#GoFetch: Breaking Constant-Time #Cryptographic Implementations Using Data Memory-Dependent Prefetchers

Source: https://gofetch.fail

#Apple #cpu #hardware #problem #security #encryption #OpenSSL #ssl #Memory #timing #exploit

Now there is a meditation on https://audio.gafamfree.party/channels/odhagemusik
Pure #piano. No effects.
https://audio.gafamfree.party/library/tracks/311188/
#music #mywork #improvisation #SSL #audacity #Funkwhale
@Jakobu
@YA

https://audio.gafamfree.party/library/tracks/311183/
Betraktelse 2 28 jan 23
New short track with #experimental #music. In the channel https://audio.gafamfree.party/channels/odhagemusik
My FunkWhale: https://audio.gafamfree.party/@ValMikael

I'm still just playing with the funktions of #Audacity.

#piano #mywork #SSL
@YA (as you wanted a hint, so ... )
And my friend @Jakobu (Jag har inte kommit så långt med Anakronos än, men det formar sig idéer i huvudet...)

#WordPress installer #attack race

source: https://smitka.me/2022/07/01/wordpress-installer-attack-race/

The attacker uses the #Certificate Transparency Log to find new WordPress #installations. It works because you usually generate the #SSL certificate when you set up a hosting space. When the certificate is issued, the record appears in the public log.

...

It takes only 4 minutes from the certificate issue to abuse the installer (but in some cases, the attacker managed to do it in under 1 minute).

#internet #blog #security #backdoor #problem #www #web #software #install #news

Wireshark HTTPS Decryption

#networkhacks #encryption #https #ssl #wireshark #hackaday
posted by pod_feeder_v2

I’m enjoying the new pod configuration.

#kubernetes #k3s #haproxy #ingress-nginx #tls #ssl #ssllabs

01.03.2022 Hacker nutzten unsicheres Routing aus

Wege des Internets sind unergründlich

Nein, das sind sie eigentlich nicht - jeder Endpunkt hat eine IP Adresse und die ist zumindest für den aktuellen Zeitpunkt eindeutig jemandem zugeordnet. Schwieriger ist es, zu erklären, wie man zu einem gegebenen Zeitpunkt, denn auch das kann sich jederzeit ändern, von einer Adresse zu einer anderen kommt.

Für dieses Routing gibt es Protokolle, also Vorschriften, welchen Weg ein Datenpaket aus Effizenzgründen zu nehmen hat. Will man jemandem die an ihn verschickten Pakete wegnehmen, so muss man 2 Dinge tun

• für die eigene IP-Adresse ein Zertifikat erstellen, welches glaubhaft eine andere Identität vortäuscht,
• das Routing Protokoll in dem Zeitraum des Angriffs so manipulieren, dass die Datenpakete an der eigenen Adresse zumindest vorbeikommen.

Der Angriff auf Klayswap

Über genau so einen Angriff berichtet Heise recht detailliert. Nutzer der südkoreanischen Krypto-Plattform Klayswap wurden am 3. Februar so um etwa 2 Millionen $ in Kryptowährungen erleichtert. Ein kleiner Beutezug und eigentlich nicht der Rede wert, außerdem hat Klayswap bereits zugesichert, die Betroffenen zu entschädigen.

Trotzdem lohnt sich die Lektüre der Details, denn damit stellt sich heraus, dass die Angreifer etwa 7 Monate daran gearbeitet haben, um die beiden oben beschriebenen Voraussetzungen zu erfüllen - die Erzeugung falscher Zertifikate für ihre eigenen Rechner und die Manipulation des Routing Protokolls BGP.

Wie bei vielen anderen Hacks, spielte wieder einmal eine trojanisierte Version der JavaScript-Bibliothek eine entscheidende Rolle. Deshalb sind wir bei Aktion FsA weiter froh, dass alle unsere Software ohne Java funktioniert und fast so schön und bunt aussieht wie andere.

Mehr dazu bei https://www.heise.de/news/Ungewoehnlicher-Krypto-Raubzug-erbeutet-Millionen-6496145.html
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/7940-20220301-hacker-nutzten-unsicheres-routing-aus.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/7940-20220301-hacker-nutzten-unsicheres-routing-aus.htm
Tags: #Cyberwar #Hacking #Trojaner #Java #Routing #Bitcoins #Kryptowährungen #IP-Adresse #BGP #Zertifikate #SSL #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Datenpannen

Checkt mal eure Let's Encrypt Zertifikate...

Da gab es wohl bei denen ein kleines Problem, dass nun einige Zertifikate zurückgezogen wurden und somit manuell neu ausgestellt werden müssen.
https://www.golem.de/news/alpn-ein-prozent-der-let-s-encrypt-zertifikate-wird-zurueckgezogen-2201-162695.html
#letsencrypt #ssl #issue

How To Easily Set Up Secure OTA Firmware Updates on ESP32

#howto #securityhacks #esp32 #firmwareupdate #https #iot #ota #secureota #security #ssl #hackaday
posted by pod_feeder_v2

**

ATTENTION Podmins!

**
ets Encrypt will revoke 3 Million(!) certificates by tomorrow, as they were created during a software flaw.
https://community.letsencrypt.org/t/revoking-certain-certificates-on-march-4/114864

Please check if you are affected:
https://checkhost.unboundtest.com/

If yes, renew the certificate.
Do it NOW, as LE servers might get congested later...

#SSL #TLS #Letsencrypt #diaspora #Podmin #linux

Liebe Diasporagemeinde

ich versuche seit gestern meinen #apache2 #server auf #ssl umzustellen
und habe ein #Problem und komme einfach nicht weiter und bräuchte mal eure #Hilfe.

ich habe im DocumentRoot 3 Ordner

/var/www/html 
/var/www/mythweb
/var/www/owncloud

wenn ich jetzt

https://192.168.178.24/html
https://192.168.178.24/mythweb
https://192.168.178.24/owncloud

im Browser eingebe, funktioniert alles einwandfrei.

Wenn ich jedoch

https://skn.spdns.de/html
https://skn.spdns.de/mythweb
https://skn.spdns.de/owncloud

versuche, dann bekomme ich ein Fenster wie be .htacces :

### Authentication Reqired

A username and password are being requested by https://skn.spdns.de. The site says: "HTTPS Access"

wo kann dieses username und password herkommen?

Port 443 ist an der Fritzbox offen

Für jemanden der sich damit auskennt ist es bestimmt offensichtlich.
Ich würde mich freuen wenn mir mal jemand Hilfestellung geben könnte

Steffen

#linux #ubuntu #ssl #server #owncloud #mythweb #Problem