Segfault.fm

Beschreibung: Summary durch AI generiert: In dieser Episode von Sackford FM wird die Entdeckung einer potenziell schwerwiegenden Backdoor in der XZ-Kompressionssoftware diskutiert. Der Microsoft-Ingenieur Andres Freund identifizierte die Backdoor durch ungewöhnliche CPU-Auslastung von OpenSSH. Es wird betont, dass solche Sicherheitsprobleme in der Open-Source-Welt schnell angegangen werden müssen, um Katastrophen zu verhindern. Technische Details der Backdoor, wie ihre Aktivierung und Tarnung als Unit-Tests, werden ausführlich behandelt. Die Diskussion endet mit Überlegungen zu potenziellen Lösungsansätzen in der Open-Source-Community, um von einzelnen Maintainern abhängige Sicherheitsrisiken zu minimieren. Shownotes: Andres Freund initial e-mail Timeline of the xz open source attack The xz attack shell script ArchLinux: The xz pa

Beschreibung: Summary durch AI generiert: In der 40. Folge von Segfault FM diskutieren wir Sicherheitsprobleme von Druckern, potenzielle Sicherheitslücken und den Angriff auf Microsoft. Wir sprechen auch über Ransomware, die Verwendung von Google, Slack und Zoom in deutschen Unternehmen sowie Erfahrungen auf dem 37c3. Abschließend verabschieden wir uns und freuen uns auf ein Wiedersehen im Februar. Viel Spaß beim Hören! Shownotes: Daniel Stenberg’s Blog - The I in LLM Stands for Intelligence HackerOne Report 2298307 Usenix Security Symposium - PrivateDrop: Practical Privacy-Preserving Authentication for Apple AirDrop Heise Online - Warum ein Sicherheitsforscher im Fall Modern Solution verurteilt wurde Action Intelligence - HP Bug Bounty Program Finds Reprogrammable Chips Open Printers to Malware

Beschreibung: Diesen Monat aus Gründen der Qualitätssicherung ohne AI Summary. Es gibt Updates zu VPN-Sperren, dem Okta Incident, Signal, Tetra und dem Hackerparagraphen. Weiterhin diskutieren wir Schwachstellen bei Fingerabdruckscannern und Windows Hello, Intel Prozessoren, das polnische Dieselgate on Trains und LogoFail. Viel Spaß beim Hören! Shownotes: Russland sperrt 167 VPN- und über 200 E-Mail-Dienste No, Okta, senior management, not an errant employee, caused you to get hacked Reptar Podcast Stay Forever: Der Pentium Prozessor Etsi will Tetra-Verschlüsselung offenlegen Microsoft’s Windows Hello fingerprint authentication has been bypassed Trusted by Millions, Yet So Wrong - Password Strength Tools https://community

Beschreibung: Neu! Summary durch AI generiert: In dieser Episode diskutieren wir verschiedene Themen. Wir sprechen über die Web-Integrität von Google und die Möglichkeit, dass ähnliche Mechanismen auch auf andere Webseiten angewendet werden könnten. Wir diskutieren die Sicherheitsstrategie der US-Regierung nach dem Angriff auf die Azure Cloud und die Vor- und Nachteile der Nutzung von Cloud-Services. Des Weiteren sprechen wir über Common Vulnerabilities and Exposures (CVEs) und die Probleme bei der Sicherheitsbewertung von Schwachstellen. Wir diskutieren den YouTuber Leeroy und den Angriff auf den Jabber.ru-Server. Anschließend tauschen wir unsere Gedanken über Hacking-Operationen von Geheimdiensten aus und diskutieren moderne Side-Channel-Angriffe auf CPUs und Hardware. In einer weiteren Diskussion geht es um ein kontroverses Video, das von verschiedenen Plattformen gelöscht wurde, und um einen Vorfall bei Okta, einem Unternehmen für Identitätsmanagement. Zum Abschluss diskutieren

Beschreibung: Die Juni-Episode! Diesmal mit wenigen Themen, die dafür aber sehr problematisch sind: AMD kaputt, Microsoft kaputt, Cloud's single point of failure, also schon immer kaputt. Immerhin berichtet Florian von der erfolgreichen PETs Konferenz. Viel Spaß beim Zuhören! Shownotes: Tavis Ormandy: Zenbleed How Cloudflare is staying ahead of the AMD vulnerability known as Zenbleed PETS 2023 A Worldwide View of Nation-state Internet Censorship The Use of Push Notification in Censorship Circumvention Everybody’s Looking for SSOmething: Understanding Person Identification Through Gait Examining the Hydra: Simultaneously Shared Links in Tor and the Effects on its Performance Proteus: Progra

Beschreibung: Die Episode zum letzten Quartal! Diesmal mit ein paar Updates zu vorherigen Themen, .zip Domains, ChatGPT, leakenden Power LEDs und Fingerabdruckscannern. Viel Spaß beim Hören! Shownotes: Web fingerprinting is worse than I thought - Bitestring’s Blog The Dangers of Googles zip TLD Even Google warns its own Hackers can steal cryptographic keys by video-recording power LEDs New Type of Attack: BrutePrint Can Breach Your Smartphone’s Fingerprint Security Belgium legalises ethical hacking: a threat or an opportunity for cybersecurity? - CITIP blog Dangers of Google’s zip TLD Potentially millions of Android TVs and phones come with malware preinstalled - Ars Technica SupplyChainAttacks

Beschreibung: Die Folge zu Januar und Februar! Diesmal mit ein paar Updates zu vorherigen Themen, Android, Autos und Telefonbanking. Schwachstellen, Schwachstellen und Schwachstellen. Viel Spaß beim Hören! Shownotes: Three Lessons from Threema Paper: Three Lessons from Threema John Deere erlaubt Reparaturen nach Hacks FOSDEM 2023 - Matrix 2.0 Tor is slow right now. Here is what is happening. - The Tor Project NSA: Software Memory Safety Bjarne Stroustrup reagiert auf NSA A call to action: Think seriously about safety Google Online Security Blog: Hardening Firmware Across the Android Ecosystem Spreading Malware via Google Ads grawity: ‘PuTT

Beschreibung: Die Folge zu Dezember! Es gab Lastpass, Antiviren, viel Telefonkram, Smart Home Speaker und vieles mehr. Viel Spaß beim Hören! Shownotes: Google Online Security Blog: Memory Safe Languages in Android 13 100 - apvi - Android Partner Vulnerability Initiative - Monorail Neues Kommunikationsprotokoll Ibex und erweiterte Protokoll-Suite – Threema emerson: ‘What happens to your smartphone when it gets stol…’ - Hachyderm.io TITLE AntiVirus and EDR Solutions tricked into acting as data wipers Gmail introduces end-to-end encryption Telefonat von Baerbock offenbar für Betrug genutzt Looking Back at Our Bug Bounty Program in 2022 - Meta LastPass users: Your info a

Beschreibung: Wegen Umzug kam Ende Oktober keine Folge. Wir behandeln heute Oktober und November. Es gab Microsoft, Twitter, OpenSSL, den Pixel phone lock screen bypass, Tailscale und vieles mehr. Viel Spaß beim Hören! Shownotes: Domain fronting to be blocked on Azure AWS keys on PyPi for over a year “Invalid Username or Password”: a useless security measure - Kevin Burke Elon Musk Says Twitter Will Add Video and Voice Call, Encrypted DMs CVE-2022-41924 - RCE in Tailscale, DNS Rebinding, and You Russian 0day thirst traps 0XDEAD ZEPPELIN Hijacking AUR Packages by Searching for Expired Domains - Blog by Joren Vrancken urlscan.io’s SOAR spot: Chatty security tools leaking private data - Positive S

Beschreibung: Das ist unsere dritte Monthly Episode. Wir reden über allerlei Nachrichten mit Bezug zu IT-Sicherheit. Und unseren neuen Namen. Viel Spaß beim Hören! Shownotes: Segfault.fm Episode 0x1b Netzsperren Segfault.fm Episode 0x03 Serial Killer Segfault.fm Episode 0x11 Authentifizierung The (hardware) key to making phishing defense seamless with Cloudflare Zero Trust and Yubico Solved: Intel SGX deprecated in 11th Gen processors. - Intel Communities Iran’s Internet Shutdown Hides a Deadly Crackdown - WIRED Iran blocks capital’s internet access as Amini protests grow - Iran - The Guardian Bootloader-Signaturen per Update zurückgezogen: Microsoft bootet Linux aus - heise online tarfile inse

Beschreibung: Das ist unsere zweite Monthly Episode. Wir reden über allerlei Nachrichten mit Bezug zu IT-Sicherheit. Viel Spaß beim Hören! Shownotes: How Threat Actors Are Adapting to a Post-Macro World - Proofpoint US Post-Quantum-Kryptografie: Kandidat SIKE mit Laptop geknackt - heise online Russischer Provider kapert Apple-Adressraum - heise online Experiment with post-quantum cryptography today Pwnie Awards 2022: Böse Jungs und Shutdown einer Antiterror-Operation - heise online Process injection: breaking all macOS security layers with a single vulnerability · Sector 7 How I Hacked my Car The Cisco Hack - Tracking the Attack Through your Logs Rekord-Angriff mit DDoS auf Layer 7 scheitert an

Beschreibung: Das ist unsere erste Monthly Episode. Wir reden über allerlei Nachrichten mit Bezug zu IT-Sicherheit. Viel Spaß beim Hören! Shownotes: Twitter: Kenneth Paterson Boringssl LibreSSL Paper: Evaluating Snowflake as an Indistinguishable Censorship Circumvention Tool All Tor Metrics graphs for a country on one page Wired: How Tor Is Fighting—and Beating—Russian Censorship GitHub - Robbbbbbbbb/tesla-chargeport Nerds Are Trolling Tesla Owners by Wirelessly Opening Charging Ports Sicherheitslücken in GPS-Tracker von MiCODUS können Menschenleben gefährden Twitter: Maxim Goryachy Security and Privacy Advice - Madaidan’s Insecurities

Beschreibung: In dieser meta Episode geben wir ein kleines Update zur Zukunft des Podcasts. Wir planen eine Formatänderung. Wir hören uns im Juli wieder! Shownotes:

Beschreibung: In dieser Folge unterhalten wir uns über Zensur und Netzsperren. Wir diskutieren die technischen Möglichkeiten zur Sperrung, Messung und Umgehung. Besonderer Fokus liegt auf den Methoden, die in Russland und China verwendet werden. Viel Spaß beim Hören! Shownotes: Verbrannte und verfemte Bücher WP: Zensur (Informationskontrolle) Grundgesetz Art. 5 WP: Sperrungen von Internetinhalten in Deutschland XS4ALL Netzpolitik: Zensursula Reporter ohne Grenzen: Feinde des Internets Xue et al.: Throttling Twitter: An Emerging Censorship Technique in Russia OONI Research Report: New blocks emerge in Russia amid war in Ukraine OONI Research Reports

Beschreibung: In dieser Folge unterhalten wir uns über Netzwerksicherheit. Zuerst erörtern wir kurz die Grundlagen von Netzwerken und dann gehen wir auf verschiedene Angriffsszenarien ein und diskutieren auch über die Verteidigungsmöglichkeiten. Viel Spaß beim Hören! Shownotes: The Creepy, Long-Standing Practice of Undersea Cable Tapping Introduction to RAW-sockets (pdf) Scapy WinPcap Port-Scanner: Nmap Segfault.fm Episode 0x0f TLS RFC 2827 (BCP 38) Segfault.fm Episode 0x03 Serial Killer Misbehaving TCP Receivers Can Cause Internet-Wide Congestion Collapse (2005) Security Analysis of the Micro Transport Protocol with a Misbehaving Receiver

Beschreibung: Es gab zum Jahresende wieder einen remote Congress. Wir haben ein paar schöne Talks gesehen und lassen euch ein paar Empfehlungen da. Viel Spaß! Shownotes: media.ccc.de - The Tor Project - State of the Onion media.ccc.de - Towards a more Trustworthy Tor Network Relive: Matrix … was geht? – rC3 NOWHERE Streaming media.ccc.de - The card10 badge: Two years of evolution GitHub - jivoi/awesome-osint: A curated list of amazingly awesome OSINT Relive: OSINT: Ich weiß wo dein Haus wohnt media.ccc.de - Math for hackers media.ccc.de - Catching NSO Group’s Pegasus spyware About Apple threat notifications and protecting against state-sponsored attacks media.ccc.de

Beschreibung: Wir schließen uns dem Mainstream an und reden über Apache Log4Shell. Wir erklären die technischen Details und was zum aktuellen Zeitpunkt bekannt ist. Viel Spaß beim Hören! Shownotes: Apache Log4j Security Vulnerabilities BSI: Kritische Schwachstelle in log4j veröffentlicht CVE-2021-44228 (CVSS 10.0) CVE-2021-45105 (CVSS 7.5) CVE-2021-45046 (CVSS 9.0) CVE-2021-4104 (CVSS 8.1) Segfault.fm Episode 0x07 Memory Corruption 1 JNDI Lookup plugin support Zero-Day Exploit Targeting Popular Java Library Log4j Verwundbarer Docker-Container Log4Shell log4j vulnerability - cheat-sheet reference guide YT: A Jour

Beschreibung: E-Mail ist über 50 Jahre alt und ist immer das Medium der Wahl wenn es um die digitale Kommunikation geht. In dieser Folge unterhalten wir uns über E-Mail Security, welche Angriffe es gibt und wie man es sicherer machen kann. Shownotes: Email is not dead. But email IS changing. WP: S/MIME WP: OpenPGP Inline PGP in E-mail is bad, Mm’kay? Mozilla: SSL Configuration Generator Paper: 27 Years and 81 Million Opportunities Later Paper: Why Johnny Can’t Encrypt: A Usability Evaluation of PGP 5.0 Studie: Warum Emails heute immer noch so unsicher sind Golem: Ärger für die PGP-Keyserver EFAIL NO STARTTLS Her

Beschreibung: Domain Name System (DNS) ist schon über 30 Jahre alt und bildet das Rückgrat des Internets. In dieser Folge unterhalten wir uns über die Sicherheit von DNS, welche Angriffe es auf DNS gibt und wie man es sicherer machen kann. Shownotes: Pi-hole: Network-wide Ad Blocking DNS over HTTPS and DNS over TLS - Guides - Mullvad VPN Improving DNS Privacy with Oblivious DoH in 1.1.1.1 BCP38 Oblivious DNS over HTTPS (ODoH): A Practical Privacy Enhancement to DNS Oblivious DNS Over HTTPS ODNS: Oblivious DNS Hybrid Public Key Encryption GitHub: cloudflare/odoh-client-rs GitHub: cloudflare/odoh-client-go Reflections on reflection (attacks)

Beschreibung: Threema? Whatsapp? Signal? Matrix? Telegram? Keybase? Was ist sicher? In dieser Folge sprechen wir über Crypto-Messenger. Viel Spaß beim Hören! Shownotes: Phil Zimmermann - Wikipedia Clipper chip - Wikipedia Digital Communications Protocols - Google Tabellen Clients - Matrix.org End-to-End Encryption implementation guide - Matrix.org LNP399 Darknet für die Hosentasche - Logbuch:Netzpolitik End-to-End Encryption, Secret Chats Threema: Cryptography Whitepaper Hagen et. al.: All the Numbers are US: Large-scale Abuse ofContact Discovery in Mobile Messengers Why AES-GCM Sucks – Dhole Moments Tchap: Frankreichs (nicht so) exklusive