0d014 – 2-Faktor-Authentifizierung & EXIF-Daten

Zusammenfassung

Heute beginnt die Sendung wie immer mit der Hausmeisterei, in der Stefan von seinem Verlust eines Passwortes berichtet, Sven Neuigkeiten zum BeA vorträgt und Stefan sich währenddessen kurz bei T-Systems entschuldigt, weil Sie nicht ganz verkackt hatten, sondern nur ein bisschen.

Direkt nach den News wird auch schon mit dem Ersten Thema begonnen welches sich dieses mal um die 2 Faktor Authentifizierung dreht und direkt danach geht es auch schon mit dem Thema EXIF weiter in dem Stefan mal einen kurzen Einblick in die Welt der heutigen Metadaten von Fotos gibt.

Zum Abschluss gibt es dann noch zwei News-Meldungen, welche aufgrund Ihres Humoristischen Karakters in die Spass-Abteilung verlegt wurden.

Irgendwo mitten drin bekommt Stefan auch ein Geschenk überreicht, welches bei ihm sehr sehr sehr großer Freude auslöste und ihn ganze 30 Sekunden ruhig stellte.

Disclaimer

In diesem Podcast werden Techniken oder Hardware vorgestellt, die geeignet sind, externe Geräte anzugreifen. Dies geschieht ausschließlich zu Bildungszwecken, denn nur, wenn man die Angriffstechniken kennt, kann man sich effektiv davor schützen. Denkt immer daran, diese Techniken oder Hardware nur bei Geräten anzuwenden, deren Eigner oder Nutzer das erlaubt haben.Der unerlaubte Zugriff auf fremde Infrastruktur ist strafbar (In Deutschland §202a, §202b, §202c StGB).

Hausmeisterei

Have I been pwned; HaveIBeenPwnedPasswords, @Botmon bei Twitter, BeA – Podcast Empfehlung LNP242 Make §§§ fast mit Markus Drenger vom CCC Darmstadt fyyd.de Kuration, 139 Malware samples found trying to exploit Spectre or Meltdown., 04.02.2018: Malware using Meltdown and Spectre attacks under develoment – Windows Defender quarantines PoC tools, Paper zum Trog der Tropft, WPScan Vulnerability Database, 08.02.2018: WordPress users – do an update now, and do it by hand!

Datenverluste des Monats

07.02.2018: 2017 was extraordinary: 5,200 breaches exposed 7.8 billion records

News

30.01.2018: Tor-to-Web Proxy Caught Replacing Bitcoin Addresses on Ransomware Payment Sites

13.02.2018: JavaScript Cryptomining Scripts Discovered in 19 Google Play Apps

13.02.2018: Millionen Android-Geräte als Krypto-Mineure missbraucht

13.02.2018: Telegram 0-Day Used to Spread Monero and Zcash Mining Malware

26.01.2018     Now even YouTube serves ads with CPU-draining cryptocurrency miners

re:publica 2016 – Thorsten Schröder & Frank Rieger: Ad-Wars

Was war euer Geschäftsbereich?

30.01.2018    Cisco: Sicherheitslücke mit Höchstwertung bedroht Appliances und Firewalls

31.01.2018    Cisco Aggregation Services Router 9000 Series IPv6 Fragment Header Denial of Service Vulnerability

10.02.2018    That mega-vulnerability Cisco dropped is now under exploit

CISCO CVEs bei cvedetails.com

Office-Anwendungen. Sie sind unsere Rettung

07.02.2018    Der Erpressungstrojaner-Schutz von Windows 10 hat eine riesige Lücke: Office-Apps

Hast du in der Schule nicht aufgepasst?

02.02.2018    Zero-Day in Flash wird ausgenutzt

Privatsphäre, wo wir hin gehen…

08.02.2018    Reporter ohne Grenzen warnt eindringlich vor Apples iCloud in China

31.01.2018    Preventing data leaks by stripping path information in HTTP Referrers

2dogs1hat, Ein Haus mit der Maus

15.02.2018: Jetzt mitmachen: Wir knacken die Schufa

Superlux HMC 660 bei Sendegate

Thema 1: 2-Faktor Authentifizierung (2FA)

0d003: Passwörter und -Manager, Wikipedia: 2FA, One Time Password (OTP) , Yubikey, Yubico, Stefans neuer Yubikey, SMS, SS7, Google Authenticator (Android, iPhone), Authy, Private-Key-Infrastructure (PKI), SecureID, 0d006: Biometrie

Thema 2: Spion wider willen – Exchangeable Image File Format

Spion wider willen(IMDB), EXIF (Wikipedia), Metadaten (Wikipedia), JPEG File Interchange Format (Wikipedia), TIFF – Tagged Image File Format (Wikipedia), Geotagging (Fotografie)(Wikipedia), EXIF-Viewer im Heise Katalog, Exif Viewer für das iPhone,Ich sehe was, was du nicht siehst: Metadaten in Fotos (Artikel von 11/2015), IrfanView, Malware Hidden Inside JPG EXIF Headers

Fun and other Thinks

Aufgenommen am: 15.02.2018
Veröffentlicht am: 16.02.2018
Intro & Outro Chiptune: Pumped by ROCCOW

11 Gedanken zu „0d014 – 2-Faktor-Authentifizierung & EXIF-Daten

  1. Maddin

    Moin Boyz,

    ihr könnte steuern was euer WordPress automatisch updaten soll und was nicht.
    Also minor /major (kleinere oder größere) Updates, Übersetzungen, Plugins ,Themes etc.

    Dafür müsst ihr nur folgenden Code in die funktions.php von eurem Theme (besser Child Theme) hacken.
    Am Ende das das true / false so editieren wie man es gerne hätte 😉

    add_filter( ‚automatic_updater_disabled‘, ‚__return_false‘ );
    add_filter( ‚allow_dev_auto_core_updates‘, ‚__return_true‘ );
    add_filter( ‚allow_minor_auto_core_updates‘, ‚__return_true‘ );
    add_filter( ‚allow_major_auto_core_updates‘, ‚__return_true‘ );
    add_filter( ‚auto_update_plugin‘, ‚__return_true‘ );
    add_filter( ‚auto_update_theme‘, ‚__return_true‘ );
    add_filter( ‚auto_update_translation‘, ‚__return_true‘ );

    LG

    Maddin (2D1H)

    Antworten
    1. Maddin

      Hallo Sven,

      die Änderungen gehen dabei sehr wahrscheinlich verloren. Darum habe ich mir ein Child Theme erstellt das mittels diverser Befehle erst mal alle Ressourcen vom Hauptthema übernimmt und dem dann die Änderungen nachträglich zuführt.

      Offizielle Details zu Child Themes unter diesem äußerst vertrauenswürdigem Link.
      https://codex.wordpress.org/Child_Themes

      LG

      Maddin (2D1H)

      Antworten
    1. Sven Hauptmann Beitragsautor

      Ja, weil das H6 wahlweise 12/24/48V Phantomspeisung kann. Die meisten geben allerdings nur 48V oder nichts aus. Und das HMC-660C klingt mit 24V deutlich besser als mit 48V. Wir haben die Widerstände dann in eine XLR-Verlängerungskabel gelötet, weil das nach Jahren das erste Mal löten war und wir uns nicht die Garantie vom Headset versauen wollten, wenn wir direkt im Stecker löten. Aber ja, man kann das auch einfach in den Headset-XLR-Stecker klöten, dann kommt man billiger davon.

      Antworten
    1. Sven Hauptmann Beitragsautor

      Hab schon befürchtet, dass man das zu sehr hört. Das wird hart, der Lakritz-Topf gehört quasi schon zur Sendung. Aber vielleicht lässt sich das ja auch mit einer Mute-Taste lösen. Mal schauen, ich bleibe da dran… 😉

      Antworten
  2. Michael Hein

    Hi,

    ich bin Neuhörer, also bitte entschuldigt falls meine Fragen schon mal behandelt wurden.

    Könnt Ihr vielleicht noch einen direkten (mp3)-Link bereitstellen? Aktuell muss man sich den Link aus dem HTML-Quelltext puhlen bzw. bspw. Chrome Dev Tools (Network View) nutzen um an den Link zu kommen.

    Zum Thema Spende/Unterstützung als Tipp: Vielleicht wäre es gut noch eine Überweisungsmöglichkeit anzubieten, so entstehen beiden Seiten keine Kosten (wie etwa bei Flattr, Paypal und Konsorten) und das Geld kommt komplett bei euch an. Man muss dann auch nicht extra etwas bei Amazon bestellen etc.

    Antworten
    1. Sven Hauptmann Beitragsautor

      Die Download-Möglichkeit hatten wir schon mal, aber der verwendete Player hat das anscheinend nicht mehr angeboten. Ich habe jetzt einen anderen Player benutzt, damit kannst Du Dir die Episode ganz einfach herunerladen. Wenn Du nicht nur bei uns, sondern auch beim Thema Podcasts Neuhörer bist, kann ich Dir empfehlen, einen Podcatcher zu verwenden. Damit kannst Du die Episoden noch viel einfacher herunterladen.

      Eigentlich wollen wir mit dem Podcast kein Geld einnehmen. Das ist unser Hobbyprojekt und soll frei von finanziellen Interessen sein. Das Amazon-Affiliate machen wir eher aus Neugier über das Programm. Wir freuen uns natürlich, wenn darüber etwas Geld reinkommt, aber wir möchten nicht explizit danach fragen. Darüber können uns Hörer gern etwas spenden, ohne zusätzliches Geld auszugeben. Die Kosten für den Podcast halten sich ja auch im Rahmen (in irgeneiner Folge haben wir das mal zusammengezählt). Solltest Du allerdings vorhaben, uns größere Geldsummen zukommen zu lassen, kann ich Dir gern eine Bankverbindung oder Bitcoin-Wallet zukommen lassen 😉

      Antworten
  3. Dennis

    Doch, Public Key Infrastructure für PKI war schon richtig. Da hab ihr euch bei 1:38:00 verschlimmbessert.

    Gruß, Dennis
    P.S.: höre gerade euren Podcast von alt nach neu.

    Antworten

Schreibe einen Kommentar zu Sven Hauptmann Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert