in der Heutigen Folge gibt es keine Hausmeisterei, was in den ersten 5 Minuten ausgiebig besprochen wird. Anschließend erklärt Sven was es mit den Buchstaben I A M auf sich hat.
Datenverluste
- 05.11.2020: 23.600 gehackte Datenbanken im Internet veröffentlicht
- 08.11.2020: Ein Datenleck zeigt, wie Amazon-Bewertungen gekauft werden
- 03.11.2020: Configuration snafu exposes passwords for two million marijuana growers
- 18.11.2020: vpnMentor deckt Bitcoin-Betrug für Facebook-User auf
News
- 05.11.2020: Premium-Rate Phone Fraudsters Hack VoIP Servers of 1200 Companies
- 12.11.2020: Microsoft urges users to stop using phone-based multi-factor authentication
- 02.10.2020: Digitaler Euro: EZB startet Testphase ab Mitte Oktober
- 06.10.2020: Sicherheitschip T2 im Mac: Keylogger bricht lokale Verschlüsselung
- 09.10.2020: Inverssuche: Google liefert Polizei Nutzerdaten auf Basis von Suchbegriffen
- 12.11.2020: Vodafone: Einige Router haben Probleme mit VPN
- 11.11.2020: eID: Verimi speichert Perso auf dem iPhone
- 11.11.2020: Bitdefender kämpft mit schweren Sicherheitsproblemen | heise online
- 19.10.2020: Cisco Webex: Geister können unautorisiert an Videokonferenzen teilnehmen
- 19.10.2020: Dateien löschbar und Schadcode-Attacken: Updates für Trend-Micro-Schutzsoftware
Thema: Identity & Access Management (IAM)
Was ist Identity- and Access Management (IAM)? ; script
Fun & other Thinks
Aufgenommen am 19.11.2020
Veröffentlicht am:20.11.2020
Intro & Outro Chiptune CC BY SA 4.0: Pumped by ROCCOW
Logo CC BY 2.0 Richard Patterson
Disclaimer
In diesem Podcast werden Techniken oder Hardware vorgestellt, die geeignet sind, externe Geräte anzugreifen. Dies geschieht ausschließlich zu Bildungszwecken, denn nur, wenn man die Angriffstechniken kennt, kann man sich effektiv davor schützen. Denkt immer daran, diese Techniken oder Hardware nur bei Geräten anzuwenden, deren Eigner oder Nutzer das erlaubt haben.Der unerlaubte Zugriff auf fremde Infrastruktur ist strafbar (In Deutschland §202a, §202b, §202c StGB).
Einmal den Cit0day Leak via magnet:
magnet:?xt=urn:btih:92d00ba67037fd4397fe5259824b0f0a5d3b0f33&dn=Cit0day.in%5Fspecial%5Ffor%5Fxss.is.zip&tr=udp%3A%2F%2Ftracker.opentrackr.org%3A1337&tr=udp%3A%2F%2F9.rarbg.to%3A2710%2Fannounce&tr=udp%3A%2F%2F9.rarbg.me%3A2920%2Fannounce&tr=udp%3A%2F%2Ftracker.internetwarriors.net%3A1337%2Fannounce&tr=udp%3A%2F%2Ftracker.leechers-paradise.org%3A6969%2Fannounce&tr=udp%3A%2F%2Ftracker.cyberia.is%3A6969%2Fannounce&tr=udp%3A%2F%2Fexodus.desync.com%3A6969%2Fannounce&tr=http%3A%2F%2Fexplodie.org%3A6969%2Fannounce&tr=udp%3A%2F%2Fp4p.arenabg.ch%3A1337%2Fannounce&tr=http%3A%2F%2Ftracker3.itzmx.com%3A6961%2Fannounce&tr=http%3A%2F%2Ftracker1.itzmx.com%3A8080%2Fannounce&tr=http%3A%2F%2Fp4p.arenabg.com%3A1337%2Fannounce&tr=udp%3A%2F%2Ftracker.zerobytes.xyz%3A1337%2Fannounce&tr=udp%3A%2F%2Ftracker.torrent.eu.org%3A451%2Fannounce&tr=udp%3A%2F%2Ftracker.tiny-vps.com%3A6969%2Fannounce
Vielen Dank! Und wie ich vermutete, das betreffende Forum ist darin enthalten.
Das Passwort, falls eins verlangt werden sollte, ist „xss.is“
Zum Thema eID fehlt der Hinweis, den Heise als Update dann noch nachgeschoben hat. Nämlich, dass Verimi die Daten nicht auf dem iPhone speichert sondern es sich hierbei nur um Marketing handelt. Der Personalausweis liegt in der Cloud und Verimi verlangt Gebühren für diesen Service. Es handelt sich bei Verimi um einen kommerziellen Identity Broker.
Laut aktueller Umfrage der Bitkom Research im Auftrag des Digitalverbands
Bitkom gaben 7 von 10 in Deutschland lebender Personen an, den elektronischen
Personalausweis grundsätzlich zukünftig nutzen zu wollen. Seit November 2010 wurden
ca. 75 Millionen Personalausweise mit elektronischem Chip ausgegeben, diese werden
aber kaum genutzt. Es fehlt laut Studie an mehrwertbietenden Anwendungen. Bislang
können nur wenige Online-Behördengänge und vereinzelte Dienste von Banken,
Versicherungen und der Deutschen Post mit der Identifizierung genutzt werden.
Sichere Elektronische Identitäten sind ein fehlendes Glied für einen digitalen
europäischen Binnenmarkt, da länderspezifisch etablierte Lösungen zur elektronischen
Identifizierung je nach Mitgliedstaat unterschiedlichen betrieblichen und regulatorischen
Anforderungen unterliegen.
Aus diesem
Grund und um weitere EU-interne Hürden abzubauen, führte die EU mit der eIDAS-
Verordnung einheitliche, verbindliche und europaweit gültige Regeln und Richtlinien für
elektronische Identifizierung und Vertrauensdienste ein. Wichtigster Aspekt ist dabei die
gegenseitige Anerkennung von elektronischen Identifizierungsmitteln, die im
öffentlichen Sektor außerdem kostenlos bereitgestellt werden muss.
Übrigens soll dafür im Schaufensterwettbewerb Digitale Identitäten des BMWi soll eine Lösung erarbeitet werden.
Sry für die Zeilenumbrüche
Danke für deine Ergänzung
Stefan
Ein (verspäteter) Hinweis zu Hashes in Datenbanken: Der Browser führt afaik kein Hashing des Passworts durch, sondern die Applikation auf dem Server.
Nutzer sendet Passwort per TLS -> Application nimmt das Passwort, das Salt, das Pepper -> verhackstückelt alles -> jagt dann den Hash-Algorithmus drüber -> vergleicht den Output mit dem DB-Eintrag.
Würde der Nutzer/das Frontend den Hash erzeugen, müsste er zum einen Salt and Pepper kennen (und zumindest der Pepper sollte ja ein Secret sein), zum anderen wäre bei einem einfachen Vergleich, ob der übertragene Hash der Hash in der Datenbank ist, der Hash nichts anderes als ein überlanges Passwort.
Hi Dennis, danke für Deine Klarstellung. Das ist mir im Nachhinein auch aufgefallen, zumal man sonst geleakte Hashes bereits zum Login in fremde Accounts nutzen könnte.