Lyssna mp3, längd: 58:08 Innehåll I dagens avsnitt har vi finbesök i studion i form av Emil Lundberg från Yubico som är på plats för att snacka passkeys, WebAuthn, FIDO och annat kul! Recap och vad är nytt? Vad har hänt runt WebAuthn / FIDO sen 2019 ? U2F, andra faktor. Lagringslös. Vad är det nya, passkeys? Vad är FIDO inte: identifieringstjänst så som t.ex. BankID. Lyssnarbrev från Jonas Långt brev nerkokat av Peter till några huvudpunkter:

Lyssna mp3, längd: 56:02 Innehåll Då är vi tillbaka från sommaruppehållet och öppnar starkt med ett rykande färskt ostrukturerat avsnitt. Gäst Emil Lundberg från Yubico / Stockholm besöker Säkerhetespodcasten ena studio på Västkusten! Off-topic sakerhetspodcasten.github.io Vår top-hemliga backup-sajt när Jespers servers står och brinner! NPAPI API:et Rickards kina-kamera körde… Osäkra kameror med mera Threatpost: Cybercriminals Are Selling Access to Chinese Surveillance Cameras SecurityWeek: 2,000 Citrix NetScaler Instances Backdoored via Recent Vulnerability Linux + AMD: TPM slumpfunktion dödar prestanda på vissa platformar phoronix: Linus Torvalds - Let’s Just Disable The Stupid [AMD] fTPM HWRND Thing Brodie Robertson: Linus Torvalds Is Sick Of AMD’s fTPM Nonsense Google Dilithium: PQC (“kvantsäkra”) tokens, med hybrid (gammel-säkerhet + PQC-säkerhet) Google Security Blog: Toward Quantum Resilient Security Keys iacr: Hybrid Post-Quantum Signatures in Hardware Security Keys NIST Computer Security Resource Center: Post-Quantum Cryptography (PQC) PyPi tar bort PGP stöd pypi.

Lyssna mp3, längd: 48:06 Innehåll Lagom till att semestern är slut släpper vi idag årets sommartema. Mycket nöje! Peter Minolta SR-T 101 Wikipedia: Minolta SR-T 101 Sam Perry: #04 Minolta SRT101 Hanging Mirror Dependabot buggen Dependabot reporting on deleted files Rickard Netatmo Fortigate Mattias Home Assistant RTL-SDR SDR distros Vad rekommenderar lyssnarna? google sökning Reddit r/RTLSDR: Best Linux Distro for SDR these days? DRAGONOS GORIZONT sigintos

Lyssna mp3, längd: 55:39 Rolling shutter video cryptoanalys Ben Nassi: Video-based Cryptanalysis Video-Based Cryptanalysis: Extracting Cryptographic Keys from Video Footage of a Device’s Power LED - akademiskt papper arstechnica: Hackers can steal cryptographic keys by video-recording power LEDs 60 feet away Ny ios rapid security response Naked Security: Apple silently pulls its latest zero-day update – what now? Microsoft revokar exploit / malware drivers Sophos: Microsoft Revokes Malicious Drivers in Patch Tuesday Culling Microsoft KB5029033: Notice of additions to the Windows Driver.

Lyssna mp3, längd: 48:27 Innehåll I dagens avsnitt går vi igenom årets SecurityFest. How to f*ck up at OAuth2 while following BCPs -Tobias Ahnoff, Pontus Hanssen How to f*ck up at OAuth2 while following BCPs -Tobias Ahnoff, Pontus Hanssen https://oauth.net/2.1/ https://openid.net/wg/fapi/ Best Current Practice’s vi ordar om i poddens: IETF Draft: OAuth 2.0 for Browser-Based Apps IETF Draft: OAuth 2.0 Security Best Current Practice Keynote: Red Notice - Pros And Cons - Alethe Denis Keynote: Red Notice - Pros And Cons - Alethe Denis The C2 tool no one talks about: AWS SSM - Run Command - Eduard Agavriloae The C2 tool no one talks about: AWS SSM - Run Command - Eduard Agavriloae Bypassing Anti-Cheats & Hacking Competitive Games - Rohan Aggarwal Bypassing Anti-Cheats & Hacking Competitive Games - Rohan Aggarwal OopsSec - The bad, the worst and the ugly of APT’s operations security - Tomer Bar OopsSec - The bad, the worst and the ugly of APT’s operations security- Tomer Bar SQLi to Root Access: Exploiting a ISP infrastructure - Ignacio Navarro SQLi to Root Access: Exploiting a ISP infrastructure - Ignacio Navarro When the Red Team Goes Passwordless - Hasain Alshakarti When the Red Team Goes Passwordless - Hasain Alshakarti Lightning talk: Badge challenge - Abhinav Pandagale Lightning talk: Badge challenge - Abhinav Pandagale Architecting for security: the old ways - Dan Tentler Architecting for security: the old ways - Dan Tentler How to: Hack the company, before someone else does it for you - STÖK How to: Hack the company, before someone else does it for you - STÖK Tales from the %TEMP% - Jonas Vestberg Tales from the %TEMP% - Jonas Vestberg Beyond On-Premises: Exploring the Post-Domain Admin Landscape in the Cloud - Natarajan, Kumar Beyond On-Premises: Exploring the Post-Domain Admin Landscape in the Cloud - Natarajan, Kumar Aikido: Turning EDRs to malicious wipers using 0-day exploits - Or Yair Aikido: Turning EDRs to malicious wipers using 0-day exploits - Or Yair

Lyssna mp3, längd: 56:38 Innehåll I dagens ostrukurerade avsnitt diskuterar vi lite ransomware-attacker, massiva fuckups hos Toyota, hur angripare drar nytta av ChatGPTs hallucinationer och mycket mer. Malware: Operation Triangulation SecureList Operation Triangulation: iOS devices targeted with previously unknown malware Brickar iOS förmåga att ta hem nya säkerhetsuppdateringar iMessage ZeroClick installationsvektor Riktade attacker mot bl.a. Kaspersky management Texter i domänaddresser m.m. känns NSA-iga Utvecklat av Weebs, det finns anime-referenser i malwaret!