Passwort - der Podcast von heise security

Im Podcast kränkelt's: Bei Cloudflare gab es einen dreistündigen Schluckauf, der Co-Host hat Hustenanfälle und Würmer befielen mal wieder NPM. Christopher und Sylvester schauen sich ausgiebig an, was die zweite Ausgabe der Javascript-Schadsoftware "Sha1-Hulud" anders macht als die erste und befassen sich auch noch einmal mit "Glassworm", einem Thema der letzten Folgen. Dort ist im Nachhinein unklar, ob es sich tatsächlich um einen Wurm handelt oder vielleicht eher ein Botnet, wie Christopher mutmaßt. Doch auch der dreistündige Ausfall bei Cloudflare steht auf der Tagesordnung - mit ungewohnt viel Lob der Hosts! - und ob Whatsapp wirklich das größte Datenleck der Geschichte hatte, ergründen die beiden heise-Redakteure ebenfalls. Cloudflare zum Ausfall am 18. November Threema zum WhatsApp-Scraping Trend Micros technische Analyse von Shai Hulud 2.0 Expel zu Cache Smuggling Folgt uns im Fediverse: @christopherkunz@chaos.social @syt@social.heise.de Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort === Anzeige / Sponsorenhinweis === Mehr zum Firewall-Wechselangebot von Sophos und Firewalls24: https://firewalls24.de/heise === Anzeige / Sponsorenhinweis Ende ===

Christopher und Sylvester tauchen tief in die Große Chinesische Firewall ein. Sie erläutern ihre Entstehung und technischen Mechanismen und beleuchten, wie auch Gegner kreative Anti-Zensur-Tools entwickeln. Besondere Aufmerksamkeit gilt der Kommerzialisierung von Zensurtechnologien, die China international anbietet. Zudem wird die Funktionsweise verschiedener Filtermechanismen, von DNS-Spoofing bis hin zu VPN-Erkennung, diskutiert. Abschließend werfen sie einen Blick auf die fragmentierte digitale Landschaft und ihre Risiken.

Die Host diskutieren den kürzlichen AWS- und Azure-Ausfall und betonen, wie wichtig Verfügbarkeit für die IT-Sicherheit ist. Sie beleuchten eine gefährliche Sicherheitslücke im Windows Server Update Services und die riskante Ausnutzung durch Malware. Zudem erforschen sie die Problematik von unsicheren Deserialisierern und die Risiken damit verbunden. Ein weiterer spannender Punkt ist der PKI-Fall der kroatischen CA FINA, die ungültige Zertifikate für Cloudflare ausgestellt hat und die damit verbundenen Vertrauensprobleme.

Es gibt wieder einige Neuigkeiten in der Welt der IT-Sicherheit und alte Bekannte rühren erneut ihr hässliches Haupt. Allen voran die als "Chatkontrolle" bezeichnete Iniative zum "Client-Side Scanning" von Nachrichten, die der EU-Rat unter dänischer Präsidentschaft kürzlich erneut aus der Versenkung hervorholte. Fast genau ein Jahr nach dem letzten Scheitern dieser Initiative zur Aufweichung von Verschlüsselung sprechen Sylvester und Christopher erneut darüber. Auch Oracle ist bereits altbekannter "Gast" im Podcast - dieses Mal mit einer kritischen Lücke in ihrer e-Business Suite und einer äußerst unbefriedigenden Kommunikationsstrategie. Sylvester erklärt seinem Co-Host und den Hörern, was es mit Signals neuen "Post Quantum Ratchets" auf sich hat und warum diese kryptografischen Ratschen den Messenger im Quantenzeitalter sicherer machen sollen. Und dann geht es gleich quantensicher weiter, nämlich mit einer Diskussion über die Vorteile hybrider Quantenverschlüsselungssysteme zu rein quantensicheren. Einsteiger-Themenabend zu IT-Sicherheit in Hannover Oracles gelöschter Blogeintrag Watchtowr Labs zu CVE-2025-61882 "Passwort", Folge 16: Die Technik hinter der Chatkontrolle Cloudflare-Blog zum Zertifikats-Lapsus SPQR "Passwort", Folge 32: Quantencomputer und wie man sich vor ihnen schützt DJB über Hybrid oder nicht Folgt uns im Fediverse: @christopherkunz@chaos.social @syt@social.heise.de Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

Das Hackermagazin Phrack feiert sein 40-jähriges Bestehen. Die Hosts sprechen über die Anfänge und den Einfluss des Magazins auf die Hackerethik. Skyper gibt spannende Einblicke in den Einreichprozess und die Redaktion. Ein zentrales Thema ist die Analyse eines Leaks, das mit nordkoreanischen und chinesischen Akteuren in Verbindung steht. Diskussionen über technische Details, Verantwortlichkeit bei der Veröffentlichung und die Reaktionen in Südkorea runden das Thema ab. Ein mysteriöses Rechenzentrumsfeuer wirft zusätzliche Fragen auf.

In dieser spannenden Bonusfolge wird Apples neue Speicherschutztechnik vorgestellt, die das Sicherheitssystem in iPhones verbessert. Zudem wird ein brisanter Sicherheitsvorfall beleuchtet, bei dem ein Chatbot Zugriff auf Salesforce-Konten ermöglichte, was viele große Unternehmen betraf. Die Hosts diskutieren die Gefahren von Chatbots als Marketinginstrumente und die Risiken von Backend-Zugriffen. Weitere Themen sind die technische Bewertung von Speicher-Integritätsmechanismen und die Herausforderungen bei der Sicherheitsimplementierung in der Entwicklerwelt.

In dieser "Passwort"-Folge geht es zunächst um große Pläne, die die US- amerikanische IT-Sicherheitsbehörde CISA für das CVE-System hat. Sylvester ist verhalten hoffnungsvoll, Christopher sieht die Gefahr, dass Macht missbräuchlich zementiert werden könnte. Machtmissbrauch witterten auch viele Kommentatoren beim nächsten Thema: Browserhersteller überlegen, XSLT auszubauen. Die Hosts sehen sich an, was XSLT überhaupt ist und diskutieren, ob es im Browser sinnvoll oder deplatziert scheint. Zum Schluss werfen Christopher und Sylvester einen Blick auf die sich aktuell häufenden Angriffe auf npm und erklären unter anderem, was die Sandwürmer aus Frank Herberts Dune damit zu tun haben. Darknet Diaries deutsch Chrome-Sandbox-Exploit CISA-Positionspapier Folgt uns im Fediverse: @christopherkunz@chaos.social @syt@social.heise.de Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

Die Hosts wühlen sich weiter durch Feedback und mehr News, als eigentlich in eine Folge passen. Der Podcast nähert sich daher unermüdlich den Director’s Cuts epischer Filme an – zumindest in seiner Länge. Ein Hauptgrund dafür ist die Zertifizierungsstelle Microsoft PKI Services, bei der sich tiefe Abgründe auftun. Christopher und Sylvester reden aber auch über diverse andere aktuelle Themen in- und außerhalb der PKI, etwa lehrreiche Sicherheitslücken in Coredump-Handlern und die interessante DoS-Schwachstelle MadeYouReset. Merklemap-Kritik an Static CT Bugreports zu Microsofts Zertifikatsnichtwiderrufen: https://bugzilla.mozilla.org/showbug.cgi?id=1962829 und https://bugzilla.mozilla.org/showbug.cgi?id=1965612 Technische Details zu coredump-Lücken von Qualys Erklärung von Oracle zur systemd-coredump-Lücke PoC zur systemd-coredump-Lücke von CIQ "Made you Reset"-Blogposts: https://galbarnahum.com/posts/made-you-reset-intro und https://galbarnahum.com/posts/made-you-reset-technical-details Folgt uns im Fediverse: @christopherkunz@chaos.social @syt@social.heise.de Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

Die Rückkehr aus dem Urlaub bringt spannende Themen mit sich! Eine umfangreiche Studie zeigt, dass viele Anti-Phishing-Maßnahmen ineffektiv sind. Besonders kritisch wird die Fehlerkommunikation bei Microsoft beleuchtet, einschließlich schwerwiegender Sicherheitsvorfälle in SharePoint. Außerdem wird die Problematik der Zertifikatstransparenz bei Let's Encrypt betrachtet, während die Herausforderungen der KI-Integration sowie die Bedeutung von Audit-Logs thematisiert werden. Insgesamt ein informativer Blick auf aktuelle Sicherheitsfragen und Unternehmenskommunikation.

Angriffe, die Fehler in sogenannten Smart Contacts auf einer Blockchain ausnutzen, gibt es immer noch am laufenden Band. Aber ein Angreifer, der direkt Tausende von Contracts unterwandert, dabei technisch durchaus interessante Tricks nutzt und dann entdeckt wird, bevor er zuschlägt? Da kann Sylvester nicht widerstehen – und weil Christopher im Urlaub ist, kann ihn auch niemand aufhalten. Zusammen mit seinem Kollegen Jan Mahn schaut er sich an, was diesmal passiert ist. Weil das nicht so trivial ist, nutzen die beiden die Gelegenheit, auch mal grundsätzlich über Smart Contracts zu reden, welche Sicherheitsvorteile solche Systeme bieten können und wie es damit in der Praxis aussieht. Der einzig sichere Weg zu programmieren Folgt uns im Fediverse: christopherkunz@chaos.social @syt@social.heise.de Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort