Passwort - der Podcast von heise security

In dieser Folge wird eine kuriose Toilettenschüsselkamera für Darmkrebsfrüherkennung thematisiert, die nicht wirklich sicher ist. Sylvester erklärt die kritische Schwachstelle React2Shell und ihre Auswirkungen auf zahlreiche Domains. Die beiden diskutieren auch die Herausforderungen bei der Aufklärung über Sicherheitslücken und die Reaktionen der Anbieter. Außerdem wird das neue Kryptodesign für Tor, Counter-Galois Onion, vorgestellt, das Sicherheitsprobleme lösen soll. Abschließend gibt es spannende Einblicke in Zertifizierungsfragen und die Zukunft der PKI.

In dieser Folge geht es um einen dreistündigen Ausfall bei Cloudflare, der durch interne Fehlkonfigurationen ausgelöst wurde. Die Moderator:innen loben die transparente Kommunikation des Unternehmens. Außerdem wird das WhatsApp-Scraping behandelt, bei dem Forscher Milliarden von Nummern abfragten. Ein weiteres spannendes Thema ist der neue NPM-Wurm Shai-Hulud 2.0, der über GitHub verbreitet wird. Die Debatte über den Glassworm klärt, ob es sich um einen Wurm oder ein Botnet handelt. Technische Analysen und Sicherheitsstrategien werden ebenfalls diskutiert.

Christopher und Sylvester tauchen tief in die Große Chinesische Firewall ein. Sie erläutern ihre Entstehung und technischen Mechanismen und beleuchten, wie auch Gegner kreative Anti-Zensur-Tools entwickeln. Besondere Aufmerksamkeit gilt der Kommerzialisierung von Zensurtechnologien, die China international anbietet. Zudem wird die Funktionsweise verschiedener Filtermechanismen, von DNS-Spoofing bis hin zu VPN-Erkennung, diskutiert. Abschließend werfen sie einen Blick auf die fragmentierte digitale Landschaft und ihre Risiken.

Die Host diskutieren den kürzlichen AWS- und Azure-Ausfall und betonen, wie wichtig Verfügbarkeit für die IT-Sicherheit ist. Sie beleuchten eine gefährliche Sicherheitslücke im Windows Server Update Services und die riskante Ausnutzung durch Malware. Zudem erforschen sie die Problematik von unsicheren Deserialisierern und die Risiken damit verbunden. Ein weiterer spannender Punkt ist der PKI-Fall der kroatischen CA FINA, die ungültige Zertifikate für Cloudflare ausgestellt hat und die damit verbundenen Vertrauensprobleme.

In dieser Folge geht es um die umstrittene Chatkontrolle der EU, die erneut diskutiert wird und verschlüsselte Kommunikation gefährdet. Oracle steht im Fokus wegen einer kritischen Sicherheitslücke und schwacher Kommunikation. Zudem wird die Einführung von Post-Quantum-Krypto bei Signal beleuchtet, um Messenger im Quantenzeitalter sicherer zu machen. Die Vorteile hybrider Quantenverschlüsselungssysteme werden erörtert und diskutiert, warum asymmetrische Verfahren durch Quantencomputer bedroht sind.

Das Hackermagazin Phrack feiert sein 40-jähriges Bestehen. Die Hosts sprechen über die Anfänge und den Einfluss des Magazins auf die Hackerethik. Skyper gibt spannende Einblicke in den Einreichprozess und die Redaktion. Ein zentrales Thema ist die Analyse eines Leaks, das mit nordkoreanischen und chinesischen Akteuren in Verbindung steht. Diskussionen über technische Details, Verantwortlichkeit bei der Veröffentlichung und die Reaktionen in Südkorea runden das Thema ab. Ein mysteriöses Rechenzentrumsfeuer wirft zusätzliche Fragen auf.

In dieser spannenden Bonusfolge wird Apples neue Speicherschutztechnik vorgestellt, die das Sicherheitssystem in iPhones verbessert. Zudem wird ein brisanter Sicherheitsvorfall beleuchtet, bei dem ein Chatbot Zugriff auf Salesforce-Konten ermöglichte, was viele große Unternehmen betraf. Die Hosts diskutieren die Gefahren von Chatbots als Marketinginstrumente und die Risiken von Backend-Zugriffen. Weitere Themen sind die technische Bewertung von Speicher-Integritätsmechanismen und die Herausforderungen bei der Sicherheitsimplementierung in der Entwicklerwelt.

Die US-Behörde CISA hat große Pläne für das CVE-System, doch es gibt Bedenken bezüglich möglichem Machtmissbrauch. Eine spannende Diskussion dreht sich um den möglichen Ausbau von XSLT in Browsern und die Alternativen zu dieser Technologie. Zudem wird die Gefährdung des NPM-Ökosystems thematisiert, mit Berichten über aufeinanderfolgende Angriffe, die durch unsichere GitHub-Aktionen ausgelöst wurden. Die Hosts zeigen auf, welche Maßnahmen Entwickler ergreifen können, um sich vor solchen Bedrohungen zu schützen.

Die Hosts beleuchten merkwürdige Marketing-Mails von DigiCert und kritisieren deren Phishing-Anfälligkeit. Zudem diskutieren sie die Herausforderungen der Microsoft PKI und die Schwierigkeiten bei der Zertifikatswiderrufung. Ein spannendes Thema sind die von Qualys entdeckten Core-Dump-Lücken und deren Auswirkungen auf Linux-Programme. Schließlich analysieren sie die MadeYouReset-Schwachstelle, die Server über HTTP/2 angreift. Praktische Abwehrstrategien und technische Details zu diesen Problemen werden ebenfalls behandelt.

Die Rückkehr aus dem Urlaub bringt spannende Themen mit sich! Eine umfangreiche Studie zeigt, dass viele Anti-Phishing-Maßnahmen ineffektiv sind. Besonders kritisch wird die Fehlerkommunikation bei Microsoft beleuchtet, einschließlich schwerwiegender Sicherheitsvorfälle in SharePoint. Außerdem wird die Problematik der Zertifikatstransparenz bei Let's Encrypt betrachtet, während die Herausforderungen der KI-Integration sowie die Bedeutung von Audit-Logs thematisiert werden. Insgesamt ein informativer Blick auf aktuelle Sicherheitsfragen und Unternehmenskommunikation.