0d014 – 2-Faktor-Authentifizierung & EXIF-Daten

Zusammenfassung

Heute beginnt die Sendung wie immer mit der Hausmeisterei, in der Stefan von seinem Verlust eines Passwortes berichtet, Sven Neuigkeiten zum BeA vorträgt und Stefan sich währenddessen kurz bei T-Systems entschuldigt, weil Sie nicht ganz verkackt hatten, sondern nur ein bisschen.

Direkt nach den News wird auch schon mit dem Ersten Thema begonnen welches sich dieses mal um die 2 Faktor Authentifizierung dreht und direkt danach geht es auch schon mit dem Thema EXIF weiter in dem Stefan mal einen kurzen Einblick in die Welt der heutigen Metadaten von Fotos gibt.

Zum Abschluss gibt es dann noch zwei News-Meldungen, welche aufgrund Ihres Humoristischen Karakters in die Spass-Abteilung verlegt wurden.

Irgendwo mitten drin bekommt Stefan auch ein Geschenk überreicht, welches bei ihm sehr sehr sehr großer Freude auslöste und ihn ganze 30 Sekunden ruhig stellte.

Disclaimer

In diesem Podcast werden Techniken oder Hardware vorgestellt, die geeignet sind, externe Geräte anzugreifen. Dies geschieht ausschließlich zu Bildungszwecken, denn nur, wenn man die Angriffstechniken kennt, kann man sich effektiv davor schützen. Denkt immer daran, diese Techniken oder Hardware nur bei Geräten anzuwenden, deren Eigner oder Nutzer das erlaubt haben.Der unerlaubte Zugriff auf fremde Infrastruktur ist strafbar (In Deutschland §202a, §202b, §202c StGB).

Weiterlesen →

0d013 – SPECTRE & WordPress absichern

2 Antworten

Zusammenfassung

Die erste Folge des Jahres beginnt wie immer damit, dass Stefan heimlich bereits die Aufnahme startet. Anschließend folgt das Grandiose Intro, welches auch schon direkt mit der Hausmeisterei anknüpft.

Im Anschluss an die Hausmeisterei kommen wie immer die Datenverluste des Monats und die News, bei denen Sven wie immer aus den aktuellen Ereignissen sich die passendsten herausgesucht hat, wobei Stefan mal was neues ausprobiert und alle seine Nachrichten in Themen unterteilt hat und diese in einem Kurzdurchlauf wiedergibt.

Das Erste Thema wird dieses Mal von Stefan vorgetragen und behandelt die drei Angriffsszenarien “SPECTRE” und “Meltdown”. 3? Ja 3. Das ist kein Schreibfehler, aber das erklärt Stefan.

Sven hat sich mit der Absicherung von WordPress beschäftigt und allerhand Informationen und Tipps mitgebracht, damit die WordPress Instanz sicherer wird.

Zum Abschluss gibt es wie immer noch ein wenig Jux und Tollerei, bevor das Outro auch schon das Ende der Sendung einleitet.

Disclaimer

Hausmeisterei

Ein Haus mit der Maus, 2Dogs1Hat, Keepass Sync mit Nextcloud per WebDAV, Gmail im EIgenbau; LetsEncrypt, 34C3@media.ccc.de, Methodisch Inkorrekt

Datenverluste des Monats

05.01.2018: Indien: Wohl mehr als eine Milliarde Personendaten aus staatlicher Datenbank abgegriffen
27.12.2017: Schwerwiegendes Datenleck legt Zehntausende Schuldnerdaten offen
08.12.2017: 1.4 Billion Clear Text Credentials Discovered in a Single Database, 4iQ
18.01.2018: Evtl. verlust von Kreditkartendaten bei OnePlus

News

WordPress:

20.12.2017: Backdoor in Captcha Plugin Affects 300K WordPress Sites
18.12.2017:Aggressive WordPress Brute Force Attack Campaign Started Today, 3am UTC
19.12.2017: Massive Cryptomining Campaign Targeting WordPress Sites

Deutsches Land = neues Land:

Zertifikate für Zertifizierer:

21.12.2017: Verisign, you had one job..

Internet of Bullshit:

Wo der Trog ist:

04.01.2018: Lobbyismus mit geklauten Daten

Die Werbeindustrie, dein Freund und Helfer:

07.01.2018: Sicherheitslücke bei Facebook ermöglichte Werbekunden Telefonnummernzugriff

Thema 1: S.P.E.C.T.R.E.

S.P.E.C.T.R.E. (IMDB); Spectre 1: Bound-Check-Bypass; Spectre 2:Branch Target Injection; Meltdown: Rogue Data Cache Load; Spekulative Ausführung; Cache; CPU; Intel wusste seit gut 6 Jahren von dem Problem; Microsoft Seite zum Update (KB4056890)

Thema 2: WordPress absichern

WordPress.org, WordPress, Webanwendung, Common Vulnerabilities and Exposures (CVE), WordPress CVEs: (271), Plugin-CVEs: (965), Theme CVEs: (50), HTTP Basic Authentication, .htaccess, XML-RPC, WordPress.org: Hardening WordPress, Stop User Enumeration in WordPress

Fun and other Thinks

wir bauen uns keine Crypto-Hölle mit Raspberries
Saver Sex dank Blockchain (legalfling)
Police Hand out Malware-Infected USBs as Prize in Cyber-Security Quiz
Cisco und TLS

Aufgenommen am: 19.01.2018
Veröffentlicht am: 19.01.2018
Intro & Outro Chiptune: Pumped by ROCCOW

0d012 – OWASP Top 10 & The Nightmare Before Christmas

Schreibe eine Antwort

Zusammenfassung

In dieser Jubiläumsgala der IT-SIcherheit geht es dieses Mal von Svens Seite um das Thema “OWASP Top 10” während Stefan Sven mit einem Jahresrückblick überrascht.

Abgesehen von dem Chili-Tasting, anlässlich des Urlaubs von Stefan, war sogar Sven vollständig von der Episode begeistert.

Zum krönenden Abschluss bekommt der Podcast noch Geburtstags-Wünsche von 3 seiner Hörer.

Disclaimer

Hausmeisterei

2Dogs1Hat, Ein Haus mit der Maus

Datenverlust des Monats

10.11.2017: Versteckter Millenium Falcon auf Google Maps entdeckt
21.11.2017: Uber verliert über 57.000.000 Nutzer- und Fahrerdaten, zahlt Lösegeld und schweigt (erstmal)
30.11.2017: Datenleck beim Fahrradverleiher Obike
04.12.2017: PayPal Subsidiary Data Breach Hits Up to 1.6 Million Customers

News

07.12.2017: Cloudflare[.]Solutions Keylogger on Thousands of Infected WordPress Sites
13.11.2017: Mirai-Botnetz waren die Russen…oh doch nur Studenten in der USA
08.12.2017: Largest Crypto-Mining Exchange Hacked; Over $70 Million in Bitcoin Stolen
22.11.2017: Android-Geräte tracken heimlich Position – sogar ohne SIM und GPS

Thema 1: OWASP Top 10

Open Web Application Security Project (OWASP), Wikipedia: OWASP, OWASP Top 10 Project, OWASP Top 10 (2017), Top 10 (2013), Billion Laughs Attack;

Thema 2: The Nightmare Before Christmas

The Nightmare Before Christmas (IMDB); The Nightmare Before Christmas (Amazon); Have I been Pwned; Citizen Lab – Security Planner;

Fun and other Thinks

Useless box (Amazon)

Aufgenommen am: 14.12.2017
Veröffentlicht am: 15.12.2017
Intro & Outro Chiptune: Pumped by ROCCOW

0d011 – Cross-Site-Scripting & KRACK

Eine Antwort

In der Hausmeisterei geht es heute um unseren Wechsel der DAW hin zu Reaper/Ultraschall. Außerdem gehen wir auf ein Feedback ein, dass uns freundlicherweise per Mail erreichte. Nach dem Newsteil versucht Sven zu erklären (nicht einfach, wenn man nur erzählen und nicht zeigen kann), was Cross-Site-Scripting ist, was damit erreicht wird und wie man es verhindern kann. Stefan widmet sich im zweiten Thema der Key Reinstallation Attack (kurz KRACK), die kurz nach unserer letzten Episode in den Medien einschlug und unnötige Hektik verbreitete. Auch dieses Mal gibts wieder ein Geschenk für Sven, der bei der Gelegenheit erfährt, warum ihm Stefan über das Jahr die vielen Geschenke gemacht hat 😉

Disclaimer

Hausmeisterei

Reaper, Ultraschall, Winamp, 2Dogs1Hat, Patreon, Flattr, Kambrium

Datenverlust des Monats

16.10.2017: Pizza Hut warns that website, app hacked, Pizza Hut @ IdentityForce
17.10.2017: Microsofts BugTracker stand 2013 ein bisschen offen, 30.10.2017: Googles jetzt auch

30.10.2017: Waldbrände in Kalifornien haben einen Teil des HP-Archivs vernichtet, Atombunker wird zum Hochsicherheits-Data-Center, ebay-Kleinanzeigen: Bunker zu vermieten

News

Thema 1: Cross-Site-Scripting (XSS)

Bart SimpsonTelefonstreiche in Moes Taverne, Wikipedia: Cross-Site-Scripting, OWASP: Cross-site Scripting, Types of XSS, Youtube: XSS Attacking Tutorial, DOM-based XSS, File Upload XSS, XrSS Prevention Cheat Sheet, OWASP WebGoat Project, OWASP Vulnerable Web Applications Directory Project,

Thema 2: Crank (Die Panik um die KRACK-Attack)

Crank (IMDB); Die KRACK-Attack; Paper zur KRACK-Attack (PDF); Bürger-CERT

Fun and other Thinks

Stefans Weihnachtswunsch (Amazon),Wenger Schweizer Offiziersmesser Giant Messer

Aufgenommen am: 06.11.2017
Veröffentlicht am: 09.11.2017
Intro & Outro Chiptune: Pumped by ROCCOW

0d010 – Netzneutralität & Web-Session Hijacking

Schreibe eine Antwort

Nachdem Stefan für ein technisches Problem gesorgt hat, welches von Sven behoben werden konnte, jedoch immer mal wieder von Ihm auch erwähnt wird um Stefan zu ärgern, konnte die Aufnahme endlich beginnen.
Nach den exzessiven Datenreichtümern von einer ganzen Menge an Unternehmen geht es auch gleich mit den News weiter auf die nach einer gefühlten Ewigkeit und mehreren Abschweifungen die eigentlichen Themen folgten.

Zuerst erklärt Stefan was dieses “Netzneutralität” ist von dem alle reden und wieso diese aktuell massiv untergraben wird und sogar die Bundesnetzagentur, welche ein Untergraben der Netzneutralität verhindern sollte, dieses sogar zulässt.

Im Anschluss erzählt Sven von dem spannenden Thema “Web Session Hijacking” bei dem böse Menschen versuchen den Login eines netten Menschen zu erhalten, damit Sie damit Schabernack treiben können.

Immer mal wieder, wie bereits bekannt von den Beiden, wird abgeschwiffen und dazwischen gequakt. Auch die Lakritze kommt mal wieder nicht zu kurz. Natürlich hat Stefan auch mal wieder etwas kaputt gemacht, von dem er zu guter Letzt auch noch erzählt.

Disclaimer

Shownotes

Hausmeisterei

DAVdroid, Nextcloud; Amazon: Lakritz-Schokolade (4er Pack); Ein Haus mit der Maus; 2 Dogs 1 Hat; Better Than Us

Datenverluste des Monats

20.09.2017: SEC Discloses Hackers Broke Into Edgar Corporate Filing System Last Year

25.09.2017: Deloitte Hacked — Cyber Attack Exposes Clients‘ Emails

02.10.2017: Turns Out 2.5 Million More Americans Were Affected By Equifax Breach

03.10.2017: It’s 3 Billion! Every Single Yahoo Account Was Hacked In 2013 Data Breach

10.10.2017: Details on Past Data Breaches from Disqus, Bitly and Kickstarter Revealed

Amazon Web Services users are carelessly leaking tons of sensitive data, 7% of All Amazon S3 Servers Are Exposed, Explaining Recent Surge of Data Leaks,

11.10.2017: Vertrauliche Daten von Accenture auf ungeschützten Webservern