0d - Zeroday

In der heutigen Episode stellt Sven dem Stefan ein Werkzeug vor, mit dem man mit minimal-invasiven Möglichkeiten einen großen Bereich seiner Assets schützen kann, wenn man es denn auch richtig macht. Aber Stefan denkt wieder einmal nur an die drohende Weltherrschaft. KONTAKT: Website: 0x0d.de [https://0x0d.de]  – Email: Feedback@0x0d.de [Feedback@0x0d.de] (PGP [https://keys.openpgp.org/search?q=feedback%400x0d.de]) Mastodon: @zeroday@chaos.social [https://chaos.social/@zeroday] (Sven), @zeroday@podcasts.social [https://podcasts.social/@zeroday](Stefan) HAUSMEISTEREI * RoccoW – Pumped [https://www.youtube.com/watch?v=-pewctis5sA]  * Schwachstellen-Analyse Deiner Website | Zeroday [https://0x0d.de/schwachstellen-analyse-deiner-website/]  * Seinxon Wallet Finder – Celestial Navigator (Wireless Charging) [https://www.seinxon.com/products/seinxon-wallet-finder-celestial-navigator-wireless-charging] * Computertruhe e. V. [https://computertruhe.de] * Teilhabe für Menschen ermöglichen, die sich sonst keinen Rechner leisten könnten. * Geflüchteten Menschen bei der Integration in unsere Gesellschaft behilflich sein. * Gemeinnützige Organisationen bei ihrer Arbeit unterstützen. * Durch die Weiterverwendung funktionsfähiger Geräte und die sachgerechte Entsorgung defekter Komponenten die Umwelt schützen. * Hey Alter! [https://heyalter.com/] * Wir sammeln diese alten Rechner bei Unternehmen, Institutionen und von privaten Haushalten, machen sie fit und verteilen sie an Schülerinnen und Schüler, die bislang nicht oder nur eingeschränkt an e-Learning oder homeschooling teilnehmen konnten. So wird Kindern und Jugendlichen zu mehr Chancengleichheit verholfen. Das ist die Idee von HEY, ALTER! Alte Rechner für junge Leute. – ganz einfach. * PCs für Alle [https://www.pcsfueralle.at/] * Der gemeinnützige Verein „PCs für Alle” nimmt gebrauchte PCs, Laptops, Monitore und Zubehör in Form von Spenden entgegen. Diese Geräte werden von unserem Team aufbereitet und danach kostenlos an Schulen, karitative NGOs sowie an Menschen, die sie sich selbst nicht leisten können, übergeben. * Hardware for Future [https://hardwareforfuture.de/] * Computer Hardware für bedürftige Menschen * Wiederverwendung für den Umweltschutz * Community Arbeit Neuigkeiten und Wissenswertes  * aktives Handeln für ein allgemeines digitales Verständnis * Linux4Afrika! [https://linux4afrika.de/?lang=de] * Die Freiburger Open Source Software Initiative e. V. (kurz: FreiOSS.net) setzt sich für die Verbreitung von Open Source auf nationaler und internationaler Ebene ein. Die meisten unserer Mitglieder sind in der IT-Branche tätig. Erste Projekt-Installationen erfolgten 2006 in Mosambik und Tansania. Inzwischen haben wir darüber hinaus, gemeinsam mit zuverlässigen Partnern vor Ort, Projekte in Südafrika, Afghanistan und Kenia installiert. * Labdoo [https://www.labdoo.org/deu/de/] * Labdoo ist ein weltweites Netzwerk ehrenamtlicher Helfer*innen, das Kindern digitale Teilhabe in In- und Ausland ermöglicht. Unsere gemeinnützige Plattform steht allen Menschen weltweit offen, um nicht mehr genutzte Laptops oder Tablets mit leistungsfähiger Bildungssoftware auszustatten. Flugpaten bringen IT-Spenden CO2-neutral vor Ort und holen sie zur Reparatur oder Recycling zurück. * Digital Helpers: Computer für Bedürftige [https://reset.org/digital-helpers-computer-fuer-beduerftige-10232016/] * Digital Helpers ist eine zu 100 Prozent ehrenamtlich geführte gemeinnützige Organisation, die aussortierte Computer an sozial bedürftige Menschen in Deutschland verteilt. Die Computer sind bisher vor allem Spenden von Unternehmen, die ihre Geräte durchschnittlich alle drei Jahre austauschen.  * Neues Leben für gebrauchte Hardware – uMap [https://umap.openstreetmap.fr/de/map/neues-leben-fur-gebrauchte-hardware_728960#6/51.166/21.138] * Desktop Operating System Market Share Worldwide | Statcounter Global Stats [https://gs.statcounter.com/os-market-share/desktop/worldwide] (Linux 4.02%) * 05.03.2024: Linux market share passes 4% for first time; macOS dominance declines | Ars Technica [https://arstechnica.com/gadgets/2024/03/linux-continues-growing-market-share-reaches-4-of-desktops/] * ClamAV erkennt Platform-eigene und -Fremde Malware, da Sie hauptsächlich auf Servern und Mail-Servern zum einsatz kommt ist das auch notwendig. Es existieren nur mehr für Windows aktuell als für Linux oder MacOS (letzteres ist am Aufholen) Zusätzlich können dritt-Datenbanken eingebunden werden. * GitHub – extremeshok/clamav-unofficial-sigs: ClamAV Unofficial Signatures Updater maintained by eXtremeSHOK.com [https://github.com/extremeshok/clamav-unofficial-sigs] * ClamAV – ArchWiki [https://wiki.archlinux.org/title/ClamAV] * Signatures – ClamAV Documentation [https://docs.clamav.net/manual/Signatures.html] * Korrektur: eine Reinkammer/ein Reinraum hat meist kein Vakuum. Zusätzlich wird, solange es möglich ist, ein IMAGE erstellt. * Danke Michael für die Korrektur DATENVERLUSTE  * 02.03.2024: Bundeswehr wurde bei Diskussion über Taurus per WebEx abgehört | heise online [https://www.heise.de/news/Bundeswehr-wurde-bei-Diskussion-ueber-Taurus-per-WebEx-abgehoert-9644487.html]  * 14.03.2024: Datenleck bei Bündnis Sahra Wagenknecht: Unbekannte hatten Zugriff | heise online [https://www.heise.de/news/Buendnis-Sahra-Wagenknecht-Datenleck-von-Spenderinformationen-9654796.html] NEWS * 15.02.2024: FBI disrupts Russian Moobot botnet infecting Ubiquiti routers [https://www.bleepingcomputer.com/news/security/fbi-disrupts-russian-moobot-botnet-infecting-ubiquiti-routers/] * Putins Bären | ARD Mediathek [https://www.ardmediathek.de/film/Y3JpZDovL3N3ci5kZS9zZGIvc3RJZC8xNTg4]  * 19.02.2024: LockBit ransomware disrupted by global police operation [https://www.bleepingcomputer.com/news/security/lockbit-ransomware-disrupted-by-global-police-operation/] * 25.02.2024: LockBit ransomware returns, restores servers after police disruption [https://www.bleepingcomputer.com/news/security/lockbit-ransomware-returns-restores-servers-after-police-disruption/]  * 13.03.2024: LockBit ransomware affiliate gets four years in jail, to pay $860k [https://www.bleepingcomputer.com/news/security/lockbit-ransomware-affiliate-gets-four-years-in-jail-to-pay-860k/] * 17.02.2024: Wyze cameras let some owners see into a stranger’s home — again – The Verge [https://www.theverge.com/2024/2/16/24075369/wyze-security-camera-stranger-feeds-glitch] * 10.02.2024: Wyze says camera breach let 13,000 customers briefly see into other people’s homes – The Verge [https://www.theverge.com/2024/2/19/24077233/wyze-security-camera-breach-13000-customers-events]  * 23.02.2024: FTC Slams Avast with $16.5 Million Fine for Selling Users‘ Browsing Data [https://thehackernews.com/2024/02/ftc-slams-avast-with-165-million-fine.html]  * 07.03.2024: Flipper Zero WiFi phishing attack can unlock and steal Tesla cars [https://www.bleepingcomputer.com/news/security/flipper-zero-wifi-phishing-attack-can-unlock-and-steal-tesla-cars/]  * 13.03.2024: Microsoft: Classic Outlook bekommt Schonfrist bis 2029 – Golem.de [https://www.golem.de/news/microsoft-classic-outlook-bekommt-schonfrist-bis-2029-2403-183151.html] * 12.03.2024: Never-before-seen Linux malware gets installed using 1-day exploits | Ars Technica [https://arstechnica.com/security/2024/03/never-before-seen-linux-malware-gets-installed-using-1-day-exploits/] * DWARF – Wikipedia [https://en.wikipedia.org/wiki/DWARF] * 04.03.2024: Switch emulator makers agree to pay $2.4 million to settle Nintendo lawsuit | Ars Technica [https://arstechnica.com/gaming/2024/03/switch-emulator-makers-agree-to-pay-2-4-million-to-settle-nintendo-lawsuit/] * 11.03.2024: Here’s how the makers of the “Suyu” Switch emulator plan to avoid getting sued | Ars Technica [https://arstechnica.com/gaming/2024/03/heres-how-the-makers-of-the-suyu-switch-emulator-plan-to-avoid-getting-sued/] * 13.03.2024: Teilautomatisiertes Fahren: Studie deckt Probleme bei assistiven Fahrfunktionen auf – Golem.de [https://www.golem.de/news/insurance-institute-for-highway-safety-studie-deckt-probleme-bei-assistiven-fahrfunktionen-auf-2403-183122.html] * Safeguards For Partial Driving Automation Test Protocol and Rating Guidelines Version I [https://www.iihs.org/media/d01ff4e0-50ba-4199-8e0f-c1ef8c3b18e1/ql-Ovw/Ratings/Protocols/current/automation_safeguards_test_and_rating_protocol_V1.pdf] (PDF) THEMA: ATTACK SURFACE MANAGEMENT (ASM) * Was ist Attack Surface Management? | Tenable® [https://de.tenable.com/source/attack-surface-management] * Was ist Angriffsflächenmanagement? | IBM [https://www.ibm.com/de-de/topics/attack-surface-management]  * Autonomous System [https://de.wikipedia.org/wiki/Autonomes_System] Numbers (ASN, AS Numbers) Open Source  ASM & OSINT Platforms: * Sniper – GitHub – 1N3/Sn1per: Attack Surface Management Platform [https://github.com/1N3/Sn1per]  * Spiderfoot – SpiderFoot automates OSINT for threat intelligence and mapping your attack surface. [https://github.com/smicallef/spiderfoot]  * Alienvault OTX- https://otxalienvault.com/ [https://otx.alienvault.com/]  * Attack Surface Mapper- AttackSurfaceMapper is a tool that aims to automate the reconnaissance process. [https://github.com/superhedgy/AttackSurfaceMapper]  * Attack Surface Analyzer – GitHub – microsoft/AttackSurfaceAnalyzer: Attack Surface Analyzer can help you analyze your operating system’s security configuration for changes during software installation. [https://github.com/microsoft/AttackSurfaceAnalyzer]   * Attack Surface Framework- GitHub – vmware-labs/attack-surface-framework [https://github.com/vmware-labs/attack-surface-framework]  * Attack Surface and OSINTTools List – hasr00t/Frameworthy [https://github.com/hasr00t/Frameworthy]  Attack-Surface-Management-Lösungen: 9 Tools, um Ihre Angriffsfläche zu managen [https://www.csoonline.com/de/a/9-tools-um-ihre-angriffsflaeche-zu-managen,3674546]  0d092 – All your public data are belong to us – Open Source Intelligence | Zeroday [https://0x0d.de/2022/03/0d092-all-your-public-data-are-belong-to-us-open-source-intelligence/] Svens Lieblings-OSINT-Tools | Zeroday [https://0x0d.de/svens-lieblings-osint-tools/] WhatRuns [https://www.whatruns.com/] FUN & OTHER THINKS * Pi-Tag – Wikipedia [https://de.wikipedia.org/wiki/Pi-Tag] * Mowing down demons: DOOM comes to Husqvarna smart lawnmowers [https://www.bleepingcomputer.com/news/technology/mowing-down-demons-doom-comes-to-husqvarna-smart-lawnmowers/] * Everything runs DOOM: Texas Instruments-Rechner [https://www.ticalc.org/archives/files/fileinfo/419/41975.html], ein Drucker [https://www.wired.com/2014/09/doom-printer/], Geldautomaten [https://www.youtube.com/watch?v=PW5ELKTivbE] und ein digitaler Schwangerschaftstest [https://twitter.com/Foone/status/1302820468819288066?lang=en] ! * Um Papier zu sparen: Sparkasse Bremen verschickt 15.000 USB-Sticks mit AGB | heise online [https://www.heise.de/news/Um-Papier-zu-sparen-Sparkasse-Bremen-verschickt-15-000-USB-Sticks-mit-AGB-9641628.html]  Aufgenommen am: 14.03.2024 Veröffentlicht am: 15.03.2024 Intro & Outro Chiptune  CC BY SA 4.0 [http://creativecommons.org/licenses/by-sa/4.0/]: Pumped by ROCCOW [http://freemusicarchive.org/music/RoccoW/_1035/RoccoW_-__-_06_Pumped]Logo CC BY 2.0 [https://creativecommons.org/licenses/by/2.0/] Richard Patterson [https://www.flickr.com/photos/136770128@N07/]  DISCLAIMER In diesem Podcast werden Techniken oder Hardware vorgestellt, die geeignet sind, andere Systeme anzugreifen. Dies geschieht ausschließlich zu Bildungszwecken, denn nur, wenn man die Angriffstechniken kennt, kann man sich effektiv davor schützen. Denkt immer daran, diese Techniken oder Hardware nur bei Geräten anzuwenden, deren Eigner oder Nutzer das erlaubt haben.Der unerlaubte Zugriff auf fremde Infrastruktur ist strafbar (In Deutschland §202a [https://dejure.org/gesetze/StGB/202a.html], §202b [https://dejure.org/gesetze/StGB/202b.html], §202c [https://dejure.org/gesetze/StGB/202c.html] StGB).Unsere Aussagen spiegeln ausschließlich unsere eigene Meinung wider.

In der heutigen Episode gibt Stefan Tipps, wie Ihr aus Versehen gelöschte Daten wieder bekommen könntet. Natürlich gibt es auch die typischen News, Datenverluste und Abschweifungen. Immerhin haben die Jungs einen Ruf zu Verlieren. KONTAKT: Website: 0x0d.de [https://0x0d.de]  – Email: Feedback@0x0d.de [Feedback@0x0d.de] (PGP [https://keys.openpgp.org/search?q=feedback%400x0d.de]) Mastodon: @zeroday@chaos.social [https://chaos.social/@zeroday] (Sven), @zeroday@podcasts.social [https://podcasts.social/@zeroday](Stefan) HAUSMEISTEREI * Mr Mood im App Store [https://apps.apple.com/de/app/mr-mood/id557107386]  DATENVERLUSTE  * 07.02.2024: Alle Grundbesitzer offen im Netz: So groß war das Datenleck in Lörrach [https://www.swr.de/swraktuell/datenleck-loerrach-alle-grundbesitzer-betroffen-100.html]  * 02.02.2024: AnyDesk Incident Response 2-2-2024 [https://anydesk.com/en/public-statement-2-2-2024] * 05.02.2024: AnyDesk Incident Response 5-2-2024 [https://anydesk.com/en/public-statement#09] *  04.02.2024: Kundendaten von Anydesk zum Verkauf angeboten | heise online [https://www.heise.de/news/Kundendaten-von-Anydesk-zum-Verkauf-angeboten-9617991.html]  * 13.02.2024: WinStar: Daten der größten Casino-App der Welt im Netz [https://tarnkappe.info/artikel/it-sicherheit/datenschutz/winstar-daten-der-groessten-casino-app-der-welt-im-netz-289243.html] NEWS * 30.01.2024: Cybergefahren: So schützen Sie sich [https://www.aargauerzeitung.ch/wirtschaft/kriminalitaet-die-zahnbuersten-greifen-an-das-sind-die-aktuellen-cybergefahren-und-so-koennen-sie-sich-schuetzen-ld.2569480?reduced=true] (Aargauer Zeitung) * 08.02.2024: DDoS-Attacke durch Millionen Zahnbürsten hat nicht stattgefunden – IT-Security – derStandard.at › Web [https://www.derstandard.at/story/3000000206595/ddos-attacke-durch-millionen-zahnbuersten-hat-nicht-stattgefunden] * 03.02.2024: Mastodon Vulnerability Allows Hackers to Hijack Any Decentralized Account [https://thehackernews.com/2024/02/mastodon-vulnerability-allows-hackers.html] * 15.02.2024:  Remote user impersonation and takeover [https://github.com/mastodon/mastodon/security/advisories/GHSA-3fjr-858r-92rw]  * 09.02.2024: Canada to ban the Flipper Zero to stop surge in car thefts [https://www.bleepingcomputer.com/news/security/canada-to-ban-the-flipper-zero-to-stop-surge-in-car-thefts/] * 07.02.2024: Chinese hackers hid in US infrastructure network for 5 years [https://www.bleepingcomputer.com/news/security/chinese-hackers-hid-in-us-infrastructure-network-for-5-years/] * 07.02.2024: Chinese hackers fail to rebuild botnet after FBI takedown [https://www.bleepingcomputer.com/news/security/chinese-hackers-fail-to-rebuild-botnet-after-fbi-takedown/]  * 03.02.2024: Breaking Bitlocker – Bypassing the Windows Disk Encryption [https://www.youtube.com/watch?v=wTl4vEednkQ&] * 04.02.20222: Umgehung von BitLocker mit TPM | 0xffd700 [https://0xffd700.com/umgehung-von-festplattenverschl%C3%BCsselung-mit-trusted-platform-module-am-beispiel-von-bitlocker] * 09.02.2024: Schwarzfahrer und Co.: Kritik nach KI-Versuch in Londons U-Bahn – news.ORF.at [https://orf.at/stories/3348219/] * 14.02.2024: Ende-zu-Ende-Verschlüsselung durch Urteil EU-weit geschützt [https://tarnkappe.info/artikel/netzpolitik/ende-zu-ende-verschluesselung-durch-urteil-eu-weit-geschuetzt-289301.html] * 13.02.2024: Mythos vom sicheren Mac: Warum es nicht stimmt [https://tarnkappe.info/artikel/it-sicherheit/mythos-vom-sicheren-mac-warum-es-nicht-stimmt-289247.html] THEMA: JÄGER DES VERLORENEN BYTES Testdisk [https://www.cgsecurity.org/wiki/TestDisk]; Testdisk-Doku [https://www.cgsecurity.org/testdisk_doc/] Aufgenommen am: 15.02.2024 Veröffentlicht am: 16.02.2024 Intro & Outro Chiptune  CC BY SA 4.0 [http://creativecommons.org/licenses/by-sa/4.0/]: Pumped by ROCCOW [http://freemusicarchive.org/music/RoccoW/_1035/RoccoW_-__-_06_Pumped]Logo CC BY 2.0 [https://creativecommons.org/licenses/by/2.0/] Richard Patterson [https://www.flickr.com/photos/136770128@N07/]  DISCLAIMER In diesem Podcast werden Techniken oder Hardware vorgestellt, die geeignet sind, andere Systeme anzugreifen. Dies geschieht ausschließlich zu Bildungszwecken, denn nur, wenn man die Angriffstechniken kennt, kann man sich effektiv davor schützen. Denkt immer daran, diese Techniken oder Hardware nur bei Geräten anzuwenden, deren Eigner oder Nutzer das erlaubt haben.Der unerlaubte Zugriff auf fremde Infrastruktur ist strafbar (In Deutschland §202a [https://dejure.org/gesetze/StGB/202a.html], §202b [https://dejure.org/gesetze/StGB/202b.html], §202c [https://dejure.org/gesetze/StGB/202c.html] StGB).Unsere Aussagen spiegeln ausschließlich unsere eigene Meinung wider.

In der heutigen Episode erklärt Sven, was es mit der Phrase “Zero Trust” in der Informationssicherheit zu tun hat und wieso diese gerade in der heutigen Zeit immer mehr an Bedeutung gewinnt. Zusätzlich erhält Stefan neuen Lesestoff von Sven. KONTAKT: Website: 0x0d.de [https://0x0d.de]  – Email: Feedback@0x0d.de [Feedback@0x0d.de] (PGP [https://keys.openpgp.org/search?q=feedback%400x0d.de]) Mastodon: @zeroday@chaos.social [https://chaos.social/@zeroday] (Sven), @zeroday@podcasts.social [https://podcasts.social/@zeroday](Stefan) HAUSMEISTEREI * Perplexity, wie heisst der grüne Pacman Geist? [https://www.perplexity.ai/search/wie-heisst-der-LCLCu3cHRkmOVS8H73Kt9Q?s=c]  * FreeTube [https://freetubeapp.io/]  * 02.01.2024: Google Groups is ending support for Usenet to combat spam [https://www.bleepingcomputer.com/news/google/google-groups-is-ending-support-for-usenet-to-combat-spam/] * https://support.google.com/groups/answer/11036538?hl=de [https://support.google.com/groups/answer/11036538?hl=de]  * Einrichten eines Newsgruppen-Kontos | Hilfe zu Thunderbird [https://support.mozilla.org/de/kb/newsgruppen-konto-einrichten] * Stimmungsjournal-App Mr Moodd (iOS) [https://apps.apple.com/de/app/mr-mood/id557107386] DATENVERLUSTE  * 14.01.2024: Labor hit by major government data breach, millions of files stolen from key departments [https://thewest.com.au/politics/labor/labor-hit-by-major-government-data-breach-millions-of-files-stolen-from-key-departments-c-13219900] * 19.01.2024:  Vans, North Face owner says ransomware breach affects 35 million people [https://www.bleepingcomputer.com/news/security/vans-north-face-owner-says-ransomware-breach-affects-35-million-people/]  * 19.01.2024: Microsoft Actions Following Attack by Nation State Actor Midnight Blizzard | MSRC Blog [https://msrc.microsoft.com/blog/2024/01/microsoft-actions-following-attack-by-nation-state-actor-midnight-blizzard/] * 24.01.2024: HPE: Russian hackers breached its security team’s email accounts [https://www.bleepingcomputer.com/news/security/hpe-russian-hackers-breached-its-security-teams-email-accounts/] NEWS * 11.01.2024: Bitwarden adds passkey support to log into web password vaults [https://www.bleepingcomputer.com/news/security/bitwarden-adds-passkey-support-to-log-into-web-password-vaults/] * 0d109 – Passwörter sind tot, hoch leben Passkeys | Zeroday [https://0x0d.de/2023/11/0d109-passwoerter-sind-tot-hoch-leben-passkeys/] * 0d094 – Welchen Passwort-Manager soll ich nutzen? | Zeroday [https://0x0d.de/2022/04/0d094-welchen-passwort-manager-soll-ich-nutzen/] * 02.11.2023: Passwort-Manager: Bitwarden unterstützt jetzt Passkeys | heise online [https://www.heise.de/news/Passwort-Manager-Bitwarden-ruestet-Passkey-Unterstuetzung-nach-9351260.html]  * 11.01.2024: Bitwarden to launch passkey management [https://bitwarden.com/de-DE/blog/bitwarden-passkey-management/]  * 24.01.2024: Firefox: Passkey-Unterstützung und Sicherheitsfixes | heise online [https://www.heise.de/news/Firefox-Passkey-Unterstuetzung-und-Sicherheitsfixes-9606909.html]  * 13.01.2024: Hacker spins up 1 million virtual servers to illegally mine crypto [https://www.bleepingcomputer.com/news/security/hacker-spins-up-1-million-virtual-servers-to-illegally-mine-crypto/] * 19.01.2024: TeamViewer abused to breach networks in new ransomware attacks [https://www.bleepingcomputer.com/news/security/teamviewer-abused-to-breach-networks-in-new-ransomware-attacks/]  * 20.01.2024: BreachForums hacking forum admin sentenced to 20 years supervised release [https://www.bleepingcomputer.com/news/security/breachforums-hacking-forum-admin-sentenced-to-20-years-supervised-release/]  * 17.01.2024: Inkognito-Modus von Chrome: Google gibt zu, dass Daten gesammelt werden [https://tarnkappe.info/artikel/it-sicherheit/datenschutz/inkognito-modus-von-chrome-google-gibt-zu-dass-daten-gesammelt-werden-287712.html] * 15.01.2024: Julian Assange: Berufungsverfahren findet im Februar statt [https://tarnkappe.info/artikel/leaks/julian-assange-berufungsverfahren-findet-im-februar-statt-287579.html] * 18.01.2024: Modern Solution: IT-Experte wegen Nutzung einer Zugriffssoftware verurteilt – Golem.de [https://www.golem.de/news/modern-solution-it-experte-wegen-nutzung-einer-zugriffssoftware-verurteilt-2401-181296.html] THEMA: ZERO TRUST * Wikipedia: Zero Trust Security [https://de.wikipedia.org/wiki/Zero_Trust_Security] * Linux Magazin: Zero Trust: Theorie und Praxis [https://www.linux-magazin.de/ausgaben/2022/04/zero-trust-security/] * Zero Trust Architecture (NIST) [https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf]  * BSI – Zero Trust [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Zero-Trust/zero-trust.html]  Aufgenommen am: 25.01.2024 Veröffentlicht am: 26.01.2024 Intro & Outro Chiptune  CC BY SA 4.0 [http://creativecommons.org/licenses/by-sa/4.0/]: Pumped by ROCCOW [http://freemusicarchive.org/music/RoccoW/_1035/RoccoW_-__-_06_Pumped]Logo CC BY 2.0 [https://creativecommons.org/licenses/by/2.0/] Richard Patterson [https://www.flickr.com/photos/136770128@N07/]  DISCLAIMER In diesem Podcast werden Techniken oder Hardware vorgestellt, die geeignet sind, andere Systeme anzugreifen. Dies geschieht ausschließlich zu Bildungszwecken, denn nur, wenn man die Angriffstechniken kennt, kann man sich effektiv davor schützen. Denkt immer daran, diese Techniken oder Hardware nur bei Geräten anzuwenden, deren Eigner oder Nutzer das erlaubt haben.Der unerlaubte Zugriff auf fremde Infrastruktur ist strafbar (In Deutschland §202a [https://dejure.org/gesetze/StGB/202a.html], §202b [https://dejure.org/gesetze/StGB/202b.html], §202c [https://dejure.org/gesetze/StGB/202c.html] StGB).Unsere Aussagen spiegeln ausschließlich unsere eigene Meinung wider.

ZUSAMMENFASSUNG  Zur heutigen Episode hat sich Stefan einen Monat lang nur Linux gegeben und ein reines Linux Telefon ausgeliehen und ausschließlich genutzt, wovon er Sven erzählt und die Fahne für Linux on Mobile hoch hält, während Sven wehement behauptet, dass der Status von Linux auf Smartphones dem Stand von Linux auf Desktops vor 10 bis 20 Jahren entspricht. Ketzerei, sagt da Stefan und holt die Federn zum Kitzeln raus. KONTAKT: Website: 0x0d.de [https://0x0d.de/]  – Email: Feedback@0x0d.de [Feedback@0x0d.de] (PGP [https://keys.openpgp.org/search?q=feedback%400x0d.de]) Mastodon: @zeroday@chaos.social [https://chaos.social/@zeroday] (Sven), @zeroday@podcasts.social [https://podcasts.social/@zeroday](Stefan) HAUSMEISTEREI * Nextcloud Office [https://nextcloud.com/de/office/] DATENVERLUSTE  * 04.12.2023: 23andMe data breach: Hackers accessed data of 6.9 million users [https://www.fox13seattle.com/news/23andme-data-breach-hackers-accessed-data-of-6-9-million-users] * 06.12.2023: Millions of patient scans and health records spilling online thanks to decades-old protocol bug [https://techcrunch.com/2023/12/06/medical-scans-health-records-dicom-pacs-security/] * 10.01.2020: A billion medical images are exposed online, as doctors ignore warnings [https://techcrunch.com/2020/01/10/medical-images-exposed-pacs/] NEWS * 01.12.2023: ownCloud Sicherheitslücke wird aktiv ausgenutzt – LinuxNews [https://linuxnews.de/owncloud-sicherheitsluecke-wird-aktiv-ausgenutzt/]  * 29.11.2023: Scans zu kritischer Sicherheitslücke in ownCloud-Plugin [https://www.heise.de/news/Scans-zu-kritischer-Sicherheitsluecke-in-ownCloud-Plugin-9542895.html] * CVE-2023-49103 [https://nvd.nist.gov/vuln/detail/CVE-2023-49103] * CVE-2023-49104 [https://nvd.nist.gov/vuln/detail/CVE-2023-49104] * CVE-2023-49105 [https://nvd.nist.gov/vuln/detail/CVE-2023-49105] * 21.11.2023: Users can make external storage mount points inaccessible for other users (CVE-2023-48239) [https://github.com/nextcloud/security-advisories/security/advisories/GHSA-f962-hw26-g267] * 08.12.2023: Einzelhändler sind kaum auf Cyberangriffe vorbereitet [https://www.security-insider.de/einzelhaendler-sind-kaum-auf-cyberangriffe-vorbereitet-a-10bb69b129bb6809c539782173e0d1c9/] * 29.11.2023: Hacker missbrauchen Dropbox als Angriffsmethode [https://www.security-insider.de/hacker-missbrauchen-dropbox-als-angriffsmethode-a-4c57bc9e823b0fade5cc2652d2092074/] * 19.11.2023: Alarmierende Studie: KI kann Passwörter anhand VR-Gesten erraten [https://t3n.de/news/studie-vr-ki-passwoerter-gesten-erraten-1589322/] THEMA: LINUX ON MOBILE * openSUSE – Wikipedia [https://de.wikipedia.org/wiki/OpenSUSE] * Debian – Wikipedia [https://de.wikipedia.org/wiki/Debian] * Mobian [https://mobian-project.org/] * Droidian [https://droidian.org/] * Droidian devices [https://devices.droidian.org/#/devices/sargo/] * https://github.com/droidian-images/droidian/releases/tag/droidian%2Fbookworm%2F26 [https://github.com/droidian-images/droidian/releases/tag/droidian%2Fbookworm%2F26] * Linux Phone Apps [https://linuxphoneapps.org/] * Xiaomi POCO F1 (xiaomi-beryllium) – postmarketOS [https://wiki.postmarketos.org/wiki/Xiaomi_POCO_F1_(xiaomi-beryllium)] * Purism– Librem 5 [https://puri.sm/products/librem-5/] * Pixel 3a – Wikipedia [https://en.wikipedia.org/wiki/Pixel_3a] * Ubuntu Touch [https://ubuntu-touch.io/] * Flare – Schmiddi on Mobile [https://gitlab.com/schmiddi-on-mobile/flare] * Signal aarch64 Flatpak [https://elagost.com/flatpak/] * A collection of tips on how to install and use Droidian on the Xiaomi Mi A2 (jasmine) [https://github.com/thomashastings/droidian-jasmine-guide] * TUTORIAL: Using ssh and scp – Phones (Librem 5) – Purism community [https://forums.puri.sm/t/tutorial-using-ssh-and-scp/13080] * How to use flathub-beta – Tutorials and Tips [https://discourse.flathub.org/t/how-to-use-flathub-beta/2111] * Kasts – KDE Applications [https://apps.kde.org/kasts/] * https://source.puri.sm/sebastian.krzyszkowiak/linux-next/-/commit/e100b77cc1ff54a30bd22ffe8c91cc374adef35a [https://source.puri.sm/sebastian.krzyszkowiak/linux-next/-/commit/e100b77cc1ff54a30bd22ffe8c91cc374adef35a] * https://source.puri.sm/sebastian.krzyszkowiak/linux-next/-/commit/583514afc8d8db4597bfcb2af895ece66b8ef6d1 [https://source.puri.sm/sebastian.krzyszkowiak/linux-next/-/commit/583514afc8d8db4597bfcb2af895ece66b8ef6d1] * Docked mode – Librem 5 Community Wiki [https://source.puri.sm/Librem5/community-wiki/-/wikis/Troubleshooting/Docked-mode] * Librem5 / firmware-tps6598x-nonfree · GitLab [https://source.puri.sm/Librem5/firmware-tps6598x-nonfree#debugging] * Librem 5 hubs / docks [https://forums.puri.sm/t/librem-5-hubs-docks/14981] * Mobile data stops working, outgoing packets still sent but incoming packets no longer arrive (#328) · Issues · Librem5 / OS-issues · GitLab [https://source.puri.sm/Librem5/OS-issues/-/issues/328] * Librem 5 Schematics [https://source.puri.sm/Librem5/l5-schematic/-/blob/master/l5_schematic_block_diagram.pdf];  FUN AND OTHER THINKS * Kuketz-Blog Empfehlungen zu Custom ROMs [https://www.kuketz-blog.de/empfehlungsecke/#custom-rom] * Android: GrapheneOS, CalyxOS und Co. unter der Lupe – Custom-ROMs Teil1 [https://www.kuketz-blog.de/android-grapheneos-calyxos-und-co-unter-der-lupe-custom-roms-teil1/] * WhatWeather [https://play.google.com/store/apps/details?id=com.kolov.weatherstation&hl=de] Aufgenommen am: 08.12.2023 Veröffentlicht am: 09.12.2023 Intro & Outro Chiptune  CC BY SA 4.0 [http://creativecommons.org/licenses/by-sa/4.0/]: Pumped by ROCCOW [http://freemusicarchive.org/music/RoccoW/_1035/RoccoW_-__-_06_Pumped] Logo CC BY 2.0 [https://creativecommons.org/licenses/by/2.0/] Richard Patterson [https://www.flickr.com/photos/136770128@N07/]  DISCLAIMER In diesem Podcast werden Techniken oder Hardware vorgestellt, die geeignet sind, andere Systeme anzugreifen. Dies geschieht ausschließlich zu Bildungszwecken, denn nur, wenn man die Angriffstechniken kennt, kann man sich effektiv davor schützen. Denkt immer daran, diese Techniken oder Hardware nur bei Geräten anzuwenden, deren Eigner oder Nutzer das erlaubt haben.Der unerlaubte Zugriff auf fremde Infrastruktur ist strafbar (In Deutschland §202a [https://dejure.org/gesetze/StGB/202a.html], §202b [https://dejure.org/gesetze/StGB/202b.html], §202c [https://dejure.org/gesetze/StGB/202c.html] StGB).Unsere Aussagen spiegeln ausschließlich unsere eigene Meinung wider.

In der heutigen Episode berichtet Sven über seine Erkenntnisse über Passkeys, was sie sind, wozu sie dienen, was Vor- und Nachteile sind und wem er sie empfehlen, bzw. über eine Empfehlung nachdenken würde. Stefan versucht währenddessen, die Weltherrschaft an sich zu reißen… KONTAKT: Website: 0x0d.de [https://0x0d.de]  – Email: Feedback@0x0d.de [Feedback@0x0d.de] (PGP [https://keys.openpgp.org/search?q=feedback%400x0d.de]) Mastodon: @zeroday@chaos.social [https://chaos.social/@zeroday] (Sven), @zeroday@podcasts.social [https://podcasts.social/@zeroday](Stefan) HAUSMEISTEREI * SPF Authentication for Mails eingerichtet * Sender Policy Framework – Wikipedia [https://de.wikipedia.org/wiki/Sender_Policy_Framework] * DomainKeys Identified Mail – Wikipedia [https://de.wikipedia.org/wiki/DomainKeys_Identified_Mail]   * Bitburner [https://danielyxie.github.io/bitburner/] (Game) DATENVERLUSTE  * 14.11.2023: Datenleck: „Mein Justizpostfach“ gewährt Dritten Datenzugriff – netzpolitik.org [https://netzpolitik.org/2023/datenleck-mein-justizpostfach-gewaehrt-dritten-datenzugriff/] * Lage der Nation zu Digitalisierung * LdN301 „Keine weiteren Fragen“ – Digitalisierung der deutschen Verwaltung, Teil 1 – Lage der Nation [https://lagedernation.org/podcast/ldn301-keine-weiteren-fragen-digitalisierung-der-deutschen-verwaltung-teil-1/] * LdN302 Baustellen & Lösungen – Digitalisierung der deutschen Verwaltung, Teil 2 – Lage der Nation [https://lagedernation.org/podcast/ldn302-baustellen-loesungen-digitalisierung-der-deutschen-verwaltung-teil-2/] * 16.11.2023: Toyota confirms breach after Medusa ransomware threatens to leak data [https://www.bleepingcomputer.com/news/security/toyota-confirms-breach-after-medusa-ransomware-threatens-to-leak-data/]  * 23.11.2023: Datenleck beim Bauhaus-Shop legte Bestellungen von Plus Card-Inhabern offen [https://www.borncity.com/blog/2023/11/22/datenleck-beim-bauhaus-shop-verriet-bestellungen-von-plus-card-inhabern/] * 23.11.2023: Via Maestro: Angreifer stehlen Millionenbetrag von Commerzbank-Konten – Golem.de [https://www.golem.de/news/via-maestro-angreifer-stehlen-millionenbetrag-von-commerzbank-konten-2311-179684.html] * Episode 107 [https://0x0d.de/2023/07/0d107-die-unterschaetzte-bedrohung-info-stealer-malware/] NEWS * 06.09.2023: Toyota says filled disk storage halted Japan-based factories [https://www.bleepingcomputer.com/news/security/toyota-says-filled-disk-storage-halted-japan-based-factories/]  *  07.10.2023: Thousands of Android devices come with unkillable backdoor preinstalled | Ars Technica [https://arstechnica.com/security/2023/10/thousands-of-android-devices-come-with-unkillable-backdoor-preinstalled/]  * 03.11.2023: Einstufung von Sicherheitslücken: Der CVSS-4.0-Standard ist da | heise online [https://www.heise.de/news/Einstufung-von-Sicherheitsluecken-Der-CVSS-4-0-Standard-ist-da-9352555.html]  * 19.10.2023: Google-hosted malvertising leads to fake Keepass site that looks genuine | Ars Technica [https://arstechnica.com/security/2023/10/google-hosted-malvertising-leads-to-fake-keepass-site-that-looks-genuine/] * 0d104 – Mehr Sicherheit mit dem Windows Paketmanager winget | Zeroday [https://0x0d.de/2023/03/0d104-mehr-sicherheit-mit-dem-windows-paketmanager-winget/] * 17.10.2023: Malicious Notepad++ Google ads evade detection for months [https://www.bleepingcomputer.com/news/security/malicious-notepad-plus-plus-google-ads-evade-detection-for-months/]  * 08.09.2023: Cloud-Anwendungen – Hacker-Angriff auf Microsoft war gravierend | tagesschau.de [https://www.tagesschau.de/investigativ/swr/microsoft-outlook-e-mails-sicherheitsluecke-hacker-100.html] * 21.11.2023: Microsoft-Netzwerke: Das große Security-Desaster in der IT – Golem.de [https://www.golem.de/news/microsoft-netzwerke-das-grosse-security-desaster-in-der-it-2311-179535.html] * 23.11.2023: Für Google-Konten: Malware kann wohl abgelaufene Sitzungscookies reaktivieren – Golem.de [https://www.golem.de/news/fuer-google-konten-malware-kann-wohl-abgelaufene-sitzungscookies-reaktivieren-2311-179697.html] * Per Fingerabdruck: Biometrie-Log-in von Dell, Lenovo und Microsoft geknackt – Golem.de [https://www.golem.de/news/per-fingerabdruck-biometrie-log-in-von-dell-lenovo-und-microsoft-geknackt-2311-179693.html] * 0d006 – Biometrie und Ergo Proxy | Zeroday [https://0x0d.de/2017/06/0d006-biometrie-und-ergo-proxy/]  * Der Vortrag von Blackwing Intelligence zu dem Thema ist auf Youtube [https://www.youtube.com/watch?v=gjvu-l6vKFE] * 20.11.2023: „Fachkräfte“ am Werk: Glasfaserkabel mit Panzerband geflickt – Unternehmen nicht erreichbar [https://www.come-on.de/luedenscheid/fachkraefte-am-werk-glasfaserkabel-mit-panzerband-geflickt-unternehmen-nicht-erreichbar-92681015.html] THEMA: PASSWÖRTER SIND TOT, HOCH LEBEN PASSKEYS * WebAuthn.io [https://webauthn.io/]  * Web Authentication: An API for accessing Public Key Credentials – Level 3 [https://w3c.github.io/webauthn/]  * Passkey (authentication) – Wikipedia [https://en.wikipedia.org/wiki/Passkey_(authentication)]  * Warum Passkeys? * 0d003 – Passwörter & Passwort-Manager | Zeroday [https://0x0d.de/2017/03/0d003-passwoerter-passwort-manager/] * 0d014 – 2-Faktor-Authentifizierung & EXIF-Daten | Zeroday [https://0x0d.de/2018/02/0d014-2-faktor-authentifizierung-exif-daten/] * 0d088 – Wie sicher ist 2-Faktor- Authentifizierung heutzutage wirklich? | Zeroday [https://0x0d.de/2022/01/0d088-wie-sicher-ist-2-faktor-authentifizierung-heutzutage-wirklich/] * 0d099 – Das Business mit Euren Passwörtern | Zeroday [https://0x0d.de/2022/12/0d099-das-business-mit-euren-passwoertern/] * Zeitliche Entwicklung und Akteure * Support WebAuthn Passkeys – Mozilla Connect [https://connect.mozilla.org/t5/ideas/support-webauthn-passkeys/idi-p/14069] ) * Passkeys.directory [https://passkeys.directory/]  * Was ist ein  Passkey? * Was ist ein Passkey und wie funktioniert er? – Dashlane-Blog [https://www.dashlane.com/blog/de/was-ist-ein-passkey-und-wie-funktioniert-er] * Verwenden von Passkeys zum Anmelden bei Apps und Websites auf dem iPhone – Apple Support (DE) [https://support.apple.com/de-de/guide/iphone/iphf538ea8d0/ios] * Sign in with a passkey instead of a password – Google Account Help [https://support.google.com/accounts/answer/13548313#remove_passkey&zippy=%2Cpasskey-entfernen]   * Unterschied WebAuthn und Passkeys? * WebAuthn vs Passkeys [https://blog.passwordless.id/webauthn-vs-passkeys]  * Sicherheit von Passkeys * Informationen zur Sicherheit von Passkeys – Apple Support (DE) [https://support.apple.com/de-de/102195] * Nachteile: * Researchers figure out how to bypass the fingerprint readers in most Windows PCs | Ars Technica [https://arstechnica.com/gadgets/2023/11/researchers-beat-windows-hello-fingerprint-sensors-with-raspberry-pi-and-linux/] Aufgenommen am: 30.11.2023 Veröffentlicht am: 30.11.2023 Intro & Outro Chiptune  CC BY SA 4.0 [http://creativecommons.org/licenses/by-sa/4.0/]: Pumped by ROCCOW [http://freemusicarchive.org/music/RoccoW/_1035/RoccoW_-__-_06_Pumped]Logo CC BY 2.0 [https://creativecommons.org/licenses/by/2.0/] Richard Patterson [https://www.flickr.com/photos/136770128@N07/]  DISCLAIMER In diesem Podcast werden Techniken oder Hardware vorgestellt, die geeignet sind, andere Systeme anzugreifen. Dies geschieht ausschließlich zu Bildungszwecken, denn nur, wenn man die Angriffstechniken kennt, kann man sich effektiv davor schützen. Denkt immer daran, diese Techniken oder Hardware nur bei Geräten anzuwenden, deren Eigner oder Nutzer das erlaubt haben.Der unerlaubte Zugriff auf fremde Infrastruktur ist strafbar (In Deutschland §202a [https://dejure.org/gesetze/StGB/202a.html], §202b [https://dejure.org/gesetze/StGB/202b.html], §202c [https://dejure.org/gesetze/StGB/202c.html] StGB).Unsere Aussagen spiegeln ausschließlich unsere eigene Meinung wider.