Säkerhetspodcasten avs.51 - Ostrukturerat V.6

Lyssna

iTunes | mp3

Innehåll

Fredrik Björeman från bland annat Kodsnack gästar podden! Security Fest, säkerhetskonferensen i Juni i Göteborg. presenteras av Jesper & Johan.  Två olika webbläsarfiasko presenteras: opatchade WebKit kloner, samt Chromodo den helt trasiga versionen av Chrome.

Övriga Nyheter: Java Deserialization är mycket värre än du tror enligt PayPal. Bedragare hackar polis/åklagare. CISCO har ett hål (vilket kom samma dag som podden spelades in, så vi har noll koll). IP kameror har massa problem, Shodan tar numera screenshots av dem, och creeps psykar småbarn via deras baby monitors.

NorseCorps på ruinens kant, kommer de överleva efter omstrukturering? Diffie-Hellman är trasigt i en väldigt speciell konfiguration av OpenSSL, där man optimerar med ett hårdkodat primtal… som inte är ett primtal. Någon sorts rykte om fler säkerhetshål i Struts, och helt underbara regexps.

Inspelat: 2016-02-11. Längd: 01:05:16.

Länkar

Projekt & plugs:

• Security Fest 2016 https://securityfest.com/

• Peter om scan-build http://clang-analyzer.llvm.org/scan-build.html

• Rikards twitter-rant http://heavy.com/tech/2016/02/twitter-algorithm-timeline-changes-when-start-launch-what-how-look-chronological-default-change/

• Jesper open-wrt mipplande https://openwrt.org/

• Jesper om logstalgia http://logstalgia.io/

Nyheter

• Chromodo https://code.google.com/p/google-security-research/issues/detail?id=704

• Struts gammalt eller nytt hål? Oklart vad Jesper sett men regexp vs remote code execution är alltid kul :-) https://struts.apache.org/docs/s2-026.html

• WebKit patchar - mycket är opatchat! https://blogs.gnome.org/mcatanzaro/2016/02/01/on-webkit-security-updates/

• Svenska polisen hackad av bedragare. Individ känd av polisen sen tidigare för liknande brott. http://news.cision.com/se/aklagarmyndigheten/r/atal-for-omfattande-dataintrang-m-m-,c9904727

• cisco vuln ikev1 ikv2 buffer overflow udp https://blog.exodusintel.com/2016/02/10/firewall-hacking/

• Java deserialization - hantering av det hos Paypal https://www.paypal-engineering.com/2016/01/21/lessons-learned-from-the-java-deserialization-bug/

• 5-18% av android appar ignorerar SSL fel. Och gamla android 4.1 har feta säkerhetshål (remote code execution) i appar som ignorerar säkerhetshål… http://stanford.edu/~pcm2d/blog/ssl.html

• Motorola CCTV Focus 73 hårdkodade lösenord 123456 och 000000 http://www.theregister.co.uk/2016/02/03/motorola_cctv_iot_insecure/

• Baby Monitor hacking horrors: http://www.wired.com/2016/01/nyc-investigating-hackable-baby-monitors/ http://www.buzzfeed.com/craigsilverman/creeps-hack-baby-monitors-and-say-terrifying-thing

• Shodan camera feed: http://www.networkworld.com/article/3025420/security/put-a-password-on-your-webcam-or-end-up-featured-on-shodan-s-vulnerable-cam-feed.html

• NorseCorp imploderar http://krebsonsecurity.com/2016/01/sources-security-firm-norse-corp-imploding/

• Kass Diffie-Hellman i vissa OpenSSL implementationer, men få berörda applikationer. När primtal inte är primtal :) http://arstechnica.com/security/2016/01/high-severity-bug-in-openssl-allows-attackers-to-decrypt-https-traffic/