Yksityisyys oppaasta on julkaistu myös uusi versio pari päivää sitten. Tämä perustietoa, joka jokaisen pitäisi lukea ja ymmärtää, ennen kuin osallistuu tietoturva keskusteluihin. The Hitchhiker’s Guide to Online Anonymity
Itellä on joku hämärä kuva, että se antoi joskus aikoinaan jopa varoituksen, jos sitä ikkunan kokoa meni muuttamaan. Siittä on tosin todella pitkä aika kun on ollu tarvetta käyttää sitä.
Itellä on joku hämärä kuva, että se antoi joskus aikoinaan jopa varoituksen, jos sitä ikkunan kokoa meni muuttamaan. Siittä on tosin todella pitkä aika kun on ollu tarvetta käyttää sitä.
Se voi olla hyvinkin uniikki. Esim. fonttikoko, fontti, jne kaikki vaikuttaa siihen. Millaiset tool barit on käytössä tms. Eli joo, ei välttämättä sinänsä uniikki, mutta silti kuitenkin "hyvin harvinainen", eli tyyliin alle 1% todennäköisyys. Itseasiassa, paljon pahempi kuin tuo mun heittämä arvaus 1%.
Noistakin hiteistä mitkä tohon on laskettu, saattaa olla 1-2 mun omia. Eli voi olla täysin uniikki. Ja tuollakin luvulla toi on siis yksi sadastatuhannesta käyttäjästä tms.
Ihan mukava lisäys tulossa Android puolelle, eli käyttäjä voi vaatia tietojen poistoa suoraan sovelluksesta taikka jotain muuta kautta vaikka olisi jo poistanut sovelluksen.
Google Play’s data deletion badge and Data deletion area within the Data safety section give users a new set of transparency and controls over their user data while providing developers a way to showc
support.google.com
Our policy requires that if your app allows users to create an account from within your app, then it must also allow users to request for their account to be deleted.
The U.S. Department of Commerce is weighing an enforcement action against Russian cybersecurity company Kaspersky Lab, the Wall Street Journal reported on Friday citing people familiar with the matter.
www.reuters.com
Yritystä on aiemminkin epäilty sidoksista venäläiseen hallintoon, mutta ilmeisesti näytteet asiasta olivat aika rajalliset. Saa nähdä miten nyt käy, vaikka yrityksen tulevaisuus (ja uskottavuus) länsimaissa on enemmän kuin epävarma. Kaspersky on aiemminkin tarjonnut lähdekoodinsa tarkistamista Kaspersky Transparency Center | Kaspersky mutta kyse voi olla pelkästä näytelmästäkin.
Yhtiö on kuitenkin verovelvollinen Venäjään, joten se voi monille olla ylitsepääsemätön asia oli se kuinka ”läpinäkyvä” tahansa.
Onhan F-Securen (WithSecuren) tuotteidenkin kehitystä ja koodausta tehty osittain venäjällä. En tiedä tehdäänkö vieläkin.
Ei se silti suoraan tarkoita mitään, mutta toki hieman eri tilanne kuin Kaspersky.
Kaspersky:n kohdalla vaan taitaa olla se että on valtiollisesti kiinnostava yritys ja Venäjällä yritysten on pakko tehdä yhteistyötä valtion kanssa tai..... Varsinkin nykyään.
Yksityisyys oppaasta on julkaistu myös uusi versio pari päivää sitten. Tämä perustietoa, joka jokaisen pitäisi lukea ja ymmärtää, ennen kuin osallistuu tietoturva keskusteluihin. The Hitchhiker’s Guide to Online Anonymity
Lueskelin hieman tuota, peli taitaa olla menetetty.
”Wear sunglasses in addition to the facemask and baseball cap to mitigate identification from your eye’s features.”
Liekkö suurin ongelma Kasperskyn kanssa, jos se lataa koneelta palvelimelle epäilyttävän tiedoston lisätarkistusta varten ja se sattuukin olemaan vaikka US salainen asiakirja mikä ladataan venäläiselle palvelimelle "tarkistettavaksi" virusten varalta.
Lueskelin hieman tuota, peli taitaa olla menetetty.
”Wear sunglasses in addition to the facemask and baseball cap to mitigate identification from your eye’s features.”
Ei ole valitettavasti vitsi. Jo vuonna 2015 uutisoitiin, että silmän skannaus onnistuu 12 metrin päästä ja tuosta on kohta 10 vuotta, joten voisi olettaa, että nykyjään se onnistuu vielä reilusti kaueampaa paikoissa joissa em. laitteet on asennettu. Mikään ei estä tekemästä tuota suoraan valvontakameroiden yhteydessä.
Retina skanni on tehty ja testattu. Mutta se ei onnistu kaukaa vaan pitää lukea hyvin läheltä ja oikeasta kohdasta. Oli ihan mielenkiintoinen kokemus, kuvat ja fingerpritin sai myös omaan talteen.
Tällä kertaa MSI on joutunut hakkereiden kohteeksi, mutta MSI ei ole kertonut mihin on päästy käsiksi, mutta varoittelee käyttäjiä lataamasta BIOS/firmware tiedostoja muualta kuin virallisilta sivuilta...
Taiwanese PC company MSI confirms cyber attack on its systems and urges users to only download firmware/BIOS updates from its official website.
thehackernews.com
- MSI did not disclose any specifics about when the attack took place and if it entailed the exfiltration of any proprietary information, including source code.
- MSI is further urging users to obtain firmware/BIOS updates only from its official website, and refrain from downloading files from other sources.
As a world leading gaming brand, MSI is the most trusted name in gaming and eSports. We stand by our principles of breakthroughs in design, and roll out the amazing gaming gear like motherboards, graphics cards, laptops and desktops.
Nexx älykotilaitteista löydetty jos jonkinmoista aukkoa. Esim. kovakoodattu salasana, millä autotallin oven avaajaan pääsee käsiksi toiselta puolelta planeettaa. Valmistajaan ei ole saatu yhteyttä asian korjaamiseksi.
Uusia ja kriittisiä päivityksiä Applen iOS, macOS Ventura, macOS Monterey, macOS Big sur ja iPadOS-laitteissa, sekä Safari verkkoselaimessa. Päivitykset tulee asentaa välittömästi, sillä hyväksikäyttöä on havaittu maailmalla.
www.kyberturvallisuuskeskus.fi
Uusia ja kriittisiä päivityksiä Applen iOS, macOS Ventura, macOS Monterey, macOS Big sur ja iPadOS-laitteissa, sekä Safari verkkoselaimessa. Päivitykset tulee asentaa välittömästi, sillä hyväksikäyttöä on havaittu maailmalla.
Kodi has informed its forum users that hackers using the account of an inactive administrator have exfiltrated user data from its servers.
restoreprivacy.com
Media streaming software vendor Kodi has informed its forum users that hackers using the account of an inactive administrator have exfiltrated user data from its servers.
The stolen data includes posts that users published on the forums, direct messages they exchanged on the platform, email addresses, and passwords in non-cleartext form.
Based on stats shared by Kodi recently, its forums had 401,000 registered members and roughly three million posts. Unfortunately, all that data is already advertised for sale on hacker forums, and Kodi’s admins confirmed that the shared data samples are authentic.
Montanan osavaltio on hyväksymässä täyden Tiktok-kiellon, jonka on tarkoitus alkaa ensi vuoden alussa. Enää Kuvernööri Greg Gianfortenin allekirjoitus uupuu
Google addresses actively exploited Chrome zero-day flaw (CVE-2023-2033) in an out-of-band update
thehackernews.com
- Tracked as CVE-2023-2033, the high-severity vulnerability has been described as a type confusion issue in the V8 JavaScript engine.
- The tech giant acknowledged that "an exploit for CVE-2023-2033 exists in the wild,"
- Users are recommended to upgrade to version 112.0.5615.121 for Windows, macOS, and Linux to mitigate potential threats. Users of Chromium-based browsers such as Microsoft Edge, Brave, Opera, and Vivaldi are also advised to apply the fixes as and when they become available.
April 14, 2023
Microsoft has released the latest Microsoft Edge Stable Channel (Version 112.0.1722.48). This update contains a fix for CVE-2023-2033, which has been reported by the Chromium team as having an exploit in the wild. For more information, see the Security Update Guide.
Tässä esillä olleet Apple-laitteiden ja Chromium-selainten tietoturva-aukot ovatkin juuri sellaisia, mitä kaupallisesti saatavilla olevat vakoiluohjelmat käyttävät hyväkseen. Tuommoiset ohjelmat ottavat haltuun käyttäjän puhelimen antaen pääsyyn kaikkeen siinä oleviin tietoihin ja mahdollistavat reaaliaikaisen vakoilun kameran ja mikrofonin kautta. Kaappaus voi tapahtua esim. tekstiviestillä, jossa on linkki sivulle joka hyödyntää selaimessa olevaa tietoturva-aukkoa. On myös mahdollista, että kaappaus voidaan tehdä täysin käyttäjän sitä havaitsematta, esim. viime kuussa esiin tullut Samsung Exynos modeemien haavoittuvuus oli tällainen.
Dokkarin mukaan NSO Groupin Pegasus vakoiluohjelma myytiin viiteentoista EU-maahan. Ainakin Espanja, Puola ja Unkari mainittu. Espanja ilmeisesti vakoili sillä Katalonian itsenäisyyttä kannattavia poliitikkoja. EU-parlamentissa muutamat mepit nostivat asian esille, mutta kiinnostus asiaan oli laimeaa, ja heille tultiin heristelemään sormea, että tekevät asiasta liian suuren numeron.
Google addresses actively exploited Chrome zero-day flaw (CVE-2023-2033) in an out-of-band update
thehackernews.com
- Tracked as CVE-2023-2033, the high-severity vulnerability has been described as a type confusion issue in the V8 JavaScript engine.
- The tech giant acknowledged that "an exploit for CVE-2023-2033 exists in the wild,"
- Users are recommended to upgrade to version 112.0.5615.121 for Windows, macOS, and Linux to mitigate potential threats. Users of Chromium-based browsers such as Microsoft Edge, Brave, Opera, and Vivaldi are also advised to apply the fixes as and when they become available.
Once updated, the following versions should be listed on the About Google Chrome page:
Google Chrome for Windows: 112.0.5615.137 or 112.0.5615.138
Google Chrome for Mac or Linux: 112.0.5615.137
Google Chrome for Android: 112.0.5615.135 or 112.0.5615.136
Security issue CVE-2023-2136 is exploited in the wild, according to Google. Public information is limited at this point, but Skia refers to a component of Chrome that is responsible for "nearly all graphics operations, including text rendering" according to the Chromium design documents.
Cybersecurity researchers have discovered a fundamental security flaw in the design of the IEEE 802.11 WiFi protocol standard, allowing attackers to trick access points into leaking network frames in plaintext form.
www.bleepingcomputer.com
Cybersecurity researchers have discovered a fundamental security flaw in the design of the IEEE 802.11 WiFi protocol standard, allowing attackers to trick access points into leaking network frames in plaintext form.
The researchers report that network device models from Lancom, Aruba, Cisco, Asus, and D-Link are known to be affected by these attacks
The researchers warn that these attacks could be used to inject malicious content, such as JavaScript, into TCP packets.
While this attack could also be used to snoop on traffic, as most web traffic is encrypted using TLS, there would be a limited impact.
Olin ihan varma, että joku olis jo postannut tän tänne, mutta ei näköjään. Meinasin jo eilen postata etukäteen. Katsaus Suomen kyberturvallisuuteen. Tosin eipä tuossa mitään uutta niille ole jotka on asioita seurannut aktiivisesti vuosikymmenen tai useammankin.
> Traficomin Kyberturvallisuuskeskuksen ja Suojelupoliisin mediatilaisuus. Traficomin pääjohtaja Kirsi Karlamaa ja Suojelupoliisin päällikkö Antti Pelttari kertovat ajankohtaisista kyberturvallisuuden asioista Suomessa ja lähialueilla. Paikalla on myös kyberturvallisuuden asiantuntijoita Traficomin Kyberturvallisuuskeskuksesta.
Traficomin Kyberturvallisuuskeskuksen ja Suojelupoliisin mediatilaisuus. Traficomin pääjohtaja Kirsi Karlamaa ja Suojelupoliisin päällikkö Antti Pelttari kertovat ajankohtaisista kyberturvallisuuden asioista Suomessa ja lähialueilla. Paikalla on myös kyberturvallisuuden asiantuntijoita...
Mielenkiintoinen tutkimus, miten H.264 codec on monimutkainen standardi tietoturva mielessä, sekä työkalu sen tutkimiseen ja mahdollisten tietoturva reikien löytämiseen...
Modern video encoding standards such as H.264 are a marvel of hidden complexity. But with hidden complexity comes hidden security risk. Decoding video in practice means interacting with dedicated hardware accelerators and the proprietary, privileged software components used to drive them. The video decoder ecosystem is obscure, opaque, diverse, highly privileged, largely untested, and highly exposed—a dangerous combination.
We introduce and evaluate H26FORGE, domain-specific infrastructure for analyzing, generating, and manipulating syntactically correct but semantically spec-non-compliant video files. Using H26FORGE, we uncover insecurity in depth across the video decoder ecosystem, including kernel memory corruption bugs in iOS, memory corruption bugs in Firefox and VLC for Windows, and video accelerator and application processor kernel memory bugs in multiple Android devices.
Suurin osa jo löydetyistä ongelmista on korjattu päivityksillä kyseisiin ohjelmiin/laitteisiin, mutta tottakai riski löytää uusia on jatkuva.
Aikas pelottava ajatus on, että vain katsomalla jokin video, voidaan saada aikaan jotain ilkeää...
I reversed the firmware of my Garmin Forerunner 245 Music back in 2022 and found a dozen or so vulnerabilities in their support for Connect IQ applications. They can be exploited…
www.anvilsecure.com
TL;DR: I reversed the firmware of my Garmin Forerunner 245 Music back in 2022 and found a dozen or so vulnerabilities in their support for Connect IQ applications. They can be exploited to bypass permissions and compromise the watch. I have published various scripts and proof-of-concept apps to a GitHub repository. Coordinating disclosure with Garmin, some of the vulnerabilities have been around since 2015 and affect over a hundred models, including fitness watches, outdoor handhelds, and GPS for bikes.
Mielenkiintoinen tutkimus, miten H.264 codec on monimutkainen standardi tietoturva mielessä, sekä työkalu sen tutkimiseen ja mahdollisten tietoturva reikien löytämiseen...
Modern video encoding standards such as H.264 are a marvel of hidden complexity. But with hidden complexity comes hidden security risk. Decoding video in practice means interacting with dedicated hardware accelerators and the proprietary, privileged software components used to drive them. The video decoder ecosystem is obscure, opaque, diverse, highly privileged, largely untested, and highly exposed—a dangerous combination.
We introduce and evaluate H26FORGE, domain-specific infrastructure for analyzing, generating, and manipulating syntactically correct but semantically spec-non-compliant video files. Using H26FORGE, we uncover insecurity in depth across the video decoder ecosystem, including kernel memory corruption bugs in iOS, memory corruption bugs in Firefox and VLC for Windows, and video accelerator and application processor kernel memory bugs in multiple Android devices.
Suurin osa jo löydetyistä ongelmista on korjattu päivityksillä kyseisiin ohjelmiin/laitteisiin, mutta tottakai riski löytää uusia on jatkuva.
Aikas pelottava ajatus on, että vain katsomalla jokin video, voidaan saada aikaan jotain ilkeää...
Jotkut, jotka asioista luulevat ymmärtävänsä, väittävät usein, ettei video- tai äänitiedoston avulla voi toimittaa haittaohjelmaa, mutta tässä taas esimerkki siitä, että kyllä se on mahdollista, kun sopiva haavoittuvuus löytyy.
Jotkut, jotka asioista luulevat ymmärtävänsä, väittävät usein, ettei video- tai äänitiedoston avulla voi toimittaa haittaohjelmaa, mutta tässä taas esimerkki siitä, että kyllä se on mahdollista, kun sopiva haavoittuvuus löytyy.
Dokkarin mukaan NSO Groupin Pegasus vakoiluohjelma myytiin viiteentoista EU-maahan. Ainakin Espanja, Puola ja Unkari mainittu. Espanja ilmeisesti vakoili sillä Katalonian itsenäisyyttä kannattavia poliitikkoja. EU-parlamentissa muutamat mepit nostivat asian esille, mutta kiinnostus asiaan oli laimeaa, ja heille tultiin heristelemään sormea, että tekevät asiasta liian suuren numeron.
Tuo oli ihan hyvä dokumentti. Enemmän olisin kaivannut asiaa siitä, miten vakoiluohjelma ujutetaan puhelimiin. Kyllä sitä vähän käsiteltiinkin, mutta yleisempi keskustelu siitä, kuinka surkealla tasolla tietoturva yleisesti on, kun tuosta vain voidaan koko puhelin kaapata, olisi ollut ihan tervetullutta.
Microsoft Edge vuotaa kaikki URL:it oletuksena Microsoftille uuden toiminnallisuuden kautta joka on automaattisesti päällä. Jokainen URL jossa et ole ennen käynyt kierrätetään bingapis.com -saitin kautta.
Microsoft says it’s investigating reports of an Edge privacy issue.
www.theverge.com
Until Microsoft completes its investigation and presumably patches this problem, we’d highly recommend turning off the “follow creators” feature in Microsoft Edge. Chances are you never knew it existed and will never use it, so it’s not a function you’re likely to miss. To do so, navigate to Settings, choose the Privacy, Search and Services tab, and scroll down to Services. Toggle off the switch beside Show suggestions to follow creators in Microsoft Edge, and you should be fine.
Tuo oli ihan hyvä dokumentti. Enemmän olisin kaivannut asiaa siitä, miten vakoiluohjelma ujutetaan puhelimiin. Kyllä sitä vähän käsiteltiinkin, mutta yleisempi keskustelu siitä, kuinka surkealla tasolla tietoturva yleisesti on, kun tuosta vain voidaan koko puhelin kaapata, olisi ollut ihan tervetullutta.
Yksi esimerkki puhelimen kaappaamisesta ilman käyttäjän toimia on StageFright haavoittuvuus vuodelta 2015. Siinä Android puhelimien mediakirjastossa oleva haavoittuvuus altisti ne suorittamaan ohjelmaakoodia tietyssä tilanteessa hyökkääjän lähettämästä MMS-multimediaviestistä. MMS-viestin koodinpätkä sitten voisi ladata hyökkääjän omalta palvelimelta varsinaisen vakoiluohjelman ja asentaa sen puhelimeen. Stagefright (bug) - Wikipedia
Jos haavoittuvuuden kautta pääsee ajamaan koodia root-oikeuksin, ei käyttäjä voi sitä havaita ja hyökkääjällä on täysi pääsy puhelimen tietoihin. Ellei sitten roottaa omaa puhelintaan ja katso mitä kaikkea siellä tapahtuu.
NSO Groupin kaltaisilla toimijoilla on kasapäin työntekijöitä etsimässä Android ja Applen käyttöjärjestelmistä haavoittuvuuksia, joita voi hyväksikäyttää. Tietysti myös valtiolliset tiedustelupalvelut harrastavat samaa toimintaa.
Tuo oli ihan hyvä dokumentti. Enemmän olisin kaivannut asiaa siitä, miten vakoiluohjelma ujutetaan puhelimiin. Kyllä sitä vähän käsiteltiinkin, mutta yleisempi keskustelu siitä, kuinka surkealla tasolla tietoturva yleisesti on, kun tuosta vain voidaan koko puhelin kaapata, olisi ollut ihan tervetullutta.
In 2022, the Citizen Lab gained extensive forensic visibility into new NSO Group exploit activity after finding infections among members of Mexico’s civil society, including two human rights defenders from Centro PRODH, which represents victims of military abuses in Mexico.
In 2022, the Citizen Lab gained extensive forensic visibility into new NSO Group exploit activity after finding infections among members of Mexico’s civil society, including two human rights defenders from Centro PRODH, which represents victims of military abuses in Mexico.
Vaimon firmassa Teams ja Skype lisäksi vain Signal on sallittu laitteissa joilla työasioita hoidetaan. Ei ole edes mahdollista esim. Whatsappia heidän työpuhelimiin ladata vaikka yrittäisinkin. Lisäksi esim. sallitut puhelinvalmistajat ovat Apple (iPhone puhelimet) ja Microsoft (Suface Duo puhelimet).
Hi All, My Pi Hole is blocking an INCREDIBLE amount of DropBox telemetry, even more than Windows telemetry, and by a large margin. So I have a few questions. 1. What is this telemetry for ? 2. What information is in there ? 3. Who gets to see it (ie, is it shared in any way with, let's say...
www.dropboxforum.com
Dropboxin käytölle suositukset avoimen koodin sovellukselle: Maestral
Google is bringing end-to-end encryption to Google Authenticator cloud backups after researchers warned users against synchronizing 2FA codes with their Google accounts.
Tarkennuksena, että siitä käyttäjän Drivelle laitettavasta tiedostosta puuttuu salaus käyttäjätasolla. Liikenne Googlen ja puhelimen välillä on salattu, ja kaikki Drivelle menevät tiedostot ovat salattuja.
Mielenkiintoinen tutkimus, miten H.264 codec on monimutkainen standardi tietoturva mielessä, sekä työkalu sen tutkimiseen ja mahdollisten tietoturva reikien löytämiseen...
Ei mitään uutta. Monta tukkapölly keskustelua on käyty siitä, että jos halutaan jotain turvallista, niin huuhaa ominaisuudet kuten videot pitäisi jättää pois koska ne heikentävät tieoturvaa. Mutta tämä on käsitelty muistaakseni moneen kertaan. Hyvä ajoitus, koska just tässä mietin pari päivää sitten. Että jos laitaisi vaikka botin kanssa kaikki videot mitä craweri netistä löytyää, niin montakon niistä sisältäisi jotain haitallista?
Tuskin kovin moni? Mutta onko tulos silti nolla? En tiedä. Mutta taas kerran opsec ja prosessit kuntoon. Ihan perusteitahan nämä on.
Tein tästä videon, jos joku harkitsee tämän käyttöönottoa.
Windows 11 on saamassa automatisoidun ”ota käyttöön”-periaatteella olevan (Smart App Control) ratkaisun, mutta sen ilmestymiseen voi mennä vielä vuosia.
Smart App Controlissa softatekijät lähettävät softansa Microsoftille tarkistettavaksi henkilöllisyystodistuksensa kera (esim. passi). Homma ei taatusti tule olemaan täydellinen, mutta huomattavasti hankalampi kuin mitä se on nyt.
Tein tästä videon, jos joku harkitsee tämän käyttöönottoa.
Windows 11 on saamassa automatisoidun ”ota käyttöön”-periaatteella olevan (Smart App Control) ratkaisun, mutta sen ilmestymiseen voi mennä vielä vuosia.
Smart App Controlissa softatekijät lähettävät softansa Microsoftille tarkistettavaksi henkilöllisyystodistuksensa kera (esim. passi). Homma ei taatusti tule olemaan täydellinen, mutta huomattavasti hankalampi kuin mitä se on nyt.
Kuulostaa kyllä niin hankalalta viritelmältä että ei varmaan monen koneessa tule olemaan päällä. Niin paljon käytetään hyödyllisiä pikku työkaluja joiden tekijöillä ei ole resursseja alkaa noin järeisiin tarkistuksiin. Jo nyt taitaa osalle tuottaa tuskaa nää signaukset.
Varmaan ihan pätevä yritystasolla jossa ei ajella mitään tuollaisia pikkusia työkaluja.
TPM turvapiirit tuli pakolliseksi Windows 11 myötä ja pitäisi olla helppo tapa turvata kone. Nyt on AMD versiota tutkittu syvemmin ja löytynyt reikiä...
In this paper, we show that AMD’s fTPMs are vulnerable to physical attacks against their execution environment: the AMD-SP. Our attack utilizes the AMD-SP’s vulnerability to voltage fault injection attacks [14] to extract a chip-unique secret from the targeted CPU. This secret is subsequently used to derive the storage and integrity keys protecting the fTPM’s non-volatile (NV) data stored on the Basic Input/Output System (BIOS) flash chip.
exposes the complete internal TPM state of the fTPM. This allows us to extract any cryptographic material stored or sealed by the fTPM regardless of the authentication mechanisms, such as the measured system state or passphrases with anti-hammering protection. Additionally, once we have extracted the chip-unique secret through voltage fault injection, we only need to re-read the BIOS flash to defeat any TPM-based security measures.
We find that Microsoft BitLocker’s FDE implementation is reduced to the security of a (TPM-less) PIN-only strategy. In contrast, a naive implementation leaves the disk completely unprotected once the TPM is defeated.
Researchers at the Technical University of Berlin have published a paper called "faulTPM: Exposing AMD fTPMs' Deepest Secrets," highlighting AMD's firmware-based Trusted Platform Module (TPM) is susceptible to the new exploit targeting Zen 2 and Zen 3 processors. The faulTPM attack against AMD...