOU Heise: Warnung: ILOVEYOU ist ein E-Mail-Wurm Love Bug’s creator tracked down to repai

Beschreibung: Drucker sind sicher, oder? Wir unterhalten uns über Drucker und inwieweit diese eine Sicherheitsbedrohung darstellen. Viel Spaß beim Hören! Shownotes: Machine Identification Code – Wikipedia List of Printers Which Do or Do Not Display Tracking Dots - Electronic Frontier Foundation EURion Constellation media.ccc.de -Traue keinem Scan, den du nicht selbst gefälscht hast Müller et. al: SoK Exploiting Network Printers Shodan: printer CVE - CVE-2006-0788 Phenoelit HP Hacker briefly hijacks insecure printers - BBC News GitHub - RUB-NDS/PRET: Printer Exploitation Toolkit - The tool that made dumpster diving obsolete. Hacking Printer

Beschreibung: Wir lassen den 36. Chaos Communication Congress (36c3) nochmal etwas Revue passieren und unterhalten uns über Talks die uns gut oder weniger gut gefallen haben. Viel Spaß beim Hören! Shownotes: 36. Chaos Communication Congress (36c3) David Kriesel: BahnMining - Pünktlichkeit ist eine Zier David Kriesel: SpiegelMining – Reverse Engineering von Spiegel-Online David Kriesel: Traue keinem Scan, den du nicht selbst gefälscht hast Linus Neumann: Hirne Hacken Firefox Overlay Plugin Thorsten Schröder and Ulf Buermeyer: Finfisher verklagen LNP325 Besser der Hund bellt einmal zu viel Plundervolt: Flipping Bits from Software without Rowhammer Plundervolt

Beschreibung: Wir sind gemeinsam auf dem 36. Chaos Communication Congress (36c3) im Sendezentrum und diskutieren über Homöopathie in der IT-Sicherheit, sogenanntes Schlangenöl. Leider ist Florians Mikrofon falsch eingestellt, so dass die Hintergrundgeräusch sehr laut sind. Wir hoffen trotzdem, dass ihr viel Spaß beim Hören habt! Shownotes: 36. Chaos Communication Congress (36c3) Sendezentrum auf dem 36c3 YT: NEO MAGAZIN ROYALE mit Jan Böhmermann - Homöopathie wirkt* WP: Schlangenöl Marburger Erklärung zur Homöopathie (1992) WP: Fear, Uncertainty and Doubt (FUD) Heise.de: Placebo forte! Was wirklich hinter SoftRAM 95 steckt Heise.de: Google entschädigt Käufer von nutzlosem Virenscanner Alternati

Beschreibung: In dieser Folge diskutieren wir das Problem von Browser Fingerprinting und erörtern die verschiedenen Techniken, die es mittlerweile gibt um einen eindeutigen Fingerabdruck eines Browser zu erstellen. Am Ende diskutieren wir über Verteidigungsmöglichkeiten und geben einen Ausblick wie es weiter gehen könnte. Shownotes: YT: Former Google CEO Eric Schmidt on Privacy WP: HTTP Cookies Facebook: Like Buttons Heise: 2-Klicks für mehr Datenschutz Firefox Multi-Account Containers Cookie number statistics Die Umsetzung der EU-Cookie-Richtlinie in Deutschland Paper: Browser Fingerprinting: A survey Laperdrix et al.: Beauty and the Beast: Diverting modern web browsers to build unique browser

Beschreibung: In dieser Folge geben wir ein kurzes Update zu dem Bereich Mobile Security. Wir reden über die neuen Exploit-Preise, Schwachstellen in Signal und Android und über Checkm8. Shownotes: Segfault.fm Episode 0x06 Android Hardening Twitter: Zerodium Announcement Zerodium Changelog / Sep 3rd, 2019 Arstechnica: A glut of iOS 0-days pushes their price below cost of those for Android Google Android Rewards Techcrunch: Apple expands its bug bounty, increases maximum payout to $1M Signal App Threema App Noise Protocol Framework The X3DH Key Agreement Protocol Off-the-Record (OTR) Messaging Moxie Marlinspike

Beschreibung: In dieser Folge sprechen wir über die Sicherheit von Autoschlüsseln. Die Folge beginnt bei den physischen Schlüsseln, dann werden Remote-Schlüssel mit Knopf diskutiert. Es folgt eine Diskussion über die Sicherheit von Passive Keyless Entry and Start (PKES) Systemen und schließlich werden komplette Online-Lösungen angerissen. Shownotes: Tesla-Hack: der Blogartikel The Evolution Of BMW Keys A Key You Can Photograph Is A Key That Can Be Copied WP: Wegfahrsperre Die Wegfahrsperre: Schutz vor Autodieben The Engine Immobiliser: A Non starter for Car Thieves Arstechnica: Researchers reveal electronic car lock hack after 2-year injunction by Volkswagen Usenix Paper: Dismantling Megamos Crypto: Wirelessly Lockpicki

Beschreibung: Diese Episode handelt von Memory-Corruption Schwachstellen. Die letzte Whatsapp-Schwachstelle zeigte wieder eindrucksvoll dass Memory-Corruption Schwachstellen lange nicht der Vergangenheit angehören. In dieser Folge möchten wir über stack-based Buffer Overflows sprechen. Shownotes: Segfault.fm Episode 0x06 Android Hardening CVE-2019-3568 arstechnica: WhatsApp vulnerability exploited to infect phones with Israeli spyware osxdaily:Serious FaceTime Bug Allows Eavesdropping of Microphone on iPhone & Mac NSO Group CitizenLab Memory Corruption Attacks: The almost complete history WP: Morris Worm Aleph One: Smashing the stack for fun and profit WP: Virtua

Beschreibung: Diese Episode handelt von der Sicherheit mobiler Plattformen. Wir reisen anfangs kurz durch verschiedene Betriebssysteme und Exploitpreise bis wir uns dem Hauptthema dieser Folge widmen: Android Security und Hardening. Es geht um Sicherheitsfeatures der Plattform, der Telefone und zu einem großen Teil um einen ehemaligen (CopperheadOS) und aktuellen (GrapheneOS) Umbau von Android mit Fokus auf Security und Privacy. Shownotes: Sailfish OS Jollaphone WP: Firefox OS Piratebay Cryptomining Cyanogenmod/LineageOS Librem von PureOS Matrix Messenger Server gehacked Android App Support in QubesOS eelo - mobile OS and web services Navigation: Nokia Here We Go

Beschreibung: In dieser Folge sprechen über den 35. Chaos Communication Congress (35c3) und besprechen einige technische Vorträge die uns besonders gut gefallen haben. Shownotes: Segfault.fm Episode 0x04 Tor Privacy-Handbuch: Tor Bad Exit Nodes Winter P. et al. (2014) Spoiled Onions: Exposing Malicious Tor Exit Relays. In: De Cristofaro E., Murdoch S.J. (eds) Privacy Enhancing Technologies. PETS 2014. Lecture Notes in Computer Science, vol 8555. Springer, Cham Metadata Investigation : Inside Hacking Team WP: Hacking Team Motherboard: Hacking Team Hacker Phineas Fisher Has Gotten Away With It WikiLeaks: Hacking Team 33c3: David Kriesel: SpiegelMining – Reverse Engineering von Spiegel-Online WP:

Beschreibung: In dieser Folge sprechen wir über Anonymität, Zensur, Zensurumgehung und letztendlich über Tor. Anfangs weniger technisch, später mehr. Viel Spaß! Shownotes: The Tor Project Reporter’s meta data EFF: Why meta data matters Reporters without borders: Enemies of the internet Open Observatory of Network Interference: OONI WP: Hawthorne Effekt WP: Chilling Effekt WP: Tor I2P I2P Garlic Routing Tor Browser Bundle Download Tails Whonix Tor Metrics Harvard Bombendrohung BS:Darkweb-Eisberg!!11

Beschreibung: In dieser Folge unterhalten wir uns über Florians Vortrag auf der Hack.lu 2018. In seinem Vortrag zeigt er einige Schwachstellen von sogenannten Serial Devicer Servers und erzählt wo diese Geräte überall eingesetzt werden. Shownotes: Segfault.fm Episode 0x01 ACM WiSec Homepage der Hack.lu 2018 CIRL.lu: Computer Incident Response Center Luxembourg WP: Capture the Flag CTF Time Serial-Killer: Security Analysis of Industrial Serial Device Servers Slides (PDF) Aufzeichnung des Talks von der Hack.lu WP: RS-232 WP: RS-422 WP: RS-485 Digi - Tank Monitoring Products Lantronix ED

Beschreibung: In dieser Folge unterhalten wir uns über Wireguard, ein neues VPN-Protokoll das von Jason A. Donenfeld designt und entwickelt wurde. Auch wenn wir versuchen objektiv über das VPN-Protokoll zu sprechen, können wir unsere Begeisterung schwer verbergen. Ein komplettes VPN-Protokoll in weniger als 4000 Zeilen Code und basierend auf moderner Kryptografie. Zusätzlich ist Wireguard so aufgebaut, dass keine dynamischen Speicherallozierung notwendig ist und auch kein Parsing. Shownotes: Homepage von Wireguard Whitepaper von Wireguard WP: Virtual Private Network Linus Torvalds über Wireguard auf der LKML Paper: A Cryptographic Evaluation of IPsec von Ferguson & Schneier Schneier on Security WP: Niels Ferguson Sl

Beschreibung: In dieser Folge erzählt Florian etwas über seinen Aufenthalt auf der ACM WiSec Konferenz in Schweden. Florian und Daniel nehmen sich drei interessante Paper vor und fassen den Inhalt zusammen. Shownotes: ACM WiSec 2018 Computer Security Conference Ranking and Statistic Paper: Passwords in the Air Paper: Automated Binary Analysis on iOS Paper: Opinion: Security Lifetime Labels