Lyssna mp3, längd: 35:05 Panelen Johan, Mattias, Peter och Rickard tar sig vad som har hänt det senaste!
Jesper är frånvarande pga. att han är bad ass säkerhetspresentatör i Stockholm!
Ämnen Europol slår till mot MATRIX Off-topic: Säkra meddelandeprotokoll och kvantar Off-topic: kvantkrypto-coinet WiFi hoppandes spioner Needsrestart Credential Guard Credential leaks hackas jättesnabbt Europol slår till mot MATRIX Ett ganska stort kriminelt nätverk blev avkrypterat av Europol i månader, och sen nerstängt.
Lyssna mp3, längd: 46:35 Panelen Jesper, Johan, Mattias och Peter träffas och pratar om betydelsefulla sårbarheter.
Rickard är no show då han är på hemligt uppdrag och räddar världen från en katastrof. Om du ens kan höra detta avsnitt så har Rickard lyckats rädda världen.
Betydelsefulla sårbarheter Ämne: Sårbarheter som har faktiskt påverkan
Panelen diskuterar bland annat:
Log4shell Återblick till Säkerhetspodcasten #215 - Log4Shell. Förkrav för att exploita är en del - indata till log, och möjlighet till egress för JNDI.
Lyssna mp3, längd: 39:50 Innehåll Rickard fick akut hoppa av inspelningen för att rädda universium från Operation Impending Doom I, och lämande Jesper, Johan, Mattias och Peter till att styra båten i land.
Dagens ämnen:
Brev till Jesper. Rebecka kommunicerar syntaxfel i SecurityFest’s hemsida, via att be Jesper öppna ett brev “live” under inspelning. Mullvad slutar med OpenVPN Off-topic: Kryptoagilitet jämfört med stela kryptolådor Windows Sårbarhet (Remote Code Executution via URL-filer) DLink NAS command injection: execvp() vs system() i samma produkt… Massa onda Github Pull Requests Bring Your Own Vulnerable Driver City Skylines Traffic Trojan Mattias till DreamHack i helgen Extra shoutout till Low Level som stod för en helt stor andel av historierna Peter rapporterade på denna gången!
Lyssna mp3, längd: 49:02 Innehåll Jesper, Johan, Mattias, Peter och Rickard - samt poddhunden Ester, träffas för att prata anekdoter!
Lyssnarbrev Lyssnarbrev från Linus M, från i maj:
Hej! Ni bad om förslag för teamavsnitt.
Anekdoter tror jag borde vara lätt för er att klämma ur er en hel del och det tror jag skulle uppskattas av publiken.
Tack för bra underhållning men också för det informativa innehållet.
Blandade anekdoter “Snäll” Nessus-scan bränner ner hela datacentret Radius på “alla servers” går i evighetsloop efter Nessus scans Produktion är nere VMWare brinner och hela virtualiseringen behöver startas om Testaren och hans chef är omöjliga att nå pga möte med avstängda mobiltelefoner Webb-säkerhetstest som går åt skogen: Kreditkort börjar tryckas upp Gratis bananer Grindar som börjar slå Grindar som öppnar sig på 15 minuters oautentiserat webhack… Spring actuator för år sen när massa servers la ut miljövariabler och JVM minne (heapdump) på Internet Applikationer som bara “mår dåligt” utan tydlig diagnos/orsak efter tester.
Lyssna mp3, längd: 50:22 Innehåll Hela panelen träffas äntligen igen! Jesper, Johan, Mattias, Peter, Rickard!
Lyssnarbrev bakdörrar Peter D hörde av sig:
En toppen pod gör ni verkligen, det är alltid kul att lyssna på er, strukturerat eller inte. Mycket igenkänning i avsnittet “Tips till en 18-åring” och även “När säkerhet går för långt”. […]
Det hände något intressant i USA nyligen, på tal om Chattcontrol och massövervakning ni nämnde i avsnitt 267.
Lyssna mp3, längd: 01:09:19 Upplägg Peter, Johan och Rickard träffas och pratar AI.
Metadiskussion
Kan man lita på AI? Din data blir träningsdata? Segmentering av data i molnet när man kör AI? Användningsfall: Använda AI inom säkerhet
Angripares användningsfall Försvarares användningsfall Attacker mot AI
Attacker mot AI Bild vi diskuterade runt;
+---------+ | | <--- Bakdörrar | Träning | <--- Ta bort | | ---> Stöld modell/träningsdata +---------+ | | +-------+-------+ | AI/ | Agent | <-- Prompt Injection | LLM | Agent | --> Exfiltering | | Agent | --> SSRF Request Forgery +-------+-------+ | | +-----------------------+ <--- Prompt Injection | | ---> XSS/JSInjection | Klient (User Agent), | ---> Exfiltrering | AI-Plugins | ---> CSRF Request Forgery +-----------------------+ Några kul saker man kan göra: