Zusammenfassung

In der heutigen Folge versucht Sven, ein wenig Luft in das Dunkel der Exploits und Patches zu bringen. Wer weitere Quellen zu dem Thema beitragen kann, ist herzlich eingeladen, dies in den Kommentaren zu tun. Neben den Standardthemen Datenverluste und News gehen wir noch auf Hörerkommentare ein und Stefan wird für eine völlig veraltete PHP-Version auf unserer Webseite abgewatscht. Da Sven vorher mit Teigwarensalat gefüttert wurde, fällt das allerdings viel freundlicher aus, als ursprünglich geplant.

Hausmeisterei

Thema: Vulnerabilities – Das Rennen zwischen Exploits und Patches

Fun & other Thinks

Aufgenommen am: 08.05.2019

In diesem Podcast werden Techniken oder Hardware vorgestellt, die geeignet sind, externe Geräte anzugreifen. Dies geschieht ausschließlich zu Bildungszwecken, denn nur, wenn man die Angriffstechniken kennt, kann man sich effektiv davor schützen. Denkt immer daran, diese Techniken oder Hardware nur bei Geräten anzuwenden, deren Eigner oder Nutzer das erlaubt haben.Der unerlaubte Zugriff auf fremde Infrastruktur ist strafbar (In Deutschland §202a, §202b, §202c StGB).

Dieses Mal bringt Stefan sein Thema DNS zu ende. Jedoch gibt es vorher einen ausführlichen Datenverlust- und News-Block da es die einzige Folge des Monats ist.
Warum dieses so ist, wird in der Hausmeisterei geklärt, sowie ein Audiokommentar eingespielt, der den Podcast nach der letzten Sendung erreichte.

Besser für den Datenschutz: Gravatar abschalten und Emojis deaktivieren

Aufgenommen am: 25.04.2019
Veröffentlicht am: 26.04.2019
Intro & Outro Chiptune (CC BY SA): Pumped by ROCCOW
Logo (CC BY 2.0) Richard Patterson

In diesem Podcast werden Techniken oder Hardware vorgestellt, die geeignet sind, externe Geräte anzugreifen. Dies geschieht ausschließlich zu Bildungszwecken, denn nur, wenn man die Angriffstechniken kennt, kann man sich effektiv davor schützen. Denkt immer daran, diese Techniken oder Hardware nur bei Geräten anzuwenden, deren Eigner oder Nutzer das erlaubt haben.Der unerlaubte Zugriff auf fremde Infrastruktur ist strafbar (In Deutschland §202a, §202b, §202c StGB).

Für die heutige Folge, hat sich Sven einmal mit ‘Smarten’ Lautsprechern beschäftigt und präsentiert seine Ergebnisse. Dieses sei verraten, schlau sind Sie alle nicht. Die Folge ist aufgrund der Komplexität des Themas leider etwas über die Stränge geschlagen, was die Länge angeht, aber dafür auch sehr unterhaltsam. Zum Ende besucht Stefan auch noch live zum ersten mal in seinem Leben die Seite ‘Pornhub’ um sich an zu sehen wie Axel Voss das Internet f****.

GPS Week Number Rollover am 7. April 2019 (Gehen Sie weiter, es gibt nichts zu sehen)

• 14.03.2019: Unsecured Database Exposed 33 Million Job Profiles in China
• 15.03.2019: Unsecured Gearbest server exposes millions of shoppers and their orders
• 15.03.2019: Insecure Database Exposes 800,000 Singapore Blood Donors
• 16.03.2019: Database leaks 250K legal documents, some marked ‘not designated for publication’
• 24.03.2019: A family tracking app was leaking real-time location data
• 18.03.2019: MySpace lost 12 years of user content
• 21.03.2019: Facebook Employees Could Access Unencrypted Passwords for Millions of Users

• 25.03.2019: Warning: ASUS Software Update Server Hacked to Distribute Malware, Shadowhammer tool
• 15.03.2019: Over 100 Exploits Found for 19-Year Old WinRAR RCE Bug
• 18.03.2019: Popular wireless Logitech mouse vulnerable to keystroke injection, Mousejack.com, affected Devices
• 14.03.2019: 39% of All Counter-Strike 1.6 Servers Used to Infect Players
• 14.03.2019: Porno-Erpresser-Mails: 17-jähriger Tatverdächtiger in Bremen verhaftet
• 14.03.2019: Multi-Factor Auth Bypassed in Office 365 and G Suite IMAP Attacks   
• 19.03.2019: Ransomware Attack Forces Aluminum Manufacturer to Shutdown Systems Worldwide
• 25.03.2019: Pwn2Own: Hacker Knacken Tesla Model 3
• 22.03.2019:  Unzureichend abgesichert: Defibrillator-Implantate offen für Hacker-Attacken
• 15.03.2019:  DNSpionage: Massive Angriffe auf Mail- und VPN-User
• 21.03.2019: Microsoft ships antivirus for macOS as Windows Defender becomes Microsoft Defender
• 25.03.2019: 122 Millionen US-Dollar von Facebook und Google erschwindelt

Amazon Echo, Google Assistant/Google Home, Siri/Homepod

• 05.01.2019: Amazon verkaufte mehr als hundert Millionen Geräte mit Alexa
• 05.02.2019: HomePod Struggling to Gain Market Share Alongside Cheaper Amazon Echo and Google Home Speakers
• 03.05.2018: Dumb And Dumber: Comparing Alexa, Siri, Cortana And The Google Assistant
• 18.07.2018: Der Spion in meiner Wohnung: Wichtige Fakten zu Alexa, Google Assistant und Co.
• 20.12.2018: Amazon gibt intime Alexa-Sprachdateien preis
• 20.12.2017:Heimspion Alexa: Sie reagiert nicht nur auf das Signalwort
• 10.10.2017: Google is permanently nerfing all Home Minis because mine spied on everything I said 24/7
• 24.05.2018: Alexa sent private audio to a random contact
• 01.08.2017:  Ältere Amazon Echos lassen sich über Debug-Kontakte rooten; Alexa, are you listening?
• 02.08.2017: Mit Amazon Echo rund um die Uhr andere Menschen abhören
• 31.08.2017: Hacker steuern Smart Speaker
• 16.03.2017: Google Home is playing audio ads for Beauty and the Beast
• 02.01.2018: Amazon has big plans for Alexa ads in 2018; it’s discussing options with P&G, Clorox and others
• 08.03.2018: Alexa, Please Stop Laughing: Amazon Says It’s Fixing Device’s Unprompted Cackles, Alexa randomly laughing compilation @Youtube
• 04.01.2017: Kinder vs. Alexa: Ein Puppenhaus, kiloweise Kekse und ein Pornoklingelton
• 08.01.2017: Amazon Echo: Nachrichtensprecher löst Massenbestellung aus
• 21.09.2017: Papagei geht bei Amazon shoppen – dank Alexa
• 18.09.2017: Chaos bei Alexa: Amazons Sprachassistentin reagiert auf Befehle aus South Park

Pornhub:  GERMAN MAN FUCKS THE WHOLE INTERNET

Aufgenommen am: 25.03.2019
Veröffentlicht am: 26.03.2019
Intro & Outro Chiptune (CC BY SA): Pumped by ROCCOW
Logo (CC BY 2.0) Richard Patterson

In diesem Podcast werden Techniken oder Hardware vorgestellt, die geeignet sind, externe Geräte anzugreifen. Dies geschieht ausschließlich zu Bildungszwecken, denn nur, wenn man die Angriffstechniken kennt, kann man sich effektiv davor schützen. Denkt immer daran, diese Techniken oder Hardware nur bei Geräten anzuwenden, deren Eigner oder Nutzer das erlaubt haben.Der unerlaubte Zugriff auf fremde Infrastruktur ist strafbar (In Deutschland §202a, §202b, §202c StGB).

Nachdem die Helden der Informations- und Datensicherheit es endlich einmal geschafft haben ohne “bla bla” vor dem Intro eine Folge zu beginnen, widmet sich Stefan dem Domain Name System und gibt einen überblick über die Historie dahinter und einen wirklich rudimentären Einblick wie es funktioniert. Kündigt jedoch bereits Vertiefungen an.
Zwischendurch lenkt Sven Stefan ab, indem er sein rechtes Ohr lüftet.

• 07.03.2019: Thousands of Pakistani Bank Cards Are Available on the Dark Web
• 25.02.2019: 800 Millionen Emailadresse bei verifications.io geleakt
• 09.03.2019: Iranian hackers stole terabytes of data from software giant Citrix

• 01.03.2019: eBay-Phishing auf eBay-Seite
• 04.03.2019: Cisco-Router: Forscher melden Hinweise auf aktive Angriffe
• 05.03.2019: 5G geknackt
• 09.03.2019: Erpresser erbeuten 400.000 US-Dollar durch Cyber-Angriff
• 11.03.2019: O2-HomeBox-Router ließen sich kapern
• 03.03.2019: Bundespolizei speichert Bodycam-Aufnahmen in Amazons AWS-Cloud
• 11.03.2019: 1400 Bodycams für Bayerns Polizei: Datenschützer hat Bedenken
• 11.03.2019: Studie: 50 Prozent der Systeme für „Künstliche Intelligenz“ schummeln
• 06.03.2019: Ghidra: NSA stellt quelloffenes Software-Analyse-Tool vor

SRI International, Elizabeth Feinler, Jon Postel, University of Southern California, Information Sciences Institute, Network Information Center, Paul Mockapetris, Internet Engineering Task Force, RFC 882, RFC 883, UC Berkeley, BIND, DEC, Mike Karels, Paul Vixie, RFC 1034[1], RFC 1035, Request for Comments

Aufgenommen am: 12.03.2019
Veröffentlicht am: 12.03.2019
Intro & Outro Chiptune: Pumped by ROCCOW
Logo CC BY 2.0 Richard Patterson

In diesem Podcast werden Techniken oder Hardware vorgestellt, die geeignet sind, externe Geräte anzugreifen. Dies geschieht ausschließlich zu Bildungszwecken, denn nur, wenn man die Angriffstechniken kennt, kann man sich effektiv davor schützen. Denkt immer daran, diese Techniken oder Hardware nur bei Geräten anzuwenden, deren Eigner oder Nutzer das erlaubt haben.Der unerlaubte Zugriff auf fremde Infrastruktur ist strafbar (In Deutschland §202a, §202b, §202c StGB).

Zusammenfassung

Dieses Mal erzählt Sven etwas allgemeiner über das Thema Verschlüsselung und gibt Tipps zur Nutzung einer geeigneten Verschlüsselung für den richtigen Zweck.
Wie immer mangelt es auch dieses mal nicht an Datenverlusten und Nachrichten, von denen ein Teil geeignet wäre die Allgemeinheit zu verunsichern.

Hausmeisterei

• Website Security Header Scanner
  • SSL Server Test bei SSL-LABS
• Checkpoint Security Report 2019

• 12.02.2019: Gehackte Websites: 620 Millionen Accounts zum Verkauf im Darknet
• 13.02.2019: 500px reveals 2018 breach that exposed user data
• 15.02.2019: Collection of 127 Million Stolen Accounts Up for Sale on the Dark Web
• 17.02.2019: Hacker puts up for sale third round of hacked databases on the Dark Web
• 12.02.2019: Hackers Wipe VFEmail Servers, May Shut Down After Catastrophic Data Loss
• 19.02.2019: LPG Gas Company Leaked Details, Aadhaar Numbers of 6.7 Million Indian Customers
• 20.02.2019:  Schweden: 2,7 Millionen Patienten-Anrufe ungeschützt im Netz, Computer Sweden

• 12.02.2019: Xiaomi Electric Scooters Vulnerable to Life-Threatening Remote Hacks
• 20.02.2019: Google put a microphone in Nest Secure and forgot to tell anyone, Mikrofone in Schaltsteckdosen (Teltarif), Nochmal Mikrofone in Schaltsteckdosen (heise), die jedoch schon mind. 4 Jahre früher (2013) gefunden wurden
• 25.02.2019: More than two thirds of Ticketmaster data breach victims have suffered fraudulent transactions, 0d023 – Diffie-Hellman (05.07.2018)
• 24.02.2019:  Apps liefern Facebook vertrauliche Daten – Untersuchung angekündigt,  Reportage des Wall Street Journal
• 22.02.2019: Apple-Datenschutzrichtlinie ist größtenteils rechtswidrig, Urteil des Landgerichts Berlin von 2013.
• 24.02.2019:  Ortungs-App wird Dieb in Hamburg zum Verhängnis
• 23.02.2019: Die Schweiz kurz vor dem Härtetest ihres E-Voting-Systems, LNP287

Bitlocker – LVM – CoreStorage –  VeraCrypt– Zip mit AES, 7zip mit Einschränkungen – Amazon Redshift – Transparent Database Encryption“ (TDE)  – TDE wurde allerdings 2010 geknackt – HTTPS – SSL –  TLS – TLS – Fingerprinting with JA3 and JA3S – SSH – RDP mit Einschränkungen – SFTP – FTP über TLS – SCP – VPN – OpenVPN – (stunnel – Tor – Boxcryptor  – PGP –  GPG – argon2 – scrypt – bcrypt – PBKDF2 – symmetrische Verschüsselung – AES  – Twofish – Blowfish – asymmetrische Verschlüsselung – RSA – PGP – SMIME – Hybride Verschlüsselung – IPsec – TLS/SSL

Aufgenommen am: 25.02.2019
Veröffentlicht am: 25.02.2019
Intro & Outro Chiptune: Pumped by ROCCOW
Logo CC BY 2.0 Richard Patterson

In diesem Podcast werden Techniken oder Hardware vorgestellt, die geeignet sind, externe Geräte anzugreifen. Dies geschieht ausschließlich zu Bildungszwecken, denn nur, wenn man die Angriffstechniken kennt, kann man sich effektiv davor schützen. Denkt immer daran, diese Techniken oder Hardware nur bei Geräten anzuwenden, deren Eigner oder Nutzer das erlaubt haben.Der unerlaubte Zugriff auf fremde Infrastruktur ist strafbar (In Deutschland §202a, §202b, §202c StGB).

In der heutigen Folge präsentieren wir hoffentlich ein neues Logo, welches Sven auf mehrfachen Wunsch von Stefan einmal angefertigt hat. Das heutige Thema der Sendung beginnt mit einem Witz seitens Sven auf Stefans Kosten, welcher sich mit einer eigenen Sprungmarke revanchiert. Abschließend gibt es noch eine kurze Ddiskussion, bevor das Ende eingeläutet wird.

• 04.02.2019: Russian Darknet Forum Selling Access to U.S. News Sites
• 04.02.2019: SC: Roper St. Francis notifying patients after employees fall for phishing attack
• 08.02.2019: devkitPro forum breach, devkitPro.org – Portal

• 10.02.2019:  Angebliche Unfallreduktion mit Tesla Autosteer war grober Rechenfehler
• 09.02.2019:  Videoüberwachung bei der BVG Neue Kameras können auch Ton übertragen
• 21.12.2018: Basler Polizei-Teslas bleiben in der Garage – wegen Datenschutz
• 06.02.2019: Neue Gängel-Blitzer in Niedersachsen verfassungswidrig
• 07.02.2019: Einige iPhone-Apps nehmen euren Bildschirminhalt ohne Erlaubnis auf
• 01.02.2019: Google Play: Millionenfach verbreitete Kamera-Apps klauen Fotos
• 07.02.2019. Bundeskartellamt untersagt Facebook die Zusammenführung von Nutzerdaten aus verschiedenen Quellen ; 0d017 – Online Tracking
• Apple Patched Two Actively Exploited Zero-Days in iOS 12.1.4, Zerodium (Wikipedia)

All Your Gesundheitsakten Are Belong To Us, Der PC-Wahl-Hack 18 jähriger E-Ticket-Hacker in Ungarn festgenommen, BKK: A lesson in creating black hat hackers – IT Security Thing, 1-star ratings bei Facebook , Du kannst alles hacken – du darfst dich nur nicht erwischen lassen.

Aufgenommen am: 11.02.2019
Veröffentlicht am: 11.02.2019
Intro & Outro Chiptune: Pumped by ROCCOW
Logo CC BY 2.0 Richard Patterson

In diesem Podcast werden Techniken oder Hardware vorgestellt, die geeignet sind, externe Geräte anzugreifen. Dies geschieht ausschließlich zu Bildungszwecken, denn nur, wenn man die Angriffstechniken kennt, kann man sich effektiv davor schützen. Denkt immer daran, diese Techniken oder Hardware nur bei Geräten anzuwenden, deren Eigner oder Nutzer das erlaubt haben.Der unerlaubte Zugriff auf fremde Infrastruktur ist strafbar (In Deutschland §202a, §202b, §202c StGB).

In der heutigen Folge rühmt sich Sven mit der Durchschnittlichkeit des Podcasts bei Fyyd.de. Stefan wünscht sich Unterstützung für andere, statt für den Podcast und wie immer gibt es auch ein Thema nach ausufernden News und Datenverlusten. Das Thema ist diesmal eine Fortsetzung des Themas aus Episode 32 (0d032) welches stellenweise wie eine Werbeveranstaltung klingt, aber dieses nicht ist. Stefan bekommt, nachdem er ein Video empfohlen hat, noch ein Geschenk von Sven.

fyyd.de

• 10.01.2019: Unprotected MongoDB Exposes Over 200 Millions Resumes
• 17.01.2019: Passwort-Sammlung mit 773 Millionen Online-Konten im Netz aufgetaucht, Collection 2-5 sind jetzt auch im Netz mit 2,2 Milliarden Accounts, HPI Identity Leak Checker
• 29.01.2019: Singapur verliert Daten von 14k HIV-p diagnostizierten

• 10.01.2019: Sicherheitslücken mit Höchstwertung in Juniper ATP
• 10.01.2019: DDoSing Hospital Networks Landed This Hacktivist in Jail for Over 10 Years
• 15.01.2019: New Ransomware Bundles PayPal Phishing Into Its Ransom Note
• 15.01.2019: Sicherheitsforscher brechen aus Docker-Container aus; FeFe auf dem 34c3 – Antipatterns und Missverständnisse in der Softwareentwicklung
• 21.01.2019: Bösartige Apps nutzen bewegungsbasierte Vermeidungstechniken und platzieren Banking Malware
• 21.01.2019: Die DSGVO zeigt erste Zähne: 50-Millionen-Strafe gegen Google verhängt
• 15.01.2018: Hackers broke into an SEC database and made millions from inside information, says DOJ
• 24.01.2019: Nehmt KI für Bilderkennung, was kann schon schief gehen? (Twitter)
• 25.01.2019: Facebook, WhatsApp und Instagram sollen bis 2020 zusammen gelegt werden
• 28.01.2019: Schwere technische Panne bei der niedersächsischen Datenschutzbehörde
• 18.06.2018: Ubuntu Lockscreen durch Festplatten entfernen umgehbar
• 29.01.2019: Safer Internet Day: Barley will Gewinne aus Datenmissbrauch abschöpfen
• 20.12.2018: Erfolglose Verfassungsbeschwerde gegen die Verpflichtung zur Übermittlung von IP-Adressen
• 29.01.2019: EU stärkt Rechte von Onlinekäufern (SPON)

0d004 – Hinterm VPN gleich links;, http://www.feste-ip.net , Zugriff auf Server oder eingehendes VPN mit DS-Lite-Anschlüssen

• Youtube-Empfehlung: How To Steal An Identity
• Step-by-Step Tutorial: How to Copy or Clone Access Cards and Key Fobs, Wifi Pineapple

Aufgenommen am: 30.01.2019
Veröffentlicht am: 30.01.2019
Intro & Outro Chiptune: Pumped by ROCCOW

In diesem Podcast werden Techniken oder Hardware vorgestellt, die geeignet sind, externe Geräte anzugreifen. Dies geschieht ausschließlich zu Bildungszwecken, denn nur, wenn man die Angriffstechniken kennt, kann man sich effektiv davor schützen. Denkt immer daran, diese Techniken oder Hardware nur bei Geräten anzuwenden, deren Eigner oder Nutzer das erlaubt haben.Der unerlaubte Zugriff auf fremde Infrastruktur ist strafbar (In Deutschland §202a, §202b, §202c StGB).

Zusammenfassung

In dieser Folge erzählt Stefan etwas zu Backups. Aber wichtiger sind die zwei Studiohunde, welche zu Gast sind und ein wenig Chaos in die Sendung bringen. Jedoch erweisen sich die beiden sich auch als wunderbare Taktgeber um das Ende der Sendung ein zu läuten. 😉

In diesem Podcast werden Techniken oder Hardware vorgestellt, die geeignet sind, externe Geräte anzugreifen. Dies geschieht ausschließlich zu Bildungszwecken, denn nur, wenn man die Angriffstechniken kennt, kann man sich effektiv davor schützen. Denkt immer daran, diese Techniken oder Hardware nur bei Geräten anzuwenden, deren Eigner oder Nutzer das erlaubt haben.Der unerlaubte Zugriff auf fremde Infrastruktur ist strafbar (In Deutschland §202a, §202b, §202c StGB).

Backup, Backup Strategie, FiFo, Generationen-Prinzip, Speichermedien, Bandlaufwerk, CD, DVD, USB-Stick, SSD, Festplatte, SD-Karte, Raid, Restore, dd, rsync, Robocopy, Acronix True Image (Herstellerseite), Norton Ghost, Timemachine (englisch)

Aufgenommen am: 09.01.2019

In der Letzten Folge des Jahres wird es noch einmal lang. Bedingt durch die lange Zeit zwischen dieser und der letzten Folge, gibt es einen Marathon der Datenverluste. Danach spricht Sven darüber, welche Implikationen ein Internetanschluß mit IPv6 DS-Lite hat.

In diesem Podcast werden Techniken oder Hardware vorgestellt, die geeignet sind, externe Geräte anzugreifen. Dies geschieht ausschließlich zu Bildungszwecken, denn nur, wenn man die Angriffstechniken kennt, kann man sich effektiv davor schützen. Denkt immer daran, diese Techniken oder Hardware nur bei Geräten anzuwenden, deren Eigner oder Nutzer das erlaubt haben.Der unerlaubte Zugriff auf fremde Infrastruktur ist strafbar (In Deutschland §202a, §202b, §202c StGB).

fyyd.de

IPv6, 6rd, NAT (Network Address Translation), CRE197 IPv6, OSI-Modell, Carrier-grade NAT, Dual-Stack Lite (DS-Lite)

Fun and other Thinks

Aufgenommen am: 20.12.2018

In dieser Episode gibt Stefan einen Überblick über Smart Cards; eine Technologie, die heute vielfache Anwendung findet und ihren Ursprung bereits in den 1970er Jahren hat.

In diesem Podcast werden Techniken oder Hardware vorgestellt, die geeignet sind, externe Geräte anzugreifen. Dies geschieht ausschließlich zu Bildungszwecken, denn nur, wenn man die Angriffstechniken kennt, kann man sich effektiv davor schützen. Denkt immer daran, diese Techniken oder Hardware nur bei Geräten anzuwenden, deren Eigner oder Nutzer das erlaubt haben.Der unerlaubte Zugriff auf fremde Infrastruktur ist strafbar (In Deutschland §202a, §202b, §202c StGB).

Anspielung auf Mini-Max oder die unglaublichen Abenteuer des Maxwell Smart

Helmut Gröttrup; Jürgen Dethloff ; Roland Moreno; Michel Ugon; Honeywell Bull; Schlumberger; Gemalto; Dexa Systems; public key infrastructure (PKI); ISO/IEC 7810; ISO/IEC 7816; communications protocols; subscriber identity modules; ISO/IEC 14443; Porto; Andante; CCID; Bitlocker; security token; Mozilla’s; Firefox; web browser; certificates; disk encryption systems; GnuPG; single sign-on; log on; electronic purse; Access control

Youtube-empfehlung: How Smartcard Payment Systems Fail, Black Hat DC 2010 – Hacking the Smartcard Chip

Yubikey NEO

Fun and other Thinks

Aufgenommen am: 21.11.2018