Shows
Passwort - der Podcast von heise securityVon Würmer, Viren, Schluckauf und Husten
Im Podcast kränkelt's: Bei Cloudflare gab es einen dreistündigen Schluckauf, der Co-Host hat Hustenanfälle und Würmer befielen mal wieder NPM. Christopher und Sylvester schauen sich ausgiebig an, was die zweite Ausgabe der Javascript-Schadsoftware "Sha1-Hulud" anders macht als die erste und befassen sich auch noch einmal mit "Glassworm", einem Thema der letzten Folgen. Dort ist im Nachhinein unklar, ob es sich tatsächlich um einen Wurm handelt oder vielleicht eher ein Botnet, wie Christopher mutmaßt. Doch auch der dreistündige Ausfall bei Cloudflare steht auf der Tagesordnung - mit ungewohnt viel Lob der Hosts! - und o...
2025-12-031h 38
Passwort - Early AccessEarly Access: Von Würmer, Viren, Schluckauf und Husten
Im Podcast kränkelt's: Bei Cloudflare gab es einen dreistündigen Schluckauf, der Co-Host hat Hustenanfälle und Würmer befielen mal wieder NPM. Christopher und Sylvester schauen sich ausgiebig an, was die zweite Ausgabe der Javascript-Schadsoftware "Sha1-Hulud" anders macht als die erste und befassen sich auch noch einmal mit "Glassworm", einem Thema der letzten Folgen. Dort ist im Nachhinein unklar, ob es sich tatsächlich um einen Wurm handelt oder vielleicht eher ein Botnet, wie Christopher mutmaßt. Doch auch der dreistündige Ausfall bei Cloudflare steht auf der Tagesordnung - mit ungewohnt viel Lob der Hosts! - und o...
2025-12-011h 38Passwort - der Podcast von heise securityDie Große Chinesische Firewall
Christopher und Sylvester knöpfen sich ein lange gewünschtes und äußerst umfangreiches Thema vor. Es geht um das System, mit dem China sein nationales Internet abschottet, die sogenannte Große Chinesische Firewall. Die Hosts erzählen, woher das System kommt, wie es technisch funktioniert und weiterentwickelt wird – und wie auch die Gegner ihre Anti-Zensur-Systeme um immer neue Tricks erweitern. Außerdem geht es im Podcast um die Kommerzialisierung der Zensur, denn China hat längst damit begonnen, Systeme wie die der chinesischen Firewall auch an andere Staaten zu verkaufen.
Chromes XSLT-Abschaltung
Report zum Geedge-Lea...
2025-11-192h 22Passwort - Early AccessEarly Access: Die Große Chinesische Firewall
Christopher und Sylvester knöpfen sich ein lange gewünschtes und äußerst umfangreiches Thema vor. Es geht um das System, mit dem China sein nationales Internet abschottet, die sogenannte Große Chinesische Firewall. Die Hosts erzählen, woher das System kommt, wie es technisch funktioniert und weiterentwickelt wird – und wie auch die Gegner ihre Anti-Zensur-Systeme um immer neue Tricks erweitern. Außerdem geht es im Podcast um die Kommerzialisierung der Zensur, denn China hat längst damit begonnen, Systeme wie die der chinesischen Firewall auch an andere Staaten zu verkaufen.
Chromes XSLT-Abschaltung
Report zum Geedge-Lea...
2025-11-172h 22Passwort - der Podcast von heise securityNews mit Serialisierungsproblemen, AWS-Fail und PKI-Extra
Es näselt leicht im Podcast - die herbstliche Erkältungswelle macht auch vor "Passwort" nicht halt. Trotzdem haben sich Sylvester und Christopher einiges vorgenommen. Sie sprechen über den AWS- und Azure-Ausfall der letzten Wochen, denn auch Verfügbarkeit ist Teil der IT-Sicherheit. Die kritische Sicherheitslücke im Windows-Updateserver WSUS kommt ebenso zur Sprache wie eine trickreiche Malware, die eine wenig bekannte UTF8-Funktion zu ihrem Vorteil nutzt. Und endlich gibt es wieder ein PKI-Thema: Wie eine kroatische CA widerrechtlich Zertifikate für Cloudflare ausstellte, erzählt Christopher dem Publikum und seinem Co-Host.
Online Themenabend
AWS’ Ausfallanalyse
Meredith Whittaker...
2025-11-052h 13Passwort - Early AccessEarly Access: News mit Serialisierungsproblemen, AWS-Fail und PKI-Extra
Es näselt leicht im Podcast - die herbstliche Erkältungswelle macht auch vor "Passwort" nicht halt. Trotzdem haben sich Sylvester und Christopher einiges vorgenommen. Sie sprechen über den AWS- und Azure-Ausfall der letzten Wochen, denn auch Verfügbarkeit ist Teil der IT-Sicherheit. Die kritische Sicherheitslücke im Windows-Updateserver WSUS kommt ebenso zur Sprache wie eine trickreiche Malware, die eine wenig bekannte UTF8-Funktion zu ihrem Vorteil nutzt. Und endlich gibt es wieder ein PKI-Thema: Wie eine kroatische CA widerrechtlich Zertifikate für Cloudflare ausstellte, erzählt Christopher dem Publikum und seinem Co-Host.
Online Themenabend
AWS’ Ausfallanalyse
Meredith Whittaker...
2025-11-032h 13
c't uplink (SD-Video)Kinder für Technik begeistern: Gadgets, Plattformen, Tipps | c’t uplinkKinder interessieren sich in aller Regel für technische und naturwissenschaftliche Phänomene um sie herum. Mit altersgerechten Programmierplattformen, niedlichen Selbstbau-Robotern oder spannenden Brettspielen können Eltern diese Neugier fördern und gemeinsam mit dem Nachwuchs Spaß haben.
In der c’t-Ausgabe 22/2025 stellen wir kindgerechte Programmierplattformen, lokale Makerspaces und kluge Lernspielzeuge vor. Dorothee Wiegand, langjährige c’t-Redakteurin und nun -Autorin, und c’t-Redakteur Sylvester Tremmel sprechen im Podcast über das Thema und geben wertvolle Tipps.
Gemeinsam basteln
Laut den beiden ist man nie zu jung, um sich mit Technik zu beschäftigen. „Mein Kleiner hat Schalter geliebt, da war er kein Jahr...
2025-10-2500 minPasswort - der Podcast von heise securityNews zu Oracle-Exploit, Post-Quanten-Krypto und Chatkontrolle
Es gibt wieder einige Neuigkeiten in der Welt der IT-Sicherheit und alte Bekannte rühren erneut ihr hässliches Haupt. Allen voran die als "Chatkontrolle" bezeichnete Iniative zum "Client-Side Scanning" von Nachrichten, die der EU-Rat unter dänischer Präsidentschaft kürzlich erneut aus der Versenkung hervorholte. Fast genau ein Jahr nach dem letzten Scheitern dieser Initiative zur Aufweichung von Verschlüsselung sprechen Sylvester und Christopher erneut darüber. Auch Oracle ist bereits altbekannter "Gast" im Podcast - dieses Mal mit einer kritischen Lücke in ihrer e-Business Suite und einer äußerst unbefriedigenden Kommunikationsstrategie. Sylvester erklärt seinem Co-Host und...
2025-10-221h 53Passwort - Early AccessEarly Access: News zu Oracle-Exploit, Post-Quanten-Krypto und Chatkontrolle
Es gibt wieder einige Neuigkeiten in der Welt der IT-Sicherheit und alte Bekannte rühren erneut ihr hässliches Haupt. Allen voran die als "Chatkontrolle" bezeichnete Iniative zum "Client-Side Scanning" von Nachrichten, die der EU-Rat unter dänischer Präsidentschaft kürzlich erneut aus der Versenkung hervorholte. Fast genau ein Jahr nach dem letzten Scheitern dieser Initiative zur Aufweichung von Verschlüsselung sprechen Sylvester und Christopher erneut darüber. Auch Oracle ist bereits altbekannter "Gast" im Podcast - dieses Mal mit einer kritischen Lücke in ihrer e-Business Suite und einer äußerst unbefriedigenden Kommunikationsstrategie. Sylvester erklärt seinem Co-Host und...
2025-10-201h 53Passwort - der Podcast von heise securityPhrack - ein Hackermagazin wird 40
Das Hackermagazin Phrack wird in diesem Jahr vierzig Jahre alt und hat seine 72. Ausgabe veröffentlicht, die wieder mit einer Vielfalt von Hacking- und Security-Artikeln glänzt. Sylvester und Christopher haben das Jubiläum zum Anlass genommen, die Geschichte von Phrack zu rekapitulieren und einige wegweisende Artikel aufzugreifen. Und dabei steht ihnen ein prominenter Gast zur Seite: Skyper aus dem Phrack-Team gibt Einblicke in die Redaktionsarbeit, thematisiert den Hackerethos und erzählt Anekdoten aus bewegten Zeiten. Er war auch maßgeblich an der Veröffentlichung der "APT Down"-Analyse beteiligt, der Auswertung einer Workstation eines mutmaßlich chinesischen oder nordkor...
2025-10-082h 44Passwort - Early AccessEarly Access: Phrack - ein Hackermagazin wird 40
Das Hackermagazin Phrack wird in diesem Jahr vierzig Jahre alt und hat seine 72. Ausgabe veröffentlicht, die wieder mit einer Vielfalt von Hacking- und Security-Artikeln glänzt. Sylvester und Christopher haben das Jubiläum zum Anlass genommen, die Geschichte von Phrack zu rekapitulieren und einige wegweisende Artikel aufzugreifen. Und dabei steht ihnen ein prominenter Gast zur Seite: Skyper aus dem Phrack-Team gibt Einblicke in die Redaktionsarbeit, thematisiert den Hackerethos und erzählt Anekdoten aus bewegten Zeiten. Er war auch maßgeblich an der Veröffentlichung der "APT Down"-Analyse beteiligt, der Auswertung einer Workstation eines mutmaßlich chinesischen oder nordkor...
2025-10-062h 44Passwort - der Podcast von heise securityPasswort 41a (Bonusfolge)
Eine Bonusfolge, weil die Themen stärker sprudeln als der Zwei-Wochen- Rhythmus vorsieht. Christopher und Sylvester sehen sich eine fortschrittliche Speicherschutztechnik in Apples neuen iPhones an und erklären, wie es um derartiges im Android-Universum bestellt ist. Außerdem reden die Hosts über einen SalesLoft-Chatbot, der Angreifern Zugriff auf diverse Salesforce-Konten verschafft hat. Und da sage noch einer, diese Bots seien zu nichts nütze. Betroffen waren ausgerechnet Infrastruktur- und Security-Unternehmen – aber die Hosts bezweifeln, dass die nun vom umfassenden Chatbot-Einsatz abrücken.
Apple MIE
Salesloft Opferliste
Chatbot fail
c’t uplink zu MCP
Folgt uns im Fediverse:
@christophe...
2025-10-011h 07Passwort - Early AccessEarly Access: Passwort 41a (Bonusfolge)
Eine Bonusfolge, weil die Themen stärker sprudeln als der Zwei-Wochen-Rhythmus vorsieht. Christopher und Sylvester sehen sich eine fortschrittliche Speicherschutztechnik in Apples neuen iPhones an und erklären, wie es um derartiges im Android-Universum bestellt ist. Außerdem reden die Hosts über einen SalesLoft-Chatbot, der Angreifern Zugriff auf diverse Salesforce-Konten verschafft hat. Und da sage noch einer, diese Bots seien zu nichts nütze. Betroffen waren ausgerechnet Infrastruktur- und Security-Unternehmen – aber die Hosts bezweifeln, dass die nun vom umfassenden Chatbot-Einsatz abrücken.
Apple MIE
Salesloft Opferliste
Chatbot fail
c’t uplink zu MCP
Folgt uns im Fediverse:
@christopherkunz@chaos.soci...
2025-09-291h 07Passwort - der Podcast von heise securityVisionen der CISA, Niedergang von XSLT, Makel von NPM
In dieser "Passwort"-Folge geht es zunächst um große Pläne, die die US- amerikanische IT-Sicherheitsbehörde CISA für das CVE-System hat. Sylvester ist verhalten hoffnungsvoll, Christopher sieht die Gefahr, dass Macht missbräuchlich zementiert werden könnte. Machtmissbrauch witterten auch viele Kommentatoren beim nächsten Thema: Browserhersteller überlegen, XSLT auszubauen. Die Hosts sehen sich an, was XSLT überhaupt ist und diskutieren, ob es im Browser sinnvoll oder deplatziert scheint. Zum Schluss werfen Christopher und Sylvester einen Blick auf die sich aktuell häufenden Angriffe auf npm und erklären unter anderem, was die Sandwürmer aus Frank Her...
2025-09-242h 00Passwort - Early AccessEarly Access: Visionen der CISA, Niedergang von XSLT, Makel von NPM
In dieser "Passwort"-Folge geht es zunächst um große Pläne, die die US- amerikanische IT-Sicherheitsbehörde CISA für das CVE-System hat. Sylvester ist verhalten hoffnungsvoll, Christopher sieht die Gefahr, dass Macht missbräuchlich zementiert werden könnte. Machtmissbrauch witterten auch viele Kommentatoren beim nächsten Thema: Browserhersteller überlegen, XSLT auszubauen. Die Hosts sehen sich an, was XSLT überhaupt ist und diskutieren, ob es im Browser sinnvoll oder deplatziert scheint. Zum Schluss werfen Christopher und Sylvester einen Blick auf die sich aktuell häufenden Angriffe auf npm und erklären unter anderem, was die Sandwürmer aus Frank Her...
2025-09-222h 00Passwort - der Podcast von heise securityProbleme mit Widerrufen, Verbindungsabbrüchen und anderem
Die Hosts wühlen sich weiter durch Feedback und mehr News, als eigentlich in eine Folge passen. Der Podcast nähert sich daher unermüdlich den Director’s Cuts epischer Filme an – zumindest in seiner Länge. Ein Hauptgrund dafür ist die Zertifizierungsstelle Microsoft PKI Services, bei der sich tiefe Abgründe auftun. Christopher und Sylvester reden aber auch über diverse andere aktuelle Themen in- und außerhalb der PKI, etwa lehrreiche Sicherheitslücken in Coredump-Handlern und die interessante DoS-Schwachstelle MadeYouReset.
Merklemap-Kritik an Static CT
Bugreports zu Microsofts Zertifikatsnichtwiderrufen:
https://bugzilla.mozilla.org/showbug.cgi?id=196282...
2025-09-102h 17Passwort - Early AccessEarly Access: Probleme mit Widerrufen, Verbindungsabbrüchen und anderem
Die Hosts wühlen sich weiter durch Feedback und mehr News, als eigentlich in eine Folge passen. Der Podcast nähert sich daher unermüdlich den Director’s Cuts epischer Filme an – zumindest in seiner Länge. Ein Hauptgrund dafür ist die Zertifizierungsstelle Microsoft PKI Services, bei der sich tiefe Abgründe auftun. Christopher und Sylvester reden aber auch über diverse andere aktuelle Themen in- und außerhalb der PKI, etwa lehrreiche Sicherheitslücken in Coredump-Handlern und die interessante DoS-Schwachstelle MadeYouReset.
Merklemap-Kritik an Static CT
Bugreports zu Microsofts Zertifikatsnichtwiderrufen:
https://bugzilla.mozilla.org/showbug.cgi?id=196282...
2025-09-082h 17Passwort - der Podcast von heise securityVielfältiges Versagen in Redmond und andere News
Christopher und Sylvester sind aus dem Urlaub zurück, haben direkt mehr
Themen als in einen Passwort-Podcast passen und teilen deshalb auf: In
dieser Folge geht es um eine großangelegte Studie, der zufolge viele
übliche Anti-Phishing-Maßnahmen kaum oder gar nicht helfen. Außerdem
grübeln die beiden über das Tempo, mit dem Let’s Encrypt seine alten
CT-Logs abschalten will, und verzweifeln an Microsoft. Die Firma aus
Redmond ist mit gleich zwei Geschichten im Podcast vertreten, die nicht
nur von Sicherheitslücken und (zweifelhaften) technischen Lösungen
handeln, sondern auch totale Kommunikationsdesaster skizzieren.
Phrack Ausgabe 72
Phisi...
2025-08-272h 01Passwort - Early AccessEarly Access: Vielfältiges Versagen in Redmond und andere News
Christopher und Sylvester sind aus dem Urlaub zurück, haben direkt mehr
Themen als in einen Passwort-Podcast passen und teilen deshalb auf: In
dieser Folge geht es um eine großangelegte Studie, der zufolge viele
übliche Anti-Phishing-Maßnahmen kaum oder gar nicht helfen. Außerdem
grübeln die beiden über das Tempo, mit dem Let’s Encrypt seine alten
CT-Logs abschalten will, und verzweifeln an Microsoft. Die Firma aus
Redmond ist mit gleich zwei Geschichten im Podcast vertreten, die nicht
nur von Sicherheitslücken und (zweifelhaften) technischen Lösungen
handeln, sondern auch totale Kommunikationsdesaster skizzieren.
Phrack Ausgabe 72
Phisi...
2025-08-252h 01Passwort - der Podcast von heise securitySchlaue Hacks von schlauen Verträgen
Angriffe, die Fehler in sogenannten Smart Contacts auf einer Blockchain ausnutzen, gibt es immer noch am laufenden Band. Aber ein Angreifer, der direkt Tausende von Contracts unterwandert, dabei technisch durchaus interessante Tricks nutzt und dann entdeckt wird, bevor er zuschlägt? Da kann Sylvester nicht widerstehen – und weil Christopher im Urlaub ist, kann ihn auch niemand aufhalten. Zusammen mit seinem Kollegen Jan Mahn schaut er sich an, was diesmal passiert ist. Weil das nicht so trivial ist, nutzen die beiden die Gelegenheit, auch mal grundsätzlich über Smart Contracts zu reden, welche Sicherheitsvorteile solche Systeme bieten können und wie es...
2025-08-131h 17Passwort - Early AccessEarly Access: Schlaue Hacks von schlauen Verträgen
Angriffe, die Fehler in sogenannten Smart Contacts auf einer Blockchain ausnutzen, gibt es immer noch am laufenden Band. Aber ein Angreifer, der direkt Tausende von Contracts unterwandert, dabei technisch durchaus interessante Tricks nutzt und dann entdeckt wird, bevor er zuschlägt? Da kann Sylvester nicht widerstehen – und weil Christopher im Urlaub ist, kann ihn auch niemand aufhalten. Zusammen mit seinem Kollegen Jan Mahn schaut er sich an, was diesmal passiert ist. Weil das nicht so trivial ist, nutzen die beiden die Gelegenheit, auch mal grundsätzlich über Smart Contracts zu reden, welche Sicherheitsvorteile solche Systeme bieten können und wie es...
2025-08-111h 17Passwort - der Podcast von heise securityDNSSEC, die DNS Security Extensions
Das Domain Name System - kurz DNS - ist einer der Grundpfeiler des modernen Internet. Umso wichtiger, dass es zuverlässige und unfälschbare Informationen liefert. Dabei hilft DNSSEC - die DNS Security Extensions. Was das ist, was es kann, wie man es aktiviert und was man davon hat, erklärt den Hosts in dieser Folge ein Gast: DNSSEC-Experte Peter Thomassen arbeitet seit Jahren an vorderster Front bei verschiedenen Gremien mit und entwickelt die Sicherhetismerkmale von DNS weiter. Er kümmert sich besonders um Automatisierung - ein Thema, bei dem DNSSEC anderen großen Ökosystemen wie dem CA-Kosmos noch hinter...
2025-07-301h 46Passwort - Early AccessEarly Access: DNSSEC, die DNS Security Extensions
Das Domain Name System - kurz DNS - ist einer der Grundpfeiler des modernen Internet. Umso wichtiger, dass es zuverlässige und unfälschbare Informationen liefert. Dabei hilft DNSSEC - die DNS Security Extensions. Was das ist, was es kann, wie man es aktiviert und was man davon hat, erklärt den Hosts in dieser Folge ein Gast: DNSSEC-Experte Peter Thomassen arbeitet seit Jahren an vorderster Front bei verschiedenen Gremien mit und entwickelt die Sicherheitsmerkmale von DNS weiter. Er kümmert sich besonders um Automatisierung - ein Thema, bei dem DNSSEC anderen großen Ökosystemen wie dem CA-Kosmos noch hinter...
2025-07-281h 46Passwort - der Podcast von heise securityVollständig zertifizierte News
Der (Alb-)Traum vieler Hörer – eine Folge Passwort nur mit News zu Zertifikatsinfrastrukturen. Es gibt aber auch viel Neues zu berichten: von Zertifizierungsstellen, die interessante neue Lösungen bauen, über Zertifizierungsstellen, die Fehler in komischen alten Lösungen machen, und Zertifizierungsstellen, die Dinge einfach anders machen wollen als die Browser, bis zu Zertifizierungsstellen, die in Telefonen stecken. Das klingt nicht nur komisch, sondern auch unsicher, weshalb Christopher und Sylvester es sich genauer angesehen haben.
The CRA and what it means for us (Greg Kroah-Hartman)
Security: Wie sich der Cyber Resilience Act auf Open-Source-Projekte
auswirkt
...
2025-07-162h 09Passwort - Early AccessEarly Access: Vollständig zertifizierte News
Der (Alb-)Traum vieler Hörer – eine Folge Passwort nur mit News zu Zertifikatsinfrastrukturen. Es gibt aber auch viel Neues zu berichten: von Zertifizierungsstellen, die interessante neue Lösungen bauen, über Zertifizierungsstellen, die Fehler in komischen alten Lösungen machen, und Zertifizierungsstellen, die Dinge einfach anders machen wollen als die Browser, bis zu Zertifizierungsstellen, die in Telefonen stecken. Das klingt nicht nur komisch, sondern auch unsicher, weshalb Christopher und Sylvester es sich genauer angesehen haben.
The CRA and what it means for us (Greg Kroah-Hartman)
Security: Wie sich der Cyber Resilience Act auf Open-Source-Projekte
auswirkt
...
2025-07-142h 09Passwort - der Podcast von heise securitySecurity-News ohne PKI, dafür mit Bluetooth- und Kernelbugs
Stammhörer, seid stark: Dieses Mal gibt es keine Neuigkeiten rund um die WebPKI. Dafür sprechen Christopher und Sylvester über das angebliche 16-Milliarden-Zugangsdaten-Leck und wie es zum Großereignis überhöht wurde. Außerdem geht es um eine Sicherheitslücke im Linux-Kernel - oder doch woanders? Darüber sind sich die Kernelentwickler und die Distribution Ubuntu uneins und trugen diesen Streit via CVE-Kennungen aus. Außerdem erzählt Christopher über seine Eindrücke zum Sicherheitslücken-Ökosystem und wie es einzelne Verwalter von Opensource-Software überlastet. Und zum Schluß wirft eine Bluetooth-Sicherheitslücke ein Schlaglicht auf eine Industrie, in der die Zulieferke...
2025-07-022h 00Passwort - Early AccessEarly Access: Security-News ohne PKI, dafür mit Bluetooth- und Kernelbugs
Stammhörer, seid stark: Dieses Mal gibt es keine Neuigkeiten rund um die WebPKI. Dafür sprechen Christopher und Sylvester über das angebliche 16-Milliarden-Zugangsdaten-Leck und wie es zum Großereignis überhöht wurde. Außerdem geht es um eine Sicherheitslücke im Linux-Kernel - oder doch woanders? Darüber sind sich die Kernelentwickler und die Distribution Ubuntu uneins und trugen diesen Streit via CVE-Kennungen aus. Außerdem erzählt Christopher über seine Eindrücke zum Sicherheitslücken-Ökosystem und wie es einzelne Verwalter von Opensource-Software überlastet. Und zum Schluß wirft eine Bluetooth-Sicherheitslücke ein Schlaglicht auf eine Industrie, in der die Zulieferke...
2025-06-302h 00Passwort - der Podcast von heise securityLokale Sauereien von Meta und Yandex
Meta und Yandex sind bei Trackingmethoden erwischt
worden, die weit über das Übliche hinausgehen. Christopher und
Sylvester sehen sich die Publikation "Local Mess" an. Darin
dokumentieren Forscher Tracking-Tricks dieser Firmen, die den
Nutzerwünschen explizit zuwiderlaufen, Securitymaßnahmen untergraben
und Kommunikation verschleiern. Die Hosts haben Mühe, noch einen
Unterschied zum Vorgehen typischer Malware zu sehen.
Publikation "Local Mess"
Ars Technica zu LocalMess
Pläne zu "Local Networt Access"
Mitglieder unserer Security Community auf heise security PRO hören
alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort
2025-06-181h 55Passwort - Early AccessEarly Access: Lokale Sauereien von Meta und Yandex
Meta und Yandex sind bei Trackingmethoden erwischt
worden, die weit über das Übliche hinausgehen. Christopher und
Sylvester sehen sich die Publikation "Local Mess" an. Darin
dokumentieren Forscher Tracking-Tricks dieser Firmen, die den
Nutzerwünschen explizit zuwiderlaufen, Securitymaßnahmen untergraben
und Kommunikation verschleiern. Die Hosts haben Mühe, noch einen
Unterschied zum Vorgehen typischer Malware zu sehen.
Publikation "Local Mess"
Ars Technica zu LocalMess
Pläne zu "Local Networt Access"
Mitglieder unserer Security Community auf heise security PRO hören
alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort
2025-06-161h 55Passwort - der Podcast von heise securitySecurity-News mit extra viel WebPKI, Cybercrime und Onion-URLs
In dieser Folge gibt es ein längeres Gespräch zu einer eigentlich recht marginalen Neuerung im WebPKI-Ökosystem. Auf Drängen von Chrome bauen CAs ein Feature aus TLS-Zertifikaten aus, das einige wenige Serverbetreiber nutzten. Ist es statthaft, die Marktmacht derart zu nutzen - und ist die Begründung sinnvoll? Das diskutieren Sylvester und Christopher ausgiebig. Außerdem hat Sylvester ein kleines, nützliches Werkzeug für Tor-Nutzer namens Oniux gefunden und erzählt anhand eines kleinen Fehlers im Ankündigungsartikel des Tor Project, welche Auswirkungen es haben kann, wenn eine .onion-URL irrtümlich bei einem DNS-Server landet. Außerdem be...
2025-06-041h 58Passwort - Early AccessEarly Access: Security-News mit extra viel WebPKI, Cybercrime und Onion-URLs
In dieser Folge gibt es ein längeres Gespräch zu einer eigentlich recht marginalen Neuerung im WebPKI-Ökosystem. Auf Drängen von Chrome bauen CAs ein Feature aus TLS-Zertifikaten aus, das einige wenige Serverbetreiber nutzten. Ist es statthaft, die Marktmacht derart zu nutzen - und ist die Begründung sinnvoll? Das diskutieren Sylvester und Christopher ausgiebig. Außerdem hat Sylvester ein kleines, nützliches Werkzeug für Tor-Nutzer namens Oniux gefunden und erzählt anhand eines kleinen Fehlers im Ankündigungsartikel des Tor Project, welche Auswirkungen es haben kann, wenn eine .onion-URL irrtümlich bei einem DNS-Server landet. Außerdem be...
2025-06-021h 58Passwort - der Podcast von heise securityQuantencomputer und wie man sich vor ihnen schützt
Quantencomputer bedrohen die ganze Kryptografie… die ganze? Nein! Sylvester lässt sich von seinen Kolleg:innen Dr. Sabrina Patsch und Wilhelm Drehling erklären, welche Algorithmen Quantencomputer tatsächlich bedrohen und wofür sie kein Problem darstellen. Die drei erörtern auch, wie weit real existierende Maschinen von diesen Fähigkeiten noch entfernt sind, warum man sich dennoch bereits Sorgen macht und welche – oft gar nicht so neuen – Verfahren vor Quantencomputern schützen.
Übersichtsseite zum PQC-Standardisierungsprojekt des NIST
Weiterführender Artikel zum aktuellen Stand der Entwicklung von
Quantencomputern
Weiterführender Artikel zu Kryptoagilität und Post-Quanten-
Kryptografie
Cloudflares Zufallsgeneratore...
2025-05-211h 06Passwort - Early AccessEarly Access: Quantencomputer und wie man sich vor ihnen schützt
Quantencomputer bedrohen die ganze Kryptografie… die ganze? Nein! Sylvester lässt sich von seinen Kolleg:innen Dr. Sabrina Patsch und Wilhelm Drehling erklären, welche Algorithmen Quantencomputer tatsächlich bedrohen und wofür sie kein Problem darstellen. Die drei erörtern auch, wie weit real existierende Maschinen von diesen Fähigkeiten noch entfernt sind, warum man sich dennoch bereits Sorgen macht und welche – oft gar nicht so neuen – Verfahren vor Quantencomputern schützen.
Übersichtsseite zum PQC-Standardisierungsprojekt des NIST
Weiterführender Artikel zum aktuellen Stand der Entwicklung von
Quantencomputern
Weiterführender Artikel zu Kryptoagilität und Post-Quanten-
Kryptografie
Cloudflares Zufallsgeneratore...
2025-05-191h 06Passwort - der Podcast von heise securitySecurity-News von ChoiceJacking bis Slopsquatting
"Zumindest wird es nicht langweilig", könnte das April-Fazit aus IT-Security-Sicht lauten. Und den beiden "Passwort"-Hosts fällt es erneut leicht, spannende Sicherheitsgeschichten zu erzählen. Unter anderem geht es um eine neue Form der Supply-Chain-Attacke, die KI-Halluzinationen von Softwarebibliotheken ausnutzt. Aber auch eine trickreiche Umgehung der USB-Sperre von Mobilgeräten stellt Co-Host Christopher vor - und Sylvester ärgert sich über unvollständige Sicherheitsflicken beim Security-Appliance-Hersteller Fortinet. Einig sind sich beide allerdings wieder bei ihrem Dauerbrenner: Eine nun beschlossene Änderung in der WebPKI findet beider Beifall.
ChoiceJacking-Vortrag auf der BlackHat
Offener Brief der EFF in der C...
2025-05-071h 58Passwort - Early AccessEarly Access: Security-News von ChoiceJacking bis Slopsquatting
"Zumindest wird es nicht langweilig", könnte das April-Fazit aus IT-Security-Sicht lauten. Und den beiden "Passwort"-Hosts fällt es erneut leicht, spannende Sicherheitsgeschichten zu erzählen. Unter anderem geht es um eine neue Form der Supply-Chain-Attacke, die KI-Halluzinationen von Softwarebibliotheken ausnutzt. Aber auch eine trickreiche Umgehung der USB-Sperre von Mobilgeräten stellt Co-Host Christopher vor - und Sylvester ärgert sich über unvollständige Sicherheitsflicken beim Security-Appliance-Hersteller Fortinet. Einig sind sich beide allerdings wieder bei ihrem Dauerbrenner: Eine nun beschlossene Änderung in der WebPKI findet beider Beifall.
ChoiceJacking-Vortrag auf der BlackHat
Offener Brief der EFF in der C...
2025-05-051h 58Passwort - der Podcast von heise securityi-Soon: Leak aus der chinesischen Cybercrime-Industrie
Christopher und Sylvester werfen einen Blick auf das i- Soon-Leak. Im Februar 2024 tauchte auf GitHub ein Datensatz auf, der Vertriebs- und Dokumentationsmaterial der chinesischen Firma i-Soon enthielt und auch Chatprotokolle von Mitarbeitern des Unternehmens. Wer mit welchem Motiv den Datensatz veröffentlicht hat, ist nach wie vor unklar und entsprechend skeptisch sollte man ihn bewerten. Um eine reine Fälschung handelt es sich jedoch höchstwahrscheinlich nicht und die Daten offenbarten einen seltenen Einblick in die chinesische Cybercrime-Industrie, die sehr offiziell und mit dem Staat als regelmäßigem Kunden agiert.
Analyse der XZ-Hintertür: https://heise.de/-97881...
2025-04-232h 02Passwort - Early AccessEarly Access: i-Soon: Leak aus der chinesischen Cybercrime-Industrie
Christopher und Sylvester werfen einen Blick auf das i- Soon-Leak. Im Februar 2024 tauchte auf GitHub ein Datensatz auf, der Vertriebs- und Dokumentationsmaterial der chinesischen Firma i-Soon enthielt und auch Chatprotokolle von Mitarbeitern des Unternehmens. Wer mit welchem Motiv den Datensatz veröffentlicht hat, ist nach wie vor unklar und entsprechend skeptisch sollte man ihn bewerten. Um eine reine Fälschung handelt es sich jedoch höchstwahrscheinlich nicht und die Daten offenbarten einen seltenen Einblick in die chinesische Cybercrime-Industrie, die sehr offiziell und mit dem Staat als regelmäßigem Kunden agiert.
Analyse der XZ-Hintertür: https://heise.de/-97881...
2025-04-212h 02Passwort - der Podcast von heise securitySecurity-News und Feedback von Oracle bis Web-PKI
Achtung, die Blutdruckpillen werden ausgepackt! Christopher und Sylvester ärgern sich über laxe Sicherheitspraktiken bei Konzernen und deren undurchsichtige Krisen-PR. Sie freuen sich hingegen über reichlich Hörer-Feedback zu vergangenen Folgen und diskutieren über Neuerungen im Zertifikats-Ökosystem. Und auch eine sehr prominente, aber vorbildlich gemeisterte Phishing-Attacke wird zum Thema - die Hosts erklären, warum sich wirklich niemand schämen sollte, Opfer geworden zu sein.
https://gitlab.torproject.org/legacy/trac/-/wikis/doc/TorPlusVPN
https://github.com/wesaphzt/privatelock
https://eylenburg.github.io/android_comparison.htm
https://samwho.dev/bloom-filters/
https://github.com/mozilla/clubcard
Mitglieder unserer...
2025-04-091h 56Passwort - Early AccessEarly Access: Security-News und Feedback von Oracle bis Web-PKI
Achtung, die Blutdruckpillen werden ausgepackt! Christopher und Sylvester ärgern sich über laxe Sicherheitspraktiken bei Konzernen und deren undurchsichtige Krisen-PR. Sie freuen sich hingegen über reichlich Hörer-Feedback zu vergangenen Folgen und diskutieren über Neuerungen im Zertifikats-Ökosystem. Und auch eine sehr prominente, aber vorbildlich gemeisterte Phishing-Attacke wird zum Thema - die Hosts erklären, warum sich wirklich niemand schämen sollte, Opfer geworden zu sein.
https://gitlab.torproject.org/legacy/trac/-/wikis/doc/TorPlusVPN
https://github.com/wesaphzt/privatelock
https://eylenburg.github.io/android_comparison.htm
https://samwho.dev/bloom-filters/
https://github.com/mozilla/clubcard
Mitglieder unserer...
2025-04-071h 56Passwort - der Podcast von heise securitySmartphonedurchsuchung wider Willen
In dieser Folge geht es wieder um Staaten, die ihre Bürger bespitzeln. Diesmal allerdings nicht durch Spyware (siehe Folge 25) sondern mittels spezieller Geräte, die möglichst viele Daten auch von gesperrten Telefonen extrahieren. Im Podcast ist Viktor Schlüter zu Gast, der bei Reporter ohne Grenzen das Digital Security Lab leitet. Er kennt sich bestens mit solchen Smartphone-Durchsuchungen aus, die immer wieder auch illegitim eingesetzt werden und sich beispielsweise gegen Journalisten richten. Zusammen mit Viktor sehen sich Christopher und Sylvester an, wie solche Durchsuchungen funktionieren, wer solche Geräte herstellt, wer sie einsetzt und wie man sich davor...
2025-03-261h 57Passwort - Early AccessEarly Access: Smartphonedurchsuchung wider Willen
In dieser Folge geht es wieder um Staaten, die ihre Bürger bespitzeln. Diesmal allerdings nicht durch Spyware (siehe Folge 25) sondern mittels spezieller Geräte, die möglichst viele Daten auch von gesperrten Telefonen extrahieren. Im Podcast ist Viktor Schlüter zu Gast, der bei Reporter ohne Grenzen das Digital Security Lab leitet. Er kennt sich bestens mit solchen Smartphone-Durchsuchungen aus, die immer wieder auch illegitim eingesetzt werden und sich beispielsweise gegen Journalisten richten. Zusammen mit Viktor sehen sich Christopher und Sylvester an, wie solche Durchsuchungen funktionieren, wer solche Geräte herstellt, wer sie einsetzt und wie man sich davor...
2025-03-241h 57Passwort - der Podcast von heise securityNews von Verschlüsselungsangriffen bis Kryptodiebstahl
Passwort-Podcast ohne PKI: unvorstellbar! Daher sprechen Sylvester und Christopher in der aktuellen FOlge auch über Kritik an der automatischen Zertifikatsvergabe per ACME-Protokoll. Außerdem staunen sie ob eines Milliardendiebstahls bei der Kryptobörse Bybit, ärgern sich über verschiedene staatliche Versuche, Verschlüsselung zu schwächen und ermutigen ihre Hörer, bei der Auswahl der Testdomain umsichtig vorzugehen.
https://blog.thc.org/practical-https-interception
CertSpotter: https://github.com/SSLMate/certspotter
https://tuta.com/de/blog/france-surveillance-nacrotrafic-law
https://support.apple.com/en-us/122234
https://www.cl.cam.ac.uk/~ah793/papers/2025police.pdf
https://www.bloomberg.com/opinion/articles/2025-03-03/citi-keeps-hitting-the-wrong-buttons
https...
2025-03-121h 46Passwort - Early AccessEarly Access: News von Verschlüsselungsangriffen bis Kryptodiebstahl
Passwort-Podcast ohne PKI: unvorstellbar! Daher sprechen Sylvester und Christopher in der aktuellen FOlge auch über Kritik an der automatischen Zertifikatsvergabe per ACME-Protokoll. Außerdem staunen sie ob eines Milliardendiebstahls bei der Kryptobörse Bybit, ärgern sich über verschiedene staatliche Versuche, Verschlüsselung zu schwächen und ermutigen ihre Hörer, bei der Auswahl der Testdomain umsichtig vorzugehen.
https://blog.thc.org/practical-https-interception
CertSpotter: https://github.com/SSLMate/certspotter
https://tuta.com/de/blog/france-surveillance-nacrotrafic-law
https://support.apple.com/en-us/122234
https://www.cl.cam.ac.uk/~ah793/papers/2025police.pdf
ht...
2025-03-101h 46Passwort - der Podcast von heise securityHomomorphe Verschlüsselung
Mit verschlüsselten Daten zu arbeiten, ohne sie entschlüsseln zu müssen, klingt unmöglich. Und doch bietet die homomorphe Verschlüsselung genau diese Möglichkeit. Dafür ist jedoch viel Mathematik vonnöten und die lässt sich Christopher in der 26. Folge des "Passwort"-Podcasts von einem Gast mit ausgewiesener Expertise erklären. Nicht nur graue Theorie, auch apfelbunte Praxis kommt nicht zu kurz: Eine Anwendung in Apples Cloud zeigt, wie nützlich homomorphe Verschlüsselung ist.
Craig Gentry's Paper zu FHE mit ideal lattices
Craig Gentry's Dissertation zu FHE
MS "Kryptonets" Paper von 2016
https://fhe.org/resource...
2025-02-261h 27Passwort - Early AccessEarly Access: Homomorphe Verschlüsselung
Mit verschlüsselten Daten zu arbeiten, ohne sie entschlüsseln zu müssen, klingt unmöglich. Und doch bietet die homomorphe Verschlüsselung genau diese Möglichkeit. Dafür ist jedoch viel Mathematik vonnöten und die lässt sich Christopher in der 26. Folge des "Passwort"-Podcasts von einem Gast mit ausgewiesener Expertise erklären. Nicht nur graue Theorie, auch apfelbunte Praxis kommt nicht zu kurz: Eine Anwendung in Apples Cloud zeigt, wie nützlich homomorphe Verschlüsselung ist.
Craig Gentry's Paper zu FHE mit ideal lattices
Craig Gentry's Dissertation zu FHE
MS "Kryptonets" Paper von 2016
https://fhe.org/resource...
2025-02-241h 27Passwort - der Podcast von heise securityStaatlich sanktionierte Spyware
In dieser Folge geht es um Methoden, mit denen Staaten - und zwar längst nicht nur autoritäre - ihre Bürger bespitzeln. Dissidenten, Journalisten, Politiker und andere Bevölkerungsgruppen waren bereits Opfer von Smartphone-Malware, die im staatlichen Auftrag installiert wurde. Die Hersteller dieser Spionagesoftware sind geheimnistuerische Unternehmen, die viel Geld für ihre Dienste nehmen. Sylvester und Christopher nehmen alle Beteiligten unter die Lupe und klären auch die Frage, ob Whatsapp die NSA verklagt hat.
Predator-Analyse von Cisco Talos
Google Project Zero zu FORCEDENTRY
https://media.ccc.de/v/38c3-from-pegasus-to-predator-the-evolution-of-commercial-spyware-on-ios
https://securitylab.amnesty.org/latest...
2025-02-121h 29Passwort - Early AccessEarly Access: Staatlich sanktionierte Spyware
In dieser Folge geht es um Methoden, mit denen Staaten - und zwar längst nicht nur autoritäre - ihre Bürger bespitzeln. Dissidenten, Journalisten, Politiker und andere Bevölkerungsgruppen waren bereits Opfer von Smartphone-Malware, die im staatlichen Auftrag installiert wurde. Die Hersteller dieser Spionagesoftware sind geheimnistuerische Unternehmen, die viel Geld für ihre Dienste nehmen. Sylvester und Christopher nehmen alle Beteiligten unter die Lupe und klären auch die Frage, ob Whatsapp die NSA verklagt hat.
Predator-Analyse von Cisco Talos
Google Project Zero zu FORCEDENTRY
https://media.ccc.de/v/38c3-from-pegasus-to-predator-the-evolution-of-commercial-spyware-on-ios
https://securitylab.amnesty.org/latest...
2025-02-101h 29Passwort - der Podcast von heise securityZertifikate sind schwierig, Malwarenamen auch
Christopher und Sylvester kämpfen sich mal wieder durch einige Ankündigungen für Zertifikate und Vorfälle mit denselben. Außerdem werfen sie einen Blick auf eine Malwaregruppe, die auf andere Cyberkriminelle und Sicherheitsforscher abzielt, und besprechen, warum diese Gruppen oft so viele komische Namen haben. Zuletzt geht es noch um neue Tricks, wie Nutzer über ihre Browserengine nachverfolgt werden können – und wie man sich dagegen wehrt.
Let's Encrypt-Ankündigung
Bericht zu MUT-1244
Threat-Actor-Naming-RFC
CSS-Fingerprinting
c’t-Mailclient-Übersicht
Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: htt...
2025-01-291h 27Passwort - Early AccessEarly Access: Zertifikate sind schwierig, Malwarenamen auch
Christopher und Sylvester kämpfen sich mal wieder durch
einige Ankündigungen für Zertifikate und Vorfälle mit denselben.
Außerdem werfen sie einen Blick auf eine Malwaregruppe, die auf andere
Cyberkriminelle und Sicherheitsforscher abzielt, und besprechen, warum
diese Gruppen oft so viele komische Namen haben. Zuletzt geht es noch
um neue Tricks, wie Nutzer über ihre Browserengine nachverfolgt werden
können – und wie man sich dagegen wehrt.
Let's Encrypt-Ankündigung
Bericht zu MUT-1244
Threat-Actor-Naming-RFC
CSS-Fingerprinting
c’t-Mailclient-Übersicht
Mitglieder unserer Security Community auf heise security PRO hören
alle Folgen bereits zwei Tage früher. Mehr Infos: htt...
2025-01-271h 27Passwort - der Podcast von heise securityBootkitty - Schnitzeljagd um ein Linux-Bootkit
Ein neues Linux-Rootkit taucht plötzlich auf und wird gleich dreimal analysiert. Seine Besonderheit: Es kann über das UEFI Linuxsysteme infizieren - bis jetzt ging das nur unter Windows. Aber wer steckt dahinter und warum haben die Unbekannten das Bootkit gebastelt? Sylvester und Christopher gehen auf Spurensuche.
Dieses Mal litten Christopher und Sylvester unter ausgeprägtem Hallo-Effekt, was zwischendurch zu unfreiwillig komischen Reinrede-Aktionen führte.
Ken Thompson: Reflections on Trusting Trust
BlackHat-Präsentation zu LogoFAIL
ESET-Analyse
Humzak711' Analyse
Binarly-Analyse
2025-01-151h 10Passwort - Early AccessEarly Access: Bootkitty - Schnitzeljagd um ein Linux-Bootkit
Ein neues Linux-Rootkit taucht plötzlich auf und wird gleich dreimal analysiert. Seine Besonderheit: Es kann über das UEFI Linuxsysteme infizieren - bis jetzt ging das nur unter Windows. Aber wer steckt dahinter und warum haben die Unbekannten das Bootkit gebastelt? Sylvester und Christopher gehen auf Spurensuche.
Dieses Mal litten Christopher und Sylvester unter ausgeprägtem Hallo-Effekt, was zwischendurch zu unfreiwillig komischen Reinrede-Aktionen führte.
Ken Thompson: Reflections on Trusting Trust
BlackHat-Präsentation zu LogoFAIL
ESET-Analyse
Humzak711' Analyse
Binarly-Analyse
2025-01-131h 10Passwort - der Podcast von heise securityNeues vom 38C3 von Autos über Wahlen zu Rowhammer-Forschung
In der ersten Folge des Jahres meldet sich Christopher aus dem Hamburger Außenstudio. Mit zwei Gästen, nämlich Linus Neumann vom CCC und Prof. Florian Adamsky von der Hochschule Hof, spricht er über vier aktuelle Themen, die auch Gegenstand von 38C3-Vorträgen sind: Die Rowhammer-Sicherheitslücke in DRAM, das Datenleck bei VW, unsichere Wahlsoftware und aus China gesteuerte Fake-Shops.
38C3-Talk zu FlippyRAM: https://media.ccc.de/v/38c3-ten-years-of-rowhammer-a-retrospect-and-path-to-the-future
FlippyRAM: https://flippyr.am/
38C3-Talk zu Volkswagen-Leck: https://media.ccc.de/v/38c3-wir-wissen-wo-dein-auto-steht-volksdaten-von-volkswagen
SRLabs zu BogusBazaar: https://www.srlabs.de/blog-post/bogusbazaar
Fakeshop-Finder der Ve...
2025-01-011h 24Passwort - der Podcast von heise securityVon Zug(p)ferden, Cyber-Gangstern und Passwort-Policies
In dieser Episode geht es um ZUGFeRD, einen Standard für die E-Rechnung, um die technischen Tricks von Darknet-Marktplätzen sowie um die Verurteilungen der Betreiber solcher Marktplätze und anderer Krimineller. Außerdem diskutieren die Hosts einen Essay zur Geschichte und den fragwürdigen Effekten von Passwort-Policies und natürlich kommen Zertifikate – beziehungsweise deren Widerrufe – zur Sprache.
Schwerpunkt zu E-Rechnungen in der c’t
Blogpost zur Security von Darknet-Marktplätzen
Wazawakas Steckbrief auf dem T-Shirt
Let’s Encrypts Termine für das OSCP-Ende, Passwort-Folge 9 mit Details dazu und ein c’t-Artikel zur Problematik von Zertifikatswiderrufen
Essay zu Password-Policies
...
2024-12-181h 23Passwort - Early AccessEarly Access: Von Zug(p)ferden, Cyber-Gangstern und Passwort-Policies
In dieser Episode geht es um ZUGFeRD, einen Standard für die E-Rechnung, um die technischen Tricks von Darknet-Marktplätzen sowie um die Verurteilungen der Betreiber solcher Marktplätze und anderer Krimineller. Außerdem diskutieren die Hosts einen Essay zur Geschichte und den fragwürdigen Effekten von Passwort-Policies und natürlich kommen Zertifikate – beziehungsweise deren Widerrufe – zur Sprache.
Schwerpunkt zu E-Rechnungen in der c’t
Blogpost zur Security von Darknet-Marktplätzen
Wazawakas Steckbrief auf dem T-Shirt
Let’s Encrypts Termine für das OSCP-Ende, Passwort-Folge 9 mit Details dazu und ein c’t-Artikel zur Problematik von Zertifikatswiderrufen
Essay zu Password-Policies
...
2024-12-161h 23Passwort - der Podcast von heise securityPacific Rim - Hackback nach China
Immer wieder berichten wir im heise Newsticker über APT-Angriffe gegen Firewalls und Security Appliances und deren teilweise haarsträubende Sicherheitslücken. Ein großer Hersteller solcher Geräte hat nun kurzerhand den Spieß umgedreht und seine Geräte in einigigen Fällen zu Lausch-Stationen umfunktioniert. Und zwar in China, wo sie offenbar von Exploit-Herstellern als Testgeräte für deren Malware genutzt wurden. Welches jahrelange Katz-und-Maus-Spiel der Hackback-Aktion vorausging und warum sie dieses Vorgehen für nicht ganz unproblematisch halten, diskutieren Sylvester und Christopher in der zwanzigsten "Passwort"-Folge.
Diamond Model of Intrusion Analysis
Timeline Pacific Rim
Sophos-CISO Ross McKerc...
2024-12-111h 21Passwort - Early AccessEarly Access: Pacific Rim - Hackback nach China
Immer wieder berichten wir im heise Newsticker über APT-Angriffe gegen Firewalls und Security Appliances und deren teilweise haarsträubende Sicherheitslücken. Ein großer Hersteller solcher Geräte hat nun kurzerhand den Spieß umgedreht und seine Geräte in einigigen Fällen zu Lausch-Stationen umfunktioniert. Und zwar in China, wo sie offenbar von Exploit-Herstellern als Testgeräte für deren Malware genutzt wurden. Welches jahrelange Katz-und-Maus-Spiel der Hackback-Aktion vorausging und warum sie dieses Vorgehen für nicht ganz unproblematisch halten, diskutieren Sylvester und Christopher in der zwanzigsten "Passwort"-Folge.
Diamond Model of Intrusion Analysis
Timeline Pacific Rim
Sophos-CISO Ross McKerc...
2024-12-091h 21Passwort - der Podcast von heise securityTor-Angriffe, Security-Fails und viel Feedback
Zu den letzten Episoden gab es viel inhaltliches Feedback, auf das Christopher und Sylvester in Folge 19 gerne eingehen. Außerdem reden die beiden noch einmal über das Tor-Projekt, denn eine aktuelle und interessante Angriffswelle auf das System hat es gerade so nicht in die vergangene Folge geschafft. Anschließend schauen sich die Hosts einige in letzter Zeit bekannt gewordene Security-Fails an. Die sind teilweise wirklich erschreckend und fanden sich ausgerechnet in Produkten von IT-Sicherheitsfirmen. So mancher Hersteller muss sich offenbar nochmal die Basics hinter die Ohren schreiben. Um Zertifikate geht es natürlich auch wieder, denn was wäre das I...
2024-11-271h 39Passwort - Early AccessEarly Access: Tor-Angriffe, Security-Fails und viel Feedback
Zu den letzten Episoden gab es viel inhaltliches Feedback, auf das Christopher und Sylvester in Folge 19 gerne eingehen. Außerdem reden die beiden noch einmal über das Tor-Projekt, denn eine aktuelle und interessante Angriffswelle auf das System hat es gerade so nicht in die vergangene Folge geschafft. Anschließend schauen sich die Hosts einige in letzter Zeit bekannt gewordene Security-Fails an. Die sind teilweise wirklich erschreckend und fanden sich ausgerechnet in Produkten von IT-Sicherheitsfirmen. So mancher Hersteller muss sich offenbar nochmal die Basics hinter die Ohren schreiben. Um Zertifikate geht es natürlich auch wieder, denn was wäre das I...
2024-11-251h 39Passwort - der Podcast von heise securityLöcher in der Zwiebel? Ein Blick auf das Tor-Netzwerk
In Folge 18 geht es um Angriffe auf das Tor-Netzwerk. Dieses System zur Anonymisierung, das oft mit dem Darknet gleichgesetzt wird, stand schon immer unter erheblichen Druck durch alle möglichen Angreifer, einschließlich Ermittlungsbehörden. Die Hosts sehen sich an, wie das Netzwerk funktionieren soll und an welchen Stellen es hapert. Trickreiche und mit ausreichend Ressourcen ausgestattete Angreifer können dort ansetzen und offenbar gezielt Tor-Nutzer enttarnen.
Organisationen, die Tor-Relays betreiben:
https://torservers.net/partners/
Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://aktionen.heise.de/hei...
2024-11-131h 01Passwort - Early AccessEarly Access: Löcher in der Zwiebel? Ein Blick auf das Tor-Netzwerk
In Folge 18 geht es um Angriffe auf das Tor-Netzwerk. Dieses System zur Anonymisierung, das oft mit dem Darknet gleichgesetzt wird, stand schon immer unter erheblichen Druck durch alle möglichen Angreifer, einschließlich Ermittlungsbehörden. Die Hosts sehen sich an, wie das Netzwerk funktionieren soll und an welchen Stellen es hapert. Trickreiche und mit ausreichend Ressourcen ausgestattete Angreifer können dort ansetzen und offenbar gezielt Tor-Nutzer enttarnen.
Organisationen, die Tor-Relays betreiben:
https://torservers.net/partners/
Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://aktionen.heise.de/hei...
2024-11-111h 01Passwort - der Podcast von heise securityNews von Cybercrime bis perfctl
In der 17. Folge geht's los mit Cybercrime, speziell Razzien gegen Kryptobörsen. Außerdem haben Sylvester und Christopher etwas zu perfctl, einer sehr vielseitigen Linux-Malware mitgebracht, sprechen über löchrige Prozessor-Barrieren und vom Internet erreichbare Druckserver. Und wie so häufig, gibt es auch mal wieder etwas Neues aus der bunten Welt der digitalen Zertifikate.
Operation Endgame Videos: https://www.operation-endgame.com/#videos
IBPB - Breaking the Barrier: https://comsec.ethz.ch/research/microarch/breaking-the-barrier/
Bitrauschen - der heise Prozessor-Podcast: https://bit-rauschen.podigee.io/
CUPS-Lücken: https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I/
Mitglieder unserer Security Community auf heise securi...
2024-10-301h 32Passwort - Early AccessEarly Access: News von Cybercrime bis perfctl
In der 17. Folge geht's los mit Cybercrime, speziell Razzien gegen Kryptobörsen. Außerdem haben Sylvester und Christopher etwas zu perfctl, einer sehr vielseitigen Linux-Malware mitgebracht, sprechen über löchrige Prozessor-Barrieren und vom Internet erreichbare Druckserver. Und wie so häufig, gibt es auch mal wieder etwas Neues aus der bunten Welt der digitalen Zertifikate.
Operation Endgame Videos: https://www.operation-endgame.com/#videos
IBPB - Breaking the Barrier: https://comsec.ethz.ch/research/microarch/breaking-the-barrier/
Bitrauschen - der heise Prozessor-Podcast: https://bit-rauschen.podigee.io/
CUPS-Lücken: https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I/
Mitglieder unserer Security Community auf heise securi...
2024-10-281h 32Passwort - der Podcast von heise securityDie Technik hinter der Chatkontrolle
Chatkontrolle ist ein heißes politisches Eisen. Aber auch technisch gibt es einigen Gesprächsbedarf darüber. In der aktuellen Folge von "Passwort" sprechen die Hosts darüber, welche technischen Vorgänge und Fragestellungen hinter der Chatkontrolle stecken, wo es hakt und warum das immer wieder von Lobbyisten und Politikern eingebrachte Vorhaben technisch auf tönernen Füßen steht.
https://www.heise.de/hintergrund/Kindesmissbrauch-stoppen-Mit-Algorithmen-illegale-Bilder-erkennen-6306740.html
Europol-Report "AI and Policing": https://www.europol.europa.eu/publication-events/main-reports/ai-and-policing
Mitglieder unserer Security Community auf heise security PRO hören
alle Folgen bereits zwei Tage früher. Mehr Infos:
https://ak...
2024-10-1650 minPasswort - Early AccessEarly Access: Die Technik hinter der Chatkontrolle
Chatkontrolle ist ein heißes politisches Eisen. Aber auch technisch gibt es einigen Gesprächsbedarf darüber. In der aktuellen Folge von "Passwort" sprechen die Hosts darüber, welche technischen Vorgänge und Fragestellungen hinter der Chatkontrolle stecken, wo es hakt und warum das immer wieder von Lobbyisten und Politikern eingebrachte Vorhaben technisch auf tönernen Füßen steht.
https://www.heise.de/hintergrund/Kindesmissbrauch-stoppen-Mit-Algorithmen-illegale-Bilder-erkennen-6306740.html
Europol-Report "AI and Policing": https://www.europol.europa.eu/publication-events/main-reports/ai-and-policing
Mitglieder unserer Security Community auf heise security PRO hören
alle Folgen bereits zwei Tage früher. Mehr Infos:
https://ak...
2024-10-1450 minPasswort - der Podcast von heise securityVermischtes von Ghostbusters bis Clipboard-Schadsoftware
In der neuesten Folge von "Passwort" kommen die Hosts an einer kurzen Einordnung der explodierenden Pager nicht vorbei, halten sich aber mit dem Thema nicht lange auf. Schließlich gibt es noch viel anderes zu besprechen, etwa einen nun durch Strafverfolger abgeräumten Messengerdienst für Kriminelle, Details zum Fehler in Yubikeys, Malware mit cleveren Social-Engineering-Tricks und Clipboard-Manipulation und ein "bat-ylonisches" Dateiendungs-Gewirr.
Qubes OS - a reasonable secure operating system: https://www.qubes-os.org/
Mitglieder unserer Security Community auf heise security PRO hören
alle Folgen bereits zwei Tage früher. Mehr Infos:
https://aktionen.heise.de/heise...
2024-10-021h 02Passwort - Early AccessEarly Access: Vermischtes von Ghostbusters bis Clipboard-Schadsoftware
In der neuesten Folge von "Passwort" kommen die Hosts an einer kurzen Einordnung der explodierenden Pager nicht vorbei, halten sich aber mit dem Thema nicht lange auf. Schließlich gibt es noch viel anderes zu besprechen, etwa einen nun durch Strafverfolger abgeräumten Messengerdienst für Kriminelle, Details zum Fehler in Yubikeys, Malware mit cleveren Social-Engineering-Tricks und Clipboard-Manipulation und ein "bat-ylonisches" Dateiendungs-Gewirr.
Qubes OS - a reasonable secure operating system: https://www.qubes-os.org/
Mitglieder unserer Security Community auf heise security PRO hören
alle Folgen bereits zwei Tage früher. Mehr Infos:
https://aktionen.heise.de/heise...
2024-09-301h 02Passwort - der Podcast von heise securityIntels Management Engine und die Sicherheit
In Folge 14 haben Sylvester und Christopher erstmals einen Gast dabei, nämlich die c't-Prozessor-Koryphäe Christof Windeck. Und mit dem zusammen tauchen sie ganz tief in ein Thema ein, das oftmals im Verborgenen bleibt: Sicherheitsfunktionen moderner Prozessoren. Speziell geht es diesmal um Intels "Management Engine", die nicht nur wichtige Funktionen rund um die Absicherung des Systems übernimmt, sondern auch ein eigenes Betriebssystem mitbringt und Fernwartung ermöglicht.
Wieso das manchmal auch ein Problem sein kann und ob man seinem Intel-PC die Wartungsfunktionen abgewöhnen kann, bespricht Christof mit den Passwort-Hosts.
Bit-Rauschen, der Prozessor-Podcast: https://www.heise...
2024-09-181h 06Passwort - Early AccessEarly Access: Intels Management Engine und die Sicherheit
In Folge 14 haben Sylvester und Christopher erstmals einen Gast dabei, nämlich die c't-Prozessor-Koryphäe Christof Windeck. Und mit dem zusammen tauchen sie ganz tief in ein Thema ein, das oftmals im Verborgenen bleibt: Sicherheitsfunktionen moderner Prozessoren. Speziell geht es diesmal um Intels "Management Engine", die nicht nur wichtige Funktionen rund um die Absicherung des Systems übernimmt, sondern auch ein eigenes Betriebssystem mitbringt und Fernwartung ermöglicht.
Wieso das manchmal auch ein Problem sein kann und ob man seinem Intel-PC die Wartungsfunktionen abgewöhnen kann, bespricht Christof mit den Passwort-Hosts.
Bit-Rauschen, der Prozessor-Podcast: https://www.heise...
2024-09-161h 06Passwort - der Podcast von heise securityNews: Protokolle, Messenger, Bootloader – alles unsicher
In der Folge mit der Unglückszahl 13 geht es um diverse Dinge, die unglücklich gelaufen sind, von Linux-Bootloadern, die Microsoft nur teilweise unabsichtlich blockiert hat, bis zur mangelhaften Sicherheit bei "MLOps", also dem KI-Pendant zu DevOps.
Zuerst schauen sich Christopher und Sylvester aber eine sehr erfreuliche Diskussion zu OpenSSL an; die Entwickler haben ihre Community um Meinungen zu einer sicherheitsrelevanten Änderung gebeten. Außerdem geht es um die Festnahme von Pavel Durov, den Schöpfer des gar-nicht-so-sicheren Messengers Telegram, und das altehrwürdige Hacker-ezine "Phrack", das in Ausgabe 71 erschienen ist.
Hörer-Buchempfehlung: Moral – Die Erfindung von Gut und B...
2024-09-041h 14Passwort - Early AccessEarly Access: News: Protokolle, Messenger, Bootloader – alles unsicher
In der Folge mit der Unglückszahl 13 geht es um diverse Dinge, die unglücklich gelaufen sind, von Linux-Bootloadern, die Microsoft nur teilweise unabsichtlich blockiert hat, bis zur mangelhaften Sicherheit bei "MLOps", also dem KI-Pendant zu DevOps. Zuerst schauen sich Christopher und Sylvester aber eine sehr erfreuliche Diskussion zu OpenSSL an; die Entwickler haben ihre Community um Meinungen zu einer sicherheitsrelevanten Änderung gebeten. Außerdem geht es um die Festnahme von Pavel Durov, den Schöpfer des gar-nicht-so-sicheren Messengers Telegram, und das altehrwürdige Hacker-ezine "Phrack", das in Ausgabe 71 erschienen ist.
Hörer-Buchempfehlung: Moral – Die Erfindung von Gut und B...
2024-09-021h 14Passwort - der Podcast von heise securityZero Trust
Folge 12 von Passwort befasst sich mit "Zero Trust". Dieses Sicherheitskonzept macht in letzter Zeit immer wieder von sich reden, aber zu Recht? Oder ist es nur das nächste PR-Buzzword, mit dem Produkte sich besser verkaufen sollen? Getreu der Beschreibung ihres Podcasts blicken Christopher und Sylvester hinter den Hype: Zero Trust ist durchaus ein ernstzunehmendes Konzept, mit dem man sich beschäftigen sollte. Wenig überraschend hat es aber auch Schwächen und kann (so viel sei verraten) seinem marktschreierischen Namen nicht gerecht werden –ganz ohne Vertrauen kommt nun mal nichts und niemand aus.
NIST-Paper zu Zero-Trust:
https://nvlpub...
2024-08-281h 03Passwort - Early AccessEarly Access: Zero Trust
Folge 12 von Passwort befasst sich mit "Zero Trust". Dieses Sicherheitskonzept macht in letzter Zeit immer wieder von sich reden, aber zu Recht? Oder ist es nur das nächste PR-Buzzword, mit dem Produkte sich besser verkaufen sollen? Getreu der Beschreibung ihres Podcasts blicken Christopher und Sylvester hinter den Hype: Zero-Trust ist durchaus ein ernstzunehmendes Konzept, mit dem man sich beschäftigen sollte. Wenig überraschend hat es aber auch Schwächen und kann (so viel sei verraten) seinem marktschreierischen Namen nicht gerecht werden – ganz ohne Vertrauen kommt nun mal nichts und niemand aus.
NIST-Paper zu Zero-Trust:
https://nvlpubs.nist.g...
2024-08-261h 03Passwort - der Podcast von heise securityNews von Windows-RCE bis zu binären Geheimnissen
In der elften Folge von "Passwort" reden Sylvester und Christopher über einige Security-News der vergangenen Tage. Den Anfang macht eine Remote-Code-Execution-Lücke in Windows, die durch manipulierte IPv6-Pakete ausgelöst wird und bis jetzt noch für verdächtig wenig Aufregung sorgt. Ein bekannter Tech-Youtuber ging durch Phishing seines X-Kontos verlustig und Google ließ sich Fake-Werbung für seine eigenen Sicherheitsprodukte unterschieben - das erstaunt die Hosts, die mit mehr Gegenwehr seitens der Opfer gerechnet hätten. Außerdem geht es um einen Cyberkriminellen, der sich einen Datenschatz bei einer Darknet-Überwachungsfirma zusammenkratze und eine in letzter Sekunde verhindert...
2024-08-211h 18Passwort - Early AccessEarly Access: News von Windows-RCE bis zu binären Geheimnissen
In der elften Folge von "Passwort" reden Sylvester und Christopher über einige Security-News der vergangenen Tage. Den Anfang macht eine Remote-Code-Execution-Lücke in Windows, die durch manipulierte IPv6-Pakete ausgelöst wird und bis jetzt noch für verdächtig wenig Aufregung sorgt. Ein bekannter Tech-Youtuber ging durch Phishing seines X-Kontos verlustig und Google ließ sich Fake-Werbung für seine eigenen Sicherheitsprodukte unterschieben - das erstaunt die Hosts, die mit mehr Gegenwehr seitens der Opfer gerechnet hätten. Außerdem geht es um einen Cyberkriminellen, der sich einen Datenschatz bei einer Darknet-Überwachungsfirma zusammenkratze und eine in letzter Sekunde verhindert...
2024-08-191h 18Passwort - der Podcast von heise securityNordkoreas digitale Armeen
Zehnte Folge, das ging schnell! Aber statt die Korken zum Mini-Jubiläum knallen zu lassen, machen Christopher und Sylvester mit ihren Hörern einen Ausflug nach Asien, genauer gesagt nach Nordkorea. Dort arbeiten unter der Führung des Militärgeheimdiensts tausende Cybersoldaten für das Kim-Regime. Sie spionieren, infiltrieren, sabotieren - und erbeuten hunderte Millionen Dollar fürs nordkoreanische Rüstungsprogramm. Wer die Gruppen mit Namen wie Andariel, Lazarus oder BlueNorOff sind und was sie mit einer mittelmäßigen Filmsatire zu tun haben, erfahrt Ihr im Podcast.
Die Killswitch-Domain von WannaCry sieht aus wie auf dem Keyboard ausgeruts...
2024-08-141h 11Passwort - Early AccessEarly Access: Nordkoreas digitale Armeen
Zehnte Folge, das ging schnell! Aber statt die Korken zum Mini-Jubiläum knallen zu lassen, machen Christopher und Sylvester mit ihren Hörern einen Ausflug nach Asien, genauer gesagt nach Nordkorea. Dort arbeiten unter der Führung des Militärgeheimdiensts tausende Cybersoldaten für das Kim-Regime. Sie spionieren, infiltrieren, sabotieren - und erbeuten hunderte Millionen Dollar fürs nordkoreanische Rüstungsprogramm. Wer die Gruppen mit Namen wie Andariel, Lazarus oder BlueNorOff sind und was sie mit einer mittelmäßigen Filmsatire zu tun haben, erfahrt Ihr im Podcast.
Die Killswitch-Domain von WannaCry sieht aus wie auf dem Keyboard ausgeruts...
2024-08-121h 11Passwort - der Podcast von heise securityNews von OCSP bis HIBP
In Folge 9 von Passwort reden Christopher und Sylvester über eine Reihe
von Security-News der letzten Tage: Die weltgrößte
Zertifizierungsstelle Let’s Encrypt will das Online Certificate Status
Protocol (OCSP) loswerden und Secure Boot kämpft, mal wieder, mit
Problemen und Schlampereien. Außerdem reden die Hosts über einen neuen
Passwort-Check bei GMX und Web.de und die Security von Blockchain-
Projekten – anlässlich eines aktuellen besonders teuren Malheurs. Das
Urgestein GhostScript macht mit einen Sicherheitsproblem auf sich
selbst und vor allem auf den interessanten Charakter des Formats
PostScript aufmerksam.
Korrekturen: Sylvester nennt das Protokoll fälschlicherweise "Open Certifi...
2024-08-0758 minPasswort - Early AccessEarly Access: News von OCSP bis HIBP
In Folge 9 von Passwort reden Christopher und Sylvester über eine Reihe
von Security-News der letzten Tage: Die weltgrößte
Zertifizierungsstelle Let’s Encrypt will das Online Certificate Status
Protocol (OCSP) loswerden und Secure Boot kämpft, mal wieder, mit
Problemen und Schlampereien. Außerdem reden die Hosts über einen neuen
Passwort-Check bei GMX und Web.de und die Security von Blockchain-
Projekten – anlässlich eines aktuellen besonders teuren Malheurs. Das
Urgestein GhostScript macht mit einen Sicherheitsproblem auf sich
selbst und vor allem auf den interessanten Charakter des Formats
PostScript aufmerksam.
Korrekturen: Sylvester nennt das Protokoll fälschlicherweise "Open Certifi...
2024-08-0558 minPasswort - der Podcast von heise securityCrowdStrike
In der achten Folge von Passwort geht es um den aktuellen CrowdStrike-
Vorfall. Christopher und Sylvester erklären, was genau eigentlich
passiert ist, und diskutieren eine erste Analyse der Firma. Die
offenbart gravierende Mängel und lässt die Hosts an mehreren Stellen
etwas ratlos zurück. Die beiden überlegen außerdem, wie CrowdStrike,
Windows und die IT-Security-Community insgesamt solche Vorfälle in
Zukunft verhindern könnten.
Vorläufige Analyse von CrowdStrike ("Preliminary Post Incident Review"): https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/
Recovery-Anleitungen von Microsoft: https://techcommunity.microsoft.com/t5/intune-customer-success/new-recovery-tool-to-help-with-crowdstrike-issue-impacting/ba-p/4196959
Gegen Ende erwä...
2024-07-311h 06Passwort - Early AccessEarly Access: CrowdStrike
In der achten Folge von Passwort geht es um den aktuellen CrowdStrike-
Vorfall. Christopher und Sylvester erklären, was genau eigentlich
passiert ist, und diskutieren eine erste Analyse der Firma. Die
offenbart gravierende Mängel und lässt die Hosts an mehreren Stellen
etwas ratlos zurück. Die beiden überlegen außerdem, wie CrowdStrike,
Windows und die IT-Security-Community insgesamt solche Vorfälle in
Zukunft verhindern könnten.
Vorläufige Analyse von CrowdStrike ("Preliminary Post Incident Review"): https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/
Recovery-Anleitungen von Microsoft: https://techcommunity.microsoft.com/t5/intune-customer-success/new-recovery-tool-to-help-with-crowdstrike-issue-impacting/ba-p/4196959
Gegen Ende erwä...
2024-07-291h 06Passwort - der Podcast von heise securityPrompt Injections
In der siebten Folge von Passwort geht es um "Prompt Injections":
Angriffe auf Software, deren Basis eine Sprach-KI ist. Solche Systeme
sprießen in letzter Zeit allenthalben, aber ihre Sicherheit findet
mitunter wenig Beachtung. Die Hosts Christopher und Sylvester erklären,
was Prompt Injections eigentlich sind und welche Gefahren von ihnen
ausgehen. Außerdem erörtern die beiden, wie man sich als Nutzer, als
Softwareanbieter und auch als KI-Hersteller schützen kann – wenn auch
nur bedingt – und warum das Problem so hartnäckig ist.
Unser Schwesterpodcast zu KI-Themen:
https://www.heise.de/thema/KI-Update
2024-07-241h 16Passwort - Early AccessEarly Access: Prompt Injections
In der siebten Folge von Passwort geht es um "Prompt Injections":
Angriffe auf Software, deren Basis eine Sprach-KI ist. Solche Systeme
sprießen in letzter Zeit allenthalben, aber ihre Sicherheit findet
mitunter wenig Beachtung. Die Hosts Christopher und Sylvester erklären,
was Prompt Injections eigentlich sind und welche Gefahren von ihnen
ausgehen. Außerdem erörtern die beiden, wie man sich als Nutzer, als
Softwareanbieter und auch als KI-Hersteller schützen kann – wenn auch
nur bedingt – und warum das Problem so hartnäckig ist.
Unser Schwesterpodcast zu KI-Themen:
https://www.heise.de/thema/KI-Update
2024-07-221h 16Passwort - der Podcast von heise securitySecurity-News
In Folge 6 von "Passwort" befassen Sylvester und Christopher sich mit aktuellen Geschehnissen der vergangenen Wochen. So verteilte die Domain für eine Javascript-Bibliothek plötzlich Malware, Kaspersky sieht sich mit einem umfassenden Vertriebsverbot in den USA konfrontiert und auch für die Zertifizierungsstelle Entrust läuft es nicht gut. Dass Unbekannte auf der Suche nach Internet-Ruhm mittlerweile den Linux-Kernel mißbrauchen, um Reputation zu farmen, besprechen die Hosts ebenso wie neue Bedenken gegen Telegram.
Der im Podcast erwähnte International Obfuscated C Contest ist hier zu finden. https://www.ioccc.org/
2024-07-171h 16Passwort - Early AccessEarly Access: Security-News
In Folge 6 von "Passwort" befassen Sylvester und Christopher sich mit aktuellen Geschehnissen der vergangenen Wochen. So verteilte die Domain für eine Javascript-Bibliothek plötzlich Malware, Kaspersky sieht sich mit einem umfassenden Vertriebsverbot in den USA konfrontiert und auch für die Zertifizierungsstelle Entrust läuft es nicht gut. Dass Unbekannte auf der Suche nach Internet-Ruhm mittlerweile den Linux-Kernel mißbrauchen, um Reputation zu farmen, besprechen die Hosts ebenso wie neue Bedenken gegen Telegram.
Der im Podcast erwähnte International Obfuscated C Contest ist hier zu finden. https://www.ioccc.org/
2024-07-151h 16Passwort - der Podcast von heise securityCommon Vulnerabilities and Exposures
In Folge 5 von Passwort geht es um eindeutige Kennzeichnungen von
"Common Vulnerabilities and Exposures", also die bekannten CVE-Nummern,
mit denen Sicherheitslücken identifiziert werden. Die Hosts Christopher
und Sylvester besprechen, welchen Zweck CVEs haben, wie und von wem die
Nummern vergeben werden und wo es hapert. Allzu rosig sieht die Zukunft
von CVE-Nummern nämlich nicht aus. Es gibt diverse Probleme und
Kritiker, unter anderem die Entwickler des Linux-Kernels. Die halten
wenig von speziellen Kennzeichnungen für Security-Bugs und vermitteln
ihre Sicht der Dinge mit dem Holzhammer.
CVE-Datenbanken:
CVE-Suche von Mitre: https://www.cve.org
CVE-Suche der...
2024-07-101h 11Passwort - Early AccessEarly Access: Common Vulnerabilities and Exposures
In Folge 5 von Passwort geht es um eindeutige Kennzeichnungen von
"Common Vulnerabilities and Exposures", also die bekannten CVE-Nummern,
mit denen Sicherheitslücken identifiziert werden. Die Hosts Christopher
und Sylvester besprechen, welchen Zweck CVEs haben, wie und von wem die
Nummern vergeben werden und wo es hapert. Allzu rosig sieht die Zukunft
von CVE-Nummern nämlich nicht aus. Es gibt diverse Probleme und
Kritiker, unter anderem die Entwickler des Linux-Kernels. Die halten
wenig von speziellen Kennzeichnungen für Security-Bugs und vermitteln
ihre Sicht der Dinge mit dem Holzhammer.
CVE-Datenbanken:
CVE-Suche von Mitre: https://www.cve.org
CVE-Suche der...
2024-07-081h 11