Look for any podcast host, guest or anyone
Showing episodes and shows of

Andreas Noack

Shows

RisikozoneRisikozoneDear reviewer, ignore all previous instructions... Viktor Garske E-Mail Homepage LinkedIn Twitter Andreas Noack Dienst-E-Mail-Adresse In der heutigen Episode diskutieren Prof. Dr. Andreas Noack und Viktor Garske über einen Prompt-Injection-Angriff, der in akademischen Papers vor Kurzem aufgetaucht ist. Darüber hinaus geht es um den Angriff PerfectBlue sowie weitere Supply-Chain-Attacks. Shownotes BleepingComputer: WordPress Gravity Forms developer hacked to push backdoored plugins (11.07.2025) PerfektBlue BleepingComputer: VSXPloit – The zero-day that could’ve compromised every Cursor and Windsurf user (11.07.2025) Nikkei Asia: ‚Positive review only‘: Researchers hide AI prompts in papers (01.07.2025) Nature: Scientists hide messages in papers to game AI peer review (11.07.2025) Ye et al.: Are We There Yet...2025-07-1629 minRisikozoneRisikozoneUnsicheres Bluetooth und sicheres Rust Viktor Garske E-Mail Homepage LinkedIn Twitter Andreas Noack Dienst-E-Mail-Adresse In der 77. Episode der Risikozone sprechen Prof. Dr. Andreas Noack und Viktor Garske über aktuelle Nachrichten aus der IT-Sicherheit über Let’s Encrypt, diskutieren (mal wieder) über QUIC, berichten (mal wieder) über Sicherheitslücken in Bluetooth und widmen sich der Programmiersprache Rust. Shownotes Let’s Encrypt: Expiration Notification Service Has Ended (26.06.2025) Heise Online: Zero-Day: Bluetooth-Lücke macht Millionen Kopfhörer zu Abhörstationen (26.06.2025) Rust Rust Book Hinweise Die im Podcast erwähnten Methoden und Werkzeuge für Angriffe dienen ausschließlich dem Bildungszweck zur Verbesserung de...2025-07-0429 minRisikozoneRisikozoneSRE-iously down Viktor Garske E-Mail Homepage LinkedIn Twitter Andreas Noack Dienst-E-Mail-Adresse In der 76. Episode des Risikozone-Podcasts reden Prof. Dr. Andreas Noack und Viktor Garske über den Ausfall von Google Cloud vergangene Woche, das große Feld des Site Reliability Engineerings und warum LLMs wahrscheinlich nur mittelklassige Arbeitskräfte sind. Shownotes The Register: Google Cloud caused outage by ignoring its usual code quality protections (16.06.2025) Google SRE Buch Hinweise Die im Podcast erwähnten Methoden und Werkzeuge für Angriffe dienen ausschließlich dem Bildungszweck zur Verbesserung der IT-Sicherheit. Es wird ausdrücklich angemerkt, dass u. a. das Aus...2025-06-1825 minRisikozoneRisikozoneZurückgerufen! Fragen zu SIP und Caller ID Viktor Garske E-Mail Homepage LinkedIn Twitter Andreas Noack Dienst-E-Mail-Adresse In Episode 75 antworten Prof. Dr. Andreas Noack und Viktor Garske aus Fragen aus der letzten Folge. Es geht insbesondere um Caller ID in SIP sowie die Besonderheiten von Providern wie QoS. Darüber hinaus geht es um eine kürzlich entdeckte Datenschutzlücke im Mobilfunk-SIP bei einem Provider. Shownotes Kommentar von Zoy zu Episode 74 Hinweise Die im Podcast erwähnten Methoden und Werkzeuge für Angriffe dienen ausschließlich dem Bildungszweck zur Verbesserung der IT-Sicherheit. Es wird ausdrücklich angemerkt, dass u. a. das Ausspäh...2025-06-0440 minRisikozoneRisikozoneSIP Happens: No Contact, No Service Viktor Garske E-Mail Homepage LinkedIn Twitter Andreas Noack Dienst-E-Mail-Adresse Hendrik Wedhorn (sipgate) Jannik Volkland (sipgate) Gabriel Gegenhuber (Uni Wien) Linkedin Email Website Twitter In der 74. Episode des Institutspodcasts Risikozone begrüßen Prof. Dr. Andreas Noack und Viktor Garske drei Gäste: Hendrik Wedhorn und Jannik Volkland von sipgate sowie Gabriel Gegenhuber von der Universität Wien/SBA Research. Das Team gibt einen Einblick, wie es in den vergangenen Monaten eine Störung bei der VoLTE-Migration des MVNOs untersucht hat, die in der Offenlegung der Schwachstelle CVE-2025-20647 beim Baseband-Hersteller MediaTek mündete. Nach einer Einführung in das vom Impleme...2025-05-211h 32RisikozoneRisikozoneFunkstille, Funktricks und FOSS Viktor Garske E-Mail Homepage LinkedIn Twitter Andreas Noack Dienst-E-Mail-Adresse In der heutigen Episode diskutieren Prof. Dr. Andreas Noack und Viktor Garske über drei Themen: die Abschaltung von Skype, die Airborne-Angriffe auf AirPlay sowie die Rückkehr von Redis als freie Software. Shownotes Skype-Abschaltung (05.05.2025) Oligo Security: Airborne: Wormable Zero-Click Remote Code Execution (RCE) in AirPlay Protocol Puts Apple & IoT Devices at Risk (29.04.2025) Redis is now available under the AGPLv3 open source license (01.05.2025) Namensnennung Die Hintergrundmusik wurde uns freundlicherweise von Jason Shawn von Audionautix.com unter der CC-BY-4.0-Lizenz bereitgestellt! Hinweise Di...2025-05-0726 minRisikozoneRisikozone47-Tage-Zertifikate und CVE-Finanzierung Viktor Garske E-Mail Homepage LinkedIn Twitter Andreas Noack Dienst-E-Mail-Adresse In der 72. Episode des Risikozone-Podcasts stellen Prof. Dr. Andreas Noack und Viktor Garske die neue 47-Tage-Zertifikate vor und reden über den Hack des Imageboards 4chan. Im Hauptthema geht es um die Finanzierung der Organisation, die für die Verwaltung der CVEs und CWEs zuständig ist. Diese Finanzierung drohte vergangene Woche abrupt zu enden. Die beiden Hosts diskutieren die Auswirkungen und die Rolle der CVEs. Shownotes CVE-Funding Ausgelaufen, Verlängert Bleeping Computer: SSL/TLS certificate lifespans reduced to 47 days by 2029 (14.05.2025) Bleeping Computer: Infamous message board 4chan taken down...2025-04-2335 minRisikozoneRisikozoneCloud Nine oder Cloud Nein? Viktor Garske E-Mail Homepage LinkedIn Twitter Andreas Noack Dienst-E-Mail-Adresse In der heutigen Episode diskutieren Prof. Dr. Andreas Noack und Viktor Garske über die Cloud und die aktuellen Auswirkungen auf den Betrieb von Clouds. Wie können Unternehmen oder Verbraucher vor etwaigen Ausfällen sich wappnen? Welche Alternativen gibt es? Namensnennung Die Hintergrundmusik wurde uns freundlicherweise von Jason Shawn von Audionautix.com unter der CC-BY-4.0-Lizenz bereitgestellt! Hinweise Die im Podcast erwähnten Methoden und Werkzeuge für Angriffe dienen ausschließlich dem Bildungszweck zur Verbesserung der IT-Sicherheit. Es wird ausdrücklich angemer...2025-04-0939 minRisikozoneRisikozoneEinführung in die sichere Programmierung Viktor Garske E-Mail Homepage LinkedIn Twitter Andreas Noack Dienst-E-Mail-Adresse Heute reden Prof. Dr. Andreas Noack und Viktor Garske über ein Thema, das schon öfter gewünscht wurde: sichere Programmierung. Es geht einerseits um Fehlerquellen durch Buffer Overflows und Arithmetic Overflows und andererseits um Schutzmöglichkeiten wie sichere(re) Funktionen in C sowie Mitigations in Betriebssystemen, um bösartige Auswirkungen abzuschwächen. Shownotes OpenBSD Innovations Namensnennung Die Hintergrundmusik wurde uns freundlicherweise von Jason Shawn von Audionautix.com unter der CC-BY-4.0-Lizenz bereitgestellt! Hinweise Die im Podcast erwähnten Methoden und Werkzeu...2025-03-2639 minRisikozoneRisikozoneVon Monopolen und Monokulturen Viktor Garske E-Mail Homepage LinkedIn Twitter Andreas Noack Dienst-E-Mail-Adresse In dieser Episode diskutieren Prof. Dr. Andreas Noack und Viktor Garske über die Nachricht, dass im Firefox-Browser Nutzungsbedingungen eingeführt werden. Es geht um die Frage, wie vielfältig die Welt der Webbrowser sein sollte und welche Risiken entstehen, wenn nur noch ein Browser existiert. Darüber hinaus geht es in der Nachrichtensektion um LLMs, die Secrets aus Trainingsdaten verinnerlicht haben. Shownotes Mozilla Blog: Introducing a terms of use and updated privacy notice for Firefox (26.02.2025) GitHub: mozilla / bedrock Commit mit der Entfernung der Passagen (26.02.2025) X: Kritik von eine...2025-03-1233 minRisikozoneRisikozoneOpenSSH-Lücke und Secret Handling in Software Viktor Garske E-Mail Homepage LinkedIn Twitter Andreas Noack Dienst-E-Mail-Adresse In der 68. Episode des Risikozone-Podcasts diskutieren Prof. Dr. Andreas Noack und Viktor Garske zwei aktuelle Sicherheitslücken in OpenSSH, gehen auf den aktuellen Stand bei Manifest v3 ein und reden über Angriffe auf Ende-zu-Ende-Verschlüsselung. Im Hauptthema der Episode geht es um sichere Programmierung, d. h. woran man unter anderem denken muss, wenn man Secrets im Speicher verarbeiten möchte. Namensnennung Die Hintergrundmusik wurde uns freundlicherweise von Jason Shawn von Audionautix.com unter der CC-BY-4.0-Lizenz bereitgestellt! Hinweise Die im Podcast erwähnten...2025-02-2639 minRisikozoneRisikozoneOCSP und Sicherheit von Repositories Viktor Garske E-Mail Homepage LinkedIn Twitter Andreas Noack Dienst-E-Mail-Adresse In der 67. Episode des Risikozone-Podcasts greifen Prof. Dr. Andreas Noack und Viktor Garske eine Nutzerfrage über OCSP bei Zertifikaten auf und anschließend gehen auf die Sicherheit von Repositories ein. Das umfasst insbesondere das Verlieren von Secrets in Repositories und wie man dann vorgehen sollte. Shownotes Wikipedia: OCSP-Stapling GitHub Secret Scanning GitHub: trufflehog/trufflehog git filter-branch, git gc Namensnennung Die Hintergrundmusik wurde uns freundlicherweise von Jason Shawn von Audionautix.com unter der CC-BY-4.0-Lizenz bereitgestellt! Hinweise Die im Podcast erwähnt...2025-02-1239 minRisikozoneRisikozoneEinstieg in Zertifikate und X.509 Viktor Garske E-Mail Homepage LinkedIn Twitter Andreas Noack Dienst-E-Mail-Adresse In der heutigen Episode geht es wieder einmal ins technische Detail: Prof. Dr. Andreas Noack und Viktor Garske reden darüber, was die Aufgabe von Zertifikaten ist und wie die verbreiteten X.509-Zertifikate, die in TLS und S/MIME eingesetzt werden, aufgebaut sind. Shownotes Wikipedia: X.509, ASN.1, PKCS, PEM ITU: X.509 RFC 5280 (Mai 2008) Podcast-Empfehlung: RFCE016 – Crypto for the Masses II (16. Juli 2018) Hinweise Die im Podcast erwähnten Methoden und Werkzeuge für Angriffe dienen ausschließlich dem Bildungszweck zur Verbesserung der IT-Sicherheit. Es wird ausdrü...2025-01-2942 minRisikozoneRisikozoneSicherheit und Forschung im Mobilfunk: Von IMSI-Catchern, MobileAtlas, VoWiFi und statischen Schlüsseln Viktor Garske E-Mail Homepage LinkedIn Twitter Andreas Noack Dienst-E-Mail-Adresse Adrian Dabrowski (Gast) Email Website Gabriel Gegenhuber (Gast) Linkedin Email Website Twitter In der 65. Episode des Risikozone-Podcasts begrüßen die beiden Hosts Prof. Dr. Andreas Noack und Viktor Garske vom ISMK zwei bekannte Mobilfunkexperten als Gäste: Dr. Adrian Dabrowski (FH Campus Wien) und Gabriel Gegenhuber (Universität Wien). Die Grundlagen der Sicherheit des Mobilfunks werden aus verschiedenen Perspektiven beleuchtet. Am Beispiel des IMSI-Catchers geht es um die Authentifizierung in den unterschiedlichen Mobilfunkgenerationen und die sich ergebenden Schwachstellen. Anschließend stellen die Gäste ihr Forschungsprojekt MobileAtlas vor. Die geographisch vertei...2025-01-151h 33RisikozoneRisikozoneWas 2025 wichtig wird Viktor Garske E-Mail Homepage LinkedIn Twitter Andreas Noack Dienst-E-Mail-Adresse Mit Episode 64 feiert der Risikozone-Podcast ein „rundes Jubiläum“ hinsichtlich der Zweierpotenz. Da die Episode passenderweise am 01. Januar 2025 veröffentlicht wird, blicken Prof. Dr. Andreas Noack und Viktor Garske in die Glaskugel, was in diesem Jahr alles Security-mäßig voraussichtlich passieren wird. Neben einem Gedankenspiel von Let’s Encrypt zu deutlich verkürzten Zertifikatslaufzeiten geht es auch um den neuen Anlauf zur Vorratsdatenspeicherung und den Fokus auf die Speicherung von Quelladressen. Shownotes Let’s Encrypt: A Note from our Executive Director (11.12.2024) Bundestag: Kontroverse um eine Mindest­speicherung von IP-Adresse...2025-01-011h 01RisikozoneRisikozoneSuchst Du noch oder chattest Du schon? Viktor Garske E-Mail Homepage LinkedIn Twitter Andreas Noack Dienst-E-Mail-Adresse In der letzten Episode des Jahres 2024 blicken Prof. Dr. Andreas Noack und Viktor Garske auf die vergangenen Wochen und Monate zurück. Bevor Sie das aber tun, geht es vorher noch um einige aktuelle Nachrichten: OCSP wird demnächst bei Let’s Encrypt abgeschaltet, Angreifer nutzen unsichere Scripts im Zusammenhang mit GitHub Actions aus und abgekürzte Hashes erhöhen das Risiko von Kollisionen. Darüber hinaus wird vom Trend berichtet, dass die Funktionalität von Suchmaschinen zunehmend durch Chatbots ergänzt wird. Shownotes Bloomberg Businessweek: Early Adopeters...2024-12-1850 minRisikozoneRisikozoneVerpflichtender Zweitschlüssel für das Auto? Viktor Garske E-Mail Homepage LinkedIn Twitter Andreas Noack Dienst-E-Mail-Adresse In der heutigen Episode redet Prof. Dr. Andreas Noack mit Viktor Garske über die Sicherheit von Fahrzeugschlüsseln, insbesondere die Risiken zentralisierter Schnittstellen für das Ausstellen von „Zweitschlüsseln“, wie sie vermehrt für Ermittlungen gefordert werden. Darüber hinaus geht es um einen Rückblick auf CPU-Bugs, da in der Branche momentan viele Veränderungen geschehen. Weiterhin wurde ein erster UEFI-Bootkit entdeckt, der spezifisch für Linux entwickelt wurde. Fast schon unbemerkt bleibt dabei, dass ChatGPT zwei Jahre alt wurde. Shownotes Intel: Intel Announces Retirement of CEO Pat Ge...2024-12-0445 minRisikozoneRisikozoneMACsec, Mesh und mal wieder Mail-Spoofing Viktor Garske E-Mail Homepage LinkedIn Twitter Andreas Noack Dienst-E-Mail-Adresse In der heutigen Episode greifen Prof. Dr. Andreas Noack und Viktor Garske die Themen der letzten Wochen auf. Sie beleuchten die Entwicklung der WLAN-Sicherheitsstandards und diskutieren den praktischen Einsatz von Mesh-VPNs wie Tailscale. Ein spannender CTF zu Prompt Injections ist der heutige Linktipp, während auch Andreas‘ Setup mit MACsec und 802.1X besprochen wird. In der Nachrichtensektion geht es um Mail-Spoofing, die DFN-CA, bösartige PyPI und neue Sicherheitsfunktionen wie iOS 18.1. Namensnennung Die Hintergrundmusik wurde uns freundlicherweise von Jason Shawn von Audionautix.com unter der CC-BY-4.0-Liz...2024-11-201h 00RisikozoneRisikozoneWie funktionieren AirTags und Find My? - mit Alexander Heinrich Viktor Garske E-Mail Homepage LinkedIn Twitter Andreas Noack Dienst-E-Mail-Adresse Alexander Heinrich Email Website In dieser Episode präsentieren wir den zweiten der beiden Teile des Interviews mit Alexander Heinrich vom Secure Mobile Networking Lab der TU Darmstadt. Alex hat sich umfangreich mit Protokollen für drahtlose Kommunikation innerhalb des Apple-Ökosystems beschäftigt und berichtet von seinen bisherigen Projekten aus seiner Promotionszeit. Nach der Einführung in AWDL in Episode 59 geht es diesmal um sein Hauptforschungsgebiet, das Find-My-Netzwerk von Apple. Wir reden mit ihm über die Entstehung von Find My, die ersten AirTags sowie die Forschungsprojekte OpenHaystack und AirGuard. Die Ep...2024-11-061h 03RisikozoneRisikozoneSicherheit von AirDrop & Co. - mit Alexander Heinrich Viktor Garske E-Mail Homepage LinkedIn Twitter Andreas Noack Dienst-E-Mail-Adresse Alexander Heinrich (Gast) Email Website In dieser Episode präsentieren wir den ersten der beiden Teile des Interviews mit Alexander Heinrich vom Secure Mobile Networking Lab der TU Darmstadt. Alex hat sich umfangreich mit Protokollen für drahtlose Kommunikation innerhalb des Apple-Ökosystems beschäftigt und berichtet von seinen bisherigen Projekten vor und aus seiner Promotionszeit. Im ersten Teil des Interviews geht es um Apple Wireless Direct Link (AWDL) und BLE sowie darauf aufbauende Protokolle für AirDrop, Handoff und Continuity. Der zweite Teil in Episode 60 wird dann von seinem Haupt...2024-10-2354 minRisikozoneRisikozoneLücken, Passkeys und Firewalls Viktor Garske E-Mail Homepage LinkedIn Twitter Andreas Noack Dienst-E-Mail-Adresse In der heutigen Episode reden Prof. Dr. Andreas Noack und Viktor Garske über eine aktuelle Lücke in CUPS, wie man sich vor solchen oder ähnlichen Angriffen architektonisch besser schützen kann, Fortschritte bei Memory Safety Bugs und Passkeys. Darüber hinaus geht es noch um die IT-Sicherheitskonferenz, die aktuell läuft. Shownotes CUPS-Lücke Werbung: IT-Sicherheitskonferenz Namensnennung Die Hintergrundmusik wurde uns freundlicherweise von Jason Shawn von Audionautix.com unter der CC-BY-4.0-Lizenz bereitgestellt! Hinweise Die im Podcast erwähnten Methoden...2024-10-0939 minRisikozoneRisikozoneQUIC not quick enough? Viktor Garske E-Mail Homepage LinkedIn Twitter Andreas Noack Dienst-E-Mail-Adresse In der heutigen Episode diskutieren Prof. Dr. Andreas Noack und Viktor Garske über das Paper „QUIC is not Quick Enough over Fast Internet“, das zeigt und die Gründe eruiert, warum viele Implementierungen für das Netzwerkprotokoll QUIC, auf dem auch HTTP/3 basiert, Ihre Stärken noch nicht ausnutzen können. Gleichzeitig geht es um bisherige Erfahrungen mit QUIC. Shownotes Zhang et al.: QUIC is not Quick Enough over Fast Internet RFC 9000 Namensnennung Die Hintergrundmusik wurde uns freundlicherweise von Jason Shawn von Audionautix.com unter der...2024-09-1125 minRisikozoneRisikozoneVon der Handarbeit zur Automatisierung Viktor Garske E-Mail Homepage LinkedIn Twitter Andreas Noack Dienst-E-Mail-Adresse In der heutigen Episode sprechen Prof. Dr. Andreas Noack und Viktor Garske ein Dauerthema in der IT-Branche an: Automatisierung. Es geht darum, welche Automatisierungswerkzeuge üblicherweise insbesondere bei virtuellen Maschinen eingesetzt werden und wie sie funktionieren. Hierbei wird auf die Werkzeuge und Erfahrungen mit Vagrant und Ansible beispielhaft eingegangen. Shownotes Vagrant Ansible Namensnennung Die Hintergrundmusik wurde uns freundlicherweise von Jason Shawn von Audionautix.com unter der CC-BY-4.0-Lizenz bereitgestellt! Hinweise Die im Podcast erwähnten Methoden und Werkzeuge für Angriffe die...2024-08-2831 minRisikozoneRisikozoneLöst KI die Forschung ab? Viktor Garske E-Mail Homepage LinkedIn Twitter Andreas Noack Dienst-E-Mail-Adresse In der heutigen sommerlichen Episode geht es um eine Vielzahl von verschiedenen Themen. Prof. Dr. Andreas Noack und Viktor Garske reden über Platform Decay und die Entscheidung von Stack Overflow über die freie Veröffentlichung von Dumps, Schnittstellen für Adblocker, die Folgen, wenn tausende Zertifikate schnell getauscht werden müssen und die Sorge, dass die Technologie überreguliert wird. Anschließend diskutieren beide über die Chancen und Herausforderungen bei der Forschung mit KI und ob dadurch Forschung schwieriger wird. Shownotes Wikipedia: Platform Decay / Enshittification Stack Overflow: Announcing a change...2024-08-1947 minRisikozoneRisikozoneDer wohl größte Computerausfall der Geschichte Viktor Garske E-Mail Homepage LinkedIn Twitter Andreas Noack Dienst-E-Mail-Adresse In der 53. Episode des Risikozone-Podcasts geht es um das Thema, das die letzten Wochen dominiert hat: der Computerausfall, der mit CrowdStrike in Verbindung stand. Darüber hinaus reden Prof. Dr. Andreas Noack und Viktor Garske über die Abschaltung von OCSP bei Let’s Encrypt (und was OCSP eigentlich ist) sowie Bluetooth-Tracking. Shownotes UC San Diego Today: A Simple Firmware Update Completely Hides a Device’s Bluetooth Fingerprint (10.07.2024) Wikipedia: 2024 CrowdStrike incident Let’s Encrypt: Intent to End OCSP Service (23.07.2024) Fallstricke beim Einsatz von NTP und verschlüsseltem DNS (30.12.2022) Namens...2024-07-3135 minRisikozoneRisikozoneEine Lücke kommt selten allein Viktor Garske E-Mail Homepage LinkedIn Twitter Andreas Noack Dienst-E-Mail-Adresse In der heutigen Episode geht es aus aktuellem Anlass um noch mehr Sicherheitslücken. Prof. Dr. Andreas Noack und Viktor Garske stellen eingangs eine weitere OpenSSH-Sicherheitslücke im RegreSSHion-Stil wie in der letzten Episode vor. Viktor erläutert dann eine Studie über das Rust-for-Linux-Projekt. Andreas beschreibt anschließend die Problematik rund um die BlastRADIUS-Attacke. Darüber hinaus gibt es weitere Tipps und Tricks und Anekdoten. Shownotes Heise Online: OpenSSH: Weitere RegreSSHion-artige Lücke entdeckt (10.07.2024) Li et al.: An Empirical Study of Rust-for-Linux: The Success, Dissatisfaction, and Compromise (USENIX...2024-07-1735 minRisikozoneRisikozoneOpenSSH-Sicherheitslücke RegreSSHion Viktor Garske E-Mail Homepage LinkedIn Twitter Andreas Noack Dienst-E-Mail-Adresse In der heutigen Episode widmen sich Prof. Dr. Andreas Noack und Viktor Garske der aktuellen OpenSSH-Lücke RegreSSHion. Es geht darum, wie diese Lücke entstehen konnte und was man als Programmierer tun kann, um solche Schwachstellen zu verhindern. Shownotes Qualys Security Advisory: regreSSHion CVE-2024-6387 (01.07.2024) M. Zalwewski: Delivering Signals for Fun and Profit (2001) man page: signal-safety(7) Namensnennung Die Hintergrundmusik wurde uns freundlicherweise von Jason Shawn von Audionautix.com unter der CC-BY-4.0-Lizenz bereitgestellt! Hinweise Die im Podcast erwähnten Met...2024-07-0346 minRisikozoneRisikozone50 Episoden Risikozone und Vorstellung des ISMK Viktor Garske E-Mail Homepage LinkedIn Twitter Andreas Noack Dienst-E-Mail-Adresse 50 Episoden Risikozone! Prof. Dr. Andreas Noack und Viktor Garske blicken heute auf die vergangenen Episoden zurück, die in knapp zwei Jahren entstanden sind und stellen das neue Zuhause für den Podcast, das Institut für sichere mobile Kommunikation (ISMK), vor. Darüber hinaus geht es um Feedback zu bisherigen Episoden sowie das Thema Gewitter. Shownotes M. Gülker: Warum der EuGH nicht die Anonymität im Internet begraben hat (24.05.2024) Risikozone Suche Institut für sichere mobile Kommunikation Namensnennung Die Hintergrundmusik wurde uns freundl...2024-06-1944 minRisikozoneRisikozoneSichere Passwortspeicherung, mDNS und Desktop-Tracker Viktor Garske E-Mail Homepage LinkedIn Twitter Andreas Noack Dienst-E-Mail-Adresse In der 49. Episode des Risikozone-Podcasts reden Prof. Dr. Andreas Noack und Viktor Garske über die Möglichkeiten, wie man einfach lokal DNS umsetzen kann und wie Entwickler von Webanwendungen sensible Daten wie Passwörter sicherer speichern können. Darüber hinaus geht es auch um aktuellen Nachrichten wie die fritz.box-Domain, Windows Recall und einen großen Leak von Nutzerdaten. Namensnennung Die Hintergrundmusik wurde uns freundlicherweise von Jason Shawn von Audionautix.com unter der CC-BY-4.0-Lizenz bereitgestellt! Hinweise Die im Podcast erwähnten M...2024-06-0544 minRisikozoneRisikozoneComeback der Vorratsdatenspeicherung? - mit Prof. Dr. Stephan G. Humer Viktor Garske E-Mail Homepage LinkedIn Twitter Andreas Noack Dienst-E-Mail-Adresse Stephan G. Humer (Gast) Twitter Website In der 48. Episode des Risikozone-Podcasts geht es um ein Thema, das schon fast als vergessen galt, im Rahmen eines neuen EuGH-Urteils aber wieder an Bedeutung gewinnt: die Vorratsdatenspeicherung (VDS). Prof. Dr. Andreas Noack und Viktor Garske besprechen hierzu heute die technischen Hintergründe und haben als Gast Prof. Dr. Stephan G. Humer von der Hochschule Fresenius eingeladen, um darüber hinaus über die Debatte und gesellschaftlichen Auswirkungen zu diskutieren. Shownotes Wikipedia: Vorratsdatenspeicherung in Deutschland Netzpolitik.org: EuGH-Urteil zur Vorratsdatenspeicherung – „Traurige Wende beim Sc...2024-05-221h 30RisikozoneRisikozoneBösartige Jobinterviews, HDMI-Kabel und USB-Sticks Viktor Garske E-Mail Homepage LinkedIn Twitter Andreas Noack Dienst-E-Mail-Adresse In der heutigen Episode tauschen sich Prof. Dr. Andreas Noack und Viktor Garske über aktuelle Themen aus der IT-Sicherheitswelt aus. Darunter: Cybersicherheit in Autos, Bösartiges Jobinterviews, HDMI-Kabel und USB-Sticks, Passkeys und Platform Decay. Namensnennung Die Hintergrundmusik wurde uns freundlicherweise von Jason Shawn von Audionautix.com unter der CC-BY-4.0-Lizenz bereitgestellt! Hinweise Die im Podcast erwähnten Methoden und Werkzeuge für Angriffe dienen ausschließlich dem Bildungszweck zur Verbesserung der IT-Sicherheit. Es wird ausdrücklich angemerkt, dass u. a. das Ausspähen und...2024-05-0847 minRisikozoneRisikozoneSchutz vor der nächsten Backdoor: Lehren aus der xz-Affäre und Einblicke in Social Engineering - mit Prof. Dr. Stephan G. Humer Viktor Garske E-Mail Homepage LinkedIn Twitter Andreas Noack Dienst-E-Mail-Adresse Stephan G. Humer (Gast) Twitter Website Vor dem Hintergrund des kürzlich durch Zufall entdeckten Supply-Chain-Angriffs auf die xz-Bibliothek widmen sich Prof. Dr. Andreas Noack und Viktor Garske der zwischenmenschlichen Ebene, die diesen Angriff mittels Social Engineering erst möglich gemacht hat. Hierzu sprechen sie mit Prof. Dr. Stephan G. Humer, Professor an der Hochschule Fresenius, Pionier des Forschungsgebiets „Internetsoziologie“ und Experte für Social Engineering über Technologiekultur und Risiken, Angriffe sowie Schutzmaßnahmen vor bösartigen Übernahmen von Online-Communities und Open-Source-Projekten. Dies ist eine thematische Fortführung der Episode...2024-04-241h 44RisikozoneRisikozoneDie xz-Backdoor Viktor Garske E-Mail Homepage LinkedIn Twitter Andreas Noack Dienst-E-Mail-Adresse Eine der größten Supply-Chain-Attacken im Open-Source-Ökosystem hat über Ostern die Community beschäftigt. Prof. Dr. Andreas Noack und Viktor Garske widmen sich heute der Lücke und ihrer Hintergründe. Darüber hinaus geht es um einen Hörerbrief zu VPN-Lösungen sowie weitere aktuelle Nachrichten. Shownotes Vorab Hörerzuschrift: Tailscale News: Fritz.Box-Domain aus dem Verkehr gezogen (Heise Online, 06.03.2024) E-Mail von Andres Freund auf oss-security vom 29.03.2024 FAQ zur xz-utils Backdoor von github.com/thesamesam Reverse-Engineering-Vorab-Analyse Analyse der Bash-Scripte Metadatenanalyse Zeitleiste 1 Zeitleiste 2 Hacker-News-Diskussion „Generalschlüssel für das Intern...2024-04-1057 minRisikozoneRisikozoneGPS-Jamming, Plasma 6 und AI Security Viktor Garske E-Mail Homepage LinkedIn Twitter Andreas Noack Dienst-E-Mail-Adresse In der heutigen Episode geben Prof. Dr. Andreas Noack und Viktor Garske einen Überblick über aktuelle Nachrichten, darunter neue GitHub-Funktionen zum LLM-gesteurten Fixen von Sicherheitslücken und die neue GPS-Jamming-Karte von Flightradar24. Shownotes AI Security Plasma 6 Cyber Security Resilience Act Jevons-Paradoxon GPS Theorie: GPS-Jamming Theorie: GPS-Spoofing gpsjam.org Flightradar24 Jammingkarte Ehemals freie Software Namensnennung Die Hintergrundmusik wurde uns freundlicherweise von Jason Shawn von Audionautix.com unter der CC-BY-4.0-Lizenz bereitgestellt! Hinweise Die im Podcast erwähnten Methoden und Werkzeuge für Ang...2024-03-2738 minRisikozoneRisikozoneWireGuard, OpenVPN, YARA und QEMU Viktor Garske E-Mail Homepage LinkedIn Twitter Andreas Noack Dienst-E-Mail-Adresse In der heutigen Episode geht es um Andreas‘ Migration von OpenVPN zu WireGuard, YARA-Regeln, QEMU als Jumphost, den neuen Secret-Checker beim Pushen auf GitHub und einen angeblichen Auto-Hack. Shownotes WireGuard YARA GitHub: Neo23x0/siganture-base BleepingComputer: Hackers abuse QEMU to covertly tunnel network traffic in cyberattacks (05.03.2024) Securelist BleepingComputer: GitHub enables push protection by default to stop secrets leak (29.02.2024) BleepingComputer: MiTM phishing attack can let attackers unlock and steal a Tesla (07.03.2024) Heise Online: Angeblicher Tesla-Hack mit Flipper Zero entpuppt sich als Sturm im Wasserglas (08.03.2024) YouTube: Cloudflare Deploys Really Sl...2024-03-1342 minRisikozoneRisikozoneDNSSEC, KeyTrap und SSH-Würmer Viktor Garske E-Mail Homepage LinkedIn Twitter Andreas Noack Dienst-E-Mail-Adresse In der heutigen Episode diskutieren Prof. Dr. Andreas Noack und Viktor Garske über neuartige Computerviren, die es auf SSH abgesehen haben und sich lateral durchs Netz bewegen, sowie den Angriff auf die Verfügbarkeit von DNSSEC-fähigen Resolvern. Weiterhin führen beide die Zuhörer in die Grundlagen von DNSSEC ein. Shownotes BleepingComputer: New SSH-Snake malware steals SSH keys to spread across the network (21.02.2024) BleepingComputer: KeyTrap attack: Internet access disrupted with one DNS packet (17.02.2024) Namensnennung Die Hintergrundmusik wurde uns freundlicherweise von Jason Shawn von Audio...2024-02-2836 minRisikozoneRisikozoneVR/AR-Brillen, Flipper-Verbot, Class-E-Netz Viktor Garske E-Mail Homepage LinkedIn Twitter Andreas Noack Dienst-E-Mail-Adresse In der heutigen Episode geht es um: die schöne neue Welt der VR/AR-Technologie, Kanadas Verbot des Flipper Zeros und Überlegung zur Nutzung des bisher reservierten Class-E-Netzes 240/4. Shownotes The Register: 250 million-plus reserved IPv4 addresses could be released – but the internet isn’t built to use them (09.02.2024) The Register: IPv4 address rentals to mint millions of dollars for AWS (05.02.2024) IETF Datatracker: Unicast Use of the Formerly Reserved 240/4 Namensnennung Die Hintergrundmusik wurde uns freundlicherweise von Jason Shawn von Audionautix.com unter der CC-BY-4.0-Lizenz bereitgestellt! 2024-02-1446 minRisikozoneRisikozoneRouter-Domain weggeschnappt und SPF/DKIM/DMARC Viktor Garske E-Mail Homepage LinkedIn Twitter Andreas Noack Dienst-E-Mail-Adresse In der heutigen Episode sprechen Prof. Dr. Andreas Noack und Viktor Garske über aktuelle Nachrichten. Es geht um die nicht von AVM registrierte „fritz.box“-Domain, neue Anforderungen für SPF/DKIM/DMARC von Google und Yahoo, aktuelle GitLab-Sicherheitslücken sowie die Datensammlwut von Apps auf iOS mittels Benachrichtigungen, die jetzt eingedämmt werden soll. Shownotes fritz.box-Domain weggeschnappt Lokale Domains: RFC 6762 Appendix G RFC 8375 ICANN Statement Neue Regeln für Mailserver, die an Gmail zustellen wollen (ähnliches gilt auch für Yahoo) GitLab-Sicherheitslücken patchen! Untersuchung über Analytics...2024-01-3145 minRisikozoneRisikozoneSMTP Smuggling Viktor Garske E-Mail Homepage LinkedIn Twitter Andreas Noack Dienst-E-Mail-Adresse In der heutigen Episode stellen wir das Konzept rund um die Sicherheitslücke „SMTP Smuggling“ vor. Shownotes SEC Consult: SMTP Smuggling – Spoofing E-Mails Worldwide (18.12.2023) Reaktion der Postfix-Entwickler HTTP Request Smuggling (2005) OpenAI GPT Store Golem.de: KI-Chatbot bot neuen Chevrolet Tahoe für einen Dollar an (21.12.2023) Namensnennung Die Hintergrundmusik wurde uns freundlicherweise von Jason Shawn von Audionautix.com unter der CC-BY-4.0-Lizenz bereitgestellt! Hinweise Die im Podcast erwähnten Methoden und Werkzeuge für Angriffe dienen ausschließlich dem Bildungszweck zur Verbesserun...2024-01-1726 minRisikozoneRisikozoneAngriff auf SSH: Terrapin Viktor Garske E-Mail Homepage LinkedIn Twitter Andreas Noack Dienst-E-Mail-Adresse Das Thema der heutigen Episode ist ein neuer Angriff mit dem Namen „Terrapin“ auf Implementierungen für die Secure Shell (SSH), darunter OpenSSH und AsyncSSH. In der Folge erklären und diskutieren Prof. Dr. Andreas Noack und Viktor Garske, wie die Attacke funktioniert, was sie so besonders macht und was man dagegen tun kann. Shownotes Terrapin Attack (terrapin-attack.com) Bäumer et al.: Terrapin Attack: Breaking SSH Channel Integrity By Sequence Number Manipulation (Dezember 2023) Golem.de: ChatGPT wird faul, OpenAI weiß nicht warum (11.12.2023) Namensnennung Die Hint...2024-01-0336 minKobelcast - der Füssener Eishockey-TalkKobelcast - der Füssener Eishockey-Talk#16 Der Apfel fällt nicht weit vom StammHey hoo vom Kobelhang - alles neu ist in dieser Ausgabe des einzigwahren Füssener Eishockey-Talks. Nicht mehr allein auf sich gestellt sind die beiden Laberbacken Jogi Noack und Max Edinger, nicht mehr komplett sinnbefreit ist ihr Fachsimpeln. Prominente Unterstützung regelt schließlich - und die kickt in diesem einzigartigen Ohrenschmauß gleich doppelt. Wer außer den beiden Standard-Kobelcastern diesen Podcast rockt und um welches verdammt wichtiges und richtiges Thema es geht, erfahrt ihr beim Konsumieren dieses wahrhaft hörenswerten Audio-Spektakels. Nur Eines sei gesagt: Der Apfel fällt definitiv nicht weit vom Stamm! ★ Support this podcast ★ 2023-12-201h 06RisikozoneRisikozone5Ghoul Viktor Garske E-Mail Homepage LinkedIn Twitter Andreas Noack Dienst-E-Mail-Adresse In der heutigen Episode widmen sich Prof. Dr. Andreas Noack und Viktor Garske neuartigen Angriffen auf den Mobilfunkstandard 5G, die als „5Ghoul“ bezeichnet werden. Shownotes Thema der Episode: ASSET Research Group: 5Ghoul: Unleashing Chaos on 5G Edge Devices (Garbelini et al., Dezember 2023) Community-Einsendung: Try Hack Me Christmas Namensnennung Die Hintergrundmusik wurde uns freundlicherweise von Jason Shawn von Audionautix.com unter der CC-BY-4.0-Lizenz bereitgestellt! Hinweise Die im Podcast erwähnten Methoden und Werkzeuge für Angriffe dienen ausschließlich dem Bildung...2023-12-2025 minRisikozoneRisikozoneBLUFFS Viktor Garske E-Mail Homepage LinkedIn Twitter Andreas Noack Dienst-E-Mail-Adresse In der 36. Episode widmen sich Prof. Dr. Andreas Noack und Viktor Garske dem BLUFFS-Angriff auf Blueetooth, der auf der diesjährigen ACM CCS vorgestellt wurde. Shownotes Daniele Antonioli: BLUFFS: Bluetooth Forward and Future Secrecy Attacks and Defenses (November 2023) Namensnennung Die Hintergrundmusik wurde uns freundlicherweise von Jason Shawn von Audionautix.com unter der CC-BY-4.0-Lizenz bereitgestellt! Hinweise Die im Podcast erwähnten Methoden und Werkzeuge für Angriffe dienen ausschließlich dem Bildungszweck zur Verbesserung der IT-Sicherheit. Es wird ausdrücklich angem...2023-12-0628 minRisikozoneRisikozoneSichere Ortungsgeräte, Linux-Scheduler und Personalkarussell Viktor Garske E-Mail Homepage LinkedIn Twitter Andreas Noack Dienst-E-Mail-Adresse In der heutigen Episode des Risikozone-Podcasts reden Prof. Dr. Andreas Noack und Viktor Garske über Zuschauerfragen, Zuschriften und aktuelle Nachrichten. Es geht um die Funktionsweise von AirTags, einem scheinbaren Bug im Linux-Scheduler sowie die neusten Nachrichten von OpenAI. Shownotes Apple: Find My security (18.02.2021), Using Find My to locate missing Apple devices (18.02.2021) Related Work: Mayberry et al. Blind My (2023) The HFT Guy: The Linux kernel scheduler has been accidentally hardcoded to a maximum of 8 cores for the past 15 years and nobody noticed (14.11.2023) Peter Zijlstra: Re: kernel/scheduler: The L...2023-11-2245 minRisikozoneRisikozoneCVSS: Wie bewertet man Sicherheitslücken? Viktor Garske E-Mail Homepage LinkedIn Twitter Andreas Noack Dienst-E-Mail-Adresse In der heutigen Episode geht es um die qualitative Bewertung von Sicherheitslücken. Prof. Dr. Andreas Noack und Viktor Garske erklären und diskutieren einen verbreiteten Standard, der dabei helfen soll: das Common Vulnerability Scoring System (CVSS). Weiterhin geht es in der Episode um einen aktuellen Covert Channel und neue Nachrichten aus der Welt der IT. Shownotes Heise Online: Apples „Wo ist“: Keylogger-Tastatur nutzt Ortungsnetz zum Passwortversand (03.11.2023) The Register: Google bins integrity API that looked more than a bit like horrible DRM for websites (02.11.2023) Common Vulnerability Scoring System...2023-11-0856 min