Segfault.fm   /     0x25 Don't get me started! (2023-10)

Description

Beschreibung: Neu! Summary durch AI generiert: In dieser Episode diskutieren wir verschiedene Themen. Wir sprechen ├╝ber die Web-Integrit├Ąt von Google und die M├Âglichkeit, dass ├Ąhnliche Mechanismen auch auf andere Webseiten angewendet werden k├Ânnten. Wir diskutieren die Sicherheitsstrategie der US-Regierung nach dem Angriff auf die Azure Cloud und die Vor- und Nachteile der Nutzung von Cloud-Services. Des Weiteren sprechen wir ├╝ber Common Vulnerabilities and Exposures (CVEs) und die Probleme bei der Sicherheitsbewertung von Schwachstellen. Wir diskutieren den YouTuber Leeroy und den Angriff auf den Jabber.ru-Server. Anschlie├čend tauschen wir unsere Gedanken ├╝ber Hacking-Operationen von Geheimdiensten aus und diskutieren moderne Side-Channel-Angriffe auf CPUs und Hardware. In einer weiteren Diskussion geht es um ein kontroverses Video, das von verschiedenen Plattformen gel├Âscht wurde, und um einen Vorfall bei Okta, einem Unternehmen f├╝r Identit├Ątsmanagement. Zum Abschluss diskutieren wir einen Vorfall mit Voltage-Fault-Injection auf AMD-Prozessoren in Tesla-Fahrzeugen. Viel Spa├č beim Zuh├Âren! Shownotes: Spiegel Online uses a 2000 years old cipher for their pay wall - Robert Penz Blog Hackers Stole Access Tokens from Oktas Support Unit; Krebs on Security Cloudflare mitigated yet another Okta compromise - Hacker News Okta incident and 1Password - 1Password Nitter Reflections on Trusting Trust Microsoft finally explains cause of Azure breach - Ars Technica iLeakage Dan Goodin: Google has removed a video posted by academic researchers - Infosec Exchange Encrypted traffic interception on Hetzner and Linode targeting the largest Russian XMPP (Jabber) messaging service Black Hat USA 2023: Jailbreaking an Tesla in 2023 Web Environment Integrity Explainer Enabling ACME CAA Account and Method Binding RFC 8657 Certification Authority Authorization (CAA) Record Extensions for Account URI and Automatic Certificate Management Environment (ACME) Method Binding

Subtitle
Segfault.fm: 0x25 Don't get me started! (2023-10)
Duration
02:39:46
Publishing date
2023-10-30 19:00
Link
https://segfault.fm/episode/0x25-quarterly/
Contributors
  Florian und Daniel
author  
Enclosures
https://segfault.fm/assets/podcasts/0x25-quarterly-episode.mp3
audio/mp3

Deeplinks to Chapters

00:00:00.000 Intro
255
00:00:57.000 Begr├╝├čung
255
00:04:04.000 Diskussion ├╝ber die Web-Integrity-Geschichte von Google
255
00:10:03.000 Diskussion ├╝ber m├Âgliche Zukunft eines werbefreien Browsers
255
00:13:40.000 Diskussion ├╝ber Paywall-Restriktionen von Spiegel Online
255
00:16:42.000 Thema: Microsoft und propriet├Ąre Software
255
00:16:57.000 Das Microsoft-Debakel
255
00:24:55.000 Outsourcing von IT-Dienstleistungen in die Microsoft Cloud
255
00:28:54.000 Die Ursache des Sicherheitsvorfalls und mangelnde interne Kommunikation
255
00:33:52.000 Fehler bei Migration von Microsoft zu anderen Protokollen
255
00:34:54.000 Microsoft lacht ├╝ber Datenwunsch bei eigener IMAP-Server
255
00:39:27.000 CV-Nummern und MITRE Corporation
255
00:43:14.000 Bewertung von Schwachstellen nach Kritikalit├Ąt
255
00:50:38.000 Technische Abteilung ├╝berpr├╝ft Integer Overflow
255
00:54:30.000 Herausforderungen bei der Reproduzierbarkeit von Software-Problemen
255
00:59:26.000 Diskussion ├╝ber Vor- und Nachteile von CVIs
255
01:03:15.000 ├ťberbewertung von CVSS-Scores bei Sicherheitsbewertungen
255
01:07:53.000 YouTube-Szene und Leeroy's Hacker-Gast
255
01:15:02.000 Ken Thompson und das Thema Trusting Trust
255
01:18:19.000 Die Pr├Ąmisse des Source Codes und das Gedankenexperiment
255
01:20:02.000 Ken Thompson spricht auf der Southern California Linux Expo
255
01:29:40.000 Entdeckung eines verd├Ąchtigen Zertifikats auf dem Server
255
01:34:09.000 St├╝mperhafter Angriff und Erkenntnisse aus den Server-Logs
255
01:38:42.000 Let's Encrypt Challenge f├╝r g├╝ltiges Zertifikat
255
01:46:53.000 Warum nicht einfach den Private Key vom Server geholt?
255
01:48:59.000 Seltsame Verbindung nach Russland
255
01:52:19.000 M├Âgliche Ineffizienz und Dubiosit├Ąt von Geheimdiensten
255
01:57:32.000 ├ťberwachung von Zertifikaten und DNS-CAA-Record
255
02:00:40.000 Generierung von Let's Encrypt-Zertifikaten und Account-Verwaltung
255
02:05:50.000 Messen der Taktfrequenz f├╝r Genauigkeit
255
02:10:05.000 Race Condition erm├Âglicht Unterscheidung zwischen Cash Hit und Cash Miss
255
02:13:23.000 Responsible Disclosure an Apple mit Wartezeit
255
02:16:27.000 Diskussion ├╝ber moderne Side-Channel-Attacks
255
02:17:28.000 Identit├Ątsmanagement und Authentifizierung bei gro├čen Firmen
255
02:24:02.000 Kompromittierter Okta-Mitarbeiter und Auswirkungen auf Kunden
255
02:28:45.000 Root-Shell durch Voltage-Injection in Teslas
255
02:35:50.000 Hardware-Schwachstellen und ihre Ausnutzung
255
02:38:19.000 Gespr├Ąchsende und Dank an die Zuh├Ârer
255