Passwort - der Podcast von heise security

Es gibt wieder einige Neuigkeiten in der Welt der IT-Sicherheit und alte Bekannte rühren erneut ihr hässliches Haupt. Allen voran die als "Chatkontrolle" bezeichnete Iniative zum "Client-Side Scanning" von Nachrichten, die der EU-Rat unter dänischer Präsidentschaft kürzlich erneut aus der Versenkung hervorholte. Fast genau ein Jahr nach dem letzten Scheitern dieser Initiative zur Aufweichung von Verschlüsselung sprechen Sylvester und Christopher erneut darüber. Auch Oracle ist bereits altbekannter "Gast" im Podcast - dieses Mal mit einer kritischen Lücke in ihrer e-Business Suite und einer äußerst unbefriedigenden Kommunikationsstrategie. Sylvester erklärt seinem Co-Host und den Hörern, was es mit Signals neuen "Post Quantum Ratchets" auf sich hat und warum diese kryptografischen Ratschen den Messenger im Quantenzeitalter sicherer machen sollen. Und dann geht es gleich quantensicher weiter, nämlich mit einer Diskussion über die Vorteile hybrider Quantenverschlüsselungssysteme zu rein quantensicheren. Einsteiger-Themenabend zu IT-Sicherheit in Hannover Oracles gelöschter Blogeintrag Watchtowr Labs zu CVE-2025-61882 "Passwort", Folge 16: Die Technik hinter der Chatkontrolle Cloudflare-Blog zum Zertifikats-Lapsus SPQR "Passwort", Folge 32: Quantencomputer und wie man sich vor ihnen schützt DJB über Hybrid oder nicht Folgt uns im Fediverse: @christopherkunz@chaos.social @syt@social.heise.de Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

Das Hackermagazin Phrack feiert sein 40-jähriges Bestehen. Die Hosts sprechen über die Anfänge und den Einfluss des Magazins auf die Hackerethik. Skyper gibt spannende Einblicke in den Einreichprozess und die Redaktion. Ein zentrales Thema ist die Analyse eines Leaks, das mit nordkoreanischen und chinesischen Akteuren in Verbindung steht. Diskussionen über technische Details, Verantwortlichkeit bei der Veröffentlichung und die Reaktionen in Südkorea runden das Thema ab. Ein mysteriöses Rechenzentrumsfeuer wirft zusätzliche Fragen auf.

In dieser spannenden Bonusfolge wird Apples neue Speicherschutztechnik vorgestellt, die das Sicherheitssystem in iPhones verbessert. Zudem wird ein brisanter Sicherheitsvorfall beleuchtet, bei dem ein Chatbot Zugriff auf Salesforce-Konten ermöglichte, was viele große Unternehmen betraf. Die Hosts diskutieren die Gefahren von Chatbots als Marketinginstrumente und die Risiken von Backend-Zugriffen. Weitere Themen sind die technische Bewertung von Speicher-Integritätsmechanismen und die Herausforderungen bei der Sicherheitsimplementierung in der Entwicklerwelt.

In dieser "Passwort"-Folge geht es zunächst um große Pläne, die die US- amerikanische IT-Sicherheitsbehörde CISA für das CVE-System hat. Sylvester ist verhalten hoffnungsvoll, Christopher sieht die Gefahr, dass Macht missbräuchlich zementiert werden könnte. Machtmissbrauch witterten auch viele Kommentatoren beim nächsten Thema: Browserhersteller überlegen, XSLT auszubauen. Die Hosts sehen sich an, was XSLT überhaupt ist und diskutieren, ob es im Browser sinnvoll oder deplatziert scheint. Zum Schluss werfen Christopher und Sylvester einen Blick auf die sich aktuell häufenden Angriffe auf npm und erklären unter anderem, was die Sandwürmer aus Frank Herberts Dune damit zu tun haben. Darknet Diaries deutsch Chrome-Sandbox-Exploit CISA-Positionspapier Folgt uns im Fediverse: @christopherkunz@chaos.social @syt@social.heise.de Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

Die Hosts wühlen sich weiter durch Feedback und mehr News, als eigentlich in eine Folge passen. Der Podcast nähert sich daher unermüdlich den Director’s Cuts epischer Filme an – zumindest in seiner Länge. Ein Hauptgrund dafür ist die Zertifizierungsstelle Microsoft PKI Services, bei der sich tiefe Abgründe auftun. Christopher und Sylvester reden aber auch über diverse andere aktuelle Themen in- und außerhalb der PKI, etwa lehrreiche Sicherheitslücken in Coredump-Handlern und die interessante DoS-Schwachstelle MadeYouReset. Merklemap-Kritik an Static CT Bugreports zu Microsofts Zertifikatsnichtwiderrufen: https://bugzilla.mozilla.org/showbug.cgi?id=1962829 und https://bugzilla.mozilla.org/showbug.cgi?id=1965612 Technische Details zu coredump-Lücken von Qualys Erklärung von Oracle zur systemd-coredump-Lücke PoC zur systemd-coredump-Lücke von CIQ "Made you Reset"-Blogposts: https://galbarnahum.com/posts/made-you-reset-intro und https://galbarnahum.com/posts/made-you-reset-technical-details Folgt uns im Fediverse: @christopherkunz@chaos.social @syt@social.heise.de Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

Die Rückkehr aus dem Urlaub bringt spannende Themen mit sich! Eine umfangreiche Studie zeigt, dass viele Anti-Phishing-Maßnahmen ineffektiv sind. Besonders kritisch wird die Fehlerkommunikation bei Microsoft beleuchtet, einschließlich schwerwiegender Sicherheitsvorfälle in SharePoint. Außerdem wird die Problematik der Zertifikatstransparenz bei Let's Encrypt betrachtet, während die Herausforderungen der KI-Integration sowie die Bedeutung von Audit-Logs thematisiert werden. Insgesamt ein informativer Blick auf aktuelle Sicherheitsfragen und Unternehmenskommunikation.

Angriffe, die Fehler in sogenannten Smart Contacts auf einer Blockchain ausnutzen, gibt es immer noch am laufenden Band. Aber ein Angreifer, der direkt Tausende von Contracts unterwandert, dabei technisch durchaus interessante Tricks nutzt und dann entdeckt wird, bevor er zuschlägt? Da kann Sylvester nicht widerstehen – und weil Christopher im Urlaub ist, kann ihn auch niemand aufhalten. Zusammen mit seinem Kollegen Jan Mahn schaut er sich an, was diesmal passiert ist. Weil das nicht so trivial ist, nutzen die beiden die Gelegenheit, auch mal grundsätzlich über Smart Contracts zu reden, welche Sicherheitsvorteile solche Systeme bieten können und wie es damit in der Praxis aussieht. Der einzig sichere Weg zu programmieren Folgt uns im Fediverse: christopherkunz@chaos.social @syt@social.heise.de Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

Das Domain Name System - kurz DNS - ist einer der Grundpfeiler des modernen Internet. Umso wichtiger, dass es zuverlässige und unfälschbare Informationen liefert. Dabei hilft DNSSEC - die DNS Security Extensions. Was das ist, was es kann, wie man es aktiviert und was man davon hat, erklärt den Hosts in dieser Folge ein Gast: DNSSEC-Experte Peter Thomassen arbeitet seit Jahren an vorderster Front bei verschiedenen Gremien mit und entwickelt die Sicherhetismerkmale von DNS weiter. Er kümmert sich besonders um Automatisierung - ein Thema, bei dem DNSSEC anderen großen Ökosystemen wie dem CA-Kosmos noch hinterherhinkt. https://desec.io/ Malware in TXT Records Post-Quantum DNSSEC Testbed & Feldstudie DS-Automatisierung: RFC 7344, 8078, 9615 ETF-Draft "Dry run DNSSEC": https://datatracker.ietf.org/doc/draft-yorgos-dnsop-dry-run-dnssec/ https://www.ietf.org/archive/id/draft-yorgos-dnsop-dry-run-dnssec-02.html ICANN SSAC Report zu DS-Automatisierung (SAC126) Automatisierungs-Guidelines für Registrierungsstellen (Entwurf) Folgt uns im Fediverse: @christopherkunz@chaos.social @syt@social.heise.de Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

Der (Alb-)Traum vieler Hörer – eine Folge Passwort nur mit News zu Zertifikatsinfrastrukturen. Es gibt aber auch viel Neues zu berichten: von Zertifizierungsstellen, die interessante neue Lösungen bauen, über Zertifizierungsstellen, die Fehler in komischen alten Lösungen machen, und Zertifizierungsstellen, die Dinge einfach anders machen wollen als die Browser, bis zu Zertifizierungsstellen, die in Telefonen stecken. Das klingt nicht nur komisch, sondern auch unsicher, weshalb Christopher und Sylvester es sich genauer angesehen haben. The CRA and what it means for us (Greg Kroah-Hartman) Security: Wie sich der Cyber Resilience Act auf Open-Source-Projekte auswirkt Yealink-Artikel von DNIP Ver- und Entschlüsselung der Yealink-Firmware Mastodon-Account mit VNC-Servern Diskussion über ssl.com-Fehler im Mozilla-Bugtracker Betreibt Euer eigenes CT-Log Folgt uns im Fediverse: @christopherkunz@chaos.social @syt@social.heise.de Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

Stammhörer, seid stark: Dieses Mal gibt es keine Neuigkeiten rund um die WebPKI. Dafür sprechen Christopher und Sylvester über das angebliche 16-Milliarden-Zugangsdaten-Leck und wie es zum Großereignis überhöht wurde. Außerdem geht es um eine Sicherheitslücke im Linux-Kernel - oder doch woanders? Darüber sind sich die Kernelentwickler und die Distribution Ubuntu uneins und trugen diesen Streit via CVE-Kennungen aus. Außerdem erzählt Christopher über seine Eindrücke zum Sicherheitslücken-Ökosystem und wie es einzelne Verwalter von Opensource-Software überlastet. Und zum Schluß wirft eine Bluetooth-Sicherheitslücke ein Schlaglicht auf eine Industrie, in der die Zulieferkette so unübersichtlich geworden ist, dass man unmöglich sagen kann, welche Geräte betroffen sind. https://mjg59.dreamwidth.org/71646.html & https://mjg59.dreamwidth.org/71933.html https://blog.cryptographyengineering.com/2025/06/09/a-bit-more-on-twitter-xs-new-encrypted-messaging/ DNSSEC KSK Ceremony Greg Kroah-Hartman zur Kernel-CVE-Praxis https://heise.de/-9777933 XKCD Dependancy Folgt uns im Fediverse: @christopherkunz@chaos.social @syt@social.heise.de Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort