Segfault.fm   /     0x25 Don't get me started! (2023-10)

Description

Beschreibung: Neu! Summary durch AI generiert: In dieser Episode diskutieren wir verschiedene Themen. Wir sprechen über die Web-Integrität von Google und die Möglichkeit, dass ähnliche Mechanismen auch auf andere Webseiten angewendet werden könnten. Wir diskutieren die Sicherheitsstrategie der US-Regierung nach dem Angriff auf die Azure Cloud und die Vor- und Nachteile der Nutzung von Cloud-Services. Des Weiteren sprechen wir über Common Vulnerabilities and Exposures (CVEs) und die Probleme bei der Sicherheitsbewertung von Schwachstellen. Wir diskutieren den YouTuber Leeroy und den Angriff auf den Jabber.ru-Server. Anschließend tauschen wir unsere Gedanken über Hacking-Operationen von Geheimdiensten aus und diskutieren moderne Side-Channel-Angriffe auf CPUs und Hardware. In einer weiteren Diskussion geht es um ein kontroverses Video, das von verschiedenen Plattformen gelöscht wurde, und um einen Vorfall bei Okta, einem Unternehmen für Identitätsmanagement. Zum Abschluss diskutieren wir einen Vorfall mit Voltage-Fault-Injection auf AMD-Prozessoren in Tesla-Fahrzeugen. Viel Spaß beim Zuhören! Shownotes: Spiegel Online uses a 2000 years old cipher for their pay wall - Robert Penz Blog Hackers Stole Access Tokens from Oktas Support Unit; Krebs on Security Cloudflare mitigated yet another Okta compromise - Hacker News Okta incident and 1Password - 1Password Nitter Reflections on Trusting Trust Microsoft finally explains cause of Azure breach - Ars Technica iLeakage Dan Goodin: Google has removed a video posted by academic researchers - Infosec Exchange Encrypted traffic interception on Hetzner and Linode targeting the largest Russian XMPP (Jabber) messaging service Black Hat USA 2023: Jailbreaking an Tesla in 2023 Web Environment Integrity Explainer Enabling ACME CAA Account and Method Binding RFC 8657 Certification Authority Authorization (CAA) Record Extensions for Account URI and Automatic Certificate Management Environment (ACME) Method Binding

Subtitle
Segfault.fm: 0x25 Don't get me started! (2023-10)
Duration
02:39:46
Publishing date
2023-10-30 19:00
Link
https://segfault.fm/episode/0x25-quarterly/
Contributors
  Florian und Daniel
author  
Enclosures
https://segfault.fm/assets/podcasts/0x25-quarterly-episode.mp3
audio/mp3

Deeplinks to Chapters

00:00:00.000 Intro
255
00:00:57.000 Begrüßung
255
00:04:04.000 Diskussion über die Web-Integrity-Geschichte von Google
255
00:10:03.000 Diskussion über mögliche Zukunft eines werbefreien Browsers
255
00:13:40.000 Diskussion über Paywall-Restriktionen von Spiegel Online
255
00:16:42.000 Thema: Microsoft und proprietäre Software
255
00:16:57.000 Das Microsoft-Debakel
255
00:24:55.000 Outsourcing von IT-Dienstleistungen in die Microsoft Cloud
255
00:28:54.000 Die Ursache des Sicherheitsvorfalls und mangelnde interne Kommunikation
255
00:33:52.000 Fehler bei Migration von Microsoft zu anderen Protokollen
255
00:34:54.000 Microsoft lacht über Datenwunsch bei eigener IMAP-Server
255
00:39:27.000 CV-Nummern und MITRE Corporation
255
00:43:14.000 Bewertung von Schwachstellen nach Kritikalität
255
00:50:38.000 Technische Abteilung überprüft Integer Overflow
255
00:54:30.000 Herausforderungen bei der Reproduzierbarkeit von Software-Problemen
255
00:59:26.000 Diskussion über Vor- und Nachteile von CVIs
255
01:03:15.000 Überbewertung von CVSS-Scores bei Sicherheitsbewertungen
255
01:07:53.000 YouTube-Szene und Leeroy's Hacker-Gast
255
01:15:02.000 Ken Thompson und das Thema Trusting Trust
255
01:18:19.000 Die Prämisse des Source Codes und das Gedankenexperiment
255
01:20:02.000 Ken Thompson spricht auf der Southern California Linux Expo
255
01:29:40.000 Entdeckung eines verdächtigen Zertifikats auf dem Server
255
01:34:09.000 Stümperhafter Angriff und Erkenntnisse aus den Server-Logs
255
01:38:42.000 Let's Encrypt Challenge für gültiges Zertifikat
255
01:46:53.000 Warum nicht einfach den Private Key vom Server geholt?
255
01:48:59.000 Seltsame Verbindung nach Russland
255
01:52:19.000 Mögliche Ineffizienz und Dubiosität von Geheimdiensten
255
01:57:32.000 Überwachung von Zertifikaten und DNS-CAA-Record
255
02:00:40.000 Generierung von Let's Encrypt-Zertifikaten und Account-Verwaltung
255
02:05:50.000 Messen der Taktfrequenz für Genauigkeit
255
02:10:05.000 Race Condition ermöglicht Unterscheidung zwischen Cash Hit und Cash Miss
255
02:13:23.000 Responsible Disclosure an Apple mit Wartezeit
255
02:16:27.000 Diskussion über moderne Side-Channel-Attacks
255
02:17:28.000 Identitätsmanagement und Authentifizierung bei großen Firmen
255
02:24:02.000 Kompromittierter Okta-Mitarbeiter und Auswirkungen auf Kunden
255
02:28:45.000 Root-Shell durch Voltage-Injection in Teslas
255
02:35:50.000 Hardware-Schwachstellen und ihre Ausnutzung
255
02:38:19.000 Gesprächsende und Dank an die Zuhörer
255