Shownotes & Links
Hinweis: Die Transkripte zu allen Türchen findet Ihr hier.
Türchen #24: Die Weihnachtsfeier
Es gibt Geschenke 🎁 Aber vorher: ein Rätsel.
Wir verlosen einen Platz in unserem iSAQB Advanced Level Training Web-Security! Um am Gewinnspiel teilzunehmen, musst Du der Fährte folgen, die wir in dieser Folge für Dich ausgelegt haben.
Zum Rechtlichen: Du musst das 18. Lebensjahr vollendet haben. Mitarbeiter:innen von INNOQ und deren Verwandte sind von der Teilnahme ausgeschlossen. Der Rechtsweg ist ebenfalls ausgeschlossen. Die Teilnahmemöglichkeit endet am 15. Januar 2022.
Türchen #23: Nichts ist so wie es scheint
Unsere Favoriten
Filme:
- 23 - Nichts ist so wie es scheint (Wikipedia, IMDB, TMDB, Letterboxd)
- Sneakers - Die Lautlosen (Wikipedia, IMDB, TMDB, Letterboxd)
- The Social Network (Wikipedia, IMDB, TMDB, Letterboxd)
- Snowden (Wikipedia, IMDB, TMDB, Letterboxd)
- Welt am Draht (Wikipedia, IMDB, TMDB, Letterboxd)
Serien:
- Mr. Robot (Wikipedia, IMDB, TMDB)
- Halt and Catch Fire (Wikipedia, IMDB, TMDB)
- The Billion Dollar Code (Wikipedia, IMDB, TMDB, Letterboxd)
Dokumentationen:
- Alles ist eins. außer der 0. (IMDB, Letterboxd)
- Citizenfour (Wikipedia, IMDB, TMDB, Letterboxd)
- We Steal Secrets: The Story of WikiLeaks (Wikipedia, IMDB, TMDB, Letterboxd)
- We Are Legion: The Story of the Hacktivists (Wikipedia, IMDB, TMDB, Letterboxd)
- Lo and Behold: Reveries of the Connected World (Wikipedia, IMDB, TMDB, Letterboxd)
- The Internet’s Own Boy: The Story of Aaron Swartz (Wikipedia, IMDB, TMDB, Letterboxd)
Was Ihr euch sparen könnt:
- Johnny Mnemonic
- Blackhat
- Transcendence
- Automata
- Untraceable
- “Ich bin drin”
Türchen #22: Shodan
- Die Suchmaschine Shodan.
- Shodan in anderen Medien: CNN, Forbes, Ars Technica, PCMagazine.
Türchen #21: Loveletter
- Unser Weihnachtsgruß: We love you!.
- Informationen zu Loveletter im Malwiki.
- Heise gab eine Warnmeldung heraus.
- Die Geschichte von Onel de Guzman.
- Der Spiegel über die nicht Anklage von Onel de Guzman.
- Eine Werbeagentur mach sich im Zusammenhang mit Loveletter über Windows Nutzer:innen lustig.
Türchen #20: Zero-Click-Angriffe
- Das Citizenlab macht den FORCEDENTRY Zero-Click-Exploit der NSO Group bekannt.
- Eine detailierte technische Analyse von FORCEDENTRY durch Googles Project Zero. Und eine von Trend Micro.
- Die Zeit über die NSO Group, der Spiegel über die NSO Spyware Pegasus, Heise über die NSO Group, die FAZ über die NSO Spyware Pegasus.
- Forensic Architecture dokumentiert auf eine interkativen Plattform die Aktivitäten der NSO Group.
- Amnesty International, Privacy International und das Centre for Research on Multinational Corporations über die NSO Group.
- Digital Violence: Wie die NSO Group Staatsterror möglich macht.
- Überwachung des ermordeten Journalisten Jamal Khashoggi und seines Umfelds mit NSO Spyware.
- Apple verklagt NSO, WhatsApp auch.
- In den USA wird die NSO auf die Sanktionsliste gesetzt, während in Deutschland das BKA NSO Software nutzt
- Die Hackerethik des CCC.
- Der erste und bisher einzige Transparency and Responsibility Report der NSO Group.
Türchen #19: Portscanning und Portknocking
- Die Nmap Homepage
- Nmap wird erstmalig im Phrack-Magazine vorgestellt
- Die Zmap Homepage
- portknocking.org - nur noch über die Wayback Machine des Internet Archives abzurufen
- Die knockknock Homepage
Türchen #18: Creeper und Reaper
- Informationen zu Creeper und Reaper im Malwiki
- Wikipedia über Nematoden
- Ray Tomlinson in der Internet Hall of Fame
Türchen #17: log4shell - der Security Supergau des Jahres
- Der CVE zu log4shell
- Alarmstufe Rot beim BSI
- CISA, FBI, und NSA bilden eine Arbeitsgruppe
- log4j ist extrem weit verbreitet
- Die abgesicherte Version 2.16.0 (die zuerst veröffentlichte Version 2.15.0 dichtet die Lücke nicht 100% ab)
- Die Lücke im Bild erklärt
- Unser Podcast zu Input Validation und Output Encoding
- Auch die Mainstream-Medien greifen das Thema auf: Spiegel, Spiegel , Spiegel, Zeit, Zeit, FAZ, FAZ, FAZ
- Die Lücke kann auch genutzt werden, um die Lücke zu schließen - dies empfehlen wir aber ausdrücklich nicht
Türchen #16: Vorsicht Kamera! Daktylogramme in Gefahr
- Der Vortrag von Starbug auf dem 31c3.
- Der CCC veröffentlicht Wolfgang Schäubles Fingerabdruck in der Datenschleuder.
Türchen #15: Dateien sicher übertragen mit Magic Wormhole
- XKCD über das Problem der sicheren Dateiübertragung
- Magic-Wormhole auf Github, PyPI und Read the Docs
- Magic-Wormhole wird auf der PyCon 2016 vorgestellt
- Die Go Implementation von Magic-Wormhole
Türchen #14: Der Computerwurm Morris
Türchen #13: Git Commits mit SSH-Schlüsseln signieren
- Git Release 2.34.0
- Wie Commits und Tags signiert werden können
- Jetzt auch mit SSH
- Die Probleme mit PGP
- Die öffentlichen SSH-Keys einer Gitlab-Nutzer:in finden man unter https://gitlab.com/
.keys und den einer Github-Nutzer:in unter https://github.com/.keys
Türchen #12: Der Algorithmus NONE im JWT
- Die JWT-Spezifkation (RFC 7519) über ungesicherte Tokens
- Fast alle JWT-Bibliotheken hatten keinerlei Maßnahmen gegen
none - Auth0
noneFilter konnte mit Groß-/Kleinschreibung ausgehebelt werden - JWT-Bibliotheken sprechen auch bei MACs von signieren
Türchen #11: Das Phrack-Magazin
- Das Phrack-Magazine mit der aktuellen Ausgabe Nummer 70
- Der legendäre Artikel Smashing The Stack For Fun And Profit
Türchen #10: Was bedeutet eigentlich Zero-Day?
- Zero-Day im Wired Hacker Lexicon
- Der Begriff Zero-Day in der Warez-Szene
- Zero-Days bei Filmen: die P2P-Gruppe Evo veröffentlicht regelmäßig Filme vor dem offiziellen Starttermin
- Der vorgeschlagene Standard für
security.txt -
Generator für
security.txt
Türchen #9: Verschlüsseltes UDP
- Das Paper, in dem DTLS vorgeschlagen wird
- Die DTLS 1.0 (RFC 4347) und DTLS 1.2 (RFC 6437) Spezifikationen
- Die QUIC-Spezifikationen (RFC 9000), QUIC Loss Detection and Congestion Control (RFC 9002) und TLS über QUIC (RFC 9001)
- Unsere Folge zu TLS
Türchen #8: Das BSI verschickt einen privaten Schlüssel
- Das BSI rät für die E-Mail Verschlüsselung in der Praxis: Der private Schlüssel hingegen darf nicht verloren gehen oder in fremde Hände geraten – und verschickt seinen privaten PGP Schlüssel.
- Linus Neumann dazu.
Türchen #7: Hackerparagraph
- Der Hackerparagraph.
- Die Klärung durch das Bundesverfassungsgericht.
- Stellungnahme des Chaos Computer Clubs zum Hackerparagraphen.
- Eine von mehreren Selbstanzeigen nach Inkraftreten des Hackerparagraphens.
- Strafanzeige gegen das BSI wegen „John the Ripper“.
Türchen #6: Security Engineering von Ross Anderson
- Das Buch Security Engineering
- Die Homepage von Ross Anderson mit den ersten beiden Auflagen zum kostenlosen Download
- Die Security-Experten Gary McGraw und Bruce Schneier über das Buch
Türchen #5: Signierte Cookies
- Die INNOQ Podcast Folge zu Cookies.
- Das Express Framework spricht von signierten Cookies.
- Das HMAC-Verfahren.
- EdDSA: eins von verschiedenen Signatur-Verfahren.
- Die INNOQ Security Podcast Folge zu Zertifikaten und Signaturen.
Türchen #4: Malware
- Die englischsprachige Wikipedia-Seite zu Viren, Würmern, und trojanischen Pferden.
- Virus, Worm and Trojan horse in Eric S. Raymond’s Jargon File.
- Die FAQ des BSI dazu.
- Nur einer der vielen Fälle wo der Virenschutz eine Sicherheitslücke aufreißt.
Türchen #3: Kali Linux
- Die Kali Linux Homepage.
- Liste der Sicherheitswerkzeuge von Kali Linux.
- Kali Linux unter Windows mit WLS2.
Türchen #2: Heartbleed
- Die Heartbleed Web-Seite
- XKCD erklärt Heartbleed
- Der Commit mit dem Heartbleed in OpenSSL eingeflossen ist
- Bruce Schneier über Heartbleed
- Matthew Green über Heartbleed
- LibreSSL, BoringSSL und die Core Infrastructure Initiative
Türchen #1: CIA
Feedback
Falls ihr Fragen oder Anregungen habt, schreibt uns gerne eine E-Mail an [email protected].
