0d - Zeroday

Podcast von Stefan und Sven

Deutsch

Gratis en Podimo

Mehr als 1 Million Hörer*innen

Du wirst Podimo lieben und damit bist du nicht allein

Mit 4,7 Sternen im App Store bewertet

Phone screen with podimo app open surrounded by emojis

Mehr 0d - Zeroday

Der Podcast für Informationssicherheit und Datenschutz

Alle Folgen

130 Folgen

0d127 - Sondersendung Big Brother Awards 2025

In der heutigen Sonderfolge widmen sich Stefan und Sven der Verleihung der Big Brother Awards. Komm mit zur Gala der Daten Sünden, Privatsphäre-Brüche und Datenhehlerei und verbringe mit uns einen Abend, den wir hoffentlich bald vergessen können. KONTAKT: Website: 0x0d.de [https://0x0d.de] – Email: Feedback@0x0d.de [Feedback@0x0d.de] (PGP [https://keys.openpgp.org/search?q=feedback%400x0d.de]) Mastodon: @zeroday@chaos.social [https://chaos.social/@zeroday] (Sven), @zeroday@podcasts.social [https://podcasts.social/@zeroday](Stefan) HAUSMEISTEREI * Der Termin für die “Live” Episoden-Aufnahme mit Livechat steht fest: * Freitag 21.11.2025 um 20:00 Uhr * https://owncast.onpremis.es/ [https://owncast.onpremis.es/] NEWS * 08.09.2025: You Didn’t Get Phished — You Onboarded the Attacker [https://thehackernews.com/2025/09/you-didnt-get-phished-you-onboarded.html] * Podcast-Tipp: UNFASSBAR – ein Simplicissimus Podcast: Wie Nordkorea deutsche Unternehmen infiltriert [https://pca.st/episode/4fa3daa3-6867-4058-89c0-dc1f62266f3f] * 01.10.2025: Anlasslose Massenüberwachung: Messenger Signal wird Deutschland verlassen, wenn Chatkontrolle kommt [https://netzpolitik.org/2025/anlasslose-massenueberwachung-messenger-signal-wird-deutschland-verlassen-wenn-chatkontrolle-kommt/] * 03.10.2025: Researchers Warn of Self-Spreading WhatsApp Malware Named SORVEPOTEL [https://thehackernews.com/2025/10/researchers-warn-of-self-spreading.html] * 13.10.2025: Cyberangriff auf Bundesagentur für Arbeit: Krimineller Plan scheitert [https://www.security-insider.de/cyberangriff-bundesagentur-fuer-arbeit-krimineller-plan-scheitert-a-ea6e0fc5abba0672cd8149298a99b3b8/] * Zeroday berichtete im Mai über einen Ausfall bei den Diensten der BfA: 0d123 – Fuzzing, was ist eigentlich Fuzzing? | Zeroday [https://0x0d.de/2025/05/0d123-fuzzing-was-ist-eigentlich-fuzzing/] * 10.10.2025: Datenleck bei Sonicwall: Alle Cloud-Backups von Firewalls gestohlen | heise online [https://www.heise.de/news/Datenleck-bei-Sonicwall-Alle-Cloud-Backups-von-Firewalls-gestohlen-10748910.html] * ersten Warnmeldung [https://www.heise.de/news/SonicWall-Angreifer-haben-Firewall-Backups-aus-der-Cloud-gestohlen-10662565.html] * 17.10.2025: 12 years of HDD analysis brings insight to the bathtub curve’s reliability – Ars Technica [https://arstechnica.com/gadgets/2025/10/backblaze-owner-of-317230-hdds-says-hdds-are-lasting-longer/] * Civic Education in the Age of AI: Should We Trust AI-Generated Lesson Plans? – CITE Journal [https://citejournal.org/proofing/civic-education-in-the-age-of-ai-should-we-trust-ai-generated-lesson-plans/] * Trust, T., Maloy, R., Xu, C., & Pelletier, K. (2025). Civic education in the age of AI: Should we trust AI-generated lesson plans? Contemporary Issues in Technology and Teacher Education, 25(3). https://citejournal.org/volume-25/issue-3-25/social-studies/civic-education-in-the-age-of-ai-should-we-trust-ai-generated-lesson-plans [https://citejournal.org/volume-25/issue-3-25/social-studies/civic-education-in-the-age-of-ai-should-we-trust-ai-generated-lesson-plans] THEMA: BIG BROTHER AWARDS 2025 * BigBrotherAwards [https://bigbrotherawards.de/] * Digitalcourage e.V. [https://digitalcourage.de/] * Chaos Computer Club [https://www.ccc.de/] * Deutsche Vereinigung für Datenschutz [https://www.datenschutzverein.de/] * FITUG e.V. [https://www.fitug.de/] * FIfF e.V. [https://www.fiff.de/] * Humanistische Union [https://www.humanistische-union.de/] * Internationale Liga für Menschenrechte [https://ilmr.de/] * Die Preisträger (Die Laudatios sind als Video verlinkt): * Technik: Google [https://digitalcourage.video/w/jWdySiRWEsxXX3mG31JpVm?start=19m27s] * Behörden & Verwaltung: Bundesminister des Inneren Alexander Dobrindt [https://digitalcourage.video/w/jWdySiRWEsxXX3mG31JpVm?start=32m19s] * Arbeitswelt: Verwaltungsgericht Hannover und das Bundesarbeitsgericht [https://digitalcourage.video/w/jWdySiRWEsxXX3mG31JpVm?start=48m44s] * Social Media: TicTok [https://digitalcourage.video/w/jWdySiRWEsxXX3mG31JpVm?start=1h13m20s] * jung & überwacht: soziale Exklusion durch WhatsApp; iPad-Zwang in Schulen [https://digitalcourage.video/w/jWdySiRWEsxXX3mG31JpVm?start=1h32m] * Was mich wirklich wütend macht: Bürokratieabbau [https://digitalcourage.video/w/jWdySiRWEsxXX3mG31JpVm?start=1h48m13s] * Teckids e.V. [https://teckids.org/] * Refenzierte Episoden: * 0d005 – Sonderfolge Big Brother Awards 2017 | Zeroday [https://0x0d.de/2017/05/0d005-sonderfolge-big-brother-awards-2017/] * 0d057 – Smartphones – Die Wanze in unserer Nähe | Zeroday [https://0x0d.de/2020/03/0d057-smartphones-die-wanze-in-unserer-naehe/] Aufgenommen am: 18.10.2025 Veröffentlicht am: 19.10.2025 Intro & Outro Chiptune CC BY SA 4.0 [http://creativecommons.org/licenses/by-sa/4.0/]: Pumped by ROCCOW [http://freemusicarchive.org/music/RoccoW/_1035/RoccoW_-__-_06_Pumped]Logo CC BY 2.0 [https://creativecommons.org/licenses/by/2.0/] Richard Patterson [https://www.flickr.com/photos/136770128@N07/] DISCLAIMER In diesem Podcast werden Techniken oder Hardware vorgestellt, die geeignet sind, andere Systeme anzugreifen. Dies geschieht ausschließlich zu Bildungszwecken, denn nur, wenn man die Angriffstechniken kennt, kann man sich effektiv davor schützen. Denkt immer daran, diese Techniken oder Hardware nur bei Geräten anzuwenden, deren Eigner oder Nutzer das erlaubt haben.Der unerlaubte Zugriff auf fremde Infrastruktur ist strafbar (In Deutschland §202a [https://dejure.org/gesetze/StGB/202a.html], §202b [https://dejure.org/gesetze/StGB/202b.html], §202c [https://dejure.org/gesetze/StGB/202c.html] StGB).Unsere Aussagen spiegeln ausschließlich unsere eigene individuelle Meinung wider.

19. Okt. 2025 - 2 h 9 min

0d126 - ISO 27001: Fluch oder Segen?

In der heutigen Folge erzählt uns Sven einmal etwas über die ISO 27001. Hierbei geht er auf die Details der Norm ein und was man beachten muss. Zum Schluss gibt es noch das Fazit, dass die Weltherrschaft in greifbare Nähe gerückt ist, wenn nur die technischen Probleme nicht wären.. KONTAKT: Website: 0x0d.de [https://0x0d.de] – Email: Feedback@0x0d.de [Feedback@0x0d.de] (PGP [https://keys.openpgp.org/search?q=feedback%400x0d.de]) Mastodon: @zeroday@chaos.social [https://chaos.social/@zeroday] (Sven), @zeroday@podcasts.social [https://podcasts.social/@zeroday](Stefan) HAUSMEISTEREI * ATM DNS SYSTEM… * ATM Name System Specification Version 1.0 [https://www.broadband-forum.org/download/af-saa-0069.000.pdf] * Cracking Passwords for Fun and Profit – media.ccc.de [https://media.ccc.de/v/ho25-68-cracking-passwords-for-fun-and-profit] * Stefan hat die Lotterie der MRMCD 2025 gewonnen. * Review-Link: mrmcd 2025 – How to tell your co-workers that they suck at InfoSec and actually get away with it [https://talks.mrmcd.net/2025/talk/review/PJUFXTEHLRDFS3FQAAS8ZX7EDNSPDPNW] * Wir könnten demnächst Streamen: * https://owncast.onpremis.es [https://owncast.onpremis.es] NEWS * 06.08.2025: Datenleck bei MagentaTV: Streaming-Dienst der Telekom leakt über 324 Mio. Einträge [https://cybernews.com/de/sicherheit/magentatv-leakt-324-millionen-datensatze/] * 08.08.2025: Flipper Zero: Dark-Web-Firmware hebelt Rolling-Code-Schutz moderner Autos aus [https://www.all-about-security.de/flipper-zero-dark-web-firmware-hebelt-rolling-code-schutz-moderner-autos-aus/] * 20.08.2025: Fake-Podcast-Einladungen: Cyberkriminelle locken Influencer und hochkarätige Unternehmensmitarbeiter in die Falle – datensicherheit.de [https://www.datensicherheit.de/fake-podcast-einladung-cyberkriminelle-verlockung-influencer-falle] * 21.08.2025: devolo kündigt Abschaltung der Home Control-Server an. Smart-Home-Bausteine sind weiterhin nutzbar – Presse | devolo solutions GmbH [https://www.devolo.de/ueber-devolo/presse/devolo-kuendigt-abschaltung-der-home-control-server-an-smart-home-bausteine-sind-weiterhin-nutzbar] * 0d118 – Vielseitig und sicher: Smart Home mit Home Assistant | Zeroday [https://0x0d.de/2024/11/0d118-vielseitig-und-sicher-smart-home-mit-home-assistant/] * 0d124 – Virtualisierung im Home Lab mit Proxmox | Zeroday [https://0x0d.de/2025/06/0d124-virtualisierung-im-home-lab-mit-proxmox/] * 21.08.2025: 15,8 Millionen Paypal-Passwörter geleakt: So prüfen Sie, ob Sie betroffen sind – FOCUS online [https://www.focus.de/wissen/technik/geleakte-paypal-passwoerter-so-pruefen-sie-ob-sie-betroffen-sind_2c5f648b-cdf2-4346-9734-d5f31bd6fd34.html] * 09.08.2025: Daten abgegriffen: Cyberangriff trifft Air France-KLM Group – [https://www.golem.de/news/daten-abgegriffen-cyberangriff-trifft-air-france-klm-group-2508-198992.html]Golem.de [http://golem.de] * 11.08.2025: Internet by Call: AOL beendet Service für Internet per Telefoneinwahl – [https://www.golem.de/news/internet-by-call-aol-beendet-service-fuer-internet-per-telefoneinwahl-2508-199046.html]Golem.de [http://golem.de] * 11.08.2025: Künstliche Intelligenz: Mann vergiftet sich auf Rat von ChatGPT – [https://www.golem.de/news/kuenstliche-intelligenz-mann-vergiftet-sich-auf-rat-von-chatgpt-2508-199030.html]Golem.de [http://golem.de] * 09.08.2025: Google confirms data breach exposed potential Google Ads customers‘ info [https://www.bleepingcomputer.com/news/security/google-confirms-data-breach-exposed-potential-google-ads-customers-info/] * 20.08.2025: Major password managers can leak logins in clickjacking attacks [https://www.bleepingcomputer.com/news/security/major-password-managers-can-leak-logins-in-clickjacking-attacks/] THEMA: ISO 27001: FLUCH ODER SEGEN? * ISO/IEC 27001 – Wikipedia [https://de.wikipedia.org/wiki/ISO/IEC_27001] * ISO/IEC 27002 – Wikipedia [https://de.wikipedia.org/wiki/ISO/IEC_27002] * ISO/IEC-27000-Reihe – Wikipedia [https://de.wikipedia.org/wiki/ISO/IEC-27000-Reihe] * Internationale Organisation für Normung – Wikipedia [https://de.wikipedia.org/wiki/Internationale_Organisation_f%C3%BCr_Normung] * International Electrotechnical Commission – Wikipedia [https://de.wikipedia.org/wiki/International_Electrotechnical_Commission] * DIN-Norm – Wikipedia [https://de.wikipedia.org/wiki/DIN-Norm] * DIN EN ISO/IEC 27001 – 2024-01 [https://www.dinmedia.de/de/norm/din-en-iso-iec-27001/370680635] * ISO 27001:2022 – Alle Änderungen & 11 neue Controls erklärt (2025) [https://pcg.io/de/insights/iso-27001-2022-neue-controls/] * 0d086 – Was ist ein Risiko? | Zeroday [https://0x0d.de/2021/12/0d086-was-ist-ein-risiko/] Aufgenommen am: 27.08.2025 Veröffentlicht am: 28.08.2025 Intro & Outro Chiptune CC BY SA 4.0 [http://creativecommons.org/licenses/by-sa/4.0/]: Pumped by ROCCOW [http://freemusicarchive.org/music/RoccoW/_1035/RoccoW_-__-_06_Pumped]Logo CC BY 2.0 [https://creativecommons.org/licenses/by/2.0/] Richard Patterson [https://www.flickr.com/photos/136770128@N07/] DISCLAIMER In diesem Podcast werden Techniken oder Hardware vorgestellt, die geeignet sind, andere Systeme anzugreifen. Dies geschieht ausschließlich zu Bildungszwecken, denn nur, wenn man die Angriffstechniken kennt, kann man sich effektiv davor schützen. Denkt immer daran, diese Techniken oder Hardware nur bei Geräten anzuwenden, deren Eigner oder Nutzer das erlaubt haben.Der unerlaubte Zugriff auf fremde Infrastruktur ist strafbar (In Deutschland §202a [https://dejure.org/gesetze/StGB/202a.html], §202b [https://dejure.org/gesetze/StGB/202b.html], §202c [https://dejure.org/gesetze/StGB/202c.html] StGB).Unsere Aussagen spiegeln ausschließlich unsere eigene individuelle Meinung wider.

28. Aug. 2025 - 3 h 22 min

0d125 - DNS Episode 3 (Die Rückkehr der Domain Name Services)

In der heutigen Episode dreht es sich mal wieder um DNS. Dieses Mal jedoch um die einzelnen Arten von Einträgen, die man so findet. Von A bis TXT wird alles besprochen und bis ins kleinste Detail … wen versuche ich hier was vor zu machen. Stefan hat es sich vorgenommen, alles bis ins kleinste zu erklären, ist maßlos über das Ziel geschossen und hat dann 90% rausgeworfen, um in der Zeit zu bleiben. Aber er gibt einen Überblick über die einzelnen Einträge-Typen und wofür man sie verwendet. KONTAKT: Website: 0x0d.de [https://0x0d.de] – Email: Feedback@0x0d.de [Feedback@0x0d.de] (PGP [https://keys.openpgp.org/search?q=feedback%400x0d.de]) Mastodon: @zeroday@chaos.social [https://chaos.social/@zeroday] (Sven), @zeroday@podcasts.social [https://podcasts.social/@zeroday](Stefan) NEWS * 13.06.2025: Fristlose Kündigung wegen Weiterleitung geschäftlicher E-Mails [https://www.dr-datenschutz.de/fristlose-kuendigung-wegen-weiterleitung-geschaeftlicher-e-mails/] * 04.03.2019: Bußgeld für offenen E-Mail-Verteiler [https://www.rosepartner.de/blog/bussgeld-fuer-offenen-e-mail-verteiler.html] * 13.06.2025: Deutsche Unternehmen gegen Ransomware: Acronis Cyberthreats Report [https://www.security-insider.de/deutsche-unternehmen-gegen-ransomware-acronis-cyberthreats-report-a-8aa8b91ca9161795fb3d440c8c711173/] * 0d107 – Die unterschätzte Bedrohung: Info Stealer Malware | Zeroday [https://0x0d.de/2023/07/0d107-die-unterschaetzte-bedrohung-info-stealer-malware/] * 11.7.2025: ‚123456‘ password exposed info for 64 million McDonald’s job applicants [https://www.bleepingcomputer.com/news/security/123456-password-exposed-info-for-64-million-mcdonalds-job-applicants/] * 22.07.2025: UK to ban public sector orgs from paying ransomware gangs [https://www.bleepingcomputer.com/news/security/uk-to-ban-public-sector-orgs-from-paying-ransomware-gangs/] * 26.07.2025: Chatbots: Mistral legt erschreckende Umweltbilanz für KI-Modelle vor – [https://www.golem.de/news/chatbots-mistral-legt-erschreckende-umweltbilanz-fuer-ki-modelle-vor-2507-198542.html]Golem.de [http://golem.de] * 25.07.2025: Sysadmin Day: Die verstorbene Funkmaus und andere Admin-Geschichten – Golem.de [https://www.golem.de/news/sysadmin-day-die-verstorbene-funkmaus-und-andere-admin-geschichten-2507-198479.html] * 27.07.2025: Star Trek wird Wissenschaft: Warum Forscher eine Warp-Signatur simulieren | t3n [https://t3n.de/news/star-trek-wird-wissenschaft-warum-forscher-eine-warp-signatur-simulieren-1634576/?utm_source=firefox-newtab-de-de] * 28.07.2025: Trotz Google-Update: Nächstes Pixel-Smartphone geht in Flammen auf | t3n [https://t3n.de/news/google-update-pixel-smartphone-1699567/] * THEMA: DIE RÜCKKEHR DER DOMAIN NAME SERVICES Wir reden heute über Ressource Records. Das sind die DNS-Einträge, die wir alle erstellen. Ich habe mir ein paar wenige rausgesucht, die ich interessant fand und möchte die mal eben kurz vorstellen und erklären: NameVerwendungRFCAGibt die IP4 des Hosts an RFC 1035AAAAGibt die IP6 des Hosts anRFC 3596ATMAATM Address CAACertification Authority (CA) Blockierung, die zulässige CAs für einen Host bzw. eine Domain beschränken RFC 6844CERTResource Record für das Speichern von Zertifikaten wie PKIX [https://de.wikipedia.org/wiki/X.509], SPKI [https://de.wikipedia.org/w/index.php?title=SPKI&action=edit&redlink=1] und PGP [https://de.wikipedia.org/wiki/Pretty_Good_Privacy]RFC 4398CNAMEKanonischer Name für einen Host (die Domain mit diesem RR ist ein Alias) RFC 1035DNAMEAlias für einen Namen und alle seine Subnamen. Ähnlich wie CNAME, aber anstatt eines Aliases nur für einen übereinstimmenden Namen, ist DNAME für komplette Domains zuständig. Ähnlich wie CNAME wird die Suche im DNS durch ständiges Probieren, den neuen Namen zu finden, weitergeführt.RFC 2672DNSKEYEnthält einen dem Namen zugeordneten Public-Key [https://de.wikipedia.org/wiki/%C3%96ffentlicher_Schl%C3%BCssel] und löste ab 2004 bei DNSSEC [https://de.wikipedia.org/wiki/Domain_Name_System_Security_Extensions] den Typ KEY ab.RFC 4034KEYEnthält einen dem Namen zugeordneten Public-Key [https://de.wikipedia.org/wiki/%C3%96ffentlicher_Schl%C3%BCssel] und wird seit 2004 nicht mehr von DNSSEC [https://de.wikipedia.org/wiki/Domain_Name_System_Security_Extensions] verwendet.Wurde nur für SIG(0) (RFC 2931) und TKEY (RFC 2930[21] [https://de.wikipedia.org/wiki/Resource_Record#cite_note-RFC2930-21]) verwendet.[23] [https://de.wikipedia.org/wiki/Resource_Record#cite_note-23] RFC 3445 schloss die Nutzung für Anwendungsschlüssel aus und beschränkte ihre Nutzung auf DNSSEC.[24] [https://de.wikipedia.org/wiki/Resource_Record#cite_note-24] RFC 3755 kennzeichnet DNSKEY als den Ersatz innerhalb von DNSSEC.[25] [https://de.wikipedia.org/wiki/Resource_Record#cite_note-RFC3755_sec3-25] RFC 4025 benennt IPSECKEY als Ersatz bei der Nutzung von IPsec.[26 [https://de.wikipedia.org/wiki/Resource_Record#cite_note-26]RFC 2535 und RFC 2930DSDient der Identifizierung und Verkettung DNSSEC-signierter ZonenLOCFührt einen geografischen Ort (Lokation) auf, der mit einem Domainnamen in Verbindung gebracht werden kann.MXOrdnet den für diese Domain zuständigen Mailserver [https://de.wikipedia.org/wiki/Mailserver] einer Liste von Mail Transfer Agents [https://de.wikipedia.org/wiki/Mail_Transfer_Agent] zu. RFC 1035 und RFC 7505NSHostname eines autoritativen Nameservers. Überträgt eine DNS Zone [https://de.wikipedia.org/wiki/Zone_(DNS)], um die vorgegebenen Nameserver [https://de.wikipedia.org/wiki/Domain_Name_System#Nameserver] zu nutzen. RFC 1035OPENPGPKEYVerknüpfung von OpenPGP [https://de.wikipedia.org/wiki/OpenPGP]-Schlüsseln mit DomainnamenRFC 7929PTRDomain Name Pointer zu einem kanonischen Namen für das Reverse Mapping [https://de.wikipedia.org/wiki/Reverse_DNS], um IP-Adressen Namen zuzuweisen. Im Gegensatz zu CNAME [https://de.wikipedia.org/wiki/Resource_Record#CNAME] wird die DNS-Verarbeitung beendet und lediglich der Name zurückgegeben. Die häufigste allgemeine Verwendung von PTR ist die Implementierung von Reverse Mappings, aber es wird auch für DNS-SD [https://de.wikipedia.org/w/index.php?title=Zero-configuration_networking&action=edit&redlink=1] eingesetzt. RFC 1035RPInformation über die verantwortliche(n) Person(en) für die Domain. Üblicherweise eine E-Mail-Adresse, wobei das ‚@‘ durch ein ‚.‘ ersetzt wurde.RFC 1183RRSIGEnthält eine digitale Unterschrift [https://de.wikipedia.org/wiki/Digitale_Unterschrift] für den Eintrag. Wird seit 2004 von DNSSEC [https://de.wikipedia.org/wiki/Domain_Name_System_Security_Extensions] (=DNS Security) verwendet und ersetzt das gleichformatige SIG.RFC 4034SIGEnthält eine digitale Unterschrift [https://de.wikipedia.org/wiki/Digitale_Unterschrift], die in SIG(0) (RFC 2931[37] [https://de.wikipedia.org/wiki/Resource_Record#cite_note-RFC2931-37]) und TKEY (RFC 2930[21] [https://de.wikipedia.org/wiki/Resource_Record#cite_note-RFC2930-21]) benutzt wird.[25] [https://de.wikipedia.org/wiki/Resource_Record#cite_note-RFC3755_sec3-25] SIG ist veraltet und wurde bis 2004 von DNSSEC [https://de.wikipedia.org/wiki/Domain_Name_System_Security_Extensions] (=DNS Security) verwendet. RFC 2535 nennt RRSIG als Ersatz für SIG zur Benutzung in DNSSEC.RFC 2535SMIMEAVerknüpfung von S/MIME [https://de.wikipedia.org/wiki/S/MIME]-Zertifikaten mit Domainnamen RFC 8162SOAFührt verbindliche Informationen über eine DNS-Zone [https://de.wikipedia.org/wiki/Zone_(DNS)] auf, einschließlich des Primary Nameservers, der E-Mail-Adresse des Administrators der Domäne, der Seriennummer der Domäne und Angaben über mehrere Zeitgeber in Bezug auf die Aktualisierung der Zone. RFC 1035 und RFC 2308SPFDer Eintrag SPF [https://de.wikipedia.org/wiki/Sender_Policy_Framework] soll das Fälschen der Absenderadresse einer E-Mail [https://de.wikipedia.org/wiki/E-Mail] verhindern. Es entstand als Verfahren zur Abwehr von Spam [https://de.wikipedia.org/wiki/Spam]. Der Record-Typ ist veraltet und wurde durch TXT ersetzt. NONESRVVerallgemeinernder Eintrag zu angebotenen Diensten (Services). Wird von neueren Protokollen benutzt anstatt protokollspezifische Einträge zu erstellen, wie dies bei MX der Fall ist. RFC 2782SSHFPVeröffentlichung der Fingerprints von SSH [https://de.wikipedia.org/wiki/Secure_Shell]-Schlüsseln in das DNS, um die Überprüfung der Echtheit eines Hosts zu unterstützen. RFC 6594[42] [https://de.wikipedia.org/wiki/Resource_Record#cite_note-42] definiert die ECC SSH-Schlüssel und die SHA-256 Hashes. Details sind bei der IANA [https://de.wikipedia.org/wiki/Internet_Assigned_Numbers_Authority] SSHFP RR parameters registry zu finden.[43] [https://de.wikipedia.org/wiki/Resource_Record#cite_note-43] RFC 4255TLSAEintrag nötig für das Protokoll DNS-based Authentication of Named Entities [https://de.wikipedia.org/wiki/DNS-based_Authentication_of_Named_Entities] (DANE), das dazu dient, den Datenverkehr abzusichern. RFC 6698 definiert die Nutzung des TLSA Resource Records (RR) als Verbindung eines TLS Serverzertifikates oder eines öffentlichen Schlüssels mit dem Domainnamen, wo der Eintrag gefunden wird. Die Verbindung erstellt deshalb eine „TLSA Zertifikatsverbindung“.[48] [https://de.wikipedia.org/wiki/Resource_Record#cite_note-48] RFC 6698TXTUrsprünglich erdacht für frei definierbaren und von Menschen lesbaren Text in DNS Einträgen. Seit den frühen 1990ern enthält dieser Eintrag häufig jedoch u. a. auch maschinenlesbare [https://de.wikipedia.org/wiki/Maschinenlesbarkeit] Daten wie in RFC 1464[51] [https://de.wikipedia.org/wiki/Resource_Record#cite_note-51] spezifiziert, SPF [https://de.wikipedia.org/wiki/Sender_Policy_Framework], DKIM [https://de.wikipedia.org/wiki/DomainKeys_Identified_Mail], DMARC [https://de.wikipedia.org/wiki/DMARC], DNS-SD [https://de.wikipedia.org/wiki/Zeroconf] und Google-Site Verification. RFC 1035 * Resource Record – Wikipedia [https://de.wikipedia.org/wiki/Resource_Record] * 0d037 – Domain Name System (DNS) Teil 1 | Zeroday [https://0x0d.de/2019/03/0d037-domain-name-system-dns-teil-1/] * 0d039 – Domain Name System (DNS) Teil 2 | Zeroday [https://0x0d.de/2019/04/0d039-domain-name-system-dns-teil-2/] * 0d122 – PGP per DNS | Zeroday [https://0x0d.de/2025/03/0d122-pgp-per-dns/] * Was ist DNS-Tunneling? – Palo Alto Networks [https://www.paloaltonetworks.de/cyberpedia/what-is-dns-tunneling] Aufgenommen am: 29.07.2025 Veröffentlicht am: 30.07.2025 Intro & Outro Chiptune CC BY SA 4.0 [http://creativecommons.org/licenses/by-sa/4.0/]: Pumped by ROCCOW [http://freemusicarchive.org/music/RoccoW/_1035/RoccoW_-__-_06_Pumped]Logo CC BY 2.0 [https://creativecommons.org/licenses/by/2.0/] Richard Patterson [https://www.flickr.com/photos/136770128@N07/] DISCLAIMER In diesem Podcast werden Techniken oder Hardware vorgestellt, die geeignet sind, andere Systeme anzugreifen. Dies geschieht ausschließlich zu Bildungszwecken, denn nur, wenn man die Angriffstechniken kennt, kann man sich effektiv davor schützen. Denkt immer daran, diese Techniken oder Hardware nur bei Geräten anzuwenden, deren Eigner oder Nutzer das erlaubt haben.Der unerlaubte Zugriff auf fremde Infrastruktur ist strafbar (In Deutschland §202a [https://dejure.org/gesetze/StGB/202a.html], §202b [https://dejure.org/gesetze/StGB/202b.html], §202c [https://dejure.org/gesetze/StGB/202c.html] StGB).Unsere Aussagen spiegeln ausschließlich unsere eigene individuelle Meinung wider.

30. Juli 2025 - 1 h 55 min

0d124 - Virtualisierung im Home Lab mit Proxmox

In der heutigen Episode stellt Sven das interessante Thema Proxmox vor. Hierbei handelt es sich um eine Lösung, um einen Virtualisierungs-Server zu realisieren, welche für jeden verfügbar und nutzbar ist. Natürlich lässt Sven die Sicherheits-Implikationen nicht außer acht. KONTAKT: Website: 0x0d.de [https://0x0d.de] – Email: Feedback@0x0d.de [Feedback@0x0d.de] (PGP [https://keys.openpgp.org/search?q=feedback%400x0d.de]) Mastodon: @zeroday@chaos.social [https://chaos.social/@zeroday] (Sven), @zeroday@podcasts.social [https://podcasts.social/@zeroday](Stefan) HAUSMEISTEREI * GitHub – debauchee/barrier: Open-source KVM software [https://github.com/debauchee/barrier] * GitHub – input-leap/input-leap: Open-source KVM software [https://github.com/input-leap/input-leap] NEWS * 21.05.2025: Lumma infostealer malware operation disrupted, 2,300 domains seized [https://www.bleepingcomputer.com/news/security/lumma-infostealer-malware-operation-disrupted-2-300-domains-seized/] * 0d107 – Die unterschätzte Bedrohung: Info Stealer Malware | Zeroday [https://0x0d.de/2023/07/0d107-die-unterschaetzte-bedrohung-info-stealer-malware/] * 26.05.2025: spexor von Bosch [https://www.spexor-bosch.com/de/] * FAQ Betriebsende [https://www.spexor-bosch.com/de/faq/faq-betriebsende/] * Auslegungssache 135: Datenschutz im vernetzten Auto | heise online [https://www.heise.de/hintergrund/Auslegungssache-135-Datenschutz-im-vernetzten-Auto-10419581.html] * 20.05.2025: SK Telecom says malware breach lasted 3 years, impacted 27 million numbers [https://www.bleepingcomputer.com/news/security/sk-telecom-says-malware-breach-lasted-3-years-impacted-27-million-numbers/] * 23.05.2025: Operation Endgame 2.0: 20 Haftbefehle, Hunderte Server außer Gefecht gesetzt | heise online [https://www.heise.de/news/Operation-Endgame-2-0-20-Haftbefehle-Hunderte-Server-ausser-Gefecht-gesetzt-10394215.html] * 02.06.2025: DNS-Hijacking per CNAME: Echte Domains für große Abzocke [https://www.youtube.com/watch?v=XmrsvzJEKrk] * 0d122 – PGP per DNS | Zeroday [https://0x0d.de/2025/03/0d122-pgp-per-dns/] * 0d037 – Domain Name System (DNS) Teil 1 | Zeroday [https://0x0d.de/2019/03/0d037-domain-name-system-dns-teil-1/] * 0d039 – Domain Name System (DNS) Teil 2 | Zeroday [https://0x0d.de/2019/04/0d039-domain-name-system-dns-teil-2/] * 03.06.2025: Per Coredump: Angreifer können unter Linux Passwort-Hashes abgreifen – Golem.de [https://www.golem.de/news/per-coredump-angreifer-koennen-unter-linux-passwort-hashes-abgreifen-2506-196786.html] * 02.06.2025: Nordkorea: Geschmuggeltes Smartphone zeigt staatliche Kontrolle – Golem.de [https://www.golem.de/news/nordkorea-geschmuggeltes-smartphone-zeigt-staatliche-kontrolle-2506-196766.html] * 03.06.2025: EU-Entscheidung: Interoperabilität bei iOS hemmt laut Apple Innovation – Golem.de [https://www.golem.de/news/eu-entscheidung-interoperabilitaet-bei-ios-hemmt-laut-apple-innovation-2506-196800.html] * 01.06.2025: Bundespräsident Steinmeier ehrt die Jugend forscht Bundessiegerinnen und Bundessieger 2025 [https://www.jugend-forscht.de/presse/pressemitteilungen/archiv/bundespraesident-steinmeier-ehrt-die-jugend-forscht-bundessiegerinnen-und-bundessieger-2025.html] THEMA: VIRTUALISIERUNG IM HOME LAB MIT PROXMOX * 0d118 – Vielseitig und sicher: Smart Home mit Home Assistant | Zeroday [https://0x0d.de/2024/11/0d118-vielseitig-und-sicher-smart-home-mit-home-assistant/] * IntelVT – x86-Virtualisierung – Wikipedia [https://de.wikipedia.org/wiki/X86-Virtualisierung#Intel-VT-x] * AMD-V – x86-Virtualisierung – Wikipedia [https://de.wikipedia.org/wiki/X86-Virtualisierung#AMD-V] * ZFS (Dateisystem) – Wikipedia [https://de.wikipedia.org/wiki/ZFS_(Dateisystem)] * Ceph – Wikipedia [https://de.wikipedia.org/wiki/Ceph] * Hochverfügbarkeit (mind. 3 Nodes gegen Split-Brain) [https://blog.klauke-enterprises.com/hochverf%C3%BCgbarkeit-in-proxmox-ein-technischer-leitfaden] * Home Assistant [https://www.home-assistant.io/] * AdGuard Home | Netzwerkweite Anwendung für alle Betriebssysteme: Windows, MacOS, Linux [https://adguard.com/de/adguard-home/overview.html] * Tailscale [https://tailscale.com/] Exit Node * GitHub – leiweibau/Pi.Alert [https://github.com/leiweibau/Pi.Alert] * Stirling PDF [https://www.stirlingpdf.com/] * Heimdall Application Dashboard [https://heimdall.site/] * Nextcloud [https://nextcloud.com/de/] * GitHub – Freika/dawarich: Self-hosted alternative to Google Location History (Google Maps Timeline) [https://github.com/Freika/dawarich] * Paperless-ngx [https://docs.paperless-ngx.com/] Aufgenommen am: 03.06.2025 Veröffentlicht am: 04.06.2025 Intro & Outro Chiptune CC BY SA 4.0 [http://creativecommons.org/licenses/by-sa/4.0/]: Pumped by ROCCOW [http://freemusicarchive.org/music/RoccoW/_1035/RoccoW_-__-_06_Pumped]Logo CC BY 2.0 [https://creativecommons.org/licenses/by/2.0/] Richard Patterson [https://www.flickr.com/photos/136770128@N07/] DISCLAIMER In diesem Podcast werden Techniken oder Hardware vorgestellt, die geeignet sind, andere Systeme anzugreifen. Dies geschieht ausschließlich zu Bildungszwecken, denn nur, wenn man die Angriffstechniken kennt, kann man sich effektiv davor schützen. Denkt immer daran, diese Techniken oder Hardware nur bei Geräten anzuwenden, deren Eigner oder Nutzer das erlaubt haben.Der unerlaubte Zugriff auf fremde Infrastruktur ist strafbar (In Deutschland §202a [https://dejure.org/gesetze/StGB/202a.html], §202b [https://dejure.org/gesetze/StGB/202b.html], §202c [https://dejure.org/gesetze/StGB/202c.html] StGB).Unsere Aussagen spiegeln ausschließlich unsere eigene individuelle Meinung wider.

04. Juni 2025 - 2 h 30 min

0d123 - Fuzzing, was ist eigentlich Fuzzing?

In der heutigen Episode versucht Stefan Fuzzing so zu erklären, dass bei Sven keine Fragen mehr offen bleiben. Eventuell die Frage nach den Tools könnte man ein wenig besser ausführen, aber das ist eine Frage für eine andere Episode. KONTAKT: Website: 0x0d.de [https://0x0d.de] – Email: Feedback@0x0d.de [Feedback@0x0d.de] (PGP [https://keys.openpgp.org/search?q=feedback%400x0d.de]) Mastodon: @zeroday@chaos.social [https://chaos.social/@zeroday] (Sven), @zeroday@podcasts.social [https://podcasts.social/@zeroday](Stefan) HAUSMEISTEREI: * Radio (In)Security [https://insecurity.radio.fm/] NEWS * 30.03.2025: Agentur für Arbeit kompromittiert, wichtige Online-Dienste deaktiviert [https://winfuture.de/news,149957.html] * 28.03.2025: Online-Accounts der BA aktuell nur eingeschränkt nutzbar | Bundesagentur für Arbeit [https://www.arbeitsagentur.de/presse/2025-15-online-accounts-der-ba-aktuell-nur-eingeschraenkt-nutzbar] * 29.04.2025: Erhöhung der Sicherheit in den Online-Accounts | Bundesagentur für Arbeit [https://www.arbeitsagentur.de/news/erhoehung-der-sicherheit-in-den-online-accounts] * 0d010 – Netzneutralität & Web-Session Hijacking | Zeroday [https://0x0d.de/2017/10/0d010-netzneutralitaet-web-session-hijacking/] * 0d014 – 2-Faktor-Authentifizierung & EXIF-Daten | Zeroday [https://0x0d.de/2018/02/0d014-2-faktor-authentifizierung-exif-daten/] * 27.03.2025: PhaaS actor uses DoH and DNS MX to dynamically distribute phishing [https://blogs.infoblox.com/threat-intelligence/a-phishing-tale-of-doh-and-dns-mx-abuse/] * 05.05.2025: Darcula PhaaS steals 884,000 credit cards via phishing texts [https://www.bleepingcomputer.com/news/security/darcula-phaas-steals-884-000-credit-cards-via-phishing-texts/] * 04.05.2024: Falsche DHL-Nachrichten: Wer dahinter steckt | BR24 [https://www.br.de/nachrichten/deutschland-welt/falsche-dhl-nachrichten-wer-dahinter-steckt,Uk2pzV7] * 04.05.2024: The Hunt for Darcula – Dokumentar [https://www.nrk.no/dokumentar/xl/the-hunt-for-darcula-1.17399157] * 05.05.2025: LNP522 Security by Hippocrates | Logbuch:Netzpolitik [https://logbuch-netzpolitik.de/lnp522-security-by-hippocrates] * 06.05.2025: ePA hat erneut Sicherheitslücken [https://www.security-insider.de/elektronische-patientenakte-sicherheitsluecken-a-1d83b8b0abeab522950c5ac40698c607/] * 28.04.2025: A New Kali Linux Archive Signing Key [https://www.kali.org/blog/new-kali-archive-signing-key/] * 06.05.2025: CERT-Bund [https://wid.cert-bund.de/portal/wid/buergercert/details?uuid=f03ada3f-f56f-427f-a5ff-ff86b3319466] – Warnung Schwachstelle in GIMP * 05.05.2025: Facebook-Datenleck: Betroffene können sich der Sammelklage des vzbv anschließen | Verbraucherzentrale Bundesverband [https://www.vzbv.de/pressemitteilungen/facebook-datenleck-betroffene-koennen-sich-der-sammelklage-des-vzbv-anschliessen] * 05.05.2025: Android-Sicherheitsbulletin – Mai 2025 [https://source.android.com/docs/security/bulletin/2025-05-01?hl=de] * 06.05.2025: TeleMessage: Messenger wurde doppelt gehackt und wird abgeschaltet – DER SPIEGEL [https://www.spiegel.de/netzwelt/apps/telemessage-messenger-wurde-doppelt-gehackt-und-wird-abgeschaltet-a-8c975f24-ce97-48ef-9d01-94ffb81af019] * Signal Capture | Signal Recording – TeleMessage [https://www.telemessage.com/mobile-archiver/signal-archiver#] THEMA: FUZZING, WAS IST EIGENTLICH FUZZING? * ISTQB [https://www.istqb.org/] * Link zur Fuzzing Wikipedia Seite [https://de.wikipedia.org/wiki/Fuzzing] * Glossar: * SuT AuT * black-box testing [https://glossary.istqb.org/en_US/term/black-box-testing?term=black%20box&exact_matches_first=true] * white box testing [https://glossary.istqb.org/en_US/term/white-box-testing?term=white%20box&exact_matches_first=true] * exploratory testing [https://glossary.istqb.org/en_US/term/exploratory-testing?term=explora&exact_matches_first=true] * equivalence partitioning [https://glossary.istqb.org/en_US/term/equivalence-partitioning?term=equivalence&exact_matches_first=true] * boundary value [https://glossary.istqb.org/en_US/term/boundary-value?term=value&exact_matches_first=true] * domain testing [https://glossary.istqb.org/en_US/term/domain-testing] * test automation [https://glossary.istqb.org/en_US/term/test-automation?term=automation&exact_matches_first=true] * Random Testing [https://glossary.istqb.org/en_US/term/random-testing?term=random%20test&exact_matches_first=true#] * Fuzzing [https://glossary.istqb.org/en_US/term/fuzz-testing?term=fuzzing&exact_matches_first=true] FUN & OTHER THINKS * GPN [https://entropia.de/GPN] * Hackover [https://hackover.de/] Aufgenommen am: 06.05.2025 Veröffentlicht am: 07.05.2025 Intro & Outro Chiptune CC BY SA 4.0 [http://creativecommons.org/licenses/by-sa/4.0/]: Pumped by ROCCOW [http://freemusicarchive.org/music/RoccoW/_1035/RoccoW_-__-_06_Pumped]Logo CC BY 2.0 [https://creativecommons.org/licenses/by/2.0/] Richard Patterson [https://www.flickr.com/photos/136770128@N07/] DISCLAIMER In diesem Podcast werden Techniken oder Hardware vorgestellt, die geeignet sind, andere Systeme anzugreifen. Dies geschieht ausschließlich zu Bildungszwecken, denn nur, wenn man die Angriffstechniken kennt, kann man sich effektiv davor schützen. Denkt immer daran, diese Techniken oder Hardware nur bei Geräten anzuwenden, deren Eigner oder Nutzer das erlaubt haben.Der unerlaubte Zugriff auf fremde Infrastruktur ist strafbar (In Deutschland §202a [https://dejure.org/gesetze/StGB/202a.html], §202b [https://dejure.org/gesetze/StGB/202b.html], §202c [https://dejure.org/gesetze/StGB/202c.html] StGB).Unsere Aussagen spiegeln ausschließlich unsere eigene individuelle Meinung wider.

07. Mai 2025 - 2 h 45 min

Super gut, sehr abwechslungsreich Podimo kann man nur weiterempfehlen

XeniaSoo

App Store

Super gut, sehr abwechslungsreich Podimo kann man nur weiterempfehlen

XeniaSoo

App Store

Ich liebe Podcasts, Hörbücher u. -spiele, Dokus usw. Hier habe ich genügend Auswahl. Macht 👍 weiter so

Nic. H

App Store